Information Security - Вклад [ru]

Евангелие от Луки

2025-12-20T17:09:24Z

Hunter po:

==Ошибка №1. ИБ живет отдельно от бизнеса==

[[Файл:Ошибка №1. ИБ живет отдельно от бизнеса.jpg|x250px]]

Когда безопасность не встроена в экономику и финансы, операционные процессы и стратегию, она превращается в "блокера" и бессмысленный набор запретов. В таких компаниях ИБ узнает о запуске продукта в день релиза, о новых подрядчиках – после начала работ, а о внедрениях – когда что-то ломается.

Например, один крупный ритейлер потерял миллионы из-за остановки нового мобильного приложения: ИБшники не участвовали в проекте, и API вышел в прод без даже базовых защитных мер, включая и банальную авторизацию. Утечка данных 200k пользователей стала следствием организационного разрыва между ИБ и DevOps.

Как исправить:

➡ Встроить ИБ в жизненный цикл продукта, закупок, DevOps, изменения инфраструктуры.

➡ Привязать риски безопасности к бизнес-метрикам (ну или пойти по пути недопустимых событий).

➡ Сформировать у руководства понимание, что ИБ – функция управления бизнес-рисками, а не "технический отдел".

==Ошибка №2. Не работают политики и регламенты==

[[Файл:Ошибка №2. Не работают политики и регламенты.jpg|x250px]]

Документы есть, но они либо не отражают реальность, либо никто им не следует. Сотрудники подписывают положения "для галочки", а процессы строятся вне нормативов.

Например, в одной финансовой компании политика по управлению доступами требовала отключать доступ уволенного сотрудника в течение часа, но ИТ делала это "когда дойдут руки", а иногда и вовсе не узнавала о факте увольнения, так как HR "забывал" уведомить об этом соответствующие подразделения. Инсайдер, экс-сотрудник, воспользовавшись этим "окном" унес из облачной CRM десятки контрактов.

Как исправить:

➡ Политики должны описывать реальные процессы, а не процессы должны подстраиваться под бумажные процессы.

➡ Нормативы должны быть встроены в ITSM / DevOps-платформы.

➡ Контроль исполнения – обязательная часть аудита.

==Ошибка №3. Неправильное распределение ответственности==

[[Файл:Ошибка №3. Неправильное распределение ответственности.jpg|x250px]]

Классическая ошибка: "ИБ отвечает за все". На деле безопасность – распределенная функция (это вообще-то функция, а не подразделение). Когда ответственность не формализована, никто не отвечает за доступы, обновления, уязвимости, конфиги и мониторинг.

Например, в одной госструктуре ИТ-администраторы считали, что патчи ставит ИБ, а ИБ считала наоборот. Результат – эксплуатация старого RCE в Exchange и компрометация внутреннего домена.

Как исправить:

➡ Составить матрицу RACI на ключевые процессы (не забывайте ее поддерживать в актуальном состоянии).

➡ Декомпозировать зоны ответственности: ИТ, ИБ, DevOps.

➡ Закрепить ответственность в форме KPI.

==Ошибка №4. Ориентация только на инструменты==

[[Файл:Ошибка №4. Ориентация только на инструменты.jpg|x250px]]

Руководство покупает "волшебные коробки", а процессы остаются прежними. SIEM без собственных, регулярно обновляемых правил корреляции, DLP без классификации информации согласно ее ценности и процессов обработки, EDR без реагирования – мертвые инвестиции.

Например, компания внедрила SIEM, но не выделила команду аналитиков, которые бы постоянно проводила анализ событий ИБ, адаптацию правил, написание корреляционных цепочек и т.п. Полгода SIEM работал "на запись", а атака через компрометацию VPN-доступа осталась незамеченной – хотя события были в логах.

Как исправить:

➡ Любой инструмент не может существовать без людей, процессов и интеграции.

➡ Начинать нужно с процессов, а не с закупок.

==Ошибка №5. Отсутствие стратегии развития ИБ==

[[Файл:Ошибка №5. Отсутствие стратегии развития ИБ.jpg|x250px]]

Работа ведется хаотично, в режиме тушения пожаров. Нет целевой архитектуры, дорожной карты, метрик зрелости и и процесса ее оценки.

Например, у крупного холдинга SOC появился раньше, чем инвентаризация ресурсов. В результате SOC не видел 40% инфраструктуры.

Как исправить:

➡ Построить модель зрелости (NIST CSF, разные варианты CMM).

➡ Выработать 2–3-летнюю дорожную карту с приоритетами.

➡ Связать стратегию ИБ со стратегией цифровой трансформации и бизнес-стратегией.

==Ошибка №6. Пентесты раз в год вместо постоянного контроля==

[[Файл:Ошибка №6. Пентесты раз в год вместо постоянного контроля.jpg|x250px]]

Однократный пентест – иллюзия безопасности. Уязвимости появляются ежедневно.

Например, один банк прошел летом пентест в соответствие с требованиями Банка России и ФСТЭК. Осенью появилась критическая уязвимость в VPN-шлюзе – ее никто не заметил. Через нее APT-группировка получила доступ внутрь банковской инфраструктуры и месяц держалась внутри сети.

Как исправить:

➡ Внедрить постоянное сканирование уязвимостей, в том числе включая и внедрение решений класса BAS (Breach & Attack Simulation).

➡ Проводить периодические Red Team / Purple Team.

➡ Выставить компанию или ее ключевые системы на Bug Bounty и кибериспытания.

==Ошибка №7. Игнорирование «некритичных» уязвимостей==

[[Файл:Ошибка №7. Игнорирование «некритичных» уязвимостей.jpg|x250px]]

Уязвимость CVSS 5.0 может быть идеальной точкой входа, если ее эксплуатация проста.

Например, в 2023–2024 годах сотни компаний пострадали от массовых атак через уязвимости в Confluence и MOVEit, имеющий невысокий CVSS.

Как исправить:

➡ Оценивать уязвимости по их эксплуатируемости/трендовости (EPSS, KEV), а не только по их базовому уровню CVSS.

➡ Учитывать бизнес-контекст и критичность систем, в которых найдены уязвимости.

➡ Строить процесс риск-ориентированного обновления.

==Ошибка №8. Нет отлаженного процесса реагирования==

[[Файл:Ошибка №8. Нет отлаженного процесса реагирования.jpg|x250px]]

SOC находит проблему, но дальше начинается хаос. Кто блокирует? Кто согласует отключение атакованных систем? Кто информирует вышестоящее начальство об инциденте? Кто занимается восстанавлением?

Например, в медицинской организации SOC увидел расширение плацдарма (lateral movement) шифровальщиком, но не смог остановить атаку из-за отсутствия полномочий. Через 3 часа был зашифрованы сегменты с данными пациентов, электронными медицинскими записями и медицинским оборудованием.

Как исправить:

➡ Создать соответствующие плейбуки под типовые для организации инциденты с указанием ролей, сценариями действий, чеклистами.

➡ Проводить регулярные киберучения (штабные и технические, на киберполигонах).

➡ Дать SOC привилегии осуществлять "срочные действия".

==Ошибка №9. Нет обучения и тренировки==

[[Файл:Ошибка №9. Нет обучения и тренировки.jpg|x250px]]

Персонал не знает, как действовать, потому что никогда не проводилось обучение действиям в нештатных ситуациях и при инцидентах.

Например, на заводе оператор не знал, что делать при блокировке HMI шифровальщиком и в панике обесточил часть цеха, остановив производство и увеличив ущерб от атаки.

Как исправить:

➡ Регулярные штабные киберучения, а также иные формы сценарной геймификации процесса обучения.

➡ Практические тренировки реагирования на инциденты (как противопожарные тренировки).

➡ Обучение не только и не столько служб ИБ и ИТ, но и бизнес-подразделений.

==Ошибка №10. Нет реестра активов==

[[Файл:Ошибка №10. Нет реестра активов.jpg|x250px]]

Нельзя защитить то, чего не знаешь. Замурованные в стены сервера (был у меня такой кейс как-то), виртуалки-"летучие голландцы", установленные для удобства Wi-Fi-точки доступа, забытые VPN-доступы, старые тестовые стенды – все это прекрасные входы внутрь инфраструктуры.

Например, в Colonial Pipeline одной из точек входа был старый VPN-аккаунт без MFA, невнесенный в список активов.

Как исправить:

➡ Формирование собственной базы CMDB или доступ к ИТшной, а также автоматическое обнаружение активов.

➡ Инвентаризация облаков, SaaS, теневых ИТ (shadow IT), включая теневые ML.

➡ Классификация данных и сервисов по критичности для бизнеса.

==Ошибка №11. Слабый контроль подрядчиков (supply chain)==

[[Файл:Ошибка №11. Слабый контроль подрядчиков (supply chain).jpg|x250px]]

Внешние вендоры имеют доступ к вашей инфраструктуре, но вы не контролируете их безопасность и их доступы в вашу внутрянку.

Например, атаки на SolarWinds, MOVEit, 3CX – крупнейшие supply chain инциденты последних лет.

Как исправить:

➡ Внедрить процесс оценки вендоров.

➡ Требовать MFA, регистрации событий, ограничение доступов.

➡ Контролировать работу подрядчиков в реальном времени.

==Ошибка №12. Нет безопасной разработки и контроля изменений==

[[Файл:Ошибка №12. Нет безопасной разработки и контроля изменений.jpg|x250px]]

Продукт выходит быстрее, чем его успевают проверять на предмет безопасности. Небезопасные настройки по умолчанию, жестко зашитые ключи и секреты, слабая авторизация – типичные дефекты, приводящие к ущербу.

Например, в 2022 один финтех-стартап потерял десятки миллионов из-за ошибки в авторизации в API (IDOR). Ошибка появилась после "быстрого" релиза кода без его анализа.

Как исправить:

➡ Ввести в компании практику DevSecOps.

➡ Включение Security Gate в CI/CD.

➡ Внедрить статический и динамический анализ и проверка IaC.

==Ошибка №13. Резервные копии есть, но не тестируются==

[[Файл:Ошибка №13. Резервные копии есть, но не тестируются.jpg|x250px]]

Половина компаний узнает о том, что бэкапы нечитаемы и данные невосстановимы, исключительно во время инцидентов с шифровальщиками.

Например, в 2023 муниципальный госпиталь в США был вынужден выплатить выкуп, потому что четыре года бэкапы записывались на поврежденный стример, а никто даже не побеспокоился проверить, работает ли он.

Как исправить:

➡ Тестировать восстановление из резервных копий регулярно.

➡ Хранить оффлайн-копии.

➡ Документировать процедуры восстановления.

==Ошибка №14. Ошибки конфигураций==

[[Файл:Ошибка №14. Ошибки конфигураций.jpg|x250px]]

Самый распространенный тип уязвимостей. Человеческий фактор + сложность инфраструктуры приводят к бесконечному потоку ошибочных конфигураций, которыми и пользуются плохие парни.

Например, открытые для общего доступа корзины Elasticsearch/S3/MinIO приводили к утечкам миллионов данных в компаниях Uber, Verizon и десятках других.

Как исправить:

➡ Применять автоматические сканеры конфигураций.

➡ Проверять соответствие политикам безопасности (например, CIS Benchmarks или предоставленные разработчиками сканеров безопасности).

➡ Обязательный анализ кода IaC.

==Ошибка №15. Отсутствие сегментации==

[[Файл:Ошибка №15. Отсутствие сегментации.jpg|x250px]]

Плоская сеть – это рай для злоумышленников, расширяющих плацдарм внутри скомпрометированной инфраструктуры.

Например, WannaCry распространялся мгновенно именно в плоских сетях без сегментации. То же самое – Ryuk, Conti и другие шифровальщики.

Как исправить:

➡ Внедрять сетевую сегментацию, VLAN, микросегментацию.

➡ Внедрять Zero Trust Network Access.

➡ Ограничение межсервисных коммуникаций.

==Ошибка №16. Нет регистрации событий и мониторинга==

[[Файл:Ошибка №16. Нет регистрации событий и мониторинга.jpg|x250px]]

Компания может быть взломана месяцы назад – и не знать об этом, а хакеры орудуют внутри инфраструктуры, не боясь обнаружения.

Например, Equifax была скомпрометирована более двух месяцев прежде, чем заметила активность в системе.

Как исправить:

➡ Регистрация всех критичных для конкретной компании/процесса/системы событий.

➡ Централизация логов.

➡ Построение SOC с аналитикой и ML-корреляцией событий.

==Ошибка №17. Слабая или отсутствующая MFA==

[[Файл:Ошибка №17. Слабая или отсутствующая MFA.jpg|x250px]]

Усталость от push'ей и запросов на подтверждение аутентификации, однофакторные протоколы, использование одноразовых кодов в SMS, отсутствие защиты сессий – и злоумышленник внутри.

Например, во время взлома Uber в 2022 атакующий использовал усталость от push-уведомлений и социальный инжиниринг для обхода MFA. Аналогичным образом взламывали Cisco, казино MGM Grand и многие другие компании.

Как исправить:

➡ Внедрение FIDO2.

➡ Контроль устройства и контекстный доступ.

➡ Защищенные каналы выдачи токенов.

==Ошибка №18. Legacy-системы==

[[Файл:Ошибка №18. Legacy-системы.jpg|x250px]]

Старые ОС, уже не поддерживаемые производителем компоненты, устаревшие сервера и оборудование – идеальная мишень для атак.

Например, WannaCry массово поражал Windows XP, которая продолжала использоваться в больницах и госучреждениях.

Как исправить:

➡ Разработать и реализовывать план миграции.

➡ Виртуализация и изоляция legacy.

➡ Мониторинг вокруг критичных legacy-узлов.

==Ошибка №19. Теневые ИТ и данные (shadow IT / data)==

[[Файл:Ошибка №19. Теневые ИТ и данные (shadow IT - data).jpg|x250px]]

Облака, личные Google Docs, неучтенные SaaS, тестовые базы с реальными данными, оплаченные личными картами GPT-сервисы – все это выходит за рамки привычного контроля ИБ и является точкой проникновения в компанию и утечки данных.

Например, сотрудник случайно оставил копию клиентской базы в личном Dropbox → утечка и большой штраф от регулятора.

Как исправить:

➡ Открыть "официальный" способ решать нужные для выполнения служебных обязанностей задачи или предложить работникам корпоративные лицензии на нужные сервисы.

➡ Обеспечить мониторинг теневых сервисов и потоков данных (вообще, иметь карту информационных потоков также полезно, как и базу активов).

➡ Разработать и контролировать политику хранения данных.

==Ошибка №20. Отсутствие сети контактов между специалистами==

[[Файл:Ошибка №20. Отсутствие сети контактов между специалистами.jpg|x250px]]

Во время инцидентов часто теряется драгоценное время, потому что ИБ, ИТ, DevOps, юристы, PR, подрядчики или специалисты с иными нужными компетенциями просто не могут оперативно связаться друг с другом. Контакты устарели, лежат в недоступных системах, хранятся у одного человека или вовсе отсутствуют.

Например, в одном финтехе при компрометации CI/CD ИБ не смогла найти DevOps-лида – его контактов не было в актуальном списке. В результате восстановление задержалось на несколько часов, и злоумышленники успели распространить вредоносный код на продовый кластер.

Как исправить:

➡ Создать и обновлять единый перечень аварийных контактов.

➡ Хранить его в нескольких местах, включая офлайн.

➡ Включить коммуникационные сценарии в программу учений.

==Ошибка №21. Отсутствие культуры ненаказания==

[[Файл:Ошибка №21. Отсутствие культуры ненаказания.jpg|x250px]]

Когда за ошибки карают – их скрывают. Инциденты растут, а цикл обнаружения увеличивается.

Например, на одном производстве сотрудник заметил подозрительные файлы, но боялся сообщить, "вдруг он что-то сделал не так". Через час началось массовое шифрование внутри инфраструктуры.

Как исправить:

➡ Формировать прозрачную систему поощрения за раннее предупреждение.

➡ Анализ инцидентов без поиска виноватого (не путать с анализом root cause).

➡ Публичные кейсы успешного поведения.

==Ошибка №22. Коммуникация ИБ на "птичьем техническом диалекте"==

[[Файл:Ошибка №22. Коммуникация ИБ на "птичьем техническом диалекте".jpg|x250px]]

Когда CISO говорит на языке CVE, SIEM, EDR, SOC и ATT&CK, бизнес слышит белый шум. В итоге нужные решения не принимаются.

Например, одна компания откладывала внедрение MFA три года, потому что "доклад ИБ непонятен". После демонстрации удачного бизнес-кейса внедрили за месяц.

Как исправить:

➡ Переводить риски на язык денег и последствий.

➡ Давать руководству понятные ему сценарии и альтернативы.

➡ Построить "CISO Dashboard" с бизнес-метриками.

==Ошибка №23. Невыполнение требований compliance==

[[Файл:Ошибка №23. Невыполнение требований compliance.jpg|x250px]]

Компания может годами игнорировать обязательные требования регуляторов или отраслевых стандартов, но в момент инцидента это может обернуться штрафами, проверками, ограничениями деятельности, потерей лицензий и серьезными репутационными последствиями. Нередко оказывается, что ущерб от невыполнения некоторых нормативных актов (не всех) куда выше стоимости его соблюдения.

Например, после крупного инцидента в одной финансовой организации регулятор установил, что компания не выполняла обязательные требования PCI DSS по журналированию и сегментации. В результате – многомиллионные штрафы, внеплановая проверка, запрет на запуск новых услуг и прямые убытки от оттока клиентов.

Как исправить:

➡ Проводить регулярную оценку соответствия адекватным требованиям и устранять пробелы до проверок и инцидентов.

➡ Автоматизировать контроль выполнения адекватных требований по ключевым зонам (доступы, сегментация, журналы регистрации).

➡ Встраивать compliance в архитектуру процессов, а не оформлять в виде отчетов "для аудиторов", или пытаться выполнить все в авральном режиме.

==Ошибка №24. Выгорание специалистов ИБ==

[[Файл:Ошибка №24. Выгорание специалистов ИБ.jpg|x250px]]

Перегруженные специалисты совершают ошибки, принимают плохие решения и покидают команду.

Например, SOC-команда крупной авиакомпании пропустила ранние признаки атаки, потому что работала в режиме постоянных переработок.

Как исправить:

➡ Реалистичные и обоснованные нагрузки.

➡ Автоматизация рутинных операций

➡ Поддержка команды и программы благополучия (well-being).

(c) Алексей Лукацкий 2025

Файл:Ошибка №24. Выгорание специалистов ИБ.jpg

2025-12-20T17:00:52Z

Hunter po: Ошибка №24. Выгорание специалистов ИБ

== Краткое описание ==
Ошибка №24. Выгорание специалистов ИБ

Файл:Ошибка №23. Невыполнение требований compliance.jpg

2025-12-20T17:00:21Z

Hunter po: Ошибка №23. Невыполнение требований compliance

== Краткое описание ==
Ошибка №23. Невыполнение требований compliance

Файл:Ошибка №22. Коммуникация ИБ на "птичьем техническом диалекте".jpg

2025-12-20T16:59:51Z

Hunter po: Ошибка №22. Коммуникация ИБ на "птичьем техническом диалекте"

== Краткое описание ==
Ошибка №22. Коммуникация ИБ на "птичьем техническом диалекте"

Файл:Ошибка №21. Отсутствие культуры ненаказания.jpg

2025-12-20T16:59:20Z

Hunter po: Ошибка №21. Отсутствие культуры ненаказания

== Краткое описание ==
Ошибка №21. Отсутствие культуры ненаказания

Файл:Ошибка №20. Отсутствие сети контактов между специалистами.jpg

2025-12-20T16:58:53Z

Hunter po: Ошибка №20. Отсутствие сети контактов между специалистами

== Краткое описание ==
Ошибка №20. Отсутствие сети контактов между специалистами

Файл:Ошибка №18. Legacy-системы.jpg

2025-12-20T16:57:27Z

Hunter po: Ошибка №18. Legacy-системы

== Краткое описание ==
Ошибка №18. Legacy-системы

Файл:Ошибка №17. Слабая или отсутствующая MFA.jpg

2025-12-20T16:57:03Z

Hunter po: Ошибка №17. Слабая или отсутствующая MFA

== Краткое описание ==
Ошибка №17. Слабая или отсутствующая MFA

Файл:Ошибка №16. Нет регистрации событий и мониторинга.jpg

2025-12-20T16:56:35Z

Hunter po: Ошибка №16. Нет регистрации событий и мониторинга

== Краткое описание ==
Ошибка №16. Нет регистрации событий и мониторинга

Файл:Ошибка №15. Отсутствие сегментации.jpg

2025-12-20T16:56:08Z

Hunter po: Ошибка №15. Отсутствие сегментации

== Краткое описание ==
Ошибка №15. Отсутствие сегментации

Файл:Ошибка №14. Ошибки конфигураций.jpg

2025-12-20T16:55:40Z

Hunter po: Ошибка №14. Ошибки конфигураций

== Краткое описание ==
Ошибка №14. Ошибки конфигураций

Файл:Ошибка №13. Резервные копии есть, но не тестируются.jpg

2025-12-20T16:55:14Z

Hunter po: Ошибка №13. Резервные копии есть, но не тестируются

== Краткое описание ==
Ошибка №13. Резервные копии есть, но не тестируются

Файл:Ошибка №12. Нет безопасной разработки и контроля изменений.jpg

2025-12-20T16:54:44Z

Hunter po: Ошибка №12. Нет безопасной разработки и контроля изменений

== Краткое описание ==
Ошибка №12. Нет безопасной разработки и контроля изменений

Файл:Ошибка №11. Слабый контроль подрядчиков (supply chain).jpg

2025-12-20T16:54:20Z

Hunter po: Ошибка №11. Слабый контроль подрядчиков (supply chain)

== Краткое описание ==
Ошибка №11. Слабый контроль подрядчиков (supply chain)

Файл:Ошибка №10. Нет реестра активов.jpg

2025-12-20T16:53:52Z

Hunter po: Ошибка №10. Нет реестра активов

== Краткое описание ==
Ошибка №10. Нет реестра активов

Файл:Ошибка №9. Нет обучения и тренировки.jpg

2025-12-20T16:53:19Z

Hunter po: Ошибка №9. Нет обучения и тренировки

== Краткое описание ==
Ошибка №9. Нет обучения и тренировки

Файл:Ошибка №8. Нет отлаженного процесса реагирования.jpg

2025-12-20T16:52:37Z

Hunter po: Ошибка №8. Нет отлаженного процесса реагирования

== Краткое описание ==
Ошибка №8. Нет отлаженного процесса реагирования

Файл:Ошибка №7. Игнорирование «некритичных» уязвимостей.jpg

2025-12-20T16:52:03Z

Hunter po: Ошибка №7. Игнорирование «некритичных» уязвимостей

== Краткое описание ==
Ошибка №7. Игнорирование «некритичных» уязвимостей

Файл:Ошибка №6. Пентесты раз в год вместо постоянного контроля.jpg

2025-12-20T16:51:12Z

Hunter po: Ошибка №6. Пентесты раз в год вместо постоянного контроля

== Краткое описание ==
Ошибка №6. Пентесты раз в год вместо постоянного контроля

Файл:Ошибка №5. Отсутствие стратегии развития ИБ.jpg

2025-12-20T16:50:42Z

Hunter po: Ошибка №5. Отсутствие стратегии развития ИБ

== Краткое описание ==
Ошибка №5. Отсутствие стратегии развития ИБ

Файл:Ошибка №4. Ориентация только на инструменты.jpg

2025-12-20T16:50:07Z

Hunter po: Ошибка №4. Ориентация только на инструменты

== Краткое описание ==
Ошибка №4. Ориентация только на инструменты

Файл:Ошибка №3. Неправильное распределение ответственности.jpg

2025-12-20T16:49:11Z

Hunter po: Ошибка №3. Неправильное распределение ответственности

== Краткое описание ==
Ошибка №3. Неправильное распределение ответственности

Файл:Ошибка №2. Не работают политики и регламенты.jpg

2025-12-20T16:48:28Z

Hunter po: Ошибка №2. Не работают политики и регламенты

== Краткое описание ==
Ошибка №2. Не работают политики и регламенты

Евангелие от Луки

2025-12-20T16:47:19Z

Hunter po: /* Ошибка 9. Нет обучения и тренировки */

==Ошибка №1. ИБ живет отдельно от бизнеса==

[[Файл:Ошибка №1. ИБ живет отдельно от бизнеса.jpg|x250px]]

Когда безопасность не встроена в экономику и финансы, операционные процессы и стратегию, она превращается в "блокера" и бессмысленный набор запретов. В таких компаниях ИБ узнает о запуске продукта в день релиза, о новых подрядчиках – после начала работ, а о внедрениях – когда что-то ломается.

Например, один крупный ритейлер потерял миллионы из-за остановки нового мобильного приложения: ИБшники не участвовали в проекте, и API вышел в прод без даже базовых защитных мер, включая и банальную авторизацию. Утечка данных 200k пользователей стала следствием организационного разрыва между ИБ и DevOps.

Как исправить:

➡️ Встроить ИБ в жизненный цикл продукта, закупок, DevOps, изменения инфраструктуры.

➡️ Привязать риски безопасности к бизнес-метрикам (ну или пойти по пути недопустимых событий).

➡️ Сформировать у руководства понимание, что ИБ – функция управления бизнес-рисками, а не "технический отдел".

==Ошибка №2. Не работают политики и регламенты==

Документы есть, но они либо не отражают реальность, либо никто им не следует. Сотрудники подписывают положения "для галочки", а процессы строятся вне нормативов.

Например, в одной финансовой компании политика по управлению доступами требовала отключать доступ уволенного сотрудника в течение часа, но ИТ делала это "когда дойдут руки", а иногда и вовсе не узнавала о факте увольнения, так как HR "забывал" уведомить об этом соответствующие подразделения. Инсайдер, экс-сотрудник, воспользовавшись этим "окном" унес из облачной CRM десятки контрактов.

Как исправить:

➡️ Политики должны описывать реальные процессы, а не процессы должны подстраиваться под бумажные процессы.

➡️ Нормативы должны быть встроены в ITSM / DevOps-платформы.

➡️ Контроль исполнения – обязательная часть аудита.

==Ошибка №3. Неправильное распределение ответственности==

Классическая ошибка: "ИБ отвечает за все". На деле безопасность – распределенная функция (это вообще-то функция, а не подразделение). Когда ответственность не формализована, никто не отвечает за доступы, обновления, уязвимости, конфиги и мониторинг.

Например, в одной госструктуре ИТ-администраторы считали, что патчи ставит ИБ, а ИБ считала наоборот. Результат – эксплуатация старого RCE в Exchange и компрометация внутреннего домена.

Как исправить:

➡️ Составить матрицу RACI на ключевые процессы (не забывайте ее поддерживать в актуальном состоянии).

➡️ Декомпозировать зоны ответственности: ИТ, ИБ, DevOps.

➡️ Закрепить ответственность в форме KPI.

==Ошибка №4. Ориентация только на инструменты==

Руководство покупает "волшебные коробки", а процессы остаются прежними. SIEM без собственных, регулярно обновляемых правил корреляции, DLP без классификации информации согласно ее ценности и процессов обработки, EDR без реагирования – мертвые инвестиции.

Например, компания внедрила SIEM, но не выделила команду аналитиков, которые бы постоянно проводила анализ событий ИБ, адаптацию правил, написание корреляционных цепочек и т.п. Полгода SIEM работал "на запись", а атака через компрометацию VPN-доступа осталась незамеченной – хотя события были в логах.

Как исправить:

➡ Любой инструмент не может существовать без людей, процессов и интеграции.

➡ Начинать нужно с процессов, а не с закупок.

==Ошибка №5. Отсутствие стратегии развития ИБ==

Работа ведется хаотично, в режиме тушения пожаров. Нет целевой архитектуры, дорожной карты, метрик зрелости и и процесса ее оценки.

Например, у крупного холдинга SOC появился раньше, чем инвентаризация ресурсов. В результате SOC не видел 40% инфраструктуры.

Как исправить:

➡ Построить модель зрелости (NIST CSF, разные варианты CMM).

➡ Выработать 2–3-летнюю дорожную карту с приоритетами.

➡ Связать стратегию ИБ со стратегией цифровой трансформации и бизнес-стратегией.

==Ошибка №6. Пентесты раз в год вместо постоянного контроля==

Однократный пентест – иллюзия безопасности. Уязвимости появляются ежедневно.

Например, один банк прошел летом пентест в соответствие с требованиями Банка России и ФСТЭК. Осенью появилась критическая уязвимость в VPN-шлюзе – ее никто не заметил. Через нее APT-группировка получила доступ внутрь банковской инфраструктуры и месяц держалась внутри сети.

Как исправить:

➡ Внедрить постоянное сканирование уязвимостей, в том числе включая и внедрение решений класса BAS (Breach & Attack Simulation).

➡ Проводить периодические Red Team / Purple Team.

➡ Выставить компанию или ее ключевые системы на Bug Bounty и кибериспытания.

==Ошибка №7. Игнорирование «некритичных» уязвимостей==

Уязвимость CVSS 5.0 может быть идеальной точкой входа, если ее эксплуатация проста.

Например, в 2023–2024 годах сотни компаний пострадали от массовых атак через уязвимости в Confluence и MOVEit, имеющий невысокий CVSS.

Как исправить:

➡ Оценивать уязвимости по их эксплуатируемости/трендовости (EPSS, KEV), а не только по их базовому уровню CVSS.

➡ Учитывать бизнес-контекст и критичность систем, в которых найдены уязвимости.

➡ Строить процесс риск-ориентированного обновления.

==Ошибка №8. Нет отлаженного процесса реагирования==

SOC находит проблему, но дальше начинается хаос. Кто блокирует? Кто согласует отключение атакованных систем? Кто информирует вышестоящее начальство об инциденте? Кто занимается восстанавлением?

Например, в медицинской организации SOC увидел расширение плацдарма (lateral movement) шифровальщиком, но не смог остановить атаку из-за отсутствия полномочий. Через 3 часа был зашифрованы сегменты с данными пациентов, электронными медицинскими записями и медицинским оборудованием.

Как исправить:

➡ Создать соответствующие плейбуки под типовые для организации инциденты с указанием ролей, сценариями действий, чеклистами.

➡ Проводить регулярные киберучения (штабные и технические, на киберполигонах).

➡ Дать SOC привилегии осуществлять "срочные действия".

==Ошибка №9. Нет обучения и тренировки==

Персонал не знает, как действовать, потому что никогда не проводилось обучение действиям в нештатных ситуациях и при инцидентах.

Например, на заводе оператор не знал, что делать при блокировке HMI шифровальщиком и в панике обесточил часть цеха, остановив производство и увеличив ущерб от атаки.

Как исправить:

➡ Регулярные штабные киберучения, а также иные формы сценарной геймификации процесса обучения.

➡ Практические тренировки реагирования на инциденты (как противопожарные тренировки).

➡ Обучение не только и не столько служб ИБ и ИТ, но и бизнес-подразделений.

==Ошибка №10. Нет реестра активов==

Нельзя защитить то, чего не знаешь. Замурованные в стены сервера (был у меня такой кейс как-то), виртуалки-"летучие голландцы", установленные для удобства Wi-Fi-точки доступа, забытые VPN-доступы, старые тестовые стенды – все это прекрасные входы внутрь инфраструктуры.

Например, в Colonial Pipeline одной из точек входа был старый VPN-аккаунт без MFA, невнесенный в список активов.

Как исправить:

➡ Формирование собственной базы CMDB или доступ к ИТшной, а также автоматическое обнаружение активов.

➡ Инвентаризация облаков, SaaS, теневых ИТ (shadow IT), включая теневые ML.

➡ Классификация данных и сервисов по критичности для бизнеса.

==Ошибка №11. Слабый контроль подрядчиков (supply chain)==

Внешние вендоры имеют доступ к вашей инфраструктуре, но вы не контролируете их безопасность и их доступы в вашу внутрянку.

Например, атаки на SolarWinds, MOVEit, 3CX – крупнейшие supply chain инциденты последних лет.

Как исправить:

➡ Внедрить процесс оценки вендоров.

➡ Требовать MFA, регистрации событий, ограничение доступов.

➡ Контролировать работу подрядчиков в реальном времени.

==Ошибка №12. Нет безопасной разработки и контроля изменений==

Продукт выходит быстрее, чем его успевают проверять на предмет безопасности. Небезопасные настройки по умолчанию, жестко зашитые ключи и секреты, слабая авторизация – типичные дефекты, приводящие к ущербу.

Например, в 2022 один финтех-стартап потерял десятки миллионов из-за ошибки в авторизации в API (IDOR). Ошибка появилась после "быстрого" релиза кода без его анализа.

Как исправить:

➡ Ввести в компании практику DevSecOps.

➡ Включение Security Gate в CI/CD.

➡ Внедрить статический и динамический анализ и проверка IaC.

==Ошибка №13. Резервные копии есть, но не тестируются==

Половина компаний узнает о том, что бэкапы нечитаемы и данные невосстановимы, исключительно во время инцидентов с шифровальщиками.

Например, в 2023 муниципальный госпиталь в США был вынужден выплатить выкуп, потому что четыре года бэкапы записывались на поврежденный стример, а никто даже не побеспокоился проверить, работает ли он.

Как исправить:

➡ Тестировать восстановление из резервных копий регулярно.

➡ Хранить оффлайн-копии.

➡ Документировать процедуры восстановления.

==Ошибка №14. Ошибки конфигураций==

Самый распространенный тип уязвимостей. Человеческий фактор + сложность инфраструктуры приводят к бесконечному потоку ошибочных конфигураций, которыми и пользуются плохие парни.

Например, открытые для общего доступа корзины Elasticsearch/S3/MinIO приводили к утечкам миллионов данных в компаниях Uber, Verizon и десятках других.

Как исправить:

➡ Применять автоматические сканеры конфигураций.

➡ Проверять соответствие политикам безопасности (например, CIS Benchmarks или предоставленные разработчиками сканеров безопасности).

➡ Обязательный анализ кода IaC.

==Ошибка №15. Отсутствие сегментации==

Плоская сеть – это рай для злоумышленников, расширяющих плацдарм внутри скомпрометированной инфраструктуры.

Например, WannaCry распространялся мгновенно именно в плоских сетях без сегментации. То же самое – Ryuk, Conti и другие шифровальщики.

Как исправить:

➡ Внедрять сетевую сегментацию, VLAN, микросегментацию.

➡ Внедрять Zero Trust Network Access.

➡ Ограничение межсервисных коммуникаций.

==Ошибка №16. Нет регистрации событий и мониторинга==

Компания может быть взломана месяцы назад – и не знать об этом, а хакеры орудуют внутри инфраструктуры, не боясь обнаружения.

Например, Equifax была скомпрометирована более двух месяцев прежде, чем заметила активность в системе.

Как исправить:

➡ Регистрация всех критичных для конкретной компании/процесса/системы событий.

➡ Централизация логов.

➡ Построение SOC с аналитикой и ML-корреляцией событий.

==Ошибка №17. Слабая или отсутствующая MFA==

Усталость от push'ей и запросов на подтверждение аутентификации, однофакторные протоколы, использование одноразовых кодов в SMS, отсутствие защиты сессий – и злоумышленник внутри.

Например, во время взлома Uber в 2022 атакующий использовал усталость от push-уведомлений и социальный инжиниринг для обхода MFA. Аналогичным образом взламывали Cisco, казино MGM Grand и многие другие компании.

Как исправить:

➡ Внедрение FIDO2.

➡ Контроль устройства и контекстный доступ.

➡ Защищенные каналы выдачи токенов.

==Ошибка №18. Legacy-системы==

Старые ОС, уже не поддерживаемые производителем компоненты, устаревшие сервера и оборудование – идеальная мишень для атак.

Например, WannaCry массово поражал Windows XP, которая продолжала использоваться в больницах и госучреждениях.

Как исправить:

➡ Разработать и реализовывать план миграции.

➡ Виртуализация и изоляция legacy.

➡ Мониторинг вокруг критичных legacy-узлов.

==Ошибка №19. Теневые ИТ и данные (shadow IT / data)==

Облака, личные Google Docs, неучтенные SaaS, тестовые базы с реальными данными, оплаченные личными картами GPT-сервисы – все это выходит за рамки привычного контроля ИБ и является точкой проникновения в компанию и утечки данных.

Например, сотрудник случайно оставил копию клиентской базы в личном Dropbox → утечка и большой штраф от регулятора.

Как исправить:

➡ Открыть "официальный" способ решать нужные для выполнения служебных обязанностей задачи или предложить работникам корпоративные лицензии на нужные сервисы.

➡ Обеспечить мониторинг теневых сервисов и потоков данных (вообще, иметь карту информационных потоков также полезно, как и базу активов).

➡ Разработать и контролировать политику хранения данных.

==Ошибка №20. Отсутствие сети контактов между специалистами==

Во время инцидентов часто теряется драгоценное время, потому что ИБ, ИТ, DevOps, юристы, PR, подрядчики или специалисты с иными нужными компетенциями просто не могут оперативно связаться друг с другом. Контакты устарели, лежат в недоступных системах, хранятся у одного человека или вовсе отсутствуют.

Например, в одном финтехе при компрометации CI/CD ИБ не смогла найти DevOps-лида – его контактов не было в актуальном списке. В результате восстановление задержалось на несколько часов, и злоумышленники успели распространить вредоносный код на продовый кластер.

Как исправить:

➡ Создать и обновлять единый перечень аварийных контактов.

➡ Хранить его в нескольких местах, включая офлайн.

➡ Включить коммуникационные сценарии в программу учений.

==Ошибка №21. Отсутствие культуры ненаказания==

Когда за ошибки карают – их скрывают. Инциденты растут, а цикл обнаружения увеличивается.

Например, на одном производстве сотрудник заметил подозрительные файлы, но боялся сообщить, "вдруг он что-то сделал не так". Через час началось массовое шифрование внутри инфраструктуры.

Как исправить:

➡ Формировать прозрачную систему поощрения за раннее предупреждение.

➡ Анализ инцидентов без поиска виноватого (не путать с анализом root cause).

➡ Публичные кейсы успешного поведения.

==Ошибка №22. Коммуникация ИБ на "птичьем техническом диалекте"==

Когда CISO говорит на языке CVE, SIEM, EDR, SOC и ATT&CK, бизнес слышит белый шум. В итоге нужные решения не принимаются.

Например, одна компания откладывала внедрение MFA три года, потому что "доклад ИБ непонятен". После демонстрации удачного бизнес-кейса внедрили за месяц.

Как исправить:

➡ Переводить риски на язык денег и последствий.

➡ Давать руководству понятные ему сценарии и альтернативы.

➡ Построить "CISO Dashboard" с бизнес-метриками.

==Ошибка №23. Невыполнение требований compliance==

Компания может годами игнорировать обязательные требования регуляторов или отраслевых стандартов, но в момент инцидента это может обернуться штрафами, проверками, ограничениями деятельности, потерей лицензий и серьезными репутационными последствиями. Нередко оказывается, что ущерб от невыполнения некоторых нормативных актов (не всех) куда выше стоимости его соблюдения.

Например, после крупного инцидента в одной финансовой организации регулятор установил, что компания не выполняла обязательные требования PCI DSS по журналированию и сегментации. В результате – многомиллионные штрафы, внеплановая проверка, запрет на запуск новых услуг и прямые убытки от оттока клиентов.

Как исправить:

➡ Проводить регулярную оценку соответствия адекватным требованиям и устранять пробелы до проверок и инцидентов.

➡ Автоматизировать контроль выполнения адекватных требований по ключевым зонам (доступы, сегментация, журналы регистрации).

➡ Встраивать compliance в архитектуру процессов, а не оформлять в виде отчетов "для аудиторов", или пытаться выполнить все в авральном режиме.

==Ошибка №24. Выгорание специалистов ИБ==

Перегруженные специалисты совершают ошибки, принимают плохие решения и покидают команду.

Например, SOC-команда крупной авиакомпании пропустила ранние признаки атаки, потому что работала в режиме постоянных переработок.

Как исправить:

➡ Реалистичные и обоснованные нагрузки.

➡ Автоматизация рутинных операций

➡ Поддержка команды и программы благополучия (well-being).

(c) Алексей Лукацкий 2025

Евангелие от Луки

2025-12-20T16:46:42Z

Hunter po: Новая страница: «==Ошибка №1. ИБ живет отдельно от бизнеса== Файл:Ошибка №1. ИБ живет отдельно от бизнеса.jp...»

==Ошибка №1. ИБ живет отдельно от бизнеса==

[[Файл:Ошибка №1. ИБ живет отдельно от бизнеса.jpg|x250px]]

Когда безопасность не встроена в экономику и финансы, операционные процессы и стратегию, она превращается в "блокера" и бессмысленный набор запретов. В таких компаниях ИБ узнает о запуске продукта в день релиза, о новых подрядчиках – после начала работ, а о внедрениях – когда что-то ломается.

Например, один крупный ритейлер потерял миллионы из-за остановки нового мобильного приложения: ИБшники не участвовали в проекте, и API вышел в прод без даже базовых защитных мер, включая и банальную авторизацию. Утечка данных 200k пользователей стала следствием организационного разрыва между ИБ и DevOps.

Как исправить:

➡️ Встроить ИБ в жизненный цикл продукта, закупок, DevOps, изменения инфраструктуры.

➡️ Привязать риски безопасности к бизнес-метрикам (ну или пойти по пути недопустимых событий).

➡️ Сформировать у руководства понимание, что ИБ – функция управления бизнес-рисками, а не "технический отдел".

==Ошибка №2. Не работают политики и регламенты==

Документы есть, но они либо не отражают реальность, либо никто им не следует. Сотрудники подписывают положения "для галочки", а процессы строятся вне нормативов.

Например, в одной финансовой компании политика по управлению доступами требовала отключать доступ уволенного сотрудника в течение часа, но ИТ делала это "когда дойдут руки", а иногда и вовсе не узнавала о факте увольнения, так как HR "забывал" уведомить об этом соответствующие подразделения. Инсайдер, экс-сотрудник, воспользовавшись этим "окном" унес из облачной CRM десятки контрактов.

Как исправить:

➡️ Политики должны описывать реальные процессы, а не процессы должны подстраиваться под бумажные процессы.

➡️ Нормативы должны быть встроены в ITSM / DevOps-платформы.

➡️ Контроль исполнения – обязательная часть аудита.

==Ошибка №3. Неправильное распределение ответственности==

Классическая ошибка: "ИБ отвечает за все". На деле безопасность – распределенная функция (это вообще-то функция, а не подразделение). Когда ответственность не формализована, никто не отвечает за доступы, обновления, уязвимости, конфиги и мониторинг.

Например, в одной госструктуре ИТ-администраторы считали, что патчи ставит ИБ, а ИБ считала наоборот. Результат – эксплуатация старого RCE в Exchange и компрометация внутреннего домена.

Как исправить:

➡️ Составить матрицу RACI на ключевые процессы (не забывайте ее поддерживать в актуальном состоянии).

➡️ Декомпозировать зоны ответственности: ИТ, ИБ, DevOps.

➡️ Закрепить ответственность в форме KPI.

==Ошибка №4. Ориентация только на инструменты==

Руководство покупает "волшебные коробки", а процессы остаются прежними. SIEM без собственных, регулярно обновляемых правил корреляции, DLP без классификации информации согласно ее ценности и процессов обработки, EDR без реагирования – мертвые инвестиции.

Например, компания внедрила SIEM, но не выделила команду аналитиков, которые бы постоянно проводила анализ событий ИБ, адаптацию правил, написание корреляционных цепочек и т.п. Полгода SIEM работал "на запись", а атака через компрометацию VPN-доступа осталась незамеченной – хотя события были в логах.

Как исправить:

➡ Любой инструмент не может существовать без людей, процессов и интеграции.

➡ Начинать нужно с процессов, а не с закупок.

==Ошибка №5. Отсутствие стратегии развития ИБ==

Работа ведется хаотично, в режиме тушения пожаров. Нет целевой архитектуры, дорожной карты, метрик зрелости и и процесса ее оценки.

Например, у крупного холдинга SOC появился раньше, чем инвентаризация ресурсов. В результате SOC не видел 40% инфраструктуры.

Как исправить:

➡ Построить модель зрелости (NIST CSF, разные варианты CMM).

➡ Выработать 2–3-летнюю дорожную карту с приоритетами.

➡ Связать стратегию ИБ со стратегией цифровой трансформации и бизнес-стратегией.

==Ошибка №6. Пентесты раз в год вместо постоянного контроля==

Однократный пентест – иллюзия безопасности. Уязвимости появляются ежедневно.

Например, один банк прошел летом пентест в соответствие с требованиями Банка России и ФСТЭК. Осенью появилась критическая уязвимость в VPN-шлюзе – ее никто не заметил. Через нее APT-группировка получила доступ внутрь банковской инфраструктуры и месяц держалась внутри сети.

Как исправить:

➡ Внедрить постоянное сканирование уязвимостей, в том числе включая и внедрение решений класса BAS (Breach & Attack Simulation).

➡ Проводить периодические Red Team / Purple Team.

➡ Выставить компанию или ее ключевые системы на Bug Bounty и кибериспытания.

==Ошибка №7. Игнорирование «некритичных» уязвимостей==

Уязвимость CVSS 5.0 может быть идеальной точкой входа, если ее эксплуатация проста.

Например, в 2023–2024 годах сотни компаний пострадали от массовых атак через уязвимости в Confluence и MOVEit, имеющий невысокий CVSS.

Как исправить:

➡ Оценивать уязвимости по их эксплуатируемости/трендовости (EPSS, KEV), а не только по их базовому уровню CVSS.

➡ Учитывать бизнес-контекст и критичность систем, в которых найдены уязвимости.

➡ Строить процесс риск-ориентированного обновления.

==Ошибка №8. Нет отлаженного процесса реагирования==

SOC находит проблему, но дальше начинается хаос. Кто блокирует? Кто согласует отключение атакованных систем? Кто информирует вышестоящее начальство об инциденте? Кто занимается восстанавлением?

Например, в медицинской организации SOC увидел расширение плацдарма (lateral movement) шифровальщиком, но не смог остановить атаку из-за отсутствия полномочий. Через 3 часа был зашифрованы сегменты с данными пациентов, электронными медицинскими записями и медицинским оборудованием.

Как исправить:

➡ Создать соответствующие плейбуки под типовые для организации инциденты с указанием ролей, сценариями действий, чеклистами.

➡ Проводить регулярные киберучения (штабные и технические, на киберполигонах).

➡ Дать SOC привилегии осуществлять "срочные действия".

==Ошибка 9. Нет обучения и тренировки==

Персонал не знает, как действовать, потому что никогда не проводилось обучение действиям в нештатных ситуациях и при инцидентах.

Например, на заводе оператор не знал, что делать при блокировке HMI шифровальщиком и в панике обесточил часть цеха, остановив производство и увеличив ущерб от атаки.

Как исправить:

➡ Регулярные штабные киберучения, а также иные формы сценарной геймификации процесса обучения.

➡ Практические тренировки реагирования на инциденты (как противопожарные тренировки).

➡ Обучение не только и не столько служб ИБ и ИТ, но и бизнес-подразделений.

==Ошибка №10. Нет реестра активов==

Нельзя защитить то, чего не знаешь. Замурованные в стены сервера (был у меня такой кейс как-то), виртуалки-"летучие голландцы", установленные для удобства Wi-Fi-точки доступа, забытые VPN-доступы, старые тестовые стенды – все это прекрасные входы внутрь инфраструктуры.

Например, в Colonial Pipeline одной из точек входа был старый VPN-аккаунт без MFA, невнесенный в список активов.

Как исправить:

➡ Формирование собственной базы CMDB или доступ к ИТшной, а также автоматическое обнаружение активов.

➡ Инвентаризация облаков, SaaS, теневых ИТ (shadow IT), включая теневые ML.

➡ Классификация данных и сервисов по критичности для бизнеса.

==Ошибка №11. Слабый контроль подрядчиков (supply chain)==

Внешние вендоры имеют доступ к вашей инфраструктуре, но вы не контролируете их безопасность и их доступы в вашу внутрянку.

Например, атаки на SolarWinds, MOVEit, 3CX – крупнейшие supply chain инциденты последних лет.

Как исправить:

➡ Внедрить процесс оценки вендоров.

➡ Требовать MFA, регистрации событий, ограничение доступов.

➡ Контролировать работу подрядчиков в реальном времени.

==Ошибка №12. Нет безопасной разработки и контроля изменений==

Продукт выходит быстрее, чем его успевают проверять на предмет безопасности. Небезопасные настройки по умолчанию, жестко зашитые ключи и секреты, слабая авторизация – типичные дефекты, приводящие к ущербу.

Например, в 2022 один финтех-стартап потерял десятки миллионов из-за ошибки в авторизации в API (IDOR). Ошибка появилась после "быстрого" релиза кода без его анализа.

Как исправить:

➡ Ввести в компании практику DevSecOps.

➡ Включение Security Gate в CI/CD.

➡ Внедрить статический и динамический анализ и проверка IaC.

==Ошибка №13. Резервные копии есть, но не тестируются==

Половина компаний узнает о том, что бэкапы нечитаемы и данные невосстановимы, исключительно во время инцидентов с шифровальщиками.

Например, в 2023 муниципальный госпиталь в США был вынужден выплатить выкуп, потому что четыре года бэкапы записывались на поврежденный стример, а никто даже не побеспокоился проверить, работает ли он.

Как исправить:

➡ Тестировать восстановление из резервных копий регулярно.

➡ Хранить оффлайн-копии.

➡ Документировать процедуры восстановления.

==Ошибка №14. Ошибки конфигураций==

Самый распространенный тип уязвимостей. Человеческий фактор + сложность инфраструктуры приводят к бесконечному потоку ошибочных конфигураций, которыми и пользуются плохие парни.

Например, открытые для общего доступа корзины Elasticsearch/S3/MinIO приводили к утечкам миллионов данных в компаниях Uber, Verizon и десятках других.

Как исправить:

➡ Применять автоматические сканеры конфигураций.

➡ Проверять соответствие политикам безопасности (например, CIS Benchmarks или предоставленные разработчиками сканеров безопасности).

➡ Обязательный анализ кода IaC.

==Ошибка №15. Отсутствие сегментации==

Плоская сеть – это рай для злоумышленников, расширяющих плацдарм внутри скомпрометированной инфраструктуры.

Например, WannaCry распространялся мгновенно именно в плоских сетях без сегментации. То же самое – Ryuk, Conti и другие шифровальщики.

Как исправить:

➡ Внедрять сетевую сегментацию, VLAN, микросегментацию.

➡ Внедрять Zero Trust Network Access.

➡ Ограничение межсервисных коммуникаций.

==Ошибка №16. Нет регистрации событий и мониторинга==

Компания может быть взломана месяцы назад – и не знать об этом, а хакеры орудуют внутри инфраструктуры, не боясь обнаружения.

Например, Equifax была скомпрометирована более двух месяцев прежде, чем заметила активность в системе.

Как исправить:

➡ Регистрация всех критичных для конкретной компании/процесса/системы событий.

➡ Централизация логов.

➡ Построение SOC с аналитикой и ML-корреляцией событий.

==Ошибка №17. Слабая или отсутствующая MFA==

Усталость от push'ей и запросов на подтверждение аутентификации, однофакторные протоколы, использование одноразовых кодов в SMS, отсутствие защиты сессий – и злоумышленник внутри.

Например, во время взлома Uber в 2022 атакующий использовал усталость от push-уведомлений и социальный инжиниринг для обхода MFA. Аналогичным образом взламывали Cisco, казино MGM Grand и многие другие компании.

Как исправить:

➡ Внедрение FIDO2.

➡ Контроль устройства и контекстный доступ.

➡ Защищенные каналы выдачи токенов.

==Ошибка №18. Legacy-системы==

Старые ОС, уже не поддерживаемые производителем компоненты, устаревшие сервера и оборудование – идеальная мишень для атак.

Например, WannaCry массово поражал Windows XP, которая продолжала использоваться в больницах и госучреждениях.

Как исправить:

➡ Разработать и реализовывать план миграции.

➡ Виртуализация и изоляция legacy.

➡ Мониторинг вокруг критичных legacy-узлов.

==Ошибка №19. Теневые ИТ и данные (shadow IT / data)==

Облака, личные Google Docs, неучтенные SaaS, тестовые базы с реальными данными, оплаченные личными картами GPT-сервисы – все это выходит за рамки привычного контроля ИБ и является точкой проникновения в компанию и утечки данных.

Например, сотрудник случайно оставил копию клиентской базы в личном Dropbox → утечка и большой штраф от регулятора.

Как исправить:

➡ Открыть "официальный" способ решать нужные для выполнения служебных обязанностей задачи или предложить работникам корпоративные лицензии на нужные сервисы.

➡ Обеспечить мониторинг теневых сервисов и потоков данных (вообще, иметь карту информационных потоков также полезно, как и базу активов).

➡ Разработать и контролировать политику хранения данных.

==Ошибка №20. Отсутствие сети контактов между специалистами==

Во время инцидентов часто теряется драгоценное время, потому что ИБ, ИТ, DevOps, юристы, PR, подрядчики или специалисты с иными нужными компетенциями просто не могут оперативно связаться друг с другом. Контакты устарели, лежат в недоступных системах, хранятся у одного человека или вовсе отсутствуют.

Например, в одном финтехе при компрометации CI/CD ИБ не смогла найти DevOps-лида – его контактов не было в актуальном списке. В результате восстановление задержалось на несколько часов, и злоумышленники успели распространить вредоносный код на продовый кластер.

Как исправить:

➡ Создать и обновлять единый перечень аварийных контактов.

➡ Хранить его в нескольких местах, включая офлайн.

➡ Включить коммуникационные сценарии в программу учений.

==Ошибка №21. Отсутствие культуры ненаказания==

Когда за ошибки карают – их скрывают. Инциденты растут, а цикл обнаружения увеличивается.

Например, на одном производстве сотрудник заметил подозрительные файлы, но боялся сообщить, "вдруг он что-то сделал не так". Через час началось массовое шифрование внутри инфраструктуры.

Как исправить:

➡ Формировать прозрачную систему поощрения за раннее предупреждение.

➡ Анализ инцидентов без поиска виноватого (не путать с анализом root cause).

➡ Публичные кейсы успешного поведения.

==Ошибка №22. Коммуникация ИБ на "птичьем техническом диалекте"==

Когда CISO говорит на языке CVE, SIEM, EDR, SOC и ATT&CK, бизнес слышит белый шум. В итоге нужные решения не принимаются.

Например, одна компания откладывала внедрение MFA три года, потому что "доклад ИБ непонятен". После демонстрации удачного бизнес-кейса внедрили за месяц.

Как исправить:

➡ Переводить риски на язык денег и последствий.

➡ Давать руководству понятные ему сценарии и альтернативы.

➡ Построить "CISO Dashboard" с бизнес-метриками.

==Ошибка №23. Невыполнение требований compliance==

Компания может годами игнорировать обязательные требования регуляторов или отраслевых стандартов, но в момент инцидента это может обернуться штрафами, проверками, ограничениями деятельности, потерей лицензий и серьезными репутационными последствиями. Нередко оказывается, что ущерб от невыполнения некоторых нормативных актов (не всех) куда выше стоимости его соблюдения.

Например, после крупного инцидента в одной финансовой организации регулятор установил, что компания не выполняла обязательные требования PCI DSS по журналированию и сегментации. В результате – многомиллионные штрафы, внеплановая проверка, запрет на запуск новых услуг и прямые убытки от оттока клиентов.

Как исправить:

➡ Проводить регулярную оценку соответствия адекватным требованиям и устранять пробелы до проверок и инцидентов.

➡ Автоматизировать контроль выполнения адекватных требований по ключевым зонам (доступы, сегментация, журналы регистрации).

➡ Встраивать compliance в архитектуру процессов, а не оформлять в виде отчетов "для аудиторов", или пытаться выполнить все в авральном режиме.

==Ошибка №24. Выгорание специалистов ИБ==

Перегруженные специалисты совершают ошибки, принимают плохие решения и покидают команду.

Например, SOC-команда крупной авиакомпании пропустила ранние признаки атаки, потому что работала в режиме постоянных переработок.

Как исправить:

➡ Реалистичные и обоснованные нагрузки.

➡ Автоматизация рутинных операций

➡ Поддержка команды и программы благополучия (well-being).

(c) Алексей Лукацкий 2025

Файл:Ошибка №1. ИБ живет отдельно от бизнеса.jpg

2025-12-20T16:29:41Z

Hunter po: Ошибка №1. ИБ живет отдельно от бизнеса

== Краткое описание ==
Ошибка №1. ИБ живет отдельно от бизнеса

Заглавная страница

2025-12-20T16:27:07Z

Hunter po: /* Философия */

== Публикации ==

*[[Информационная безопасность для CIO]] - (25.06.2012, правки 04.12.2012) - on-line книга «Учебник 4CIO. Версия 2.0»;
*[[Информационная безопасность ключевых систем информационной инфраструктуры (ИБ КСИИ)]] - журнал Connect №9, 2013.
*[[Кибербезопасность]] - ...

==Нормативные акты==
*[[Об информации, информационных технологиях и о защите информации|Об информации, информационных технологиях и о защите информации]] - Федерального закона от 27 июля 2006 г. № 149-ФЗ.
*[[Требования по защите АСУ ТП|План-проспект проекта Требований к защите информации в автоматизированных системах управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды]] - План-проспект ФСТЭК России.
*[[Требования по защите ГИС|Требования по защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах]] - Приказ ФСТЭК России 11 февраля 2013 г. N 17.
*[[Требования по защите ПДн|Состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных]] - Приказ ФСТЭК России 18.02.2013 г. N 21.
*[[Методы защиты информации в государственных информационных системах|Методы защиты информации в государственных информационных системах]] - Методический документ ФСТЭК России 2013 г. Проект. Версия 1.3
*[[Методика определения угроз безопасности информации в информационных системах]] - Методический документ ФСТЭК России 2015 г. Проект.

==Философия==
*[[Дао программирования]];
*[[Дао информационной безопасности]];
*[[Просто Дао]];
*[[Дао "Путь Торговли"]];
*[[Искусство войны]];
*[[Дао Петра Попова]] - словарик тимлида и архитектора;
*[[Евангелие от Луки]] - ошибки информационной безопасности в бизнесе.

==Ошибки==
*[[Истории о сбоях программного обеспечения военной техники]];

==Проекты==
*[[Агрогенез]] - мониторинг и управление микроклиматом;

Заглавная страница

2020-09-18T07:28:36Z

Hunter po: /* Философия */

== Публикации ==

*[[Информационная безопасность для CIO]] - (25.06.2012, правки 04.12.2012) - on-line книга «Учебник 4CIO. Версия 2.0»;
*[[Информационная безопасность ключевых систем информационной инфраструктуры (ИБ КСИИ)]] - журнал Connect №9, 2013.
*[[Кибербезопасность]] - ...

==Нормативные акты==
*[[Об информации, информационных технологиях и о защите информации|Об информации, информационных технологиях и о защите информации]] - Федерального закона от 27 июля 2006 г. № 149-ФЗ.
*[[Требования по защите АСУ ТП|План-проспект проекта Требований к защите информации в автоматизированных системах управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды]] - План-проспект ФСТЭК России.
*[[Требования по защите ГИС|Требования по защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах]] - Приказ ФСТЭК России 11 февраля 2013 г. N 17.
*[[Требования по защите ПДн|Состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных]] - Приказ ФСТЭК России 18.02.2013 г. N 21.
*[[Методы защиты информации в государственных информационных системах|Методы защиты информации в государственных информационных системах]] - Методический документ ФСТЭК России 2013 г. Проект. Версия 1.3
*[[Методика определения угроз безопасности информации в информационных системах]] - Методический документ ФСТЭК России 2015 г. Проект.

==Философия==
*[[Дао программирования]];
*[[Дао информационной безопасности]];
*[[Просто Дао]];
*[[Дао "Путь Торговли"]];
*[[Искусство войны]];
*[[Дао Петра Попова]] - словарик тимлида и архитектора.

==Ошибки==
*[[Истории о сбоях программного обеспечения военной техники]];

==Проекты==
*[[Агрогенез]] - мониторинг и управление микроклиматом;

Дао Петра Попова

2020-09-18T07:27:25Z

Hunter po:

=Словарик архитектора=
'''Петушня какая-то''' - Некорректный код, слабая архитектурная реализация, не учитывающая сложность проекта и объём данных, предполагаемый к обработке.

'''Опять петушня полная''' - Периодически повторяющаяся ситуация с некорректным кодом, приводящая к серьезным фрустрациям архитектора и ответственных лиц.

=Словарик тимлида=
'''Бизнесориентированность''' - Умение жертвовать архитектурными принципами построения качественного ПО ради гонки функционала от заказчика и не испытывать при этом психологических затруднений.

'''Отсутствие бизнесориентированности''' - Неумение жертвовать личным психологическим комфортом ради гонки функционала от заказчика.

'''Все проебали''' - Ввиду возникших сложностей при аналитической проработке задач и архитектурных сложностей построения функционала в текущем варианте ПО часть задач не удаётся корректно завершить в рамках данного спринта и их необходимо перенести на следующий спринт.

'''Опять все проебем''' - В данной ситуации мы считаем, что уже включили в спринт достаточное количество функционала и есть риск не успеть корректно выполнить некоторые из них.

'''Нихуя не успеем''' - Ввиду того, что часть сил проектной команды пришлось отвлекать на исправление ошибок прошлого релиза, данную задачу выполнить корректно в срок не удалось.

'''Пудель''' - Человек далекий от производственных процессов, постройки промышленного ПО, без инженерного мышления и менеджерских навыков, пребывающий в иллюзиях и прострациях относительно рабочего процесса и совершенно не понимающий задач, которые ставят команде, однако волей судеб поставленный руководить процессами или аналитическими постановками задач.

'''Ты мне втираешь какую-то дичь''' - Попытка убедить собеседника в вымышленном функционале системы контроля версий

'''У нас своя версия скрама''' - Попытка объяснить нежелание следовать технологическим процессам в проекте и кастомизация известных процессов под себя

'''Софтскиллы''' - Умение безостановочно пиздеть и оперативно находить аргументы, почему опять был проебан тот или иной функционал

'''Пиздец, а не спринт''' - При планировании спринта были допущены ошибки и команда взяла больше задач, чем возможно их выполнить. При планировании следующего спринта, разумеется, никто не будет учитывать техдолг с прошлого спринта, поскольку заказчику похуй на техдолг и его задача - нагрузить проектную команду на 150 процентов.

'''Полный пиздец, блядь''' - Некорректное планирование спринта привело к тому, что несколько критических задач не выполнены, обязуемся выполнить к среде.

'''Нихуя не успел''' - В силу высокой оперативной загрузки с командой на данную задачу не нашлось возможности выделить время.

'''Вы/они там ебанулись совсем''' - Данная задача невозможна к выполнению за столь короткий срок в полтора дня, поскольку требует вначале аналитической и архитектурной проработки, предварительная оценка выполнения с учетом доставки функционала на стенды превышает несколько спринтов и требует серьезных архитектурных изменений.

Дао Петра Попова

2020-09-18T07:26:58Z

Hunter po:

=Словарик архитектора=
'''Петушня какая-то''' - Некорректный код, слабая архитектурная реализация, не учитывающая сложность проекта и объём данных, предполагаемый к обработке.
'''Опять петушня полная''' - Периодически повторяющаяся ситуация с некорректным кодом, приводящая к серьезным фрустрациям архитектора и ответственных лиц.

=Словарик тимлида=
'''Б͟и͟з͟н͟е͟с͟о͟р͟и͟е͟н͟т͟и͟р͟о͟в͟а͟н͟н͟о͟с͟т͟ь͟''' - Умение жертвовать архитектурными принципами построения качественного ПО ради гонки функционала от заказчика и не испытывать при этом психологических затруднений.

'''О͟т͟с͟у͟т͟с͟т͟в͟и͟е͟ ͟б͟и͟з͟н͟е͟с͟о͟р͟и͟е͟н͟т͟и͟р͟о͟в͟а͟н͟н͟о͟с͟т͟и͟''' - Неумение жертвовать личным психологическим комфортом ради гонки функционала от заказчика.

'''Бизнесориентированность''' - Умение жертвовать архитектурными принципами построения качественного ПО ради гонки функционала от заказчика и не испытывать при этом психологических затруднений.

'''Отсутствие бизнесориентированности''' - Неумение жертвовать личным психологическим комфортом ради гонки функционала от заказчика.

'''Все проебали''' - Ввиду возникших сложностей при аналитической проработке задач и архитектурных сложностей построения функционала в текущем варианте ПО часть задач не удаётся корректно завершить в рамках данного спринта и их необходимо перенести на следующий спринт.

'''Опять все проебем''' - В данной ситуации мы считаем, что уже включили в спринт достаточное количество функционала и есть риск не успеть корректно выполнить некоторые из них.

'''Нихуя не успеем''' - Ввиду того, что часть сил проектной команды пришлось отвлекать на исправление ошибок прошлого релиза, данную задачу выполнить корректно в срок не удалось.

'''Пудель''' - Человек далекий от производственных процессов, постройки промышленного ПО, без инженерного мышления и менеджерских навыков, пребывающий в иллюзиях и прострациях относительно рабочего процесса и совершенно не понимающий задач, которые ставят команде, однако волей судеб поставленный руководить процессами или аналитическими постановками задач.

'''Ты мне втираешь какую-то дичь''' - Попытка убедить собеседника в вымышленном функционале системы контроля версий

'''У нас своя версия скрама''' - Попытка объяснить нежелание следовать технологическим процессам в проекте и кастомизация известных процессов под себя

'''Софтскиллы''' - Умение безостановочно пиздеть и оперативно находить аргументы, почему опять был проебан тот или иной функционал

'''Пиздец, а не спринт''' - При планировании спринта были допущены ошибки и команда взяла больше задач, чем возможно их выполнить. При планировании следующего спринта, разумеется, никто не будет учитывать техдолг с прошлого спринта, поскольку заказчику похуй на техдолг и его задача - нагрузить проектную команду на 150 процентов.

'''Полный пиздец, блядь''' - Некорректное планирование спринта привело к тому, что несколько критических задач не выполнены, обязуемся выполнить к среде.

'''Нихуя не успел''' - В силу высокой оперативной загрузки с командой на данную задачу не нашлось возможности выделить время.

'''Вы/они там ебанулись совсем''' - Данная задача невозможна к выполнению за столь короткий срок в полтора дня, поскольку требует вначале аналитической и архитектурной проработки, предварительная оценка выполнения с учетом доставки функционала на стенды превышает несколько спринтов и требует серьезных архитектурных изменений.

Дао Петра Попова

2020-09-18T07:24:10Z

Hunter po: Новая страница: «=Словарик архитектора= П͟е͟т͟у͟ш͟н͟я͟ ͟к͟а͟к͟а͟я͟-͟т͟о͟ - Некорректный код, слабая архи…»

=Словарик архитектора=
П͟е͟т͟у͟ш͟н͟я͟ ͟к͟а͟к͟а͟я͟-͟т͟о͟ - Некорректный код, слабая архитектурная реализация, не учитывающая сложность проекта и объём данных, предполагаемый к обработке.
О͟п͟я͟т͟ь͟ ͟п͟е͟т͟у͟ш͟н͟я͟ ͟п͟о͟л͟н͟а͟я͟ - Периодически повторяющаяся ситуация с некорректным кодом, приводящая к серьезным фрустрациям архитектора и ответственных лиц.

=Словарик тимлида=
'''Б͟и͟з͟н͟е͟с͟о͟р͟и͟е͟н͟т͟и͟р͟о͟в͟а͟н͟н͟о͟с͟т͟ь͟''' - Умение жертвовать архитектурными принципами построения качественного ПО ради гонки функционала от заказчика и не испытывать при этом психологических затруднений.

'''О͟т͟с͟у͟т͟с͟т͟в͟и͟е͟ ͟б͟и͟з͟н͟е͟с͟о͟р͟и͟е͟н͟т͟и͟р͟о͟в͟а͟н͟н͟о͟с͟т͟и͟''' - Неумение жертвовать личным психологическим комфортом ради гонки функционала от заказчика.

В͟с͟е͟ ͟п͟р͟о͟е͟б͟а͟л͟и͟ - Ввиду возникших сложностей при аналитической проработке задач и архитектурных сложностей построения функционала в текущем варианте ПО часть задач не удаётся корректно завершить в рамках данного спринта и их необходимо перенести на следующий спринт.
О͟п͟я͟т͟ь͟ ͟в͟с͟е͟ ͟п͟р͟о͟е͟б͟е͟м͟ - В данной ситуации мы считаем, что уже включили в спринт достаточное количество функционала и есть риск не успеть корректно выполнить некоторые из них.
Н͟и͟х͟у͟я͟ ͟н͟е͟ ͟у͟с͟п͟е͟е͟м͟ - Ввиду того, что часть сил проектной команды пришлось отвлекать на исправление ошибок прошлого релиза, данную задачу выполнить корректно в срок не удалось.
(словарик тимлида)

П͟у͟д͟е͟л͟ь͟ - Человек далекий от производственных процессов, постройки промышленного ПО, без инженерного мышления и менеджерских навыков, пребывающий в иллюзиях и прострациях относительно рабочего процесса и совершенно не понимающий задач, которые ставят команде, однако волей судеб поставленный руководить процессами или аналитическими постановками задач.
Т͟ы͟ ͟м͟н͟е͟ ͟в͟т͟и͟р͟а͟е͟ш͟ь͟ ͟к͟а͟к͟у͟ю͟-͟т͟о͟ ͟д͟и͟ч͟ь͟ - Попытка убедить собеседника в вымышленном функционале системы контроля версий
У͟ ͟н͟а͟с͟ ͟с͟в͟о͟я͟ ͟в͟е͟р͟с͟и͟я͟ ͟с͟к͟р͟а͟м͟а͟ - Попытка объяснить нежелание следовать технологическим процессам в проекте и кастомизация известных процессов под себя
С͟о͟ф͟т͟с͟к͟и͟л͟л͟ы͟ - Умение безостановочно пиздеть и оперативно находить аргументы, почему опять был проебан тот или иной функционал
(словарик тимлида)

П͟и͟з͟д͟е͟ц͟,͟ ͟а͟ ͟н͟е͟ ͟с͟п͟р͟и͟н͟т͟- При планировании спринта были допущены ошибки и команда взяла больше задач, чем возможно их выполнить. При планировании следующего спринта, разумеется, никто не будет учитывать техдолг с прошлого спринта, поскольку заказчику похуй на техдолг и его задача - нагрузить проектную команду на 150 процентов.
П͟о͟л͟н͟ы͟й͟ ͟п͟и͟з͟д͟е͟ц͟,͟ ͟б͟л͟я͟д͟ь͟ - Некорректное планирование спринта привело к тому, что несколько критических задач не выполнены, обязуемся выполнить к среде.
Н͟и͟х͟у͟я͟ ͟н͟е͟ ͟у͟с͟п͟е͟л͟- В силу высокой оперативной загрузки с командой на данную задачу не нашлось возможности выделить время.
В͟ы͟/͟о͟н͟и͟ ͟т͟а͟м͟ ͟е͟б͟а͟н͟у͟л͟и͟с͟ь͟ ͟с͟о͟в͟с͟е͟м͟ - Данная задача невозможна к выполнению за столь короткий срок в полтора дня, поскольку требует вначале аналитической и архитектурной проработки, предварительная оценка выполнения с учетом доставки функционала на стенды превышает несколько спринтов и требует серьезных архитектурных изменений.
(словарик тимлида)

Заглавная страница

2018-05-29T06:40:39Z

Hunter po:

== Публикации ==

*[[Информационная безопасность для CIO]] - (25.06.2012, правки 04.12.2012) - on-line книга «Учебник 4CIO. Версия 2.0»;
*[[Информационная безопасность ключевых систем информационной инфраструктуры (ИБ КСИИ)]] - журнал Connect №9, 2013.
*[[Кибербезопасность]] - ...

==Нормативные акты==
*[[Об информации, информационных технологиях и о защите информации|Об информации, информационных технологиях и о защите информации]] - Федерального закона от 27 июля 2006 г. № 149-ФЗ.
*[[Требования по защите АСУ ТП|План-проспект проекта Требований к защите информации в автоматизированных системах управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды]] - План-проспект ФСТЭК России.
*[[Требования по защите ГИС|Требования по защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах]] - Приказ ФСТЭК России 11 февраля 2013 г. N 17.
*[[Требования по защите ПДн|Состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных]] - Приказ ФСТЭК России 18.02.2013 г. N 21.
*[[Методы защиты информации в государственных информационных системах|Методы защиты информации в государственных информационных системах]] - Методический документ ФСТЭК России 2013 г. Проект. Версия 1.3
*[[Методика определения угроз безопасности информации в информационных системах]] - Методический документ ФСТЭК России 2015 г. Проект.

==Философия==
*[[Дао программирования]];
*[[Дао информационной безопасности]];
*[[Просто Дао]];
*[[Дао "Путь Торговли"]];
*[[Искусство войны]].

==Ошибки==
*[[Истории о сбоях программного обеспечения военной техники]];

==Проекты==
*[[Агрогенез]] - мониторинг и управление микроклиматом;

Истории о сбоях программного обеспечения военной техники

2018-05-29T06:39:32Z

Hunter po: Новая страница: «Файл:55d4b3ea.jpg =Истребители F-22 не смогли пересечь 180 меридиан= При попытке перегнать истр…»

[[Файл:55d4b3ea.jpg]]

=Истребители F-22 не смогли пересечь 180 меридиан=
При попытке перегнать истребители F-22 «своим ходом» с Гавайских островов на базу ВВС Kadena на японском острове Окинава программный сбой в навигационном обеспечении вынудил пилотов развернуться и возвратиться туда, откуда вылетели. Теперь стала известна истинная природа этой «навигационной аномалии».

Как выяснилось, истребители не сумели преодолеть так называемую линию перемены дат — условную линию, по разные стороны которой местное время одно и то же (с точностью до часового пояса), но календарные даты различаются на одни сутки. Линия перемены дат проходит по меридиану 180 градусов с отдельными отклонениями.

Перемена дат осуществляется (и вообще имеет смысл) лишь при использовании местного времени. При пересечении линии перемены дат необходимо либо прибавлять, либо вычитать одни сутки – в зависимости от того, в каком направлении осуществляется движение. По всей видимости, этот парадокс Земного шара, осознанный еще участниками экспедиции Магеллана, был позабыт разработчиками F-22 Raptor.

Последствия такой забывчивости оказались весьма ощутимыми. У истребителей в полете вышли из строя топливная и навигационная системы, а также частично связь.

Лишь одному пилоту удалось связаться с экспертами разработчика (компании Lockheed Martin). Несколько пилотов попытались перезагрузить ПО истребителя в полете.

«Победить» ошибку не удалось, однако сами истребители и их пилоты уцелели, что в подобной ситуации следует считать несомненной удачей. Возвращение на Гавайские острова потребовало дополнительной дозаправки в воздухе.

Впоследствии «навигационную аномалию» удалось исправить, и F-22 всё-таки прибыли на авиабазу назначения.

=Об ошибках деления на ноль=
Фирма Motorola испытывала новый процессор для автопилота на истребителе в Израиле. Всё было отлажено. Пилоты на испытаниях отправились «огибать рельеф» с севера до юга Израиля. Истребитель прекрасно пролетел на автопилоте над равнинной частью, над горной частью, над долиной реки Иордан и приближался к Мёртвому морю. Однако при подлете к нему неожиданно происходит общий сброс процессора, автопилот выключается на полном ходу, пилоты переходят на ручное управление и сажают истребитель.

Процессор отправили на доработку и тестирование. Все тесты прошли снова без сбоев. Снова начали реальную проверку. Истребитель пролетел над всеми территориями, но при подлете к Мёртвому морю ситуация повторилась: общий сброс, выключение автопилота, ручная посадка.

Длительные тесты не могли выявить никаких изъянов. После продолжительных попыток было найдено, что программы автопилота при вычислении параметров управления по глубоко научным секретным формулам производили деление на значение текущей высоты истребителя над уровнем океана. При подлете к Мёртвому морю высота над уровнем океана становилась нулевой (Мёртвое море расположено ниже уровня океана), и процессор при делении на ноль давал общий сброс. До этого случая никому не приходило в голову, что самолеты могут летать ниже уровня океана…

=Системы распознавания, как это было в 70-х=

Где-то в конце 70-х годов происходили испытания американской зенитной самоходной установки (ЗСУ) «Сержант Йорк», предназначенной для поражения вертолетов. ЗСУ была оснащена системой распознавания образов. Во время испытаний около нее безуспешно кружил вертолет-мишень, которую она так и не смогла распознать. Зато приняла за вертолет вентилятор в туалете, расположенном метрах в 800-х от ЗСУ. И успешно его поразила.

=F-16 вверх ногами=

Испытания американского истребителя F-16 проводились, понятное дело, в северном полушарии. На заключительном этапе самолет решили проверить где-то в Латинской Америке – с другой стороны экватора. При переводе самолета в режим автопилота он автоматически развернулся «вверх ногами».

=Драматическая переинициализация=

В Афганистане двое наводчиков-наблюдателей (канадцы) подсвечивали цель для наведения на нее бомбы. После сброса бомбы в GPS-приемнике закончились батарейки. Их быстро заменили. В результате ракета прилетела не туда. Причина была в том, что после подачи питания в прибор, переменные, отвечающие за координаты цели, автоматически инициализировались (присвоили значения) координатами текущего местоположения. Наводчики погибли от близкого разрыва.

=Летчик Ильюшин=

На испытаниях Су-24 регулярно случался отказ аппаратуры бомбометания. Причем происходило это только в том случае, если на цель заходил летчик-испытатель Ильюшин. Причина оказалась в том, что только он заходил на цель с точностью, превышавшей машинную точность. Получался «машинный ноль», после чего шел сбой из-за попытки деления на ноль.

=Недотестировали=
Этот пример хоть и не относится напрямую к разработке ПО, но демонстирует важность тестирования. Возникла эта проблема на межконтинентальной баллистической ракете шахтного базирования 15А30, причем уже после постановки ее на боевое дежурство. При пуске ракета выходила из шахты и взрывалась на высоте нескольких метров над землей. Причина оказалась в следующем. Рубашка сопла охлаждается окислителем, после чего он поступает в камеру сгорания. В спешке принятия нового комплекса на вооружение к очередной годовщине, в систему пуска двигателя внесли небольшие улучшения, которые не протестировали должным образом. В результате пироклапан срабатывал с большим запаздыванием. Окислитель не поступал в трубки охлаждения, а жаропрочности сопла хватало только на то, чтобы ракета вышла из шахты.

=Правильно выбирайте типы данных=

Причиной взрыва 4 июня 1996 года европейской ракеты-носителя Ариан-5 была программная ошибка. В системе управления ракеты использовалось модифицированное программное обеспечение ранее успешно работавшее на Ариан-4, но Ариан-5 ускорялась быстрее предыдущей модификации. В результате, когда на 40-й секунде полета одна из вспомогательных подпрограмм попыталась преобразовать длинное целое значение в короткое без проверки величины значения, то вышло за границы типа, произошло отключение системы управления ракеты, и она была взорвана по команде на самоликвидацию. Вместе с ракетой-носителем был потерян коммуникационный спутник. Ущерб от этого программного сбоя был оценен в полмиллиарда долларов.

=И снова деление на ноль=

История о неприятностях ракетного крейсера ВМС США «Иорктаун». Это экспериментальный, так называемый «умный корабль» (smart ship), важнейшие системы жизнеобеспечения которого управляются компьютерами без участия человека. И что немаловажно – под руководством операционной системы Windows NT 4.0. Так вот, однажды вся эта махина, находясь в открытом море, почти на три часа встала в полный ступор из-за наглухо зависшего программного обеспечения. Произошло это из-за совершенно пустяковой оплошности одного из операторов, занимавшегося калибровкой клапанов топливной системы и записавшего в одну из ячеек расчетной таблицы нулевое значение. Ну а далее пошла операция деления на пресловутый ноль. С подобной операцией справляется даже самый дешевый калькулятор, однако здесь в терминале оператора система дала ошибку переполнения памяти. Ошибка быстро перекинулась на другие компьютеры локальной сети корабля, началась цепная реакция, и по известному принципу домино рухнула вся бортовая система, которую удалось восстановить и перезагрузить лишь через 2 часа 45 минут, в течение которых огромный боевой корабль оставался по сути дела беспомощен и неуправляем.

Файл:55d4b3ea.jpg

2018-05-29T06:38:51Z

Hunter po:

Заглавная страница

2018-03-05T18:57:48Z

Hunter po:

== Публикации ==

*[[Информационная безопасность для CIO]] - (25.06.2012, правки 04.12.2012) - on-line книга «Учебник 4CIO. Версия 2.0»;
*[[Информационная безопасность ключевых систем информационной инфраструктуры (ИБ КСИИ)]] - журнал Connect №9, 2013.
*[[Кибербезопасность]] - ...

==Нормативные акты==
*[[Об информации, информационных технологиях и о защите информации|Об информации, информационных технологиях и о защите информации]] - Федерального закона от 27 июля 2006 г. № 149-ФЗ.
*[[Требования по защите АСУ ТП|План-проспект проекта Требований к защите информации в автоматизированных системах управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды]] - План-проспект ФСТЭК России.
*[[Требования по защите ГИС|Требования по защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах]] - Приказ ФСТЭК России 11 февраля 2013 г. N 17.
*[[Требования по защите ПДн|Состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных]] - Приказ ФСТЭК России 18.02.2013 г. N 21.
*[[Методы защиты информации в государственных информационных системах|Методы защиты информации в государственных информационных системах]] - Методический документ ФСТЭК России 2013 г. Проект. Версия 1.3
*[[Методика определения угроз безопасности информации в информационных системах]] - Методический документ ФСТЭК России 2015 г. Проект.

==Философия==
*[[Дао программирования]];
*[[Дао информационной безопасности]];
*[[Просто Дао]];
*[[Дао "Путь Торговли"]];
*[[Искусство войны]].

==Проекты==
*[[Агрогенез]] - мониторинг и управление микроклиматом;

Агрогенез

2018-03-05T18:50:43Z

Hunter po: Новая страница: «=Агрогенез= Агрочего? *агро — происходит от др.-греч. ἀγρός «поле, пашня; деревня», далее…»

=Агрогенез=
Агрочего?

*агро — происходит от др.-греч. ἀγρός «поле, пашня; деревня», далее из праиндоевр. *aǵro- «поле» (ср.: готск. akrs «поле», нем. Acker «пашня», англ. acre «акр», лат. ager «поле», др.-греч. ἀγρός «поле», армянск. արտ (art) «пашня», санскр. अज्रः (ájraḥ) «поле»).
*ге́незис (греч. Γένεσις, Γένεση) — происхождение, возникновение, рождение, зарождение. Происходит от названия ветхозаветной Книги Бытия (лат. Genesis).

А что, хорошее название и искать удобно.

Проект "Агрогенез" посвящен автоматизации технологических процессов и производств в агропромышленном комплексе и сельском хозяйстве.
=Информационная безопасность устройства управления=

Сейчас вы можете:

История проекта
Давайте сначала познакомимся, если мы не знакомы – меня зовут Кондратенко Андрей Александрович, я родился в 79 году прошлого века в Москве, но теперь живу в Чистополе (Республика Татарстан), у меня красавица, она же умница жена, у нас с ней на двоих: четверо детей, опыт работы в информационных технологиях с прошлого века, собака и кот.

Говорят, что у меня внешность серийного убийцы и добрые глаза, впрочем, смотрите сами:

Мы всей семьей любим есть овощи и фрукты, которые в нормальном виде все реже и все дороже появляются на наших прилавках. А поскольку нас это совершенно не устраивает, мы решили понять, как мы можем в сфере информационных технологий помочь индивидуальным предпринимателям выращивать тепличные овощи и фрукты в России.

Как раз такого предпринимателя мы нашли в 60 километрах от нас, в селе Мокрые Курнали.

Молодой фермер идет по стопам отца. Третий сезон подряд он выращивает в парнике огурцы начиная с февраля по май и кормит ими местное население.

Фермера зовут Ильдар, кстати вот он (справа от меня):

Фермер экономит каждую копейку. Никакой автоматизации — все делают местные сезонные рабочие: обогрев теплицы осуществляется путем подкидывания дров в печку, проветривание теплицы осуществляется путем проветривания окон, а ну еще есть капельный полив.

Вот его теплица зимой:

Фермер рассказал нам, что необходимо постоянно следить за микроклиматом теплицы:

если температура в теплице опустится ниже 15 градусов, то рассада погибнет от холода;
если температура поднимется выше 40 градусов, то рассада перестанет развиваться от жары.
За режимом температуры в теплице следят местные рабочие по сменам, но кто бы был уверен, что они делают все как нужно?

Мы предложили фермеру провести эксперимент, в ходе которого он будет получать информацию о микроклимате в теплице. И он с удовольствием согласился.

На дворе стоял декабрь, до начала посева оставались считанные месяцы.

Эксперимент
Подготовка
Эксперимент начался загодя. Это был не первый объект, который мы подключали к нашей системе, до этого были сауна и котельная, но это совсем другая история.

Нам уже хотелось сделать более-менее современный интерфейс для системы, что бы в него могли смотреть не только «компьютерные гики», но и нам самим он доставлял удовольствие.

Для того чтобы уже отвлечься от основной работы и сделать наброски интерфейса мы совместили приятное с полезным, организовав уютный хакатон «4istohack Winter Edition 2016».

Результатом стал несколько видоизмененный интерфейс:

После хакатона мы еще собрали прототип системы сбора информации в корпусе IP 54 и были готовы к установке.

Установка
Установка прошла гладко. Монтажник протянул провода по всей теплице. Я провел подключение.

Датчики температуры мы запрятали так, чтобы они не охлаждались от металлических труб и не нагревались на солнце.

Ну как без факапа?..

На стенде мы конечно все протестировали, только не учли, что систем сбора информации с восемью датчиками может не выдержать по питанию из-за очень длинных проводов. Мы конечно все исправили и переделанная система стала работать с десятью датчиками, но эксплуатация началась с двумя датчиками. Их тоже вполне хватило для наблюдения за поведением системы.

Эксплуатация
А вот эксплуатация сюрпризов не принесла (ну если не учитывать того, что один датчик отваливался при температуре менее +10 градусов, но теперь-то мы знаем, как делать так чтобы датчики больше не отваливались).

После 4 марта начали сажать рассаду и следить за температурой. Насколько это удавалось рабочему персоналу – судите сами:

Система в штатном режиме сообщала на электронную почту, когда температура становилась выше или ниже контролируемых пределов, а еще система сообщала, когда по какой-то причине происходило отключение системы сбора информации от системы мониторинга. А такие случаи тоже были, например, хозяин переносил розетки, потом менял проводку, потом что-то еще.

Поскольку фермер частенько был в разъездах, а заваливать его спамом мы не хотели, мониторинг температуры в теплице мы взяли на себя. Отсюда же родилась идея брать мониторинг на аутсорсинг — это сэкономит владельцу время и расходы на персонал.

Вот так выглядит урожай по состоянию на конец апреля 2016 года:

А вот картинка из системы:

=Информационная безопасность сайта=
==Авторизация==

А что дальше?
А дальше, на базе того, что у нас получилось, мы разрабатываем проект«Агрогенез» (а что, хорошее название и искать удобно)!

агро— — происходит от др.-греч. ἀγρός «поле, пашня; деревня», далее из праиндоевр. *aǵro- «поле» (ср.: готск. akrs «поле», нем. Acker «пашня», англ. acre «акр», лат. ager «поле», др.-греч. ἀγρός «поле», армянск. արտ (art) «пашня», санскр. अज्रः (ájraḥ) «поле») .
ге́незис (греч. Γένεσις, Γένεση) — происхождение, возникновение, рождение, зарождение. Происходит от названия ветхозаветной Книги Бытия (лат. Genesis).
На первом этапе проекта «Агрогенез» мы создаем устройство, которое собирает информацию о микроклимате в парнике или теплице.

Раз в минуту оно передает данные из любой точки России без проводов по 3G. Вся полученная информация обрабатываться централизованно, остается только зайти на сайте и узнать, как там дела у вашего урожая.

Устройство будет поставляться в комплекте с датчиками по принципу «подключи и заработает» — после распаковки устройства и включения его в сеть, вы сразу начнете получать информацию от подключенных датчиков.

Информацию можно посмотреть через компьютер, планшет, смартфон. А если что-то пошло не так — вы получите сообщение на телефон.
==Аутентификация==
Уже созданы прототипы таких устройств и собраны в комплекты:

комплект №1 «Начинающий фермер» — предназначен для дистанционного сбора информации с теплицы площадью до 20 кв.м. (включает датчики температуры, влажности, контроллер и передатчик 3G) ;
комплект №2 «Опытный фермер» — предназначен для дистанционного сбора информации с теплицы площадью до 60 кв.м. (включает датчики температуры, влажности, газа, движения, света, контроллер и передатчик 3G);
комплект №3 «Бывалый фермер» — предназначен для дистанционного сбора информации с теплицы площадью до 100 кв.м. (включает датчики температуры, влажности, газа, движения, света, контроллер и передатчик 3G).

==Идентификация==
Примерное описание и состав комплектов вы можете посмотреть на сайте:

Кстати, устройство можно использовать также в бане, на даче, и в загородном доме.

Для того, чтобы прототип системы заработал так, как нужно, нам еще кое-что нужно доделать.

На 1 этапе проекта на портале будут реализованы модули «Мониторинг» и «Контроль», которые позволят получать и хранить информацию от устройств и оповещать их владельцев о нарушении микроклимата.

После реализации 1 этапе проекта мы двинемся дальше и будем делать «Прогнозирование» и «Управление», но это уже будет уже другая история.

'''Подготовлено''' 06.03.2018 по материалам раздела сайта https://agrogenez.ru [https://agrogenez.ru/shop/opytnyj-fermer/ Опытный фермер].

'''Статья находится в режиме редактирования!'''

Искусство войны

2015-10-05T08:36:16Z

Hunter po: /* Предварительные расчеты */

Краткое описание глав книги:
*Предварительные расчеты состоят из пяти основных факторов (путь, время года, местность, руководство и управление) и семи элементов, определяющих результаты боевых действий. Все это сопоставляя и оценивая, даёт больше шансов на победу. В тексте подчеркивается, что война является очень серьезным вопросом для государства и не должна быть начата без должного рассмотрения.
*Ведение войны должно быть быстрым. Не бывало ещё, чтобы длительная война была выгодна государству.
*Стратегическое нападение — рассматриваются общие принципы ведения наступления, отмечается, что лучше покорить войско противника, не сражаясь, сохранив, а не потеряв его. Прежде всего надо думать о том, чтобы разбить замыслы противника, оставить его без союзников, и только далее по значимости задача разбить его войска. Хуже — это длительная осада или штурм крепостей. Первое ведет к значительному затягиванию войны, а второе — к большим потерям при негарантированном успехе. В этом же разделе рассматривается стратегия при благоприятном и неблагоприятном соотношении сил, подчеркивается значение знание своих сил и сил противника и объясняется важность полководца, на которого правитель должен опираться, и каким не должен командовать, не зная законов ведения войны.
*Боевая форма объясняется важностью защиты существующих положений, пока командующий не способен к продвижению от этих положений в безопасное место. Это дает командующим важность занятия стратегических возможностей, чтобы не создать возможности для врага.
*Мощь — это умение применять тактику, сообразуясь с выгодой.
*Полнота и пустота — учение о полноте и пустоте, то есть о сильных и слабых сторонах своих и противника, — основа всей тактики.
*Борьба на войне — борьба, в которой оружием являются стратегическое и тактическое искусство, искусство организации и управления, знание психологических факторов войны и умение ими пользоваться, качество полководца. Борьба имеет свою цель. Цель эта — успех, победа.
*Девять изменений — описываются различные ситуации, в которых армия оказывается, когда она перемещается через новые вражеские территории, и как ей быть в этой ситуации.
*Поход — правила расположения войск в различной боевой обстановке и приемы наблюдения за противником.
*Формы местности — десятая глава посвящена местности, выяснению влияния, которое может оказывать местность на стратегию и тактику военных операций.
*Девять местностей — девять общих ситуаций. В этой главе описываются условия ведения войны на собственной территории.
*Огневое нападение — двенадцатая глава посвящена «огневому нападению», то есть действиям огневыми средствами в широком смысле этого выражения.
*Использование шпионов — способы разведки. «На войне обязательно пользуются шпионами и через них узнают положение противника».

=Предварительные расчеты=

1. Сунь-цзы сказал: война — это великое дело для государства, это почва жизни и смерти, это путь существования и гибели. Это нужно понять.

2. Поэтому в ее основу кладут{1} пять явлений [ее взвешивают семью расчетами и этим определяют положение]{III}.

3. Первое — Путь, второе — Небо, третье — Земля, четвертое — Полководец, пятое — Закон.

Путь — это когда достигают того, что мысли народа одинаковы с мыслями правителя{2}, когда народ готов вместе с ним умереть, готов вместе с ним жить, когда он не знает ни страха, ни сомнений{3}.

Небо — это свет и мрак, холод и жар, это порядок времени{4}.

Земля — это далекое и близкое, неровное и ровное, широкое и узкое, смерть и жизнь{5}. Полководец — это ум, беспристрастность, гуманность, мужество, строгость. Закон — это воинский строй, командование и снабжение{6}. Нет полководца, который не слыхал бы об этих пяти явлениях, но побеждает тот, кто усвоил их; тот же, кто их не усвоил, не побеждает.

4. Поэтому войну взвешивают семью расчетами и таким путем определяют положение.

Кто из государей обладает Путем? У кого из полководцев есть таланты? Кто использовал Небо и Землю? У кого выполняются правила и приказы? У кого войско сильнее? У кого офицеры и солдаты лучше обучены{7}? У кого правильно награждают и наказывают?

По этому всему я узнаю, кто одержит победу и кто потерпит поражение.

5. Если полководец станет применять мои расчеты, усвоив он непременно одержит победу; я остаюсь у него. Если полководец станет применять мои расчеты, не усвоив их, он непременно потерпит поражение; я ухожу от него{8}. Если он усвоит их с учетом выгоды, они составят мощь, которая поможет и за пределами их.

6. Мощь — это умение применять тактику{9}, сообразуясь с выгодой.

7. Война — это путь обмана{10}. Поэтому, если ты и можешь что-нибудь, показывай противнику, будто не можешь; если ты и пользуешься чем-нибудь, показывай ему, будто ты этим не пользуешься; хотя бы ты и был близко, показывай, будто ты далеко; хотя бы ты и был далеко, показывай, будто ты близко; заманивай его выгодой; приведи его в расстройство и бери его; если у него все полно, будь наготове; если он силен, уклоняйся от него; вызвав в нем гнев, приведи его в состояние расстройства; приняв смиренный вид, вызови в нем самомнение; если его силы свежи, утоми его; если у него дружны, разъедини; нападай на него, когда он не готов; выступай, когда он не ожидает.

8. Все это обеспечивает вождю победу; однако наперед преподать ничего нельзя.

9. Кто — еще до сражения — побеждает предварительным расчетом{11}, у того шансов много; кто — еще до сражения — не побеждает расчетом, у того шансов мало. У кого шансов много — побеждает; у кого шансов мало — не побеждает; тем более же тот, у кого шансов нет вовсе. Поэтому для меня — при виде этого одного — уже ясны победа и поражение.

=Ведение войны=

1. Сунь-цзы сказал: правило ведения войны таково:

2. Если у тебя тысяча легких колесниц и тысяча тяжелых{1}, сто тысяч солдат, если провиант надо отправлять за тысячу миль{2}, то расходы внутренние и внешние, издержки на прием гостей, материал для лака и клея, снаряжение колесниц и вооружения — все это составит тысячу золотых в день. Только в таком случае можно поднять стотысячное войско.

3. Если ведут войну, и победа затягивается, — оружие притупляется и острия обламываются; если долго осаждают крепость, — силы подрываются; если войско надолго оставляют в поле, — средств у государства не хватает.

4. Когда же оружие притупится и острия обломаются, силы подорвутся и средства иссякнут, князья{I}, воспользовавшись твоей слабостью, поднимутся на тебя. Пусть тогда у тебя и будут умные слуги, после этого ничего поделать не сможешь.

5. Поэтому на войне слышали об успехе при быстроте ее, даже при неискусности ее ведения, и не видели еще успеха при продолжительности ее, даже при искусности ее ведения.

6. Никогда еще не бывало, чтобы война продолжалась долго и это было бы выгодно государству. Поэтому тот, кто не понимает до конца всего вреда от войны, не может понять до конца и всю выгоду от войны.

7. Тот, кто умеет вести войну, два раза набора не производит, три раза провианта не грузит; снаряжение берет из своего государства, провиант же берет у противника. Поэтому у него и хватает пищи для солдат.

8. Во время войны государство беднеет оттого, что возят далеко провиант. Когда провиант нужно возить далеко, народ беднеет.

9. Те, кто находятся поблизости от армии, продают дорого; а когда они продают дорого, средства у народа истощаются; когда же средства истощаются, выполнять повинности трудно.

10. Силы подрываются, средства иссякают, у себя в стране — в домах пусто{3}; имущество народа уменьшается на семь десятых; имущество правителя — боевые колесницы поломаны, кони изнурены; шлемы, панцири, луки и стрелы, рогатины и малые щиты, пики и большие щиты, волы и повозки — все это уменьшается на шесть десятых{4}.

11. Поэтому умный полководец старается кормиться за счет противника. При этом один фунт пищи противника соответствует двадцати фунтам своей; один пуд отрубей и соломы противника соответствует двадцати пудам своей{5}.

12. Убивает противника ярость, захватывает его богатства жадность.

13. Если при сражении на колесницах захватят десять и более колесниц, раздай их в награду тем, кто первый их захватил, и перемени на них знамена. Перемешай эти колесницы со своими и поезжай на них. С солдатами же обращайся хорошо и заботься о них. Это и называется: победить противника н увеличить свою силу{6}.

14. Война любит победу и не любит продолжительности.

15. Поэтому полководец, понимающий войну, есть властитель судеб народа, есть хозяин безопасности государства.

=Стратегическое нападение=

1. Сунь-цзы сказал: по правилам ведения войны наилучшее — сохранить государство противника в целости, на втором месте — сокрушить это государство. Наилучшее — сохранить армию противника в целости, на втором месте — разбить ее. Наилучшее — сохранить бригаду противника в целости, на втором месте — разбить ее.

Наилучшее — сохранить батальон противника в целости, на втором месте — разбить его. Наилучшее — сохранить роту противника в целости, на втором месте — разбить ее. Наилучшее — сохранить взвод противника в целости, на втором месте — разбить его{1}. Поэтому сто раз сразиться и сто раз победить — это не лучшее из лучшего; лучшее из лучшего — покорить чужую армию, не сражаясь.

2. Поэтому самая лучшая война — разбить замыслы противника; на следующем месте — разбить его союзы; на следующем месте — разбить его войска. Самое худшее — осаждать крепости. По правилам осады крепостей такая осада должна производиться лишь тогда, когда это неизбежно. Подготовка больших щитов, осадных колесниц, возведение насыпей, заготовка снаряжения требует три месяца; однако полководец, не будучи в состоянии преодолеть свое нетерпение, посылает своих солдат на приступ, словно муравьев; при этом одна треть офицеров и солдат{2} оказывается убитыми, а крепость остается не взятой. Таковы гибельные последствия осады.

3. Поэтому тот, кто умеет вести войну, покоряет чужую армию, не сражаясь; берет чужие крепости, не осаждая; сокрушает чужое государство, не держа свое войско долго. Он обязательно сохраняет все в целости и этим оспаривает власть в Поднебесной. Поэтому и можно не притупляя оружие иметь выгоду: это и есть правило стратегического нападения{3}.

4. Правило ведения войны гласит: если у тебя сил в десять раз больше, чем у противника, окружи его со всех сторон; если у тебя сил в пять раз больше, нападай на него; если у тебя сил вдвое больше, раздели его на части; если же силы равны, сумей с ним сразиться; если сил меньше, сумей оборониться от него; если у тебя вообще что-либо хуже, сумей уклониться от него. Поэтому упорствующие с малыми силами делаются пленниками сильного противника.

5. Полководец для государства все равно, что крепление{4} у повозки: если это крепление пригнано плотно, государство непременно бывает сильным; если крепление разошлось, государство непременно бывает слабым.

6. Поэтому армия страдает от своего государя в трех случаях{5}:

Когда он, не знал, что армия не должна выступать, приказывает ей выступить; когда он, не зная, что армия не должна отступать, приказывает ей отступить; это означает, что он связывает армию.

Когда он, не зная, что такое армия, распространяет на управление ею те же самые начала, которыми управляется государство; тогда командиры в армии приходят в растерянность{6}.

Когда он, не зная, что такое тактика армии, руководствуется при назначении полководца теми же началами, что и в государстве; тогда командиры в армии приходят в смятение{7}.

7. Когда же армия приходит в растерянность и смятение, настигает беда от князей. Это и означает: расстроить свою армию и отдать победу противнику.

8. Поэтому знают, что победят в пяти случаях: побеждают, если знают, когда можно сражаться и когда нельзя; побеждают, когда умеют пользоваться и большими и малыми силами; побеждают там, где высшие и низшие имеют одни н те же желания; побеждают тогда, когда сами осторожны и выжидают неосторожности противника; побеждают те, у кого полководец талантлив, а государь не руководит им. Эти пять положений и есть путь знания победы.

9. Поэтому и говорится: если знаешь его и знаешь себя, сражайся хоть сто раз, опасности не будет; если знаешь себя, а его не знаешь, один раз победишь, другой раз потерпишь поражение; если не знаешь ни себя, ни его, каждый раз, когда будешь сражаться, будешь терпеть поражение.

=Форма=

1. Сунь-цзы сказал: в древности тот, кто хорошо сражался, прежде всего делал себя непобедимым и в таком состоянии выжидал, когда можно будет победить противника.

Непобедимость заключена в себе самом, возможность победы заключена в противнике.

Поэтому тот, кто хорошо сражается, может сделать себя непобедимым, но не может заставить противника обязательно дать себя победить.

Поэтому и сказано: "Победу знать можно, сделать же ее нельзя".

2. Непобедимость есть оборона; возможность победить есть наступление.

Когда обороняются, значит есть в чем-то недостаток; когда нападают, значит есть все в избытке.

Тот, кто хорошо обороняется, прячется в глубины преисподней; тот, кто хорошо нападает, действует с высоты небес{1}.

Поэтому умеют себя сохранить и в то же время одерживают полную победу.

3. Тот, кто видит победу не более чем прочие люди, не лучший из лучших. Когда кто-либо, сражаясь, одержит победу и в Поднебесной скажут: "хорошо", это не будет лучший из лучших.

4. Когда поднимают легкое перышко{2}, это не считается большой силой; когда видят солнце н луну, это не считается острым зрением; когда слышат раскаты грома, это не считается тонким слухом.

Про кого в древности говорили, что он хорошо сражается, тот побеждал, когда было легко победить. Поэтому, когда хорошо сражавшийся побеждал, у него не оказывалось ни славы ума, ни подвигов мужества.

5. Поэтому, когда он сражался и побеждал, это не расходилось с его расчетами. Не расходилось с его расчетами — это значит, что все предпринятое им обязательно давало победу; он побеждал уже побежденного.

6. Поэтому. тот, кто хорошо сражается, стоит на почве невозможности своего поражения и не упускает возможности поражения противника. По этой причине войско, долженствующее победить, сначала побеждает, а потом ищет сражения; войско, осужденное на поражение, сначала сражается, а потом ищет победы.

7. Тот, кто хорошо ведет войну, осуществляет Путь и соблюдает Закон. Поэтому он и может управлять победой и поражением.

8. Согласно "Законам войны", первое — длина, второе — объем, третье — число, четвертое — вес, пятое — победа. Местность рождает длину, длина рождает объем, объем рождает число, число рождает вес, вес рождает победу.

9. Поэтому войско, долженствующее победить, как бы исчисляет копейки рублями, а войско, обреченное на поражение, как бы исчисляет рубли копейками{3}.

10. Когда побеждающий сражается, это подобно скопившейся воде, с высоты тысячи саженей низвергающейся в долину. Это и есть форма{4}.

=Мощь=

1. Сунь-цзы сказал: управлять массами все равно, что управлять немногими: дело в частях и в числе{1}.

2. Вести в бой массы все равно, что вести в бой немногих: дело в форме и названии{2}.

3. То, что делает армию при встрече с противником непобедимой, это правильный бой и маневр.

4. Удар войска подобен тому, как если бы ударили камнем по яйцу: это есть полнота и пустота.

5. Вообще в бою схватываются с противником правильным боем, побеждают же маневром. Поэтому тот, кто хорошо пускает в ход маневр, безграничен подобно небу н земле, неисчерпаем подобно Хуан-хэ и Янцзы-цзяну.

6. Кончаются и снова начинаются — таковы солнце и луна; умирают и снова нарождаются — таковы времена года. Тонов не более пяти, но изменений этих пяти тонов всех и слышать невозможно; цветов не более пяти, но изменений этих пяти цветов всех и видеть невозможно; вкусов не более пяти, но изменений этих пяти вкусов всех и ощутить невозможно. Действий в сражении всего только два — правильный бой и маневр, но изменений в правильном бое к маневре всех и исчислить невоможно. Правильный бой и маневр взаимно порождают друг друга и это подобно круговращению, у которого нет конца. Кто может их исчерпать?

7. То, что позволяет быстроте бурного потока нести на себе камни, есть ее мощь. То, что позволяет быстроте хищной птицы поразить свою жертву, есть рассчитанность удара. Поэтому у того, кто хорошо сражается, мощь — стремительна{3}, рассчитанность коротка.
Мощь — это как бы натягивание лука, рассчитанность удара — это как бы спуск стрелы.

8. Пусть все смешается и перемешается, и идет беспорядочная схватка, все равно прийти в расстройство не могут; пусть все клокочет и бурлит, и форма смята{4}, все равно потерпеть поражение не могут.

9. Беспорядок рождается из порядка, трусость рождается из храбрости, слабость рождается из силы. Порядок и беспорядок — это число; храбрость и трусость — это мощь; сила и слабость — это форма.

10. Поэтому, когда тот, кто умеет заставить противника двигаться, показывает ему форму, противник обязательно идет за ним; когда противнику что-либо дают, он обязательно берет; выгодой заставляют его двигаться, а встречают его неожиданностью.

11. Поэтому тот, кто хорошо сражается, ищет все в мощи, а не требует всего от людей. Поэтому он умеет выбирать людей и ставить их соответственно их мощи.

12. Тот, кто ставит людей соответственно их мощи, заставляет их идти в бой так же, как катят деревья и камни. Природа деревьев и камней такова, что когда место ровное, они лежат спокойно; когда оно покатое, они приходят в движение; когда они четырехугольны, они лежат на месте; когда они круглы, они катятся.

13. Поэтому мощь того, кто умеет заставить других идти в бой, есть мощь человека, скатывающего круглый камень с горы в тысячу саженей.

=Полнота и пустота=

1. Сунь-цзы сказал: кто является на поле сражения первым и ждет противника, тот исполнен сил; кто потом является на поле сражения с запозданием и бросается в бой, тот уже утомлен. Поэтому тот, кто хорошо сражается, управляет противником н не дает ему управлять собой.

2. Уметь заставить противника самого прийти — это значит заманить его выгодой; уметь не дать противнику пройти — это значит сдержать его вредом. Поэтому можно утомить противника даже исполненного сил; можно заставить голодать даже сытого; можно сдвинуть с места даже прочно засевшего.

3. Выступив туда, куда он непременно направится, самому направиться туда, где он не ожидает. Тот, кто проходит тысячу миль и при этом не утомляется, проходит местами, где нет людей.

4. Напасть и при этом наверняка взять — это значит напасть на место, где он не обороняется; оборонять и при этом наверняка удержать — это значит оборонять место, на которое он не может напасть. Поэтому у того, кто умеет нападать, противник не знает, где ему обороняться; у того, кто умеет обороняться, противник не знает, где ему нападать. Тончайшее искусство! Тончайшее искусство! — нет даже формы, чтобы его изобразить. Божественное искусство! Божественное искусство! — нет даже слов, чтобы его выразить. Поэтому он и может стать властителем судеб противника.

5. Когда идут вперед, и противник не в силах воспрепятствовать — это значит, что ударяют в его пустоту; когда отступают и противник не в силах преследовать — это значит, что быстрота такова, что он не может настигнуть{1}.

6. Поэтому, если я хочу дать бой, пусть противник и понастроит высокие редуты, нароет глубокие рвы, все равно он не сможет не вступить со мною в бой. Это потому, что я нападаю на место, которое он непременно должен спасать. Если я не хочу вступать в бой, пусть я только займу место и стану его оборонять, все равно противник не сможет вступить со мной в бой. Это потому, что я отвращаю его от того пути, куда он идет.

7. Поэтому, если я покажу противнику какую-либо форму, а сам этой формы не буду иметь, я сохраню цельность, а противник разделится на части. Сохраняя цельность, я буду составлять единицу; разделившись на части, противник будет составлять десять. Тогда я своими десятью нападу на его единицу. Нас тогда будет много, а противника мало. У того, кто умеет массой ударить на немногих, таких, кто с ним сражается, мало, и их легко победить{2}.

8. Противник не знает, где он будет сражаться. А раз он этого не знает, у него много мест, где он должен быть наготове. Если же таких мест, где он должен быть наготове, много, тех, кто со мной сражается, мало. Поэтому, если он будет наготове спереди, у него будет мало сил сзади; если он будет наготове сзади, у него будет мало сил спереди; если он будет наготове слева, у него будет мало сил справа; если он будет наготове справа, у него будет мало сил слева. Не может не быть мало сил у того, у кого нет места, где он не должен быть наготове. Мало сил у того, кто должен быть всюду наготове; много сил у того, кто вынуждает другого быть всюду наготове.

9. Поэтому, если знаешь место боя и день боя, можешь наступать и за тысячу миль. Если же не знаешь места боя, не знаешь и дня боя, не сможешь левой стороной защитить правую, не сможешь правой стороной защитить левую, не сможешь передней стороной защитить заднюю, не сможешь задней стороной защитить переднюю. Тем более это так при большом расстоянии — в несколько десятков миль, и при близком расстоянии — в несколько миль.

10. Если рассуждать так, как я, то пусть у юэсцев{3} войск и много, что это может им дать для победы{4}? Поэтому и сказано: "победу сделать можно". Пусть войск у противника и будет много, можно не дать ему возможности вступить в бой.

11. Поэтому, оценивая противника, узнают его план с его достоинствами и его ошибками{5}; воздействовав на противника, узнают законы, управляющие его движением и покоем; показывая ему ту или иную форму, узнают место его жизни и смерти{6}; столкнувшись с ним, узнают, где у него избыток и где недостаток.

12. Поэтому предел в придании своему войску формы — это достигнуть того, чтобы формы не было. Когда формы нет, даже глубоко проникший лазутчик не сможет что-либо подглядеть, даже мудрый не сможет о чем-либо судить. Пользуясь этой формой, он возлагает дело победы на массу, но масса этого знать не может. Все люди знают ту форму, посредством которой я победил, но не знают той формы, посредством которой я организовал победу. Поэтому победа в бою не повторяется в том же виде, она соответствует неисчерпаемости самой формы.

13. Форма у войска подобна воде: форма у воды — избегать высоты и стремиться вниз; форма у войска — избегать полноты и ударять по пустоте. Вода устанавливает свое течение в зависимости от места; войско устанавливает свою победу в зависимости от противника.

14. Поэтому у войска нет неизменной мощи, у воды нет неизменной формы. Кто умеет в зависимости от противника владеть изменениями и превращениями и одерживать победу, тот называется божеством.

15. Поэтому среди пяти элементов природы нет неизменно побеждающего; среди четырех времен года нет неизменно сохраняющего свое положение. У солнца есть краткость и продолжительность, у луны есть жизнь и смерть.

=Борьба на войне=

1. Сунь-цзы сказал: вот правило ведения войны: полководец, получив повеление от государя, формирует армию, собирает войска{1} и, войдя в соприкосновение с противником{2}, занимает позицию. Нет ничего труднее, чем борьба на войне.

2. Трудное в борьбе на войне — это превратить путь обходный в прямой, превратить бедствие в выгоду. Поэтому тот, кто, предпринимая движение по такому обходному пути, отвлекает противника выгодой и, выступив позже него, приходит раньше него, тот понимает тактику обходного движения.

3. Поэтому борьба на войне приводит к выгоде, борьба на войне приводит и к опасности. Если бороться за выгоду, подняв всю армию, цели не достигнуть; если бороться за выгоду, бросив армию, будет потерян обоз.

4. Поэтому, когда борются за выгоду за сто миль, мчась, сняв вооружение, не отдыхая ни днем, ни ночью, удваивая маршруты и соединяя переходы, тогда теряют пленными командующих всеми тремя армиями; выносливые идут вперед, слабые отстают, и из всего войска доходит одна десятая. Когда борются за выгоду за пятьдесят миль, попадает в тяжелое положение командующий передовой армией, и из всего войска доходит половина. Когда борются за выгоду за тридцать миль, доходят две трети.

5. Если у армии нет обоза, она гибнет; если нет провианта, она гибнет; если нет запасов{3}, она гибнет.

6. Поэтому кто не знает замыслов князей, тот не может наперед заключать с ними союз; кто не знает обстановки — гор, лесов, круч, обрывов, топей и болот, тот не может вести войско; кто не обращается к местным проводникам, тот не может воспользоваться выгодами местности.

7. Поэтому в войне устанавливаются на обмане, действуют, руководствуясь выгодой, производят изменения путем разделений и соединений.

8. Поэтому он стремителен, как ветер; он спокоен и медлителен, как лес; он вторгается и опустошает, как огонь; он неподвижен, как гора; он непроницаем, как мрак; его движение, как удар грома{4}.

9. При грабеже селений разделяют свое войско на части; при захвате земель занимают своими частями выгодные пункты{5}.

10. Двигаются, взвесив все на весах. Кто заранее знает тактику прямого и обходного пути, тот побеждает. Это и есть закон борьбы на войне.

11. В "Управлении армией" сказано: "Когда говорят, друг друга не слышат; поэтому и изготовляют гонги и барабаны. Когда смотрят, друг друга не видят; поэтому и изготовляют знамена и значки". Гонги, барабаны, знамена и значки соединяют воедино глаза и уши своих солдат. Если все сосредоточены на одном, храбрый не может один выступить вперед, трусливый не может один отойти назад. Это и есть закон руководства массой.

12. Поэтому в ночном бою применяют много огней и барабанов{6}, в дневном бою применяют много знамен и значков; этим вводят в заблуждение глаза и уши противника. Поэтому у армии можно отнять ее дух, у полководца можно отнять его сердце.

13. По этой причине по утрам духом бодры, днем вялы, вечером помышляют о возвращении домой. Поэтому тот, кто умеет вести войну, избегает противника, когда его дух бодр, и ударяет на него, когда его дух вял, или когда он помышляет о возвращении; это и есть управление духом.

14. Находясь в порядке, ждут беспорядка; находясь в спокойствии, ждут волнений; это и есть управление сердцем.

15. Находясь близко, ждут далеких; пребывая в полной силе, ждут утомленных; будучи сытыми, ждут голодных; это и есть управление силой.

16. Не идти против знамен противника, когда они в полном порядке; не нападать на стан противника, когда он неприступен; это и есть управление изменениями.

17. Поэтому, правила ведения войны таковы: если противник находится на высотах, не иди прямо на него{7}; если за ним возвышенность, не располагайся против него; если он притворно убегает, не преследуй его; если он полон сил, не нападай на него; если он подает тебе приманку, не иди на нее; если войско противника идет домой, не останавливай его; если окружаешь войско противника, оставь открытой одну сторону; если он находится в безвыходном положении, не нажимай на него; это и есть правила ведения войны.

=Девять изменений=

1. Сунь-цзы сказал: вот правила ведения войны: [полководец, получив повеление от своего государя, формирует армию и собирает войска]{I}.

2. В местности бездорожья лагерь не разбивай; в местности-перекрестке заключай союзы с соседними князьями; в местности голой и безводной не задерживайся; в местности окружения соображай; в местности смерти сражайся.

3. Бывают дороги, по которым не идут; бывают армии, на которые не нападают; бывают крепости, из-за которых не борются; бывают местности, из-за которых не сражаются; бывают повеления государя, которых не выполняют.

4. Поэтому полководец, постигший, что есть выгодного в "Девяти изменениях", знает, как вести войну. Полководец, не постигший, что есть выгодного в "Девяти изменениях", не может овладеть выгодами местности, даже зная форму местности. Когда при управлении войсками он не знает искусства "Девяти изменений", он не может владеть умением пользоваться людьми, даже зная "Пять выгод".

5. По этой причине обдуманность действий умного человека заключается в том, что он обязательно соединяет выгоду и вред{1}. Когда с выгодой соединяют вред, усилия могут привести к результату{2}; когда с вредом соединяют выгоду, бедствие может быть устранено. Поэтому князей подчиняют себе вредом, заставляют служить себе делом, заставляют устремляться куда-нибудь выгодой{3}.

6. Правило ведения войны заключается в том, чтобы не полагаться на то, что противник не придет, а полагаться на то, с чем я могу его встретить; не полагаться на то, что он не нападет, а полагаться на то, что я сделаю нападение на себя невозможным для него.

7. Поэтому у полководца есть пять опасностей: если он будет стремиться во что бы то ни стало умереть, он может быть убитым; если он будет стремиться во что бы то ни стало остаться в живых, он может попасть в плен; если он будет скор на гнев, его могут презирать; если он будет излишне щепетилен к себе, его могут оскорбить; если он будет любить людей, его могут обессилить{4}.

8. Эти пять опасностей — недостатки полководца, бедствие в ведении войны. Разбивают армию, убивают полководца непременно этими пятью опасностями. Надлежит понять это.

=Поход=

1. Сунь-цзы сказал: расположение войск и наблюдение за противником состоит в следующем.

2. При переходе через горы опирайся на долину; располагайся на высотах, смотря, где солнечная сторона{1}. При бое с противником, находящимся на возвышенности, не иди прямо вверх{2}. Таково расположение войска в горах.

3. При переходе через реку располагайся непременно подальше от реки{3}. Если противник станет переходить реку, не встречай его в воде. Вообще выгоднее дать ему переправиться наполовину и затем ударить на него; но если ты тоже хочешь вступить в бой с противником, не встречай его у самой реки; расположись на высоте, принимая в соображение, где солнечная сторона; против течения не становись. Таково расположение войск на реке.

4. Переходя через болото{4}, торопись скорее уйти, не задерживайся. Если все же тебе предстоит вступить в бой среди болот, располагайся так, чтобы у тебя была вода и трава, а в тылу у тебя пусть будет лес. Таково расположение войск в болотах.

5. В равнинной местности располагайся на ровных местах, но при этом пусть справа и позади тебя будут возвышенности; впереди у тебя пусть будет низкое место, сзади высокое{5}. Таково расположение войск в равнине.

6. Эти четыре способа выгодного расположения войск и обеспечили Хуан-ди победу над четырьмя императорами{6}.

7. Вообще, если войско будет любить высокие места и не любить низкие, будет чтить солнечный свет и отвращаться от тени; если оно будет заботиться о жизненном н располагаться на твердой почве{7}, тогда в войске не будет болезней. Это и значит непременно победить.

8. Если находишься среди холмов и возвышенностей, непременно располагайся на их солнечной стороне и имей их справа н позади себя. Это выгодно для войска; это — помощь от местности.

9. Если в верховьях реки прошли дожди и вода покрылась пеной, пусть тот, кто хочет переправиться, подождет, пока река успокоится.

10. Вообще, если в данной местности есть отвесные ущелья, природные колодцы, природные темницы, природные сети, природные капканы, природные трещины{8}, непременно поспеши уйти от них и не подходи к ним близко. Сам удались от них, а противника заставь приблизиться к ним. А когда встретишься с ним, сделай так, чтобы они были у него в тылу.

11. Если в районе движения армии окажутся овраги, топи, заросли, леса, чащи кустарника, непременно внимательно обследуй их. Это — места, где бывают засады и дозоры противника.

12. Если противник, находясь близко от меня, пребывает в спокойствии, это значит, что он опирается на естественную преграду. Если противник далеко от меня, но при этом вызывает меня на бой, это значит, что он хочет, чтобы я продвинулся вперед. Если противник расположился на ровном месте, значит, у него есть свои выгоды.

13. Если деревья задвигались, значит, он подходит. Если устроены заграждения из трав, значит, он старается ввести в заблуждение. Если птицы взлетают, значит, там спрятана засада. Если звери испугались, значит, там кто-то скрывается. Если пыль поднимается столбом, значит, идут колесницы; если она стелется низко на широком пространстве, значит, идет пехота; если она поднимается в разных местах, значит, собирают топливо. Если она поднимается то там, то сям, и притом в небольшом количестве, значит, устраивают лагерь.

14. Если речи противника смиренны, а боевые приготовления он усиливает, значит, он выступает. Если его речи горделивы н он сам спешит вперед значит, он отступает. Если легкие боевые колесницы выезжают вперед, а войско располагается по сторонам их, значит, противник строится в боевой порядок. Если он, не будучи ослаблен{9}, просит мира, значит, у него есть тайные замыслы. Если солдаты у него забегали и выстраивают колесницы, значит, пришло время. Если он то наступает, то отступает, значит, он заманивает. Если солдаты стоят, опираясь на оружие, значит, они голодны. Если они, черпая воду, сначала пьют, значит, они страдают от жажды. Если противник видит выгоду для себя, но не выступает, значит, он устал.

15. Если птицы собираются стаями, значит, там никого нет. Если у противника ночью перекликаются, значит, там боятся. Если войско дезорганизовано, значит, полководец не авторитетен. Если знамена переходят с места на место, значит, у него беспорядок. Если его командиры бранятся значит, солдаты устали. Если коней кормят пшеном, а сами едят мясо; если кувшины для вина не развешивают на деревьях и не идут обратно в лагерь, значит, они — доведенные до крайности разбойники{10}.

16. Если полководец разговаривает с солдатами ласково и учтиво, значит, он потерял свое войско. Если он без счету раздает награды, значит, войско в трудном положении. Если он бессчетно прибегает к наказанию, значит, войско в тяжелом положении. Если он сначала жесток а потом боится своего войска, это означает верх непонимания военного искусства.

17. Если противник является, предлагает заложников и просит прощения, значит, он хочет передышки. Если его войско, пылая гневом, выходит навстречу, но в течение долгого времени не вступает в бой и не отходит, непременно внимательно следи за ним.

18. Дело не в том, чтобы все более и более увеличивать число солдат. Нельзя идти вперед с одной только воинской силой. Достаточно иметь ее столько, сколько нужно для того, чтобы справиться с противником{11} путем сосредоточения своих сил и правильной оценки противника. Кто не будет рассуждать и будет относиться к противнику пренебрежительно, тот непременно станет его пленником.

19. Если солдаты еще не расположены к тебе, а ты станешь их наказывать, они не будут тебе подчиняться; а если они не станут подчиняться, ими трудно будет пользоваться. Если солдаты уже расположены к тебе, а наказания производиться не будут, ими совсем нельзя будет пользоваться.

20. Поэтому, приказывая им, действуй при помощи гражданского начала; заставляя, чтобы они повиновались тебе все, как один, действуй при помощи воинского начала.

21. Когда законы вообще исполняются, в этом случае, если преподаешь что-нибудь народу, народ тебе повинуется. Когда законы вообще не выполняются, в этом случае, если преподаешь что-либо народу, народ тебе не повинуется. Когда законы вообще принимаются с доверием и ясны, значит, ты и масса взаимно обрели друг друга.

=Формы местности=

1. Сунь-цзы сказал: местность по форме бывает открытая, бывает наклонная{1}, бывает пересеченная, бывает долинная, бывает гористая, бывает отдаленная.

2. Когда и я могу идти, и он может прийти, такая местность называется открытой. В открытой местности прежде всего расположись на возвышении, на ее солнечной стороне, и обеспечь себе пути подвоза провианта. Если при таких условиях поведешь бой, будешь иметь выгоду.

3. Когда идти легко, а возвращаться трудно, такая местность называется наклонной. В наклонной местности, если противник не готов к бою, выступив, победишь его; если же противник готов к бою, выступив, не победишь его. Обращаться же назад будет трудно: выгоды не будет.

4. Когда и мне выступать невыгодно и ему выступать невыгодно, такая местность называется пересеченной. В пересеченной местности не выступай, даже если бы противник и предоставил тебе выгоду. Отведи войска н уйди; заставь противника продвинуться сюда наполовину; и если тогда ударишь на него, это будет для тебя выгодно.

5. В долинной местности, если ты первым расположишься на ней, обязательно займи ее всю и так жди противника; если же он первым расположится на ней и займет ее, не следуй за ним. Следуй за ним, если он не займет ее всю.

6. В гористой местности, если ты первым расположился в ней, обязательно располагайся на высоте, на солнечной стороне ее, и так жди противника; если же противник первым расположится в ней, отведи войска и уйди оттуда; не следуй за ним.

7. В отдаленной местности, если силы равны, трудно вызывать противника на бой, а если и начнешь бой, выгоды не будет.
Эти шесть пунктов составляют учение о местности. Высшая обязанность полководца состоит в том, что ему это нужно понять.

8. Поэтому бывает, что войско поспешно отступает, что оно становится распущенным, что оно попадает в руки противника, что оно разваливается, что оно приходит в беспорядок, что оно обращается в бегство. Эти шесть бедствий — не от природы, а от ошибок полководца.

9. Когда при наличии одинаковых условий нападают с одним на десятерых это значит, что войско поспешно отступит. Когда солдаты сильны, а командиры слабы, это значит, что в войске распущенность. Когда командиры сильны, а солдаты слабы, это значит, что войско попадет в руки противника. Когда высшие командиры, в гневе на своего начальника не подчиняются ему и, встречаясь с противником, по злобе на своего начальника, самовольно завязывают бой, это объясняется тем, что полководец не знает их способностей. Это значит, что в войске развал. Когда полководец слаб и не строг, когда обучение солдат отличается неопределенностью, когда у командиров и солдат нет ничего постоянного, когда при построении в боевой порядок все идет вкривь и вкось, это значит, что в войске беспорядок. Когда полководец не умеет оценить противника, когда он, будучи слаб, нападает на сильного, когда у него в войске нет отборных частей, это значит, что войско обратится в бегство.
Эти шесть пунктов составляют учение о поражении противника. Высшая обязанность полководца состоит в том, что ему это нужно понять.

10. Условия местности — только помощь для войска. Наука верховного полководца{2} состоит в умении оценить противника, организовать победу, учесть характер местности и расстояние. Кто ведет бой, зная это, тот непременно побеждает; кто ведет бой, не знал этого, тот непременно терпит поражение.

11. Поэтому, если согласно науке о войне выходит, что непременно победишь, непременно сражайся хотя бы государь и говорил тебе: "не сражайся". Если согласно науке о войне выходит, что не победишь, не сражайся, хотя бы государь и говорил тебе: "непременно сражайся".

12. Поэтому такой полководец, который, выступая, не ищет славы, а, отступая, не уклоняется от наказания, который думает только о благе народа и о пользе государя, такой полководец — сокровище для государства.

13. Если будешь смотреть на солдат как на детей, сможешь отправиться с ними в самое глубокое ущелье; если будешь смотреть на солдат как на любимых сыновей, сможешь идти с ними хоть на смерть. Но если будешь добр к ним, но не сможешь ими распоряжаться; если будешь любить их, но не сумеешь им приказывать; если у них возникнут беспорядки, а ты не сумеешь установить порядок, это значит, что они у тебя — непослушные дети, и пользоваться ими будет невозможно.

14. Если будешь видеть, что с твоими солдатами напасть на противника можно, но не будешь видеть, что на противника нападать нельзя, победа будет обеспечена тебе только наполовину. Если будешь видеть, что на противника напасть можно, но не будешь видеть, что с твоими солдатами нападать на него нельзя, победа будет обеспечена тебе только наполовину. Если будешь видеть, что на противника напасть можно, будешь видеть, что с твоими солдатами напасть на него можно, но не будешь видеть, что по условиям местности нападать на него нельзя, победа будет обеспечена тебе только наполовину.

15. Поэтому тот, кто знает войну, двинувшись — не ошибется, поднявшись — не попадет в беду.

16. Поэтому и сказано: если знаешь его и знаешь себя, победа недалека; если знаешь при этом еще Небо и знаешь Землю, победа обеспечена полностью.

=Девять местностей=

1. Сунь-цзы сказал: вот правила войны: есть местности рассеяния, местности неустойчивости, местности оспариваемые, местности смешения, местности-перекрестки, местности серьезного положения, местности бездорожья, местности окружения, местности смерти.

2. Когда князья сражаются на собственной земле, это будет местность рассеяния; когда заходят в чужую землю, но не углубляются в нее, это будет местность неустойчивости; когда я ее захвачу, и мне это будет выгодно, и когда он ее захватит, ему также будет выгодно, это будет местность оспариваемая; когда и я могу ею пройти, и он может ею пройти, это будет местность смешения; когда земля князя принадлежит всем троим и тот, кто первым дойдет до нее, овладеет всем в Поднебесной, это будет местность-перекресток; когда заходят глубоко на чужую землю и оставляют в тылу у себя много укрепленных городов, это будет местность серьезного положения; когда идут по горам и лесам, кручам и обрывам, топям и болотам, вообще по трудно проходимым местам, это будет местность бездорожная; когда путь, по которому входят, узок, а путь, по которому уходят, окольный, когда он с малыми силами может напасть на мои большие силы, это будет местность окружения; когда бросаясь быстро в бой, уцелевают, а не бросаясь быстро в бой, погибают, это будет местность смерти.

3. Поэтому в местности рассеяния не сражайся; в местности неустойчивости не останавливайся; в местности оспариваемой не наступай; в местности смешения не теряй связи; в местности- перекрестке заключай союзы; в местности серьезного положения грабь{1}; в местности бездорожья иди; в местности окружения соображай; в местности смерти сражайся.

4. Те, кто в древности хорошо вели войну, умели делать так, что у противника передовые и тыловые части не сообщались друг с другом, крупные и мелкие соединения не поддерживали друг друга, благородные и низкие не выручали друг друга, высшие и низшие не объединялись друг с другом; они умели делать так, что солдаты у него оказывались оторванными друг от друга и не были собраны вместе, а если войско и было соединено в одно целое, оно не было единым [Двигались, когда это соответствовало выгоде; если это не соответствовало выгоде, оставались на месте]{I}.

5. Осмелюсь спросить: а если противник явится в большом числе и полном порядке, как его встретить? Отвечаю: захвати первым то, что ему дорого. Если захватишь, он будет послушен тебе.

6. В войне самое главное — быстрота: надо овладевать тем, до чего он успел дойти; идти по тому пути, о котором он и не помышляет; нападать там, где он не остерегается.

7. Вообще правила ведения войны в качестве гостя заключаются в том, чтобы, зайдя глубоко в пределы противника, сосредоточить все свои мысли и силы на одном, и тогда хозяин не одолеет.

8. Грабя тучные поля, имей в достатке продовольствие для своей армии; тщательно заботься о солдатах и не утомляй их; сплачивай их дух и соединяй их силы. Передвигая войска, действуй согласно своим расчетам и планам и думай так, чтобы никто не мог проникнуть в них.

9. Бросай своих солдат в такое место, откуда нет выхода, и тогда они умрут, но не побегут. Если же они будут готовы идти на смерть, как же не добиться победы) И воины и прочие люди в таком положении напрягают все свои силы. Когда солдаты подвергаются смертельной опасности, они ничего не боятся; когда у них нет выхода, они держатся крепко; когда они заходят в глубь неприятельской земли, их ничто не удерживает; когда ничего поделать нельзя, они дерутся.

10. По этой причине солдаты без всяких внушений бывают бдительны, без всяких понуждений обретают энергию, без всяких уговоров дружны между собой, без всяких приказов доверяют своим начальникам.

11. Если запретить всякие предсказания и удалить всякие сомнения, умы солдат до самой смерти никуда не отвлекутся.

12. Когда солдаты говорят: "имущество нам более не нужно" — это не значит, что они не любят имущества. Когда они говорят: "жизнь нам более не нужна!" — это не значит, что они не любят жизни. Когда выходит боевой приказ, у офицеров и солдат, у тех, кто сидит, слезы льются на воротник, у тех, кто лежит, слезы текут по подбородку. Но когда люди поставлены в положение, из которого нет выхода, они храбры, как Чжуань Чжу и Цао Куй{2}.

13. Поэтому тот, кто хорошо ведет войну, подобен Шуайжань. Шуайжань — это чаншаньская змея. Когда ее ударяют по голове, она бьет хвостом, когда ее ударяют по хвосту, она бьет головой; когда ее ударяют посредине, она бьет и головой и хвостом.

14. Осмелюсь спросить: а можно ли сделать войско подобным чаншаньской змее? Отвечаю: можно. Ведь жители царств У и Юе не любят друг друга. Но если они будут переправляться через реку в одной лодке и будут застигнуты бурей, они станут спасать друг друга, как правая рука левую.

15. По этой причине, если даже связать коней{3} и врыть в землю колеса повозок, все равно на это еще полагаться нельзя. Вот когда солдаты в своей храбрости все как один, это и будет настоящее искусство управления войском.

16. Когда сильные и слабые все одинаково обретают мужество, это действует закон местности{4}. Поэтому, когда искусный полководец как бы ведет свое войско за руку, ведет как будто это один человек, это значит, что создалось положение из которого нет выхода{5}.

17. Вот дело полководца: он должен сам быть всегда спокоен и этим непроницаем для других; он должен быть сам дисциплинирован и этим держать в порядке других. Он должен уметь вводить в заблуждение глаза и уши своих офицеров и солдат и не допускать, чтобы они что-либо знали. Он должен менять свои замыслы и изменять свои планы и не допускать, чтобы другие о них догадывались. Он должен менять свое местопребывания, выбирать себе окружные пути и не допускать, чтобы другие могли что-либо сообразить{6}.

18. Ведя войско, следует ставить его в такие условия, как если бы, забравшись на высоту, убрали лестницы. Ведя войско и зайдя с ним глубоко на землю князя, приступая к решительным действиям, надлежит сжечь корабли и разбить котлы; вести солдат так, как гонят стадо овец: их гонят туда, и они идут туда; их гонят сюда, и они идут сюда; они не знают, куда идут. Собрав всю армию, нужно бросить ее в опасность; это и есть дело полководца.

19. Изменения в девяти видах местности, выгоды сжатия и растяжения, законы человеческих чувств — все это нужно понять.

20. Вообще согласно науке о ведении войны в качестве гостя следует: если заходят глубоко в землю противника, сосредоточиваются на одном; если заходят не глубоко, умы рассеиваются.
Когда уходят из своей страны и ведут войну, перейдя границу, это будет местность отрыва; когда пути открыты во все стороны, это будет местность-перекресток; когда заходят глубоко, это будет место серьезности положения; когда заходят не глубоко, это будет местность неустойчивости; когда сзади — неприступные места, а спереди — узкие теснины, это будет местность окружения; когда идти некуда, это будет местность смерти{7}.

21. По этой причине в местности рассеяния я стану приводить к единству устремления всех; в местности неустойчивости буду поддерживать связь между частями; в местность оспариваемую направлюсь после противника; в местности смешения буду внимателен к обороне; в местности-перекрестке стану укреплять связи; в местности серьезного положения установлю непрерывный подвоз продовольствия; в местности трудно проходимой буду продвигаться вперед по дороге; в местности окружения сам загорожу проход; в местности смерти внушу солдатам, что они в живых не останутся. Чувства солдат таковы, что, когда они окружены, они защищаются; когда ничего другого не остается, они бьются; когда положение очень серьезное, они повинуются{8}.

22. Поэтому тот, кто не знает замыслов князей, не может наперед заключать с ними союзы; кто не знает обстановки — гор, лесов, круч, оврагов, топей и болот, тот не может вести войско; кто не обращается к местным проводникам, тот не может воспользоваться выгодами местности.

23. У того, кто не знает хотя бы одного из девяти, войско не будет армией гегемона{9}.

24. Если армия гегемона обратится против большого государства, оно не сможет собрать свои силы. Если мощь гегемона обратится на противника, тот не сможет заключить союзы{10}.

25. По этой причине гегемон не гонится за союзами в Поднебесной, не собирает власть в Поднебесной. Он распространяет только свою собственную волю и воздействует на противников своею мощью. Поэтому он и может взять их крепости, может ниспровергнуть их государства.

26. Раздает награды, не придерживаясь обычных законов, издает указы не в порядке обычного управления. Он распоряжается всей армией так, как если бы распоряжался одним человеком. Распоряжаясь армией, говори о делах, а не вдавайся в объяснения. Распоряжаясь армией, говори о выгоде, а не о вреде.

27. Только после того, как солдат бросят на место гибели, они будут существовать; только после того, как их ввергнут в место смерти, они будут жить; только после того, как они попадут в беду, они смогут решить исход боя.

28. Поэтому ведение войны заключается в том, чтобы предоставлять противнику действовать согласно его намерениям и тщательно изучать их; затем сосредоточить все его внимание на чем-нибудь одном и убить его полководца, хотя бы он и был за тысячу миль. Это и значит уметь искусно сделать дело.

29. По этой причине в день выступления в поход закрой все заставы, уничтожь все пропуска через них, чтобы не прошли посланцы извне. Правитель действует в своем совете и отдается делам правления, а за войну во всем спрашивает со своего полководца{11}.

30. Когда противник станет открывать и закрывать, непременно стремительно ворвись к нему. Поспеши захватить то, что ему дорого, и потихоньку поджидай его. Иди по намеченной линии, но следуй за противником. Таким способом решишь войну{12}.

31. Поэтому сначала будь как невинная девушка — и противник откроет у себя дверь. Потом же будь как вырвавшийся заяц — и противник не успеет принять мер к защите.

=Огневое нападение=

1. Сун-цзы сказал: огневое нападение бывает пяти видов: первое, когда сжигают людей; второе, когда сжигают запасы; третье, когда сжигают обозы; четвертое, когда сжигают склады; пятое, когда сжигают отряды{1}.

2. При действиях огнем необходимо, чтобы были основания для них. Огневыми средствами необходимо запастись заранее. Для того чтобы пустить огонь, нужно подходящее время; для того чтобы вызвать огонь, нужен подходящий день. Время — это когда погода сухая; день — это когда луна находится в созвездиях Цзи, Би, И, Чжэнь. Когда луна находится в этих созвездиях, дни бывают ветреные.

3. При огневом нападении необходимо поддерживать его соответственно пяти видам нападения: если огонь возник изнутри, как можно быстрее поддерживай его извне; если огонь и возник, но в войске противника все спокойно, подожди и не нападай. Когда огонь достигнет наивысшей силы, последуй за ним, если последовать можно; если последовать нельзя, оставайся на месте. Если извне пустить огонь можно, не жди кого-нибудь внутри, а выбери время и пускай. Если огонь вспыхнул по ветру, не производи нападение из-под ветра. Если ветер днем продолжается долго, ночью он стихает.

4. Вообще в войне знай про пять видов огневого нападения и всеми средствами защищайся от них. Поэтому помощь, оказываемая огнем нападению, ясна. Помощь, оказываемая водой нападению, сильна. Но водой можно отрезать, захватить же ею нельзя.
Если желая сразиться и победить, напасть и взять, не прибегаешь при этом к действию этих средств, получится бедствие; получится то, что называют "затяжными издержками". Поэтому и говорится: просвещенный государь рассчитывает на эти средства, а хороший полководец их применяет.

5. Если нет выгоды, не двигайся; если не можешь приобрести, не пускай в ход войска; если нет опасности, не воюй. Государь не должен поднимать оружие из-за своего гнева; полководец не должен вступать в бой из-за своей злобы. Двигаются тогда, когда это соответствует выгоде; если это не соответствует выгоде, остаются на места Гнев может опять превратиться в радость, злоба может опять превратиться в веселье, но погибшее государство снова не возродится, мертвые снова не оживут. Поэтому просвещенный государь очень осторожен по отношению к войне, а хороший полководец очень остерегается ее. Это и есть путь, на котором сохраняешь и государство в мире и армию в целости.

=Использование шпионов=

1. Сунь-цзы сказал: вообще, когда поднимают стотысячную армию, выступают в поход за тысячу миль, издержки крестьян, расходы правителя составляют в день тысячу золотых. Внутри и вовне — волнения; изнемогают от дороги и не могут приняться за работу семьсот тысяч семейств.

2. Защищаются друг от друга несколько лет, а победу решают в один день. И в этих условиях жалеть титулы, награды, деньги и не знать положения противника — это верх негуманности. Тот, кто это жалеет, не полководец для людей, не помощник своему государю, не хозяин победы.

3. Поэтому просвещенные государи и мудрые полководцы двигались и побеждали, совершали подвиги, превосходя всех других, потому, что все знали наперед.

4. Знание наперед нельзя получить от богов и демонов, нельзя получить и путем заключения по сходству, нельзя получитъ и путем всяких вычислений{1}. Знание положения противника можно получить только от людей.

5. Поэтому пользование шпионами бывает пяти видов: бывают шпионы местные{2}, бывают шпионы внутренние, бывают шпионы обратные, бывают шпионы смерти, бывают шпионы жизни.

6. Все пять разрядов шпионов работают, и нельзя знать их путей. Это называется непостижимой тайной{3}. Они — сокровище для государя.

7. Местных шпионов вербуют из местных жителей страны противника и пользуются ими; внутренних шпионов вербуют из его чиновников и пользуются ими; обратных шпионов вербуют из шпионов противника и пользуются ими. Когда я пускаю в ход что-либо обманное, я даю знать об этом своим шпионам, а они передают это противнику. Такие шпионы будут шпионами смерти. Шпионы жизни — это те, кто возвращается с донесением.
8. Поэтому для армии нет ничего более близкого, чем шпионы; нет больших наград чем для шпионов; нет дел более секретных, чем шпионские. Не обладая совершенным знанием, не сможешь пользоваться шпионами; не обладая гуманностью и справедливостью, не сможешь применять шпионов; не обладая тонкостью и проницательностью, не сможешь получить от шпионов действительный результат. Тонкость! Тонкость! Нет ничего, в чем нельзя было бы пользоваться шпионами.

9. Если шпионское донесение еще не послано, а об этом уже стало известно, то и сам шпион и те, кому он сообщил, предаются смерти.

10. Вообще, когда хочешь ударить на армию противника, напасть на его крепость, убить его людей, обязательно сначала узнай, как зовут военачальника у него на службе{4}, его помощников, начальника охраны, воинов его стражи. Поручи своим шпионам обязательно узнать все это.

11. Если ты узнал, что у тебя появился шпион противника и следит за тобой, обязательно воздействуй на него выгодой; введи его к себе и помести его у себя. Ибо ты сможешь приобрести обратного шпиона и пользоваться им. Через него ты будешь знать все. И поэтому сможешь приобрести и местных шпионов и внутренних шпионов и пользоваться ими. Через него ты будешь знать все. И поэтому сможешь, придумав какой-нибудь обман, поручить своему шпиону смерти ввести противника в заблуждение. Через него ты будешь знать все. И поэтому сможешь заставить своего шпиона жизни действовать согласно твоим предположениям.

12. Всеми пятью категориями шпионов обязательно ведает сам государь. Но узнают о противнике обязательно через обратного шпиона Поэтому с обратным шпионом надлежит обращаться особенно внимательно.

13. В древности, когда поднималось царство Инь, в царстве Ся был И Чжи; когда поднималось царство Чжоу, в царстве Инь был Люй Я. Поэтому только просвещенные государи и мудрые полководцы умеют делать своими шпионами людей высокого ума и этим способом непременно совершают великие дела. Пользование шпионами — самое существенное на войне; это та опора, полагаясь на которую действует армия.

Искусство войны

2015-10-05T08:33:16Z

Hunter po: Новая страница: «=Предварительные расчеты= 1. Сунь-цзы сказал: война — это великое дело для государства, э…»

=Предварительные расчеты=

1. Сунь-цзы сказал: война — это великое дело для государства, это почва жизни и смерти, это путь существования и гибели. Это нужно понять.

2. Поэтому в ее основу кладут{1} пять явлений [ее взвешивают семью расчетами и этим определяют положение]{III}.

3. Первое — Путь, второе — Небо, третье — Земля, четвертое — Полководец, пятое — Закон.

Путь — это когда достигают того, что мысли народа одинаковы с мыслями правителя{2}, когда народ готов вместе с ним умереть, готов вместе с ним жить, когда он не знает ни страха, ни сомнений{3}.

Небо — это свет и мрак, холод и жар, это порядок времени{4}.

Земля — это далекое и близкое, неровное и ровное, широкое и узкое, смерть и жизнь{5}. Полководец — это ум, беспристрастность, гуманность, мужество, строгость. Закон — это воинский строй, командование и снабжение{6}. Нет полководца, который не слыхал бы об этих пяти явлениях, но побеждает тот, кто усвоил их; тот же, кто их не усвоил, не побеждает.

4. Поэтому войну взвешивают семью расчетами и таким путем определяют положение.

Кто из государей обладает Путем? У кого из полководцев есть таланты? Кто использовал Небо и Землю? У кого выполняются правила и приказы? У кого войско сильнее? У кого офицеры и солдаты лучше обучены{7}? У кого правильно награждают и наказывают?

По этому всему я узнаю, кто одержит победу и кто потерпит поражение.

5. Если полководец станет применять мои расчеты, усвоив он непременно одержит победу; я остаюсь у него. Если полководец станет применять мои расчеты, не усвоив их, он непременно потерпит поражение; я ухожу от него{8}. Если он усвоит их с учетом выгоды, они составят мощь, которая поможет и за пределами их.

6. Мощь — это умение применять тактику{9}, сообразуясь с выгодой.

7. Война — это путь обмана{10}. Поэтому, если ты и можешь что-нибудь, показывай противнику, будто не можешь; если ты и пользуешься чем-нибудь, показывай ему, будто ты этим не пользуешься; хотя бы ты и был близко, показывай, будто ты далеко; хотя бы ты и был далеко, показывай, будто ты близко; заманивай его выгодой; приведи его в расстройство и бери его; если у него все полно, будь наготове; если он силен, уклоняйся от него; вызвав в нем гнев, приведи его в состояние расстройства; приняв смиренный вид, вызови в нем самомнение; если его силы свежи, утоми его; если у него дружны, разъедини; нападай на него, когда он не готов; выступай, когда он не ожидает.

8. Все это обеспечивает вождю победу; однако наперед преподать ничего нельзя.

9. Кто — еще до сражения — побеждает предварительным расчетом{11}, у того шансов много; кто — еще до сражения — не побеждает расчетом, у того шансов мало. У кого шансов много — побеждает; у кого шансов мало — не побеждает; тем более же тот, у кого шансов нет вовсе. Поэтому для меня — при виде этого одного — уже ясны победа и поражение.

=Ведение войны=

1. Сунь-цзы сказал: правило ведения войны таково:

2. Если у тебя тысяча легких колесниц и тысяча тяжелых{1}, сто тысяч солдат, если провиант надо отправлять за тысячу миль{2}, то расходы внутренние и внешние, издержки на прием гостей, материал для лака и клея, снаряжение колесниц и вооружения — все это составит тысячу золотых в день. Только в таком случае можно поднять стотысячное войско.

3. Если ведут войну, и победа затягивается, — оружие притупляется и острия обламываются; если долго осаждают крепость, — силы подрываются; если войско надолго оставляют в поле, — средств у государства не хватает.

4. Когда же оружие притупится и острия обломаются, силы подорвутся и средства иссякнут, князья{I}, воспользовавшись твоей слабостью, поднимутся на тебя. Пусть тогда у тебя и будут умные слуги, после этого ничего поделать не сможешь.

5. Поэтому на войне слышали об успехе при быстроте ее, даже при неискусности ее ведения, и не видели еще успеха при продолжительности ее, даже при искусности ее ведения.

6. Никогда еще не бывало, чтобы война продолжалась долго и это было бы выгодно государству. Поэтому тот, кто не понимает до конца всего вреда от войны, не может понять до конца и всю выгоду от войны.

7. Тот, кто умеет вести войну, два раза набора не производит, три раза провианта не грузит; снаряжение берет из своего государства, провиант же берет у противника. Поэтому у него и хватает пищи для солдат.

8. Во время войны государство беднеет оттого, что возят далеко провиант. Когда провиант нужно возить далеко, народ беднеет.

9. Те, кто находятся поблизости от армии, продают дорого; а когда они продают дорого, средства у народа истощаются; когда же средства истощаются, выполнять повинности трудно.

10. Силы подрываются, средства иссякают, у себя в стране — в домах пусто{3}; имущество народа уменьшается на семь десятых; имущество правителя — боевые колесницы поломаны, кони изнурены; шлемы, панцири, луки и стрелы, рогатины и малые щиты, пики и большие щиты, волы и повозки — все это уменьшается на шесть десятых{4}.

11. Поэтому умный полководец старается кормиться за счет противника. При этом один фунт пищи противника соответствует двадцати фунтам своей; один пуд отрубей и соломы противника соответствует двадцати пудам своей{5}.

12. Убивает противника ярость, захватывает его богатства жадность.

13. Если при сражении на колесницах захватят десять и более колесниц, раздай их в награду тем, кто первый их захватил, и перемени на них знамена. Перемешай эти колесницы со своими и поезжай на них. С солдатами же обращайся хорошо и заботься о них. Это и называется: победить противника н увеличить свою силу{6}.

14. Война любит победу и не любит продолжительности.

15. Поэтому полководец, понимающий войну, есть властитель судеб народа, есть хозяин безопасности государства.

=Стратегическое нападение=

1. Сунь-цзы сказал: по правилам ведения войны наилучшее — сохранить государство противника в целости, на втором месте — сокрушить это государство. Наилучшее — сохранить армию противника в целости, на втором месте — разбить ее. Наилучшее — сохранить бригаду противника в целости, на втором месте — разбить ее.

Наилучшее — сохранить батальон противника в целости, на втором месте — разбить его. Наилучшее — сохранить роту противника в целости, на втором месте — разбить ее. Наилучшее — сохранить взвод противника в целости, на втором месте — разбить его{1}. Поэтому сто раз сразиться и сто раз победить — это не лучшее из лучшего; лучшее из лучшего — покорить чужую армию, не сражаясь.

2. Поэтому самая лучшая война — разбить замыслы противника; на следующем месте — разбить его союзы; на следующем месте — разбить его войска. Самое худшее — осаждать крепости. По правилам осады крепостей такая осада должна производиться лишь тогда, когда это неизбежно. Подготовка больших щитов, осадных колесниц, возведение насыпей, заготовка снаряжения требует три месяца; однако полководец, не будучи в состоянии преодолеть свое нетерпение, посылает своих солдат на приступ, словно муравьев; при этом одна треть офицеров и солдат{2} оказывается убитыми, а крепость остается не взятой. Таковы гибельные последствия осады.

3. Поэтому тот, кто умеет вести войну, покоряет чужую армию, не сражаясь; берет чужие крепости, не осаждая; сокрушает чужое государство, не держа свое войско долго. Он обязательно сохраняет все в целости и этим оспаривает власть в Поднебесной. Поэтому и можно не притупляя оружие иметь выгоду: это и есть правило стратегического нападения{3}.

4. Правило ведения войны гласит: если у тебя сил в десять раз больше, чем у противника, окружи его со всех сторон; если у тебя сил в пять раз больше, нападай на него; если у тебя сил вдвое больше, раздели его на части; если же силы равны, сумей с ним сразиться; если сил меньше, сумей оборониться от него; если у тебя вообще что-либо хуже, сумей уклониться от него. Поэтому упорствующие с малыми силами делаются пленниками сильного противника.

5. Полководец для государства все равно, что крепление{4} у повозки: если это крепление пригнано плотно, государство непременно бывает сильным; если крепление разошлось, государство непременно бывает слабым.

6. Поэтому армия страдает от своего государя в трех случаях{5}:

Когда он, не знал, что армия не должна выступать, приказывает ей выступить; когда он, не зная, что армия не должна отступать, приказывает ей отступить; это означает, что он связывает армию.

Когда он, не зная, что такое армия, распространяет на управление ею те же самые начала, которыми управляется государство; тогда командиры в армии приходят в растерянность{6}.

Когда он, не зная, что такое тактика армии, руководствуется при назначении полководца теми же началами, что и в государстве; тогда командиры в армии приходят в смятение{7}.

7. Когда же армия приходит в растерянность и смятение, настигает беда от князей. Это и означает: расстроить свою армию и отдать победу противнику.

8. Поэтому знают, что победят в пяти случаях: побеждают, если знают, когда можно сражаться и когда нельзя; побеждают, когда умеют пользоваться и большими и малыми силами; побеждают там, где высшие и низшие имеют одни н те же желания; побеждают тогда, когда сами осторожны и выжидают неосторожности противника; побеждают те, у кого полководец талантлив, а государь не руководит им. Эти пять положений и есть путь знания победы.

9. Поэтому и говорится: если знаешь его и знаешь себя, сражайся хоть сто раз, опасности не будет; если знаешь себя, а его не знаешь, один раз победишь, другой раз потерпишь поражение; если не знаешь ни себя, ни его, каждый раз, когда будешь сражаться, будешь терпеть поражение.

=Форма=

1. Сунь-цзы сказал: в древности тот, кто хорошо сражался, прежде всего делал себя непобедимым и в таком состоянии выжидал, когда можно будет победить противника.

Непобедимость заключена в себе самом, возможность победы заключена в противнике.

Поэтому тот, кто хорошо сражается, может сделать себя непобедимым, но не может заставить противника обязательно дать себя победить.

Поэтому и сказано: "Победу знать можно, сделать же ее нельзя".

2. Непобедимость есть оборона; возможность победить есть наступление.

Когда обороняются, значит есть в чем-то недостаток; когда нападают, значит есть все в избытке.

Тот, кто хорошо обороняется, прячется в глубины преисподней; тот, кто хорошо нападает, действует с высоты небес{1}.

Поэтому умеют себя сохранить и в то же время одерживают полную победу.

3. Тот, кто видит победу не более чем прочие люди, не лучший из лучших. Когда кто-либо, сражаясь, одержит победу и в Поднебесной скажут: "хорошо", это не будет лучший из лучших.

4. Когда поднимают легкое перышко{2}, это не считается большой силой; когда видят солнце н луну, это не считается острым зрением; когда слышат раскаты грома, это не считается тонким слухом.

Про кого в древности говорили, что он хорошо сражается, тот побеждал, когда было легко победить. Поэтому, когда хорошо сражавшийся побеждал, у него не оказывалось ни славы ума, ни подвигов мужества.

5. Поэтому, когда он сражался и побеждал, это не расходилось с его расчетами. Не расходилось с его расчетами — это значит, что все предпринятое им обязательно давало победу; он побеждал уже побежденного.

6. Поэтому. тот, кто хорошо сражается, стоит на почве невозможности своего поражения и не упускает возможности поражения противника. По этой причине войско, долженствующее победить, сначала побеждает, а потом ищет сражения; войско, осужденное на поражение, сначала сражается, а потом ищет победы.

7. Тот, кто хорошо ведет войну, осуществляет Путь и соблюдает Закон. Поэтому он и может управлять победой и поражением.

8. Согласно "Законам войны", первое — длина, второе — объем, третье — число, четвертое — вес, пятое — победа. Местность рождает длину, длина рождает объем, объем рождает число, число рождает вес, вес рождает победу.

9. Поэтому войско, долженствующее победить, как бы исчисляет копейки рублями, а войско, обреченное на поражение, как бы исчисляет рубли копейками{3}.

10. Когда побеждающий сражается, это подобно скопившейся воде, с высоты тысячи саженей низвергающейся в долину. Это и есть форма{4}.

=Мощь=

1. Сунь-цзы сказал: управлять массами все равно, что управлять немногими: дело в частях и в числе{1}.

2. Вести в бой массы все равно, что вести в бой немногих: дело в форме и названии{2}.

3. То, что делает армию при встрече с противником непобедимой, это правильный бой и маневр.

4. Удар войска подобен тому, как если бы ударили камнем по яйцу: это есть полнота и пустота.

5. Вообще в бою схватываются с противником правильным боем, побеждают же маневром. Поэтому тот, кто хорошо пускает в ход маневр, безграничен подобно небу н земле, неисчерпаем подобно Хуан-хэ и Янцзы-цзяну.

6. Кончаются и снова начинаются — таковы солнце и луна; умирают и снова нарождаются — таковы времена года. Тонов не более пяти, но изменений этих пяти тонов всех и слышать невозможно; цветов не более пяти, но изменений этих пяти цветов всех и видеть невозможно; вкусов не более пяти, но изменений этих пяти вкусов всех и ощутить невозможно. Действий в сражении всего только два — правильный бой и маневр, но изменений в правильном бое к маневре всех и исчислить невоможно. Правильный бой и маневр взаимно порождают друг друга и это подобно круговращению, у которого нет конца. Кто может их исчерпать?

7. То, что позволяет быстроте бурного потока нести на себе камни, есть ее мощь. То, что позволяет быстроте хищной птицы поразить свою жертву, есть рассчитанность удара. Поэтому у того, кто хорошо сражается, мощь — стремительна{3}, рассчитанность коротка.
Мощь — это как бы натягивание лука, рассчитанность удара — это как бы спуск стрелы.

8. Пусть все смешается и перемешается, и идет беспорядочная схватка, все равно прийти в расстройство не могут; пусть все клокочет и бурлит, и форма смята{4}, все равно потерпеть поражение не могут.

9. Беспорядок рождается из порядка, трусость рождается из храбрости, слабость рождается из силы. Порядок и беспорядок — это число; храбрость и трусость — это мощь; сила и слабость — это форма.

10. Поэтому, когда тот, кто умеет заставить противника двигаться, показывает ему форму, противник обязательно идет за ним; когда противнику что-либо дают, он обязательно берет; выгодой заставляют его двигаться, а встречают его неожиданностью.

11. Поэтому тот, кто хорошо сражается, ищет все в мощи, а не требует всего от людей. Поэтому он умеет выбирать людей и ставить их соответственно их мощи.

12. Тот, кто ставит людей соответственно их мощи, заставляет их идти в бой так же, как катят деревья и камни. Природа деревьев и камней такова, что когда место ровное, они лежат спокойно; когда оно покатое, они приходят в движение; когда они четырехугольны, они лежат на месте; когда они круглы, они катятся.

13. Поэтому мощь того, кто умеет заставить других идти в бой, есть мощь человека, скатывающего круглый камень с горы в тысячу саженей.

=Полнота и пустота=

1. Сунь-цзы сказал: кто является на поле сражения первым и ждет противника, тот исполнен сил; кто потом является на поле сражения с запозданием и бросается в бой, тот уже утомлен. Поэтому тот, кто хорошо сражается, управляет противником н не дает ему управлять собой.

2. Уметь заставить противника самого прийти — это значит заманить его выгодой; уметь не дать противнику пройти — это значит сдержать его вредом. Поэтому можно утомить противника даже исполненного сил; можно заставить голодать даже сытого; можно сдвинуть с места даже прочно засевшего.

3. Выступив туда, куда он непременно направится, самому направиться туда, где он не ожидает. Тот, кто проходит тысячу миль и при этом не утомляется, проходит местами, где нет людей.

4. Напасть и при этом наверняка взять — это значит напасть на место, где он не обороняется; оборонять и при этом наверняка удержать — это значит оборонять место, на которое он не может напасть. Поэтому у того, кто умеет нападать, противник не знает, где ему обороняться; у того, кто умеет обороняться, противник не знает, где ему нападать. Тончайшее искусство! Тончайшее искусство! — нет даже формы, чтобы его изобразить. Божественное искусство! Божественное искусство! — нет даже слов, чтобы его выразить. Поэтому он и может стать властителем судеб противника.

5. Когда идут вперед, и противник не в силах воспрепятствовать — это значит, что ударяют в его пустоту; когда отступают и противник не в силах преследовать — это значит, что быстрота такова, что он не может настигнуть{1}.

6. Поэтому, если я хочу дать бой, пусть противник и понастроит высокие редуты, нароет глубокие рвы, все равно он не сможет не вступить со мною в бой. Это потому, что я нападаю на место, которое он непременно должен спасать. Если я не хочу вступать в бой, пусть я только займу место и стану его оборонять, все равно противник не сможет вступить со мной в бой. Это потому, что я отвращаю его от того пути, куда он идет.

7. Поэтому, если я покажу противнику какую-либо форму, а сам этой формы не буду иметь, я сохраню цельность, а противник разделится на части. Сохраняя цельность, я буду составлять единицу; разделившись на части, противник будет составлять десять. Тогда я своими десятью нападу на его единицу. Нас тогда будет много, а противника мало. У того, кто умеет массой ударить на немногих, таких, кто с ним сражается, мало, и их легко победить{2}.

8. Противник не знает, где он будет сражаться. А раз он этого не знает, у него много мест, где он должен быть наготове. Если же таких мест, где он должен быть наготове, много, тех, кто со мной сражается, мало. Поэтому, если он будет наготове спереди, у него будет мало сил сзади; если он будет наготове сзади, у него будет мало сил спереди; если он будет наготове слева, у него будет мало сил справа; если он будет наготове справа, у него будет мало сил слева. Не может не быть мало сил у того, у кого нет места, где он не должен быть наготове. Мало сил у того, кто должен быть всюду наготове; много сил у того, кто вынуждает другого быть всюду наготове.

9. Поэтому, если знаешь место боя и день боя, можешь наступать и за тысячу миль. Если же не знаешь места боя, не знаешь и дня боя, не сможешь левой стороной защитить правую, не сможешь правой стороной защитить левую, не сможешь передней стороной защитить заднюю, не сможешь задней стороной защитить переднюю. Тем более это так при большом расстоянии — в несколько десятков миль, и при близком расстоянии — в несколько миль.

10. Если рассуждать так, как я, то пусть у юэсцев{3} войск и много, что это может им дать для победы{4}? Поэтому и сказано: "победу сделать можно". Пусть войск у противника и будет много, можно не дать ему возможности вступить в бой.

11. Поэтому, оценивая противника, узнают его план с его достоинствами и его ошибками{5}; воздействовав на противника, узнают законы, управляющие его движением и покоем; показывая ему ту или иную форму, узнают место его жизни и смерти{6}; столкнувшись с ним, узнают, где у него избыток и где недостаток.

12. Поэтому предел в придании своему войску формы — это достигнуть того, чтобы формы не было. Когда формы нет, даже глубоко проникший лазутчик не сможет что-либо подглядеть, даже мудрый не сможет о чем-либо судить. Пользуясь этой формой, он возлагает дело победы на массу, но масса этого знать не может. Все люди знают ту форму, посредством которой я победил, но не знают той формы, посредством которой я организовал победу. Поэтому победа в бою не повторяется в том же виде, она соответствует неисчерпаемости самой формы.

13. Форма у войска подобна воде: форма у воды — избегать высоты и стремиться вниз; форма у войска — избегать полноты и ударять по пустоте. Вода устанавливает свое течение в зависимости от места; войско устанавливает свою победу в зависимости от противника.

14. Поэтому у войска нет неизменной мощи, у воды нет неизменной формы. Кто умеет в зависимости от противника владеть изменениями и превращениями и одерживать победу, тот называется божеством.

15. Поэтому среди пяти элементов природы нет неизменно побеждающего; среди четырех времен года нет неизменно сохраняющего свое положение. У солнца есть краткость и продолжительность, у луны есть жизнь и смерть.

=Борьба на войне=

1. Сунь-цзы сказал: вот правило ведения войны: полководец, получив повеление от государя, формирует армию, собирает войска{1} и, войдя в соприкосновение с противником{2}, занимает позицию. Нет ничего труднее, чем борьба на войне.

2. Трудное в борьбе на войне — это превратить путь обходный в прямой, превратить бедствие в выгоду. Поэтому тот, кто, предпринимая движение по такому обходному пути, отвлекает противника выгодой и, выступив позже него, приходит раньше него, тот понимает тактику обходного движения.

3. Поэтому борьба на войне приводит к выгоде, борьба на войне приводит и к опасности. Если бороться за выгоду, подняв всю армию, цели не достигнуть; если бороться за выгоду, бросив армию, будет потерян обоз.

4. Поэтому, когда борются за выгоду за сто миль, мчась, сняв вооружение, не отдыхая ни днем, ни ночью, удваивая маршруты и соединяя переходы, тогда теряют пленными командующих всеми тремя армиями; выносливые идут вперед, слабые отстают, и из всего войска доходит одна десятая. Когда борются за выгоду за пятьдесят миль, попадает в тяжелое положение командующий передовой армией, и из всего войска доходит половина. Когда борются за выгоду за тридцать миль, доходят две трети.

5. Если у армии нет обоза, она гибнет; если нет провианта, она гибнет; если нет запасов{3}, она гибнет.

6. Поэтому кто не знает замыслов князей, тот не может наперед заключать с ними союз; кто не знает обстановки — гор, лесов, круч, обрывов, топей и болот, тот не может вести войско; кто не обращается к местным проводникам, тот не может воспользоваться выгодами местности.

7. Поэтому в войне устанавливаются на обмане, действуют, руководствуясь выгодой, производят изменения путем разделений и соединений.

8. Поэтому он стремителен, как ветер; он спокоен и медлителен, как лес; он вторгается и опустошает, как огонь; он неподвижен, как гора; он непроницаем, как мрак; его движение, как удар грома{4}.

9. При грабеже селений разделяют свое войско на части; при захвате земель занимают своими частями выгодные пункты{5}.

10. Двигаются, взвесив все на весах. Кто заранее знает тактику прямого и обходного пути, тот побеждает. Это и есть закон борьбы на войне.

11. В "Управлении армией" сказано: "Когда говорят, друг друга не слышат; поэтому и изготовляют гонги и барабаны. Когда смотрят, друг друга не видят; поэтому и изготовляют знамена и значки". Гонги, барабаны, знамена и значки соединяют воедино глаза и уши своих солдат. Если все сосредоточены на одном, храбрый не может один выступить вперед, трусливый не может один отойти назад. Это и есть закон руководства массой.

12. Поэтому в ночном бою применяют много огней и барабанов{6}, в дневном бою применяют много знамен и значков; этим вводят в заблуждение глаза и уши противника. Поэтому у армии можно отнять ее дух, у полководца можно отнять его сердце.

13. По этой причине по утрам духом бодры, днем вялы, вечером помышляют о возвращении домой. Поэтому тот, кто умеет вести войну, избегает противника, когда его дух бодр, и ударяет на него, когда его дух вял, или когда он помышляет о возвращении; это и есть управление духом.

14. Находясь в порядке, ждут беспорядка; находясь в спокойствии, ждут волнений; это и есть управление сердцем.

15. Находясь близко, ждут далеких; пребывая в полной силе, ждут утомленных; будучи сытыми, ждут голодных; это и есть управление силой.

16. Не идти против знамен противника, когда они в полном порядке; не нападать на стан противника, когда он неприступен; это и есть управление изменениями.

17. Поэтому, правила ведения войны таковы: если противник находится на высотах, не иди прямо на него{7}; если за ним возвышенность, не располагайся против него; если он притворно убегает, не преследуй его; если он полон сил, не нападай на него; если он подает тебе приманку, не иди на нее; если войско противника идет домой, не останавливай его; если окружаешь войско противника, оставь открытой одну сторону; если он находится в безвыходном положении, не нажимай на него; это и есть правила ведения войны.

=Девять изменений=

1. Сунь-цзы сказал: вот правила ведения войны: [полководец, получив повеление от своего государя, формирует армию и собирает войска]{I}.

2. В местности бездорожья лагерь не разбивай; в местности-перекрестке заключай союзы с соседними князьями; в местности голой и безводной не задерживайся; в местности окружения соображай; в местности смерти сражайся.

3. Бывают дороги, по которым не идут; бывают армии, на которые не нападают; бывают крепости, из-за которых не борются; бывают местности, из-за которых не сражаются; бывают повеления государя, которых не выполняют.

4. Поэтому полководец, постигший, что есть выгодного в "Девяти изменениях", знает, как вести войну. Полководец, не постигший, что есть выгодного в "Девяти изменениях", не может овладеть выгодами местности, даже зная форму местности. Когда при управлении войсками он не знает искусства "Девяти изменений", он не может владеть умением пользоваться людьми, даже зная "Пять выгод".

5. По этой причине обдуманность действий умного человека заключается в том, что он обязательно соединяет выгоду и вред{1}. Когда с выгодой соединяют вред, усилия могут привести к результату{2}; когда с вредом соединяют выгоду, бедствие может быть устранено. Поэтому князей подчиняют себе вредом, заставляют служить себе делом, заставляют устремляться куда-нибудь выгодой{3}.

6. Правило ведения войны заключается в том, чтобы не полагаться на то, что противник не придет, а полагаться на то, с чем я могу его встретить; не полагаться на то, что он не нападет, а полагаться на то, что я сделаю нападение на себя невозможным для него.

7. Поэтому у полководца есть пять опасностей: если он будет стремиться во что бы то ни стало умереть, он может быть убитым; если он будет стремиться во что бы то ни стало остаться в живых, он может попасть в плен; если он будет скор на гнев, его могут презирать; если он будет излишне щепетилен к себе, его могут оскорбить; если он будет любить людей, его могут обессилить{4}.

8. Эти пять опасностей — недостатки полководца, бедствие в ведении войны. Разбивают армию, убивают полководца непременно этими пятью опасностями. Надлежит понять это.

=Поход=

1. Сунь-цзы сказал: расположение войск и наблюдение за противником состоит в следующем.

2. При переходе через горы опирайся на долину; располагайся на высотах, смотря, где солнечная сторона{1}. При бое с противником, находящимся на возвышенности, не иди прямо вверх{2}. Таково расположение войска в горах.

3. При переходе через реку располагайся непременно подальше от реки{3}. Если противник станет переходить реку, не встречай его в воде. Вообще выгоднее дать ему переправиться наполовину и затем ударить на него; но если ты тоже хочешь вступить в бой с противником, не встречай его у самой реки; расположись на высоте, принимая в соображение, где солнечная сторона; против течения не становись. Таково расположение войск на реке.

4. Переходя через болото{4}, торопись скорее уйти, не задерживайся. Если все же тебе предстоит вступить в бой среди болот, располагайся так, чтобы у тебя была вода и трава, а в тылу у тебя пусть будет лес. Таково расположение войск в болотах.

5. В равнинной местности располагайся на ровных местах, но при этом пусть справа и позади тебя будут возвышенности; впереди у тебя пусть будет низкое место, сзади высокое{5}. Таково расположение войск в равнине.

6. Эти четыре способа выгодного расположения войск и обеспечили Хуан-ди победу над четырьмя императорами{6}.

7. Вообще, если войско будет любить высокие места и не любить низкие, будет чтить солнечный свет и отвращаться от тени; если оно будет заботиться о жизненном н располагаться на твердой почве{7}, тогда в войске не будет болезней. Это и значит непременно победить.

8. Если находишься среди холмов и возвышенностей, непременно располагайся на их солнечной стороне и имей их справа н позади себя. Это выгодно для войска; это — помощь от местности.

9. Если в верховьях реки прошли дожди и вода покрылась пеной, пусть тот, кто хочет переправиться, подождет, пока река успокоится.

10. Вообще, если в данной местности есть отвесные ущелья, природные колодцы, природные темницы, природные сети, природные капканы, природные трещины{8}, непременно поспеши уйти от них и не подходи к ним близко. Сам удались от них, а противника заставь приблизиться к ним. А когда встретишься с ним, сделай так, чтобы они были у него в тылу.

11. Если в районе движения армии окажутся овраги, топи, заросли, леса, чащи кустарника, непременно внимательно обследуй их. Это — места, где бывают засады и дозоры противника.

12. Если противник, находясь близко от меня, пребывает в спокойствии, это значит, что он опирается на естественную преграду. Если противник далеко от меня, но при этом вызывает меня на бой, это значит, что он хочет, чтобы я продвинулся вперед. Если противник расположился на ровном месте, значит, у него есть свои выгоды.

13. Если деревья задвигались, значит, он подходит. Если устроены заграждения из трав, значит, он старается ввести в заблуждение. Если птицы взлетают, значит, там спрятана засада. Если звери испугались, значит, там кто-то скрывается. Если пыль поднимается столбом, значит, идут колесницы; если она стелется низко на широком пространстве, значит, идет пехота; если она поднимается в разных местах, значит, собирают топливо. Если она поднимается то там, то сям, и притом в небольшом количестве, значит, устраивают лагерь.

14. Если речи противника смиренны, а боевые приготовления он усиливает, значит, он выступает. Если его речи горделивы н он сам спешит вперед значит, он отступает. Если легкие боевые колесницы выезжают вперед, а войско располагается по сторонам их, значит, противник строится в боевой порядок. Если он, не будучи ослаблен{9}, просит мира, значит, у него есть тайные замыслы. Если солдаты у него забегали и выстраивают колесницы, значит, пришло время. Если он то наступает, то отступает, значит, он заманивает. Если солдаты стоят, опираясь на оружие, значит, они голодны. Если они, черпая воду, сначала пьют, значит, они страдают от жажды. Если противник видит выгоду для себя, но не выступает, значит, он устал.

15. Если птицы собираются стаями, значит, там никого нет. Если у противника ночью перекликаются, значит, там боятся. Если войско дезорганизовано, значит, полководец не авторитетен. Если знамена переходят с места на место, значит, у него беспорядок. Если его командиры бранятся значит, солдаты устали. Если коней кормят пшеном, а сами едят мясо; если кувшины для вина не развешивают на деревьях и не идут обратно в лагерь, значит, они — доведенные до крайности разбойники{10}.

16. Если полководец разговаривает с солдатами ласково и учтиво, значит, он потерял свое войско. Если он без счету раздает награды, значит, войско в трудном положении. Если он бессчетно прибегает к наказанию, значит, войско в тяжелом положении. Если он сначала жесток а потом боится своего войска, это означает верх непонимания военного искусства.

17. Если противник является, предлагает заложников и просит прощения, значит, он хочет передышки. Если его войско, пылая гневом, выходит навстречу, но в течение долгого времени не вступает в бой и не отходит, непременно внимательно следи за ним.

18. Дело не в том, чтобы все более и более увеличивать число солдат. Нельзя идти вперед с одной только воинской силой. Достаточно иметь ее столько, сколько нужно для того, чтобы справиться с противником{11} путем сосредоточения своих сил и правильной оценки противника. Кто не будет рассуждать и будет относиться к противнику пренебрежительно, тот непременно станет его пленником.

19. Если солдаты еще не расположены к тебе, а ты станешь их наказывать, они не будут тебе подчиняться; а если они не станут подчиняться, ими трудно будет пользоваться. Если солдаты уже расположены к тебе, а наказания производиться не будут, ими совсем нельзя будет пользоваться.

20. Поэтому, приказывая им, действуй при помощи гражданского начала; заставляя, чтобы они повиновались тебе все, как один, действуй при помощи воинского начала.

21. Когда законы вообще исполняются, в этом случае, если преподаешь что-нибудь народу, народ тебе повинуется. Когда законы вообще не выполняются, в этом случае, если преподаешь что-либо народу, народ тебе не повинуется. Когда законы вообще принимаются с доверием и ясны, значит, ты и масса взаимно обрели друг друга.

=Формы местности=

1. Сунь-цзы сказал: местность по форме бывает открытая, бывает наклонная{1}, бывает пересеченная, бывает долинная, бывает гористая, бывает отдаленная.

2. Когда и я могу идти, и он может прийти, такая местность называется открытой. В открытой местности прежде всего расположись на возвышении, на ее солнечной стороне, и обеспечь себе пути подвоза провианта. Если при таких условиях поведешь бой, будешь иметь выгоду.

3. Когда идти легко, а возвращаться трудно, такая местность называется наклонной. В наклонной местности, если противник не готов к бою, выступив, победишь его; если же противник готов к бою, выступив, не победишь его. Обращаться же назад будет трудно: выгоды не будет.

4. Когда и мне выступать невыгодно и ему выступать невыгодно, такая местность называется пересеченной. В пересеченной местности не выступай, даже если бы противник и предоставил тебе выгоду. Отведи войска н уйди; заставь противника продвинуться сюда наполовину; и если тогда ударишь на него, это будет для тебя выгодно.

5. В долинной местности, если ты первым расположишься на ней, обязательно займи ее всю и так жди противника; если же он первым расположится на ней и займет ее, не следуй за ним. Следуй за ним, если он не займет ее всю.

6. В гористой местности, если ты первым расположился в ней, обязательно располагайся на высоте, на солнечной стороне ее, и так жди противника; если же противник первым расположится в ней, отведи войска и уйди оттуда; не следуй за ним.

7. В отдаленной местности, если силы равны, трудно вызывать противника на бой, а если и начнешь бой, выгоды не будет.
Эти шесть пунктов составляют учение о местности. Высшая обязанность полководца состоит в том, что ему это нужно понять.

8. Поэтому бывает, что войско поспешно отступает, что оно становится распущенным, что оно попадает в руки противника, что оно разваливается, что оно приходит в беспорядок, что оно обращается в бегство. Эти шесть бедствий — не от природы, а от ошибок полководца.

9. Когда при наличии одинаковых условий нападают с одним на десятерых это значит, что войско поспешно отступит. Когда солдаты сильны, а командиры слабы, это значит, что в войске распущенность. Когда командиры сильны, а солдаты слабы, это значит, что войско попадет в руки противника. Когда высшие командиры, в гневе на своего начальника не подчиняются ему и, встречаясь с противником, по злобе на своего начальника, самовольно завязывают бой, это объясняется тем, что полководец не знает их способностей. Это значит, что в войске развал. Когда полководец слаб и не строг, когда обучение солдат отличается неопределенностью, когда у командиров и солдат нет ничего постоянного, когда при построении в боевой порядок все идет вкривь и вкось, это значит, что в войске беспорядок. Когда полководец не умеет оценить противника, когда он, будучи слаб, нападает на сильного, когда у него в войске нет отборных частей, это значит, что войско обратится в бегство.
Эти шесть пунктов составляют учение о поражении противника. Высшая обязанность полководца состоит в том, что ему это нужно понять.

10. Условия местности — только помощь для войска. Наука верховного полководца{2} состоит в умении оценить противника, организовать победу, учесть характер местности и расстояние. Кто ведет бой, зная это, тот непременно побеждает; кто ведет бой, не знал этого, тот непременно терпит поражение.

11. Поэтому, если согласно науке о войне выходит, что непременно победишь, непременно сражайся хотя бы государь и говорил тебе: "не сражайся". Если согласно науке о войне выходит, что не победишь, не сражайся, хотя бы государь и говорил тебе: "непременно сражайся".

12. Поэтому такой полководец, который, выступая, не ищет славы, а, отступая, не уклоняется от наказания, который думает только о благе народа и о пользе государя, такой полководец — сокровище для государства.

13. Если будешь смотреть на солдат как на детей, сможешь отправиться с ними в самое глубокое ущелье; если будешь смотреть на солдат как на любимых сыновей, сможешь идти с ними хоть на смерть. Но если будешь добр к ним, но не сможешь ими распоряжаться; если будешь любить их, но не сумеешь им приказывать; если у них возникнут беспорядки, а ты не сумеешь установить порядок, это значит, что они у тебя — непослушные дети, и пользоваться ими будет невозможно.

14. Если будешь видеть, что с твоими солдатами напасть на противника можно, но не будешь видеть, что на противника нападать нельзя, победа будет обеспечена тебе только наполовину. Если будешь видеть, что на противника напасть можно, но не будешь видеть, что с твоими солдатами нападать на него нельзя, победа будет обеспечена тебе только наполовину. Если будешь видеть, что на противника напасть можно, будешь видеть, что с твоими солдатами напасть на него можно, но не будешь видеть, что по условиям местности нападать на него нельзя, победа будет обеспечена тебе только наполовину.

15. Поэтому тот, кто знает войну, двинувшись — не ошибется, поднявшись — не попадет в беду.

16. Поэтому и сказано: если знаешь его и знаешь себя, победа недалека; если знаешь при этом еще Небо и знаешь Землю, победа обеспечена полностью.

=Девять местностей=

1. Сунь-цзы сказал: вот правила войны: есть местности рассеяния, местности неустойчивости, местности оспариваемые, местности смешения, местности-перекрестки, местности серьезного положения, местности бездорожья, местности окружения, местности смерти.

2. Когда князья сражаются на собственной земле, это будет местность рассеяния; когда заходят в чужую землю, но не углубляются в нее, это будет местность неустойчивости; когда я ее захвачу, и мне это будет выгодно, и когда он ее захватит, ему также будет выгодно, это будет местность оспариваемая; когда и я могу ею пройти, и он может ею пройти, это будет местность смешения; когда земля князя принадлежит всем троим и тот, кто первым дойдет до нее, овладеет всем в Поднебесной, это будет местность-перекресток; когда заходят глубоко на чужую землю и оставляют в тылу у себя много укрепленных городов, это будет местность серьезного положения; когда идут по горам и лесам, кручам и обрывам, топям и болотам, вообще по трудно проходимым местам, это будет местность бездорожная; когда путь, по которому входят, узок, а путь, по которому уходят, окольный, когда он с малыми силами может напасть на мои большие силы, это будет местность окружения; когда бросаясь быстро в бой, уцелевают, а не бросаясь быстро в бой, погибают, это будет местность смерти.

3. Поэтому в местности рассеяния не сражайся; в местности неустойчивости не останавливайся; в местности оспариваемой не наступай; в местности смешения не теряй связи; в местности- перекрестке заключай союзы; в местности серьезного положения грабь{1}; в местности бездорожья иди; в местности окружения соображай; в местности смерти сражайся.

4. Те, кто в древности хорошо вели войну, умели делать так, что у противника передовые и тыловые части не сообщались друг с другом, крупные и мелкие соединения не поддерживали друг друга, благородные и низкие не выручали друг друга, высшие и низшие не объединялись друг с другом; они умели делать так, что солдаты у него оказывались оторванными друг от друга и не были собраны вместе, а если войско и было соединено в одно целое, оно не было единым [Двигались, когда это соответствовало выгоде; если это не соответствовало выгоде, оставались на месте]{I}.

5. Осмелюсь спросить: а если противник явится в большом числе и полном порядке, как его встретить? Отвечаю: захвати первым то, что ему дорого. Если захватишь, он будет послушен тебе.

6. В войне самое главное — быстрота: надо овладевать тем, до чего он успел дойти; идти по тому пути, о котором он и не помышляет; нападать там, где он не остерегается.

7. Вообще правила ведения войны в качестве гостя заключаются в том, чтобы, зайдя глубоко в пределы противника, сосредоточить все свои мысли и силы на одном, и тогда хозяин не одолеет.

8. Грабя тучные поля, имей в достатке продовольствие для своей армии; тщательно заботься о солдатах и не утомляй их; сплачивай их дух и соединяй их силы. Передвигая войска, действуй согласно своим расчетам и планам и думай так, чтобы никто не мог проникнуть в них.

9. Бросай своих солдат в такое место, откуда нет выхода, и тогда они умрут, но не побегут. Если же они будут готовы идти на смерть, как же не добиться победы) И воины и прочие люди в таком положении напрягают все свои силы. Когда солдаты подвергаются смертельной опасности, они ничего не боятся; когда у них нет выхода, они держатся крепко; когда они заходят в глубь неприятельской земли, их ничто не удерживает; когда ничего поделать нельзя, они дерутся.

10. По этой причине солдаты без всяких внушений бывают бдительны, без всяких понуждений обретают энергию, без всяких уговоров дружны между собой, без всяких приказов доверяют своим начальникам.

11. Если запретить всякие предсказания и удалить всякие сомнения, умы солдат до самой смерти никуда не отвлекутся.

12. Когда солдаты говорят: "имущество нам более не нужно" — это не значит, что они не любят имущества. Когда они говорят: "жизнь нам более не нужна!" — это не значит, что они не любят жизни. Когда выходит боевой приказ, у офицеров и солдат, у тех, кто сидит, слезы льются на воротник, у тех, кто лежит, слезы текут по подбородку. Но когда люди поставлены в положение, из которого нет выхода, они храбры, как Чжуань Чжу и Цао Куй{2}.

13. Поэтому тот, кто хорошо ведет войну, подобен Шуайжань. Шуайжань — это чаншаньская змея. Когда ее ударяют по голове, она бьет хвостом, когда ее ударяют по хвосту, она бьет головой; когда ее ударяют посредине, она бьет и головой и хвостом.

14. Осмелюсь спросить: а можно ли сделать войско подобным чаншаньской змее? Отвечаю: можно. Ведь жители царств У и Юе не любят друг друга. Но если они будут переправляться через реку в одной лодке и будут застигнуты бурей, они станут спасать друг друга, как правая рука левую.

15. По этой причине, если даже связать коней{3} и врыть в землю колеса повозок, все равно на это еще полагаться нельзя. Вот когда солдаты в своей храбрости все как один, это и будет настоящее искусство управления войском.

16. Когда сильные и слабые все одинаково обретают мужество, это действует закон местности{4}. Поэтому, когда искусный полководец как бы ведет свое войско за руку, ведет как будто это один человек, это значит, что создалось положение из которого нет выхода{5}.

17. Вот дело полководца: он должен сам быть всегда спокоен и этим непроницаем для других; он должен быть сам дисциплинирован и этим держать в порядке других. Он должен уметь вводить в заблуждение глаза и уши своих офицеров и солдат и не допускать, чтобы они что-либо знали. Он должен менять свои замыслы и изменять свои планы и не допускать, чтобы другие о них догадывались. Он должен менять свое местопребывания, выбирать себе окружные пути и не допускать, чтобы другие могли что-либо сообразить{6}.

18. Ведя войско, следует ставить его в такие условия, как если бы, забравшись на высоту, убрали лестницы. Ведя войско и зайдя с ним глубоко на землю князя, приступая к решительным действиям, надлежит сжечь корабли и разбить котлы; вести солдат так, как гонят стадо овец: их гонят туда, и они идут туда; их гонят сюда, и они идут сюда; они не знают, куда идут. Собрав всю армию, нужно бросить ее в опасность; это и есть дело полководца.

19. Изменения в девяти видах местности, выгоды сжатия и растяжения, законы человеческих чувств — все это нужно понять.

20. Вообще согласно науке о ведении войны в качестве гостя следует: если заходят глубоко в землю противника, сосредоточиваются на одном; если заходят не глубоко, умы рассеиваются.
Когда уходят из своей страны и ведут войну, перейдя границу, это будет местность отрыва; когда пути открыты во все стороны, это будет местность-перекресток; когда заходят глубоко, это будет место серьезности положения; когда заходят не глубоко, это будет местность неустойчивости; когда сзади — неприступные места, а спереди — узкие теснины, это будет местность окружения; когда идти некуда, это будет местность смерти{7}.

21. По этой причине в местности рассеяния я стану приводить к единству устремления всех; в местности неустойчивости буду поддерживать связь между частями; в местность оспариваемую направлюсь после противника; в местности смешения буду внимателен к обороне; в местности-перекрестке стану укреплять связи; в местности серьезного положения установлю непрерывный подвоз продовольствия; в местности трудно проходимой буду продвигаться вперед по дороге; в местности окружения сам загорожу проход; в местности смерти внушу солдатам, что они в живых не останутся. Чувства солдат таковы, что, когда они окружены, они защищаются; когда ничего другого не остается, они бьются; когда положение очень серьезное, они повинуются{8}.

22. Поэтому тот, кто не знает замыслов князей, не может наперед заключать с ними союзы; кто не знает обстановки — гор, лесов, круч, оврагов, топей и болот, тот не может вести войско; кто не обращается к местным проводникам, тот не может воспользоваться выгодами местности.

23. У того, кто не знает хотя бы одного из девяти, войско не будет армией гегемона{9}.

24. Если армия гегемона обратится против большого государства, оно не сможет собрать свои силы. Если мощь гегемона обратится на противника, тот не сможет заключить союзы{10}.

25. По этой причине гегемон не гонится за союзами в Поднебесной, не собирает власть в Поднебесной. Он распространяет только свою собственную волю и воздействует на противников своею мощью. Поэтому он и может взять их крепости, может ниспровергнуть их государства.

26. Раздает награды, не придерживаясь обычных законов, издает указы не в порядке обычного управления. Он распоряжается всей армией так, как если бы распоряжался одним человеком. Распоряжаясь армией, говори о делах, а не вдавайся в объяснения. Распоряжаясь армией, говори о выгоде, а не о вреде.

27. Только после того, как солдат бросят на место гибели, они будут существовать; только после того, как их ввергнут в место смерти, они будут жить; только после того, как они попадут в беду, они смогут решить исход боя.

28. Поэтому ведение войны заключается в том, чтобы предоставлять противнику действовать согласно его намерениям и тщательно изучать их; затем сосредоточить все его внимание на чем-нибудь одном и убить его полководца, хотя бы он и был за тысячу миль. Это и значит уметь искусно сделать дело.

29. По этой причине в день выступления в поход закрой все заставы, уничтожь все пропуска через них, чтобы не прошли посланцы извне. Правитель действует в своем совете и отдается делам правления, а за войну во всем спрашивает со своего полководца{11}.

30. Когда противник станет открывать и закрывать, непременно стремительно ворвись к нему. Поспеши захватить то, что ему дорого, и потихоньку поджидай его. Иди по намеченной линии, но следуй за противником. Таким способом решишь войну{12}.

31. Поэтому сначала будь как невинная девушка — и противник откроет у себя дверь. Потом же будь как вырвавшийся заяц — и противник не успеет принять мер к защите.

=Огневое нападение=

1. Сун-цзы сказал: огневое нападение бывает пяти видов: первое, когда сжигают людей; второе, когда сжигают запасы; третье, когда сжигают обозы; четвертое, когда сжигают склады; пятое, когда сжигают отряды{1}.

2. При действиях огнем необходимо, чтобы были основания для них. Огневыми средствами необходимо запастись заранее. Для того чтобы пустить огонь, нужно подходящее время; для того чтобы вызвать огонь, нужен подходящий день. Время — это когда погода сухая; день — это когда луна находится в созвездиях Цзи, Би, И, Чжэнь. Когда луна находится в этих созвездиях, дни бывают ветреные.

3. При огневом нападении необходимо поддерживать его соответственно пяти видам нападения: если огонь возник изнутри, как можно быстрее поддерживай его извне; если огонь и возник, но в войске противника все спокойно, подожди и не нападай. Когда огонь достигнет наивысшей силы, последуй за ним, если последовать можно; если последовать нельзя, оставайся на месте. Если извне пустить огонь можно, не жди кого-нибудь внутри, а выбери время и пускай. Если огонь вспыхнул по ветру, не производи нападение из-под ветра. Если ветер днем продолжается долго, ночью он стихает.

4. Вообще в войне знай про пять видов огневого нападения и всеми средствами защищайся от них. Поэтому помощь, оказываемая огнем нападению, ясна. Помощь, оказываемая водой нападению, сильна. Но водой можно отрезать, захватить же ею нельзя.
Если желая сразиться и победить, напасть и взять, не прибегаешь при этом к действию этих средств, получится бедствие; получится то, что называют "затяжными издержками". Поэтому и говорится: просвещенный государь рассчитывает на эти средства, а хороший полководец их применяет.

5. Если нет выгоды, не двигайся; если не можешь приобрести, не пускай в ход войска; если нет опасности, не воюй. Государь не должен поднимать оружие из-за своего гнева; полководец не должен вступать в бой из-за своей злобы. Двигаются тогда, когда это соответствует выгоде; если это не соответствует выгоде, остаются на места Гнев может опять превратиться в радость, злоба может опять превратиться в веселье, но погибшее государство снова не возродится, мертвые снова не оживут. Поэтому просвещенный государь очень осторожен по отношению к войне, а хороший полководец очень остерегается ее. Это и есть путь, на котором сохраняешь и государство в мире и армию в целости.

=Использование шпионов=

1. Сунь-цзы сказал: вообще, когда поднимают стотысячную армию, выступают в поход за тысячу миль, издержки крестьян, расходы правителя составляют в день тысячу золотых. Внутри и вовне — волнения; изнемогают от дороги и не могут приняться за работу семьсот тысяч семейств.

2. Защищаются друг от друга несколько лет, а победу решают в один день. И в этих условиях жалеть титулы, награды, деньги и не знать положения противника — это верх негуманности. Тот, кто это жалеет, не полководец для людей, не помощник своему государю, не хозяин победы.

3. Поэтому просвещенные государи и мудрые полководцы двигались и побеждали, совершали подвиги, превосходя всех других, потому, что все знали наперед.

4. Знание наперед нельзя получить от богов и демонов, нельзя получить и путем заключения по сходству, нельзя получитъ и путем всяких вычислений{1}. Знание положения противника можно получить только от людей.

5. Поэтому пользование шпионами бывает пяти видов: бывают шпионы местные{2}, бывают шпионы внутренние, бывают шпионы обратные, бывают шпионы смерти, бывают шпионы жизни.

6. Все пять разрядов шпионов работают, и нельзя знать их путей. Это называется непостижимой тайной{3}. Они — сокровище для государя.

7. Местных шпионов вербуют из местных жителей страны противника и пользуются ими; внутренних шпионов вербуют из его чиновников и пользуются ими; обратных шпионов вербуют из шпионов противника и пользуются ими. Когда я пускаю в ход что-либо обманное, я даю знать об этом своим шпионам, а они передают это противнику. Такие шпионы будут шпионами смерти. Шпионы жизни — это те, кто возвращается с донесением.
8. Поэтому для армии нет ничего более близкого, чем шпионы; нет больших наград чем для шпионов; нет дел более секретных, чем шпионские. Не обладая совершенным знанием, не сможешь пользоваться шпионами; не обладая гуманностью и справедливостью, не сможешь применять шпионов; не обладая тонкостью и проницательностью, не сможешь получить от шпионов действительный результат. Тонкость! Тонкость! Нет ничего, в чем нельзя было бы пользоваться шпионами.

9. Если шпионское донесение еще не послано, а об этом уже стало известно, то и сам шпион и те, кому он сообщил, предаются смерти.

10. Вообще, когда хочешь ударить на армию противника, напасть на его крепость, убить его людей, обязательно сначала узнай, как зовут военачальника у него на службе{4}, его помощников, начальника охраны, воинов его стражи. Поручи своим шпионам обязательно узнать все это.

11. Если ты узнал, что у тебя появился шпион противника и следит за тобой, обязательно воздействуй на него выгодой; введи его к себе и помести его у себя. Ибо ты сможешь приобрести обратного шпиона и пользоваться им. Через него ты будешь знать все. И поэтому сможешь приобрести и местных шпионов и внутренних шпионов и пользоваться ими. Через него ты будешь знать все. И поэтому сможешь, придумав какой-нибудь обман, поручить своему шпиону смерти ввести противника в заблуждение. Через него ты будешь знать все. И поэтому сможешь заставить своего шпиона жизни действовать согласно твоим предположениям.

12. Всеми пятью категориями шпионов обязательно ведает сам государь. Но узнают о противнике обязательно через обратного шпиона Поэтому с обратным шпионом надлежит обращаться особенно внимательно.

13. В древности, когда поднималось царство Инь, в царстве Ся был И Чжи; когда поднималось царство Чжоу, в царстве Инь был Люй Я. Поэтому только просвещенные государи и мудрые полководцы умеют делать своими шпионами людей высокого ума и этим способом непременно совершают великие дела. Пользование шпионами — самое существенное на войне; это та опора, полагаясь на которую действует армия.

Заглавная страница

2015-10-05T08:26:41Z

Hunter po: /* Философия */

Методика определения угроз безопасности информации в информационных системах

2015-10-02T18:34:19Z

Hunter po: /* Таблица 3.2 */

ФЕДЕРАЛЬНАЯ СЛУЖБА
ПО ТЕХНИЧЕСКОМУ И ЭКСПОРТНОМУ КОНТРОЛЮ
(ФСТЭК РОССИИ)

МЕТОДИЧЕСКИЙ ДОКУМЕНТ
МЕТОДИКА ОПРЕДЕЛЕНИЯ УГРОЗ БЕЗОПАСНОСТИ ИНФОРМАЦИИ В ИНФОРМАЦИОННЫХ СИСТЕМАХ
(ПРОЕКТ) 2015

=ОБЩИЕ ПОЛОЖЕНИЯ=

Настоящий методический документ ФСТЭК России «Методика определения угроз безопасности информации в информационных системах» (далее - Методика) разработан и утвержден в соответствии с подпунктом 4 пункта 8 Положения о Федеральной службе по техническому и экспортному контролю, утвержденного Указом Президента Российской Федерации от 16 августа 2004 г. № 1085.

Документ устанавливает единый методический подход к определению угроз безопасности информации и разработке моделей угроз безопасности информации в государственных информационных системах (далее – информационные системы), защита информации в которых обеспечивается в соответствии с Требованиями о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах, утвержденными приказом ФСТЭК России от 11 февраля 2013 г. № 17 (зарегистрирован Минюстом России 31 мая 2013 г., рег. № 28608).

По решению оператора персональных данных Методика может применяться для определения в соответствии с пунктом 1 части 2 статьи 19 Федерального закона «О персональных данных» угроз безопасности персональных данных при их обработке в информационных системах персональных данных, защита которых обеспечивается в соответствии с Составом и содержанием организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденных приказом ФСТЭК России от 18 февраля 2013 г. № 21 (зарегистрирован Минюстом России 14 мая 2013 г., рег. № 28375).

Методика не распространяется на определение угроз безопасности информации, составляющей государственную тайну.

Методика предназначена для:
*органов государственной власти, органов местного самоуправления и организаций, являющихся в соответствии с законодательством Российской Федерации обладателями информации, заказчиками и (или) операторами информационных систем;
*организаций, осуществляющих в соответствии с законодательством Российской Федерации работы по созданию (проектированию) информационных систем;
*организаций, осуществляющих в соответствии с законодательством Российской Федерации работы по защите информации в ходе создания (проектирования) и эксплуатации информационных систем;
*организаций, осуществляющих в соответствии с законодательством Российской Федерации работы по аттестации (оценке соответствия) информационных систем требованиям о защите информации.

Настоящая Методика применяется на этапах создания информационных систем для определения и оценки угроз безопасности информации и разработки моделей угроз, а также в ходе эксплуатации информационных систем при периодическом пересмотре (переоценке) угроз безопасности информации.

Методика применяется совместно с банком данных угроз безопасности информации, сформированным ФСТЭК России (ubi.fstec.ru), а также базовыми и типовыми моделями угроз безопасности информации в информационных системах различных классов и типов, разрабатываемых ФСТЭК России в соответствии с подпунктом 4 пункта 8 Положения о Федеральной службе по техническому и экспортному контролю, утвержденного Указом Президента Российской Федерации от 16 августа 2004 г. № 1085.

Методика ориентирована на определение и оценку антропогенных угроз безопасности информации, возникновение которых обусловлено объективными факторами. Вместе с тем, часть приведенных в Методике подходов может также применяться для оценки техногенных угроз в случае, если они позволяют достичь целей такой оценки. Определение угроз, связанных со стихийными бедствиями и природными явлениями осуществляется в соответствии с правилами, установленными уполномоченными федеральными органами исполнительной власти, национальными стандартами и находятся за рамками настоящей Методики.

В случае, если в соответствии с настоящей Методикой к числу актуальных угроз, отнесены угрозы, связанные с утечкой информации по техническим каналам, дальнейшая их оценка проводится в соответствии со специальными требованиями и рекомендациями по технической защите конфиденциальной информации и методиками оценки защищенности конфиденциальной информации.

В Методике используются термины и их определения, установленные
национальными стандартами в области защиты информации.

В связи с утверждением настоящего методического документа не применяется для определения угроз безопасности информации Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных (ФСТЭК России, 2008 г.).

=ПРОЦЕСС ОПРЕДЕЛЕНИЯ УГРОЗ БЕЗОПАСНОСТИ ИНФОРМАЦИИ В ИНФОРМАЦИОННОЙ СИСТЕМЕ=

Целью определения угроз безопасности информации является установление того, существует ли возможность нарушения конфиденциальности, целостности или доступности информации, содержащейся в информационной системе, и приведет ли нарушение хотя бы одного из указанных свойств безопасности информации к наступлению неприемлемых негативных последствий (ущерба) для обладателя информации или оператора, а в случае обработки персональных данных и для субъектов персональных данных.

Определение угроз безопасности информации должно носить систематический характер и осуществляться как на этапе создания информационной системы и формирования требований по ее защите, так и в ходе эксплуатации информационной системы. Систематический подход к определению угроз безопасности информации необходим для того, чтобы определить потребности в конкретных требованиях к защите информации и создать адекватную эффективную систему защиты информации в информационной системе. Меры защиты информации, принимаемые обладателем информации и оператором, должны обеспечивать эффективное и своевременное выявление и блокирование (нейтрализацию) угроз безопасности информации, в результате реализации которых возможно наступление неприемлемых негативных последствий (ущерба).

Систематический подход к определению угроз безопасности информации предусматривает реализацию непрерывного процесса, в рамках которого определяется область применения процесса определения угроз, идентифицируются источники угроз и угрозы безопасности информации, оценивается возможность реализации угроз безопасности информации и степень возможного ущерба в случае такой реализации, осуществляется мониторинг (периодический пересмотр) и переоценка угроз безопасности информации.

Оценка угроз безопасности информации проводится экспертным методом.

Рекомендации по формированию экспертной группы и проведению экспертной оценки при определении угроз безопасности информации приведены в приложении № 1 к настоящей Методике.

==а) область применения процесса определения угроз безопасности информации==

На этапах принятия решения о необходимости защиты информации в информационной системе и разработки требований к защите информации должны быть определены физические и логические границы информационной системы, в которых принимаются и контролируются меры защиты информации, за которые ответственен оператор, а также определены объекты защиты и сегменты информационной системы.

Процесс определения угроз безопасности информации должен охватывать все объекты защиты и сегменты в логических и физических границах информационной системы, в которых оператором принимаются и контролируются меры защиты информации. Процесс определения угроз безопасности информации организуется подразделением оператора, назначенным ответственным за защиту информации в информационной системе. В случае, если информационная система имеет сегменты, эксплуатируемые разными подразделениями оператора, которые могут самостоятельно принимать и контролировать меры защиты информации, должны быть определены границы ответственности этих подразделений и порядок их взаимодействия в процессе определения угроз безопасности информации.

Область применения процесса определения угроз безопасности информации отражается в модели угроз безопасности информации наряду с областью действия модели угроз, структурно-функциональными характеристиками информационной системы и особенностями ее функционирования.

==б) идентификация источников угроз и угроз безопасности информации==

В обобщенном виде угрозы безопасности информации характеризуется источниками угроз, факторами, обуславливающими возможность реализации угроз, способами (методами) реализации угроз и последствиями от реализации угроз безопасности информации.

Важным этапом в процессе определения угроз безопасности информации является идентификация лиц или событий (явлений), в результате действий (наступления, возникновения) которых возможно нарушение конфиденциальности, целостности или доступности информации, содержащейся в информационной системе, и возникновение неприемлемых негативных последствий (ущерба).

В качестве источников угроз безопасности информации могут выступать субъекты (физические лица, организации, государства) или явления (техногенные аварии, стихийные бедствия, иные природные явления).

Источники угроз безопасности информации являются определяющим фактором при определении угроз безопасности информации в информационных системах. В процессе определения угроз безопасности информации подлежат оценке те угрозы, у которых есть источники и источники имеют возможности и условия для реализации угроз безопасности информации в информационной системе с заданными структурно-функциональными характеристиками и особенностями ее функционирования.

Источники угроз безопасности информации могут быть следующих типов:
*антропогенные источники (антропогенные угрозы);
*техногенные источники (техногенные угрозы);
*стихийные источники (угрозы стихийных бедствий, иных природных явлений).

В качестве источников антропогенных угроз безопасности информации могут выступать:
*лица, осуществляющие преднамеренные действия с целью доступа к информации (воздействия на информацию), содержащейся в информационной системе, или нарушения функционирования информационной системы или обслуживающей ее инфраструктуры (преднамеренные угрозы безопасности информации);
*лица, имеющие доступ к информационной системе, не преднамеренные действия которых могут привести к нарушению безопасности информации (непреднамеренные угрозы безопасности информации).

Для информационных систем, в которых целью защиты является обеспечение целостности и доступности обрабатываемой информации, в обязательном порядке подлежат оценке техногенные угрозы, связанные с отказами или сбоями в работе технических средств или программного обеспечения. Такие угрозы могут быть обусловлены:
*низким качеством (надежностью) технических, программных или программно-технических средств;
*низким качеством (надежностью) сетей связи и (или) услуг связи;
*отсутствием или низкой эффективностью систем резервирования или дублирования программно-технических и технических средств;
*низким качеством (надежностью) инженерных систем (кондиционирования, электроснабжения, охранных систем и т.д.);
*низким качеством обслуживания со стороны обслуживающих организаций и лиц.

При определении угроз безопасности информации оценке подлежат угрозы, связанные со всеми типами источников. Однако в целях создания и эксплуатации адекватной эффективной системы защиты информации в информационной системе следует, в первую очередь, уделять внимание оценке антропогенных угроз, связанных с несанкционированными (неправомерными) действиями субъектов по нарушению безопасности (конфиденциальности, целостности, доступности) информации, в том числе целенаправленными воздействиями программными (программно-техническими) средствами на информационные системы, осуществляемые в целях нарушения (прекращения) их функционирования (компьютерные атаки).

Также при определении угроз безопасности информации наряду с угрозами, реализация которых может привести непосредственно к нарушению конфиденциальности, целостности или доступности информации (прямыми угрозами), необходимо выявлять и оценивать угрозы, создающие условия для реализации прямых угроз безопасности информации (косвенные угрозы). В качестве косвенных угроз безопасности информации могут рассматриваться угрозы повышения привилегий, исчерпания вычислительных ресурсов, недоступности обновления программного обеспечения и иные угрозы безопасности информации.

В процессе определения угроз безопасности информации на всех стадиях (этапах) жизненного цикла информационных систем необходимо регулярно проводить идентификацию источников угроз, оценивать их возможности и определять на этой основе угрозы безопасности информации. Данные о нарушителях и их возможностях по реализации угроз безопасности информации, полученные при идентификации источников угроз, включаются в модели угроз безопасности информации.

Для идентификации угроз безопасности информации в информационной системе определяются:
*возможности (тип, вид, потенциал) нарушителей, необходимые им для реализации угроз безопасности информации;
*уязвимости, которые могут использоваться при реализации угроз безопасности информации (включая специально внедренные программные закладки);
*способы (методы) реализации угроз безопасности информации;
*объекты информационной системы, на которые направлена угроза безопасности информации (объекты воздействия);
*результат и последствия от реализации угроз безопасности информации.

Каждая угроза безопасности информации в информационной системе описывается (идентифицируется) следующим образом:
УБИj = [нарушитель (источник угрозы); уязвимости; способы реализации угрозы; объекты воздействия; последствия от реализации угрозы].

==в) оценка вероятности (возможности) реализации угроз безопасности информации и степени возможного ущерба==
Идентифицированная угроза безопасности информации подлежит нейтрализации (блокированию), если она является актуальной (УБИj А ) для информационной системы, то есть в информационной системе с заданными структурно функциональными характеристиками и особенностями функционирования существует вероятность (возможность) реализации рассматриваемой угрозы нарушителем с соответствующим потенциалом и ее реализация приведет к неприемлемым негативным последствиям (ущербу):
УБИj А = [вероятность (возможность) реализации угрозы (Рj); степень ущерба (Хj)].

Актуальные угрозы безопасности информации включаются в модель угроз безопасности информации. Модель угроз безопасности информации, учитывая особенности информационной системы, используемые в ней программные, программно-технические, технические средства и процессы обработки информации, дает описание угроз безопасности, которым подвержена информационная система. Структура модели угроз безопасности информации приведена в приложении № 2 к настоящей Методике.

==г) мониторинг и переоценка угроз безопасности информации==

Определение угроз безопасности информации на этапе создания информационной системы позволяет обеспечить формирование требований и внедрение эффективной адекватной системы защиты информации в информационной системе для угроз, актуальных к моменту ввода в эксплуатацию информационной системы.

В ходе эксплуатации информационной системы оператор, обеспечивая достижение целей и задач информационной системы, может изменять ее базовую конфигурацию, что приводит к изменению структурно-функциональных характеристик информационной системы и применяемых информационных технологий. Также в процессе эксплуатации возможно изменение состава и значимости обрабатываемой информации и особенностей функционирования информационной системы.

В этих условиях процесс определения угроз безопасности информации должен носить систематический характер. В ходе эксплуатации информационной системы регулярно проводится анализ изменения угроз безопасности информации, а актуальные угрозы безопасности информации подлежат периодической переоценке. Периодичность переоценки определяется организацией исходя из особенностей функционирования информационной системы. Рекомендуется пересматривать угрозы безопасности информации не реже одного раза в год. По результатам анализа проводится уточнение (при необходимости) модели угроз
безопасности информации.

Пересмотр (переоценка) угроз безопасности информации, как минимум, осуществляется в случаях:
*изменения требований законодательства Российской Федерации о защите информации, нормативных правовых актов и методических документов, регламентирующих защиту информации;
*изменения конфигурации (состава основных компонентов) и особенностей функционирования информационной системы, следствием которых стало возникновение новых угроз безопасности информации;
*выявления уязвимостей, приводящих к возникновению новых угроз безопасности информации или к повышению возможности реализации существующих;
*появления сведений и фактов о новых возможностях нарушителей.

= ОЦЕНКА ВОЗМОЖНОСТЕЙ НАРУШИТЕЛЕЙ ПО РЕАЛИЗАЦИИ УГРОЗ БЕЗОПАСНОСТИ ИНФОРМАЦИИ (РАЗРАБОТКА МОДЕЛИ НАРУШИТЕЛЯ) =

Целью оценки возможностей нарушителей по реализации угроз безопасности информации является формирование предположения о типах, видах нарушителей, которые могут реализовать угрозы безопасности информации в информационной системе с заданными структурно-функциональными характеристиками и особенностями функционирования, а также потенциале этих нарушителей и возможных способах реализации угроз безопасности информации.

Результаты оценки возможностей нарушителей включаются в модель нарушителя, которая является составной частью (разделом) модели угроз безопасности информации и содержит:
*типы, виды и потенциал нарушителей, которые могут обеспечить реализацию угроз безопасности информации;
*цели, которые могут преследовать нарушители каждого вида при реализации угроз безопасности информации;
*возможные способы реализации угроз безопасности информации.
==а) типы нарушителей==
Типы нарушителей определяются по результатам анализа прав доступа субъектов к информации и (или) к компонентам информационной системы, а также анализа возможностей нарушителей по доступу к компонентам информационной системы исходя из структурно-функциональных характеристик и особенностей функционирования информационной системы.

В зависимости от имеющихся прав доступа нарушители могут иметь легитимный физический (непосредственный) и (или) логический доступ к компонентам информационной системы и (или) содержащейся в них информации или не иметь такого доступа.

Анализ прав доступа проводится, как минимум, в отношении следующих компонент информационной системы:
*устройств ввода/вывода (отображения) информации;
*беспроводных устройств;
*программных, программно-технических и технических средств обработки информации;
*съемных машинных носителей информации;
*машинных носителей информации, выведенных из эксплуатации;
*активного (коммутационного) и пассивного оборудования каналов связи;
*каналов связи, выходящих за пределы контролируемой зоны.

С учетом наличия прав доступа и возможностей по доступу к информации и (или) к компонентам информационной системы нарушители подразделяются на два типа:
* внешние нарушители (тип I) – лица, не имеющие права доступа к информационной системе, ее отдельным компонентам и реализующие угрозы безопасности информации из-за границ информационной системы;
* внутренние нарушители (тип II) – лица, имеющие право постоянного или разового доступа к информационной системе, ее отдельным компонентам.

Наибольшими возможностями по реализации угроз безопасности обладают внутренние нарушители. При оценке возможностей внутренних нарушителей необходимо учитывать принимаемые оператором организационные меры по допуску субъектов к работе в информационной системе. Возможности внутреннего нарушителя существенным образом зависят от установленного порядка допуска физических лиц к информационной системе и ее компонентам, а также мер по контролю за доступом и работой этих лиц.

Внешнего нарушителя необходимо рассматривать в качестве актуального во всех случаях, когда имеются подключения информационной системы к внешним информационно-телекоммуникационным сетям и (или) имеются линии связи, выходящие за пределы контролируемой зоны, используемые для иных подключений.

==б) виды и потенциал нарушителей==

Угрозы безопасности информации в информационной системе могут быть реализованы следующими видами нарушителей:
*специальные службы иностранных государств (блоков государств);
*террористические, экстремистские группировки;
*преступные группы (криминальные структуры);
*внешние субъекты (физические лица);
*конкурирующие организации;
*разработчики, производители, поставщики программных, технических и программно-технических средств;
*лица, привлекаемые для установки, наладки, монтажа, пусконаладочных и иных видов работ;
*лица, обеспечивающие функционирование информационных систем или обслуживающие инфраструктуру оператора (администрация, охрана, уборщики и т.д.);
*пользователи информационной системы;
*администраторы информационной системы и администраторы безопасности;
*бывшие работники (пользователи).

Виды нарушителей, характерных для информационной системы с заданными структурно-функциональными характеристиками и особенностями функционирования, определяются на основе предположений (прогноза) о возможных целях (мотивации) при реализации угроз безопасности информации этими нарушителями.

В качестве возможных целей (мотивации) реализации нарушителями угроз безопасности информации в информационной системе могут быть:
* нанесение ущерба государству, отдельным его сферам деятельности или секторам экономики;
* реализация угроз безопасности информации по идеологическим или политическим мотивам;
* организация террористического акта;
* причинение имущественного ущерба путем мошенничества или иным преступным путем;
* дискредитация или дестабилизация деятельности органов государственной власти, организаций;
* получение конкурентных преимуществ;
* внедрение дополнительных функциональных возможностей в программное обеспечение или программно-технические средства на этапе разработки;
* любопытство или желание самореализации;
* выявление уязвимостей с целью их дальнейшей продажи и получения финансовой выгоды;
* реализация угроз безопасности информации из мести;
* реализация угроз безопасности информации непреднамеренно из-за неосторожности или неквалифицированных действий.

Предположения о целях (мотивации) нарушителей делаются с учетом целей и задач информационной системы, вида обрабатываемой информации, а также с учетом результатов оценки степени возможных последствий (ущерба) от нарушения конфиденциальности, целостности или доступности информации.

Виды нарушителя и их возможные цели (мотивация) реализации угроз безопасности информации приведены в таблице 1.

Таблица 1
№
вида
Виды
нарушителя
Типы
нарушителя
Возможные цели (мотивация)
реализации угроз безопасности
информации
1 Специальные службы
иностранных государств
(блоков государств)
Внешний,
внутренний
Нанесение ущерба государству,
отдельным его сферам деятель-
ности или секторам экономики.
Дискредитация или дестабили-
зация деятельности органов
государственной власти, орга-
низаций
2 Террористические, экс-
тремистские группиров-
ки
Внешний Нанесение ущерба государству,
отдельным его сферам деятель-
ности или секторам экономики.
Совершение террористических
актов.
Идеологические или политиче-
ские мотивы.
Дестабилизация деятельности
органов государственной вла-
13
сти, организаций
3 Преступные группы
(криминальные структу-
ры)
Внешний Причинение имущественного
ущерба путем мошенничества
или иным преступным путем.
Выявление уязвимостей с це-
лью их дальнейшей продажи и
получения финансовой выгоды
4 Внешние субъекты (фи-
зические лица)
Внешний Идеологические или политиче-
ские мотивы.
Причинение имущественного
ущерба путем мошенничества
или иным преступным путем.
Любопытство или желание са-
мореализации (подтверждение
статуса).
Выявление уязвимостей с це-
лью их дальнейшей продажи и
получения финансовой выгоды
5 Конкурирующие орга-
низации
Внешний Получение конкурентных пре-
имуществ.
Причинение имущественного
ущерба путем обмана или зло-
употребления доверием
6 Разработчики, произво-
дители, поставщики про-
граммных, технических и
программно-технических
средств
Внешний Внедрение дополнительных
функциональных возможностей
в программное обеспечение или
программно-технические сред-
ства на этапе разработки.
Причинение имущественного
ущерба путем обмана или зло-
употребления доверием.
Непреднамеренные, неосто-
рожные или неквалифициро-
ванные действия
7 Лица, привлекаемые для
установки, наладки, мон-
тажа, пусконаладочных и
иных видов работ
Внутренний Причинение имущественного
ущерба путем обмана или зло-
употребления доверием.
Непреднамеренные, неосто-
рожные или неквалифициро-
ванные действия
8 Лица, обеспечивающие
функционирование ин-
формационных систем
или обслуживающие ин-
фраструктуру оператора
Внутренний Причинение имущественного
ущерба путем обмана или зло-
употребления доверием.
Непреднамеренные, неосто-
рожные или неквалифициро-
14
(администрация, охрана,
уборщики и т.д.)
ванные действия
9 Пользователи информа-
ционной системы
Внутренний Причинение имущественного
ущерба путем мошенничества
или иным преступным путем.
Любопытство или желание са-
мореализации (подтверждение
статуса).
Месть за ранее совершенные
действия.
Непреднамеренные, неосто-
рожные или неквалифициро-
ванные действия
10 Администраторы ин-
формационной системы
и администраторы без-
опасности
Внутренний Причинение имущественного
ущерба путем мошенничества
или иным преступным путем.
Любопытство или желание са-
мореализации (подтверждение
статуса).
Месть за ранее совершенные
действия.
Выявление уязвимостей с це-
лью их дальнейшей продажи и
получения финансовой выгоды.
Непреднамеренные, неосто-
рожные или неквалифициро-
ванные действия
11 Бывшие работники
(пользователи)
Внешний Причинение имущественного
ущерба путем мошенничества
или иным преступным путем.
Месть за ранее совершенные
действия

При оценке возможностей нарушителей необходимо исходить из условий, что для повышения своих возможностей нарушители 1 вида могут вступать в сговор с нарушителями 3, 4, 6, 7, 8, 9 и 10 видов. Нарушители 2 вида могут вступать в сговор с нарушителями 4, 7, 8, 9 и 10 видов. Нарушители 3 вида могут вступать в сговор с нарушителями 4, 7, 8, 9 и 10 видов. В случае принятия таких предположений цели (мотивация) и возможности нарушителей подлежат объединению.

Возможности каждого вида нарушителя по реализации угроз безопасности информации характеризуются его потенциалом. Потенциал нарушителя определяется компетентностью, ресурсами и мотивацией, требуемыми для реализации угроз безопасности информации в информационной системе с заданными структурно-функциональными характеристиками и особенностями функционирования.

В зависимости от потенциала, требуемого для реализации угроз безопасности информации, нарушители подразделяются на:
*нарушителей, обладающих базовым (низким) потенциалом нападения при реализации угроз безопасности информации в информационной системе;
*нарушителей, обладающих базовым повышенным (средним) потенциалом нападения при реализации угроз безопасности информации в информационной системе;
*нарушителей, обладающих высоким потенциалом нападения при реализации угроз безопасности информации в информационной системе.

Потенциал нарушителей и их возможности приведены в таблице 2.

Таблица 2
№ Потенциал
нарушителей
Виды
нарушителей
Возможности по реализации угроз без-
опасности информации
1 Нарушители с
базовым (низ-
ким) потенци-
алом
Внешние субъ-
екты (физические
лица),
лица, обеспечи-
вающие функци-
онирование ин-
формационных
систем или об-
служивающих
инфраструктуру
оператора,
пользователи
информационной
системы,
бывшие работ-
ники,
лица, привлека-
емые для уста-
новки, наладки,
монтажа, пуско-
наладочных и
иных работ
Имеют возможность получить инфор-
мацию об уязвимостях отдельных ком-
понент информационной системы,
опубликованную в общедоступных ис-
точниках.
Имеют возможность получить инфор-
мацию о методах и средствах реализа-
ции угроз безопасности информации
(компьютерных атак), опубликованных
в общедоступных источниках, и (или)
самостоятельно осуществляет создание
методов и средств реализации атак и
реализацию атак на информационную
систему
2 Нарушители с
базовым по-
вышенным
(средним) по-
тенциалом
Террористиче-
ские, экстремист-
ские группиров-
ки,
преступные
группы (крими-
нальные структу-
Обладают всеми возможностями
нарушителей с базовым потенциалом.
Имеют осведомленность о мерах за-
щиты информации, применяемых в ин-
формационной системе данного типа.
Имеют возможность получить инфор-
мацию об уязвимостях отдельных ком-
16
ры),
конкурирующие
организации,
разработчики,
производители,
поставщики про-
граммных, техни-
ческих и про-
граммно-
технических
средств,
администраторы
информационной
системы и адми-
нистраторы без-
опасности
понент информационной системы пу-
тем проведения, с использованием
имеющихся в свободном доступе про-
граммных средств, анализа кода при-
кладного программного обеспечения и
отдельных программных компонент
общесистемного программного обеспе-
чения.
Имеют доступ к сведениям о струк-
турно-функциональных характеристи-
ках и особенностях функционирования
информационной системы
3 Нарушители с
высоким по-
тенциалом
Специальные
службы ино-
странных госу-
дарств (блоков
государств)
Обладают всеми возможностями
нарушителей с базовым и базовым по-
вышенным потенциалами.
Имеют возможность осуществлять не-
санкционированный доступ из выде-
ленных (ведомственных, корпоратив-
ных) сетей связи, к которым возможен
физический доступ (незащищенных ор-
ганизационными мерами).
Имеют возможность получить доступ
к программному обеспечению чипсетов
(микропрограммам), системному и при-
кладному программному обеспечению,
телекоммуникационному оборудова-
нию и другим программно-техническим
средствам информационной системы
для преднамеренного внесения в них
уязвимостей или программных закла-
док.
Имеют хорошую осведомленность о
мерах защиты информации, применяе-
мых в информационной системе, об ал-
горитмах, аппаратных и программных
средствах, используемых в информаци-
онной системе.
Имеют возможность получить инфор-
мацию об уязвимостях путем проведе-
ния специальных исследований (в том
числе с привлечением специализиро-
17
ванных научных организаций) и приме-
нения специально разработанных
средств для анализа программного
обеспечения.
Имеют возможность создания методов
и средств реализации угроз безопасно-
сти информации с привлечением специ-
ализированных научных организаций и
реализации угроз с применением специ-
ально разработанных средств, в том
числе обеспечивающих скрытное про-
никновение в информационную систе-
му и воздействие на нее.
Имеют возможность создания и при-
менения специальных технических
средств для добывания информации
(воздействия на информацию или тех-
нические средства), распространяю-
щейся в виде физических полей или яв-
лений

==в) возможные способы реализации угроз безопасности информации==

Целью определения возможных способов реализации угроз безопасности информации является формирование предположений о возможных сценариях реализации угроз безопасности информации, описывающих последовательность (алгоритмы) действий отдельных видов нарушителей или групп нарушителей и применяемые ими методы и средства для реализации угроз безопасности информации.

Возможные способы реализации угроз безопасности информации зависят от структурно-функциональных характеристик и особенностей функционирования информационной системы.

Угрозы безопасности информации могут быть реализованы нарушителями за счет:
*несанкционированного доступа и (или) воздействия на объекты на аппаратном уровне (программы (микропрограммы), «прошитые» в аппаратных компонентах (чипсетах));
*несанкционированного доступа и (или) воздействия на объекты на общесистемном уровне (базовые системы ввода-вывода, гипервизоры, операционные системы);
*несанкционированного доступа и (или) воздействия на объекты на прикладном уровне (системы управления базами данных, браузеры, web-приложения, иные прикладные программы общего и специального назначения);
*несанкционированного доступа и (или) воздействия на объекты на сетевом уровне (сетевое оборудование, сетевые приложения, сервисы);
*несанкционированного физического доступа и (или) воздействия на линии, (каналы) связи, технические средства, машинные носители информации;
*воздействия на пользователей, администраторов безопасности, администраторов информационной системы или обслуживающий персонал (социальная инженерия).

Действия нарушителя в зависимости от его потенциала при реализации угроз безопасности информации предусматривают идентификацию и использование уязвимостей в микропрограммном, общесистемном и прикладном программном обеспечении, сетевом оборудовании, применяемых в информационной системе, а также в организации работ по защите информации и конфигурации информационной системы.

При определении способа реализации угроз безопасности информации необходимо учитывать то, что угрозы безопасности информации могут быть реализованы непосредственно за счет доступа к компонентам информационной системы и (или) информации или опосредовано (косвенно) за счет создания условий и (или) средств, обеспечивающих такой доступ, а также за счет доступа или воздействия на обслуживающую инфраструктуру, за которую оператор не отвечает. При этом локальной целью нарушителя, не имеющего доступа (прав доступа) к компонентам информационной системы и (или) информации, как правило,
является получение доступа к информационной системе (в том числе через внешние сети связи общего пользования) и получение максимально возможных прав и привилегий при таком доступе.

Нарушители могут совершать действия, следствием которых является нарушение безопасности информации, преднамеренно (преднамеренные грозы безопасности информации) или случайно (непреднамеренные грозы безопасности информации).

Преднамеренные действия нарушителей могут заключаться в реализации целенаправленных или нецеленаправленных угроз безопасности информации.

Целенаправленная угроза безопасности информации направлена на интересующую нарушителя информационную систему с заранее известными ему структурно-функциональными характеристиками и особенностями функционирования. Целенаправленная угроза безопасности информации адаптирована к структурно-функциональным характеристикам информационной системы. При подготовке и реализации целенаправленных угроз безопасности информации нарушитель может использовать методы социальной инженерии, которые позволяют ему изучить поведение пользователей и их реакцию на поступающие к ним внешние данные.

Нецеленаправленная («веерная») угроза безопасности информации не ориентирована на конкретную информационную систему. Целями такой угрозы могут являться несанкционированный доступ, перехват управления или воздействие на как можно большее количество информационных систем. В данном случае нарушителю заранее не известны структурно-функциональные характеристики и условия функционирования информационной системы.

Реализация преднамеренных угроз безопасности информации, как правило, включает:
*сбор информации об информационной системе, ее структурно-функциональных характеристиках, условиях функционирования;
*выбор (разработка, приобретение) методов и средств, используемых для реализации угроз безопасности информации в информационной системе с заданными структурно-функциональными характеристиками и условиями функционирования;
*непосредственная реализация угроз безопасности информации в информационной системе (проникновение в информационную систему, закрепление в информационной системе, реализация неправомерных действий);
*устранение признаков и следов неправомерных действий в информационной системе.

В зависимости от целей и потенциала нарушителя на каждом из этапов могут эксплуатироваться одна или несколько уязвимостей информационной системы.

При определении возможных способов реализации угроз безопасности информации необходимо исходить из следующих условий:
*нарушитель может действовать один или в составе группы нарушителей;
*в отношении информационной системы внешний нарушитель может действовать совместно с внутренним нарушителем;
*угрозы могут быть реализованы в любое время и в любой точке информационной системы (на любом узле или хосте);
*для достижения своей цели нарушитель выбирает наиболее слабое звено информационной системы.

Возможные способы реализации угроз безопасности информации, определенные на основе настоящего раздела, включаются в модель угроз безопасности информации.

= ОПРЕДЕЛЕНИЕ АКТУАЛЬНЫХ УГРОЗ БЕЗОПАСНОСТИ ИНФОРМАЦИИ В ИНФОРМАЦИОННОЙ СИСТЕМЕ =

Угроза безопасности информации является актуальной (УБИj А ), если для информационной системы с заданными структурно-функциональными характеристиками и особенностями функционирования существует вероятность реализации рассматриваемой угрозы нарушителем с соответствующим потенциалом и ее реализация приведет к неприемлемым негативным последствиям (ущербу) от нарушения конфиденциальности, целостности или доступности информации.

В качестве показателя актуальности угрозы безопасности информации (УБИj А ) принимается двухкомпонентный вектор, первый компонент которого характеризует вероятность реализации угрозы (Рj), а второй – степень возможного ущерба в случае ее реализации (Хj)

УБИj А = [вероятность реализации угрозы (Рj); степень ущерба (Хj)], где Рj определятся на основе анализа статистических данных о частоте реализации угроз безопасности информации (возникновении инцидентов безопасности) в информационной системе и (или) однотипных информационных системах, а Хj определяется на основе оценок степени последствий от нарушения конфиденциальности, целостности или доступности информации.

При отсутствии статистических данных о реализации угроз безопасности информации (возникновении инцидентов безопасности) в информационной системе и (или) однотипных информационных системах, актуальность угрозы безопасности информации определяется на основе оценки возможности реализации угрозы безопасности информации (Yj) УБИj А = [возможность реализации угрозы (Yj); степень ущерба (Хj)], где Yj определятся на основе оценки уровня защищенности информационной системы и потенциала нарушителя, требуемого для реализации угрозы безопасности. Хj также определяется на основе оценок степени последствий от
нарушения конфиденциальности, целостности или доступности информации.

Актуальность угроз безопасности информации определяется в отношении угроз, для которых экспертным методом определено, что:
*возможности (потенциал) нарушителя достаточны для реализации угрозы безопасности информации;
*в информационной системе могут иметься потенциальные уязвимости, которые могут быть использованы при реализации j-ой угрозы безопасности информации;
*структурно-функциональные характеристики и особенности функционирования информационной системы не исключают возможности применения способов, необходимых для реализации j-ой угрозы безопасности информации (существует сценарий реализации угрозы безопасности);
*реализация угрозы безопасности информации приведет к нарушению конфиденциальности, целостности или доступности информации, в результате которого возможно возникновение неприемлемых негативных последствий (ущерба).

В качестве исходных данных об угрозах безопасности информации и их характеристиках используется банк данных угроз безопасности информации, сформированный и поддерживаемый ФСТЭК России, а также базовые и типовые модели угроз безопасности информации, разрабатываемые ФСТЭК России для различных классов и типов информационных систем.

Для определения угроз безопасности информации могут использоваться иные источники, в том числе опубликованные в общедоступных источниках данные об уязвимостях, компьютерных атаках, вредоносном программном
обеспечении, а также результаты специально проведенных исследований по выявлению угроз безопасности информации. В этом случае потенциал нарушителя, возможные уязвимости, способы реализации угрозы безопасности информации и последствия от ее реализации определяются для каждой угрозы безопасности информации.
==а) оценка вероятности (возможности) реализации угрозы безопасности информации==

Под вероятностью реализации угрозы безопасности информации понимается определяемый экспертным путем показатель, характеризующий, насколько вероятным является реализация j-ой угрозы безопасности информации в информационной системе с заданными структурно-функциональными характеристиками и особенностями функционирования. Вводятся три вербальные градации этого показателя:
*низкая вероятность – отсутствуют объективные предпосылки к реализации j-ой угрозы безопасности информации, отсутствует требуемая статистика по фактам реализации j-ой угрозы безопасности информации (возникновения инцидентов безопасности), отсутствует мотивация для реализации j-ой угрозы, возможная частота реализации j-ой угрозы не превышает 1 раза в 5 лет;
*средняя вероятность – существуют предпосылки к реализации j-ой угрозы безопасности информации, зафиксированы случаи реализации j-ой угрозы безопасности информации (возникновения инцидентов безопасности) или имеется иная информация, указывающая на возможность реализации j-ой угрозы безопасности информации, существуют признаки наличия у нарушителя мотивации для реализации такой угрозы, возможная частота реализации j-ой угрозы не превышает 1 раза в год;
*высокая вероятность – существуют объективные предпосылки к реализации j-ой угрозы безопасности информации, существует достоверная статистика реализации j-ой угрозы безопасности информации (возникновения инцидентов безопасности) или имеется иная информация, указывающая на высокую возможность реализации j-ой угрозы безопасности информации, у нарушителя имеются мотивы для реализации j-ой угрозы, частота реализации j-ой угрозы – чаще 1 раза в год.

В случае отсутствия требуемых данных для оценки вероятности реализации угрозы безопасности информации или наличия сомнений в объективности экспертных оценок при определении вербальных градаций вероятности реализации угроз безопасности информации, актуальность j-ой угрозы безопасности информации определяется на основе оценки возможности ее реализации (Yj).

Возможность реализации j-ой угрозы безопасности информации (Yj) оценивается исходя из уровня защищенности информационной системы (Y1) и потенциала нарушителя (Y2), необходимого для реализации этой угрозы безопасности информации в информационной системе с заданными структурнофункциональными характеристиками и особенностями функционирования:
*Yj = [уровень защищенности (Y1); потенциал нарушителя (Y2)].

При определении угроз безопасности информации на этапе создания информационной системы в случае, когда меры защиты информации не реализованы или не проведена оценка их достаточности и эффективности, оценка возможности реализации j-ой угрозы безопасности информации (Yj) проводится относительно уровня проектной защищенности информационной системы (Y1П):
*Yj = [уровень проектной защищенности (Y1П); потенциал нарушителя (Y2)].

Под уровнем проектной защищенности (Y1П) понимается исходная защищенность информационной системы, обусловленная заданными при проектировании структурно-функциональными характеристиками и условиями ее функционирования. Уровень проектной защищенности (Y1П) определяется на основе анализа проектных структурно-функциональных характеристик, приведенных в таблице 3.

Показатели, характеризующие проектную защищенность информационной системы

Таблица 3
Структурно-функциональные характе-
ристики информационной системы,
условия ее эксплуатации
Уровень проектной защищенности ин-
формационной системы (Y1П)
Высокий Средний Низкий
1. По структуре информационной си-
стемы:
автономное автоматизированное рабо-
чее место;
локальная информационная система;
распределенная информационная си-
стема
+
+
+
2. По используемым информационным
технологиям:
23
системы на основе виртуализации;
системы, реализующие «облачные
вычисления»;
системы с мобильными устройства-
ми;
системы с технологиями беспровод-
ного доступа;
грид
-системы;
суперкомпьютерные системы
+
+++++
3
. По архитектуре информационной
системы
:
системы на основе «тонкого клиен-
та»;
системы на основе одноранговой
се-
ти
;
файл
-серверные системы
;
центры обработки данных;
системы с уд
аленным доступом
пользователей;
использование разных типов опера-
ционных систем (гетерогенность сре-
ды)
;
использование прикладных про-
грамм, независимых от операционных
систем
;
использование выделенных каналов
связи
+
++++
+++
4
. По наличию (отсутствию) взаимо-
связей с иными информационными си-
стемами
:
взаимодействующая с системами
;
невзаимодействующая с системами
+
+
5
. По наличию (отсутствию) взаимо-
связей (подключений)
к сетям связи
общего пользования
:
подключенная
;
подключенная через выделенную
инфраструктуру (gov
.ru или иную);
неподключенной
+
+
+
6
. По размещению технических
средств:
расположенные в пределах одной
контролируемой зоны;
расположенные в пределах несколь-
ких контролируемых зон;
+
+
24
расположенные вне контролируемой
зоны
+
7. По режимам обработки информации
в информационной системе:
многопользовательский;
однопользовательский +
+
8. По режимам разграничения прав до-
ступа:
без разграничения;
с разграничением +
+
9. По режимам разделения функций по
управлению информационной системой:
без разделения;
выделение рабочих мест для адми-
нистрирования в отдельный домен;
использование различных сетевых
адресов;
использование выделенных каналов
для администрирования
+
+
+
+
10. По подходам к сегментированию
информационной системы:
без сегментирования;
с сегментированием +
+

В ходе создания информационной системы уровень ее проектной защищенности (Y1П) определяется следующим образом:
*а) информационная система имеет высокий уровень проектной защищенности (Y1П), если не менее 80% характеристик информационной системы соответствуют уровню «высокий» (суммируются положительные решения по второму столбцу, соответствующему высокому уровню защищенности), а остальные - среднему уровню защищенности (положительные решения по третьему столбцу);
*б) информационная система имеет средний уровень проектной защищенности (Y1П), если не выполняются условия по пункту а) и не менее 90% характеристик информационной системы соответствуют уровню не ниже «средний» (берется отношение суммы положительных решений по третьему столбцу, соответствующему среднему уровню защищенности, к общему количеству решений), а остальные - низкому уровню защищенности;
*в) информационная система имеет низкий уровень проектной защищенности (Y1П), если не выполняются условия по пунктам а) и б).

В соответствии с требованиями о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах, до ввода в эксплуатацию информационной системы должны быть реализованы меры защиты информации, направленные на блокирование (нейтрализацию) актуальных угроз безопасности информации. Таким образом, ввод в эксплуатацию информационной системы осуществляется при условии достижения высокого уровня исходной защищенности информационной системы от нарушителя с заданным потенциалом.

Вместе с тем, в ходе эксплуатации информационной системы возможно появление новых уязвимостей, повышение потенциала нарушителя, изменение структурно-функциональных характеристик, значимости обрабатываемой информации, особенностей функционирования информационной системы и других условий, приводящих к возникновению новых угроз безопасности информации, которые могут существенно снизить уровень проектной защищенности информационной системы. В этом случае для поддержания уровня защищенности информационной системы в ходе эксплуатации должен проводиться регулярный анализ изменения угроз безопасности информации, а актуальные угрозы безопасности информации подлежат периодической переоценке.

В ходе эксплуатации информационной системы уровень ее защищенности (Y1) определяется следующим образом:
*а) в информационной системе обеспечивается высокий уровень защищенности (Y1), если в ходе эксплуатации информационной системы не появились дополнительные угрозы безопасности информации или в отношении появившихся дополнительных угроз безопасности информации с высокой оперативностью («за минуты») могут быть приняты меры защиты информации, нейтрализующие эти угрозы;
*б) в информационной системе обеспечивается средний уровень защищенности (Y1), если в ходе эксплуатации информационной системы появились дополнительные угрозы безопасности информации и в отношении них оперативно («за часы») могут быть приняты меры защиты информации, нейтрализующие эти угрозы;
*в) в информационной системе обеспечивается низкий уровень защищенности (Y1), если в ходе эксплуатации информационной системы появились дополнительные угрозы безопасности информации и в отношении них не могут быть с высокой оперативностью или оперативно приняты меры защиты информации, нейтрализующие эти угрозы.

Потенциал, требуемый нарушителю для реализации j-ой угрозы безопасности информации, может быть базовым (низким), базовым повышенным (средним) или высоким. Значение потенциала нарушителя (Y2) для j-ой угрозы безопасности информации определяется на основе данных, приведенных в банке данных угроз безопасности информации ФСТЭК России, а также в базовых и типовых моделях угроз безопасности информации, разрабатываемых ФСТЭК России для информационных систем различных классов и типов. В случае отсутствия информации о потенциале нарушителя для реализации j-ой угрозы безопасности значение потенциала (Y2) определяется в соответствии с приложением № 3 к настоящей Методике.

Возможность реализации j-ой угрозы безопасности информации (Yj) в зависимости от уровня защищенности информационной системы (Y1/Y1П) и потенциала нарушителя (Y2) определяется как высокая, средняя или низкая в соответствии с таблицей 4.

===Возможность реализации угрозы безопасности информации Таблица 4===
Уровень защищенности (Y1/Y1П)
Потенциал нарушителя (Y2)
Высокий Средний Низкий
Базовый (низкий) Низкая Средняя Высокая
Базовый повышенный (средний) Средняя Высокая Высокая
Высокий Высокая Высокая Высокая

==б) оценка степени возможного ущерба от реализации угрозы безопасности информации==

Для оценки степени возможного ущерба от реализации угрозы безопасности информации определяются возможный результат реализации угрозы безопасности информации в информационной системе, вид ущерба, к которому может привести реализация угрозы безопасности информации, степень последствий от реализации угрозы безопасности информации для каждого вида ущерба.

В качестве результата реализации угрозы безопасности информации рассматриваются непосредственное или опосредованное воздействие на конфиденциальность, целостность, доступность информации, содержащейся в информационной системе.

Непосредственное воздействие на конфиденциальность, целостность, доступность информации возможно в результате реализации прямой угрозы безопасности информации. В этом случае объектами воздействия угрозы являются непосредственно информация и (или) иные объекты защиты информационной системы или обеспечивающей инфраструктуры, которые обеспечивают получение, обработку, хранение, передачу, уничтожение информации в информационной системе, в результате доступа к которым или воздействия на которые возможно воздействие на конфиденциальность, целостность или доступность информации.

Опосредованное воздействие на конфиденциальность, целостность, доступность информации рассматривается в результате реализации косвенных угроз безопасности информации. Реализация косвенных угроз безопасности информации не приводит непосредственно к воздействию на конфиденциальность, целостность, доступность информации, но создает условия для реализации одной или нескольких прямых угроз безопасности информации, позволяющих реализовать такое воздействие. В этом случае в качестве результата реализации косвенной угрозы необходимо рассматривать результаты реализации всех прямых угроз безопасности информации, которые возможно реализовать в случае реализации данной косвенной угрозы.

Результат реализации угрозы безопасности информации определяется воздействием угрозы на каждое свойство безопасности информации (конфиденциальность, целостность, доступность) в отдельности в соответствии с таблицей 5.

При обработке в информационной системе двух и более видов информации (служебная тайна, персональные данные, налоговая тайна, иные установленные законодательством Российской Федерации виды информации) воздействие на конфиденциальность, целостность, доступность определяется отдельно для каждого вида информации (k, …, m), содержащейся в информационной системе.

===Таблица 5===
Свойство
безопасности
информации
Результат реализации
угрозы безопасности информации
Не оказывает воздействия Оказывает воздействие
Конфиденциаль-
ность
К Xk1
В результате реализации
угрозы безопасности инфор-
мации отсутствует возмож-
ность неправомерного досту-
па, копирования, предостав-
ления или распространения
информации
В результате реализации
угрозы безопасности ин-
формации возможны не-
правомерный доступ, ко-
пирование, предоставле-
ние или распространение
информации
Целостность
Ц Xk1
В результате реализации
угрозы безопасности инфор-
мации отсутствует возмож-
ность уничтожения или мо-
дифицирования информации
В результате реализации
угрозы безопасности ин-
формации возможно уни-
чтожение или модифици-
рование информации
Доступность
Д Xk1
В результате реализации
угрозы безопасности инфор-
мации отсутствует возмож-
ность блокирования инфор-
мации
В результате реализации
угрозы безопасности ин-
формации возможно бло-
кирование информации

При определении степени возможного ущерба необходимо исходить из того, что в зависимости от целей и задач, решаемых информационной системой, видов обрабатываемой информации, воздействие на конфиденциальность, целостность или доступность каждого вида информации, содержащейся в информационной системе, может привести к различным видам ущерба. При этом для разных обладателей информации и операторов будут характерны разные виды ущерба.

Основные виды ущерба и возможные негативные последствия, к которым может привести нарушение конфиденциальности, целостности, доступности информации, приведены в таблице 6.

===Таблица 6===
Вид
ущерба
Возможные негативнее
последствия от нарушения конфиденциальности, целост-
ности, доступности информации
Экономический
(финансовый)
Снижение, как минимум, одного экономического показа-
теля.
Потеря (кража) финансовых средств.
Недополучение ожидаемой (прогнозируемой) прибыли.
Необходимость дополнительных (незапланированных)
затрат на выплаты штрафов (неустоек) или компенсаций.
Необходимость дополнительных (незапланированных)
затрат на закупку товаров, работ или услуг (в том числе
закупка программного обеспечения, технических средств,
вышедших из строя, замена, настройка, ремонт указанных
средств).
Необходимость дополнительных (незапланированных)
затрат на восстановление деятельности.
Потеря клиентов, поставщиков.
Потеря конкурентного преимущества.
Невозможность заключения договоров, соглашений.
Другие прямые или косвенные финансовые потери
Социальный Создание предпосылок для нанесения вреда здоровью
граждан.
Возможность нарушения функционирования объектов
обеспечения жизнедеятельности граждан.
Организация пикетов, забастовок, митингов и других ак-
ций.
Увольнения.
Увеличение количества жалоб в органы государственной
власти или органы местного самоуправления.
Появление негативных публикаций в общедоступных ис-
точниках.
Невозможность (прерывание) предоставления социаль-
ных услуг (сервисов).
Другие последствия, приводящие к нарастанию социаль-
ной напряженности в обществе
Политический Создание предпосылок к обострению отношений в меж-
дународных отношениях.
Срыв двусторонних (многосторонних) контактов с зару-
бежными партнерами.
Неспособность выполнения международных (двусторон-
них) договорных обязательств.
29
Невозможность заключения международных (двусторон-
них) договоров, соглашений.
Создание предпосылок к внутриполитическому кризису.
Нарушение выборного процесса.
Другие последствия во внутриполитической и внешнепо-
литической областях деятельности
Репутационный Нарушение законодательных и подзаконных актов.
Нарушение деловой репутации.
Снижение престижа.
Дискредитация работников.
Утрата доверия.
Неспособность выполнения договорных обязательств.
Другие последствия, приводящие к нарушению репута-
ции
Ущерб в области
обороны, безопас-
ности и правопо-
рядка
Создание предпосылок к наступлению негативных по-
следствий для обороны, безопасности и правопорядка.
Нарушение общественного правопорядка.
Неблагоприятное влияние на обеспечение общественного
правопорядка.
Возможность потери или снижения уровня контроля за
общественным правопорядком.
Отсутствие возможности оперативного оповещения
населения о чрезвычайной ситуации.
Другие последствия, приводящие к ущербу в области
обороны, безопасности и правопорядка
Ущерб субъекту
персональных дан-
ных
Создание угрозы личной безопасности.
Финансовые или иные материальные потери физического
лица.
Вторжение в частную жизнь.
Создание угрозы здоровью.
Моральный вред.
Утрата репутации.
Другие последствия, приводящие к нарушению прав
субъекта персональных данных
Технологический Невозможность решения задач (реализации функций)
или снижение эффективности решения задач (реализации
функций).
Необходимость изменения (перестроения) внутренних
процедур для достижения целей, решения задач (реализа-
ции функций).
Принятие неправильных решений.
Простой информационной системы или сегмента инфор-
мационной системы
Другие последствия, приводящие к нарушению техноло-
гии обработки информации

Указанные виды ущерба могут дополняться другими видами в зависимости от целей и задач, решаемых информационной системой, а также вида обрабатываемой в ней информации.

Степень возможного ущерба от реализации угрозы безопасности информации определяется степенью негативных последствий от нарушения конфиденциальности, целостности или доступности каждого вида информации, содержащейся в информационной системе.

Степень негативных последствий от нарушения конфиденциальности, целостности или доступности информации определяется для каждого вида ущерба, зависит от целей и задач, решаемых информационной системой, и может иметь разные значения для разных обладателей информации и операторов. В качестве единой шкалы измерения степени негативных последствий принимаются значения «незначительные», «умеренные» и «существенные» негативные последствия. Каждым оператором определяется в указанной единой шкале измерений степень негативных последствий от нарушения конфиденциальности, целостности или доступности информации применительно ко всем целям и задачам, решаемым информационной системой.

Степень возможного ущерба определяется экспертным методом в соответствии с таблицей 7.

===Таблица 7===
Степень
ущерба
Характеристика степени ущерба
Высокая В результате нарушения одного из свойств безопасности
информации (конфиденциальности, целостности, доступно-
сти) возможны существенные негативные последствия.
Информационная система и (или) оператор (обладатель
информации) не могут выполнять возложенные на них
функции
Средняя В результате нарушения одного из свойств безопасности
информации (конфиденциальности, целостности, доступно-
сти) возможны умеренные негативные последствия.
Информационная система и (или) оператор (обладатель
информации) не могут выполнять хотя бы одну из возложен-
ных на них функций
Низкая В результате нарушения одного из свойств безопасности
информации (конфиденциальности, целостности, доступно-
сти) возможны незначительные негативные последствия.
Информационная система и (или) оператор (обладатель
информации) могут выполнять возложенные на них функции
с недостаточной эффективностью или выполнение функций
возможно только с привлечением дополнительных сил и
средств

При обработке в информационной системе двух и более видов информации (служебная тайна, персональные данные, налоговая тайна и иные установленные законодательством Российской Федерации виды информации) степень возможного ущерба определяется отдельно для каждого вида информации (k, …, m), обрабатываемой в информационной системе, применительно к каждому виду ущерба. Итоговая степень возможного ущерба устанавливается по наивысшим значениям степени возможного ущерба, определенным для конфиденциальности, целостности, доступности информации каждого вида информации применительно к каждому виду ущерба.

X max(Х ); i К,Ц, Д.
i
k
i
k  

==в) определение актуальности угрозы безопасности информации==

Решение об актуальности угрозы безопасности информации УБИj А для информационной системы с заданными структурно-функциональными характеристиками и условиями функционирования принимается в соответствии с таблицей 8.

===Таблица 8===
Вероятность (воз-
можность) реали-
зации угрозы (Yj)
Степень возможного ущерба (Хj)
Низкая Средняя Высокая
Низкая неактуальная неактуальная актуальная
Средняя неактуальная актуальная актуальная
Высокая актуальная актуальная актуальная

=Приложение № 1=
к Методике определения угроз безопасности информации в информационных системах

'''Рекомендации по формированию экспертной группы и проведению экспертной оценки при определении угроз безопасности информации'''

Качественное формирование экспертной группы способствует снижению субъективных факторов при оценке угроз безопасности информации. Занижение (ослабление) экспертами прогнозов и предположений при определении угроз может повлечь наступление непрогнозируемого (неожиданного) ущерба в результате реализации угрозы безопасности информации. Завышение экспертами прогнозов и предположений при определении угроз может повлечь за собой неоправданные расходы на нейтрализацию угроз, являющихся неактуальными.

Независимо от результата формирования экспертной группы при оценке угроз безопасности информации существуют субъективные факторы, связанные с психологией принятия решений человеком. Это также может приводить как к занижению (ослаблению), так и к завышению (усилению) экспертами прогнозов и предположений при определении угроз безопасности информации, что в свою очередь может привести к пропуску отдельных угроз безопасности информации или к неоправданным затратам на нейтрализацию неактуальных угроз.

Любое решение, принимаемое экспертами при определении угроз безопасности информации, должно исходить из правил, при которых нарушитель находится в наилучших условиях для реализации угрозы безопасности (принципа «гарантированности»).

==а) формирование экспертной группы==

В состав экспертной группы для определения угроз безопасности информации рекомендуется включать экспертов (независимо от того, реализуются ли функции обладателя информации, заказчика и оператора в рамках одной или нескольких организаций):
*от подразделений обладателей информации, содержащейся в информационной системе;
*от подразделений оператора информационной системы;
*от подразделения по защите информации;
*от лиц, предоставляющих услуги по обработке информации;
*от разработчика информационной системы;
*от операторов взаимодействующих внешних информационных систем (по согласованию).

В качестве экспертов рекомендуется привлекать специалистов, деятельность которых связана с обработкой информации в информационной системе, а также специалистов, имеющие квалификацию и опыт работы в области применения информационных технологий и (или) в области защиты информации.

При привлечении в качестве экспертов специалистов от подразделений по защите информации рекомендуется привлекать лиц, имеющих высшее образование или прошедших переподготовку (повышение квалификации) по направлению подготовки «Информационная безопасность», или имеющих не менее трех лет стажа практической работы в своей сфере деятельности.

Эксперты должны обладать независимостью, основанной на отсутствии коммерческого и финансового интереса или другого давления, которое может оказать влияние на принимаемые решения. Не рекомендуется формировать экспертную группу из участников, находящихся в прямом подчинении, так как это может негативным образом повлиять на результат определения угроз безопасности информации.

Состав экспертной группы зависит от целей и задач информационной системы, но не должен быть меньше трех экспертов.

==б) проведение экспертной оценки==

При проведении экспертной оценки принимаются меры, направленные на снижение уровня субъективности и неопределенности при определении каждой из угроз безопасности информации.

Экспертную оценку рекомендуется проводить в отношении, как минимум, следующих параметров:
*цели реализации угроз безопасности информации (мотивация нарушителей);
*типы и виды нарушителей;
*уязвимости, которые могут быть использованы для реализации угроз безопасности информации;
*способы реализации угроз безопасности информации;
*степень воздействия угрозы безопасности информации на каждое из свойств безопасности информации;
*последствия от реализации угроз безопасности информации;
*вероятность реализации угроз безопасности информации;
*уровень защищенности информационной системы;
*потенциал нарушителя, требуемый для реализации угрозы безопасности информации (в случае отсутствия потенциала в банке данных угроз безопасности информации).

Оценку параметров рекомендуется проводить опросным методом с составлением анкеты, в которой указываются вопросы и возможные варианты ответа в единой принятой шкале измерений («низкий», «средний», «высокий» или «да», «нет» или иные шкалы). При этом вопросы должны быть четкими и однозначно трактуемыми, предполагать однозначные ответы.

Опрос экспертов включает следующие этапы:
*каждый эксперт проводит оценку оцениваемого параметра (рекомендуется не мене двух раундов оценки), результаты которой заносятся в таблицу 1.1;
*после оценки каждым из экспертов отбрасываются минимальные и максимальные значения;
*определяется среднее значение оцениваемого параметра в каждом раунде;
*определяется итоговое среднее значение оцениваемого параметра.

===Пример таблицы результатов оценки параметров===
Таблица 1.1
Эксперты Значение оцениваемого
параметра (раунд 1)
Значение оцениваемого
параметра (раунд 2)
Эксперт 1
Эксперт 2
Эксперт n
Итоговое значение

=Приложение № 2=
к Методике определения угроз безопасности информации в информационных системах

'''Структура модели угроз безопасности информации'''

Модель угроз безопасности информации содержит следующие разделы:

1. Общие положения.

2. Описание информационной системы и особенностей ее функционирования.

2.1. Цель и задачи, решаемые информационной системой.

2.2. Описание структурно-функциональных характеристик информационной системы.

2.3. Описание технологии обработки информации.

3. Возможности нарушителей (модель нарушителя).

3.1. Типы и виды нарушителей.

3.2. Возможные цели и потенциал нарушителей.

3.3. Возможные способы реализации угроз безопасности информации.

4. Актуальные угрозы безопасности информации.

Приложения (при необходимости).

Раздел «Общие положения» содержит назначение и область действия документа, информацию о полном наименовании информационной системы, для которой разработана модель угроз безопасности информации, а также информацию об использованных для разработки модели угроз безопасности информации нормативных и методических документах, национальных стандартах. В данный раздел также включается информация об используемых данных и источниках, на основе которых определяются угрозы безопасности информации (документация, исходные тексты программ, опросы персонала, журналы регистрации средств защиты, отчеты об аудите и иные источники).

Раздел «Описание информационной системы и особенностей ее функционирования» содержит общую характеристику информационной системы, описание структурно-функциональных характеристик информационной системы, описание взаимосвязей между сегментами информационной системы, описание взаимосвязей с другими информационными системами и информационно-телекоммуникационными сетями, описание технологии обработки информации.

Также в данном разделе приводятся предположения, касающиеся информационной системы и особенностей ее функционирования (в частности предположения об отсутствии неучтенных беспроводных каналов доступа или динамичность выделения адресов узлам информационной системы, иные предположения). В раздел включаются любые ограничения, касающиеся информационной системы и особенностей ее функционирования.

Раздел «Возможности нарушителей (модель нарушителя)» содержит описание типов, видов, потенциала и мотивации нарушителей, от которых необходимо обеспечить защиту информации в информационной системе, способов реализации угроз безопасности информации. В данный раздел также включаются предположения, касающиеся нарушителей (в частности предположение об отсутствии у нарушителя возможности доступа к оборудованию, сделанному на заказ и применяемому при реализации угрозы, предположение о наличии (отсутствии) сговора между внешними и внутренними нарушителями или иные предположения). В раздел включаются любые ограничения, касающиеся определения нарушителей (в частности исключение администраторов информационной системы или администраторов безопасности из числа потенциальных нарушителей или иные предположения).

Раздел «Актуальные угрозы безопасности информации» содержит описание актуальных угроз безопасности, включающее наименование угрозы безопасности информации, возможности нарушителя по реализации угрозы, используемые уязвимости информационной системы, описание способов реализации угрозы безопасности информации, объекты воздействия, возможные результат и последствия от реализации угрозы безопасности информации.

=Приложение № 3=
к Методике определения угроз безопасности информации в информационных системах

'''Определение потенциала нарушителя, необходимого для реализации угрозы безопасности информации в информационной системе'''

Настоящее приложение применяется для определения потенциала, необходимого для реализации угрозы безопасности информации, данные по которой отсутствуют в банке данных угроз безопасности информации, и характеристики которых определяются на основе иных источников или результатов исследований.

Приведенный подход к оценке потенциала нарушителя направлен на снижение уровня субъективности и неопределенности при оценке потенциала нарушителя, который требуется для реализации угрозы безопасности информации в информационной системе с заданными структурно-функциональными характеристиками и особенностями функционирования.

Исходными данными для определения потенциала нарушителя являются:
*данные об аппаратном, общесистемном и прикладном программном обеспечении, применяемых информационных технологиях, особенностях функционирования информационной системы;
*данные об уязвимостях в аппаратном, общесистемном и прикладном программном обеспечении, опубликованные в различных базах данных уязвимостей, полученные в результате исследований (тестировании) или полученные от уполномоченных федеральных органов исполнительной власти и организаций.

При оценке потенциала нарушителя необходимо исходить из того, что для успешного достижения целей реализации угроз безопасности информации, нарушителю необходимо осуществить подготовку к реализации угрозы и непосредственно реализацию угрозы безопасности информации. При этом не единственным, но необходимым условием на этапе подготовки к реализации угрозы безопасности информации является идентификация уязвимостей в информационной системе, а на этапе реализации угрозы безопасности информации – использование уязвимостей информационной системы.

Таким образом, для определения потенциала нарушителя необходимо оценить возможности нарушителя идентифицировать уязвимости и использовать их в информационной системе в ходе подготовки к реализации и непосредственно в ходе реализации угрозы безопасности информации. Для проведения указанной оценки делается предположение о наличии уязвимостей, которые потенциально содержатся в информационной системе и могут быть использованы для реализации угрозы безопасности информации.

Потенциальные уязвимости определяются для каждого класса и типа программного обеспечения и для каждого узла (хоста) информационной системы исходя из условия, что для реализации угрозы безопасности информации нарушителю необходимо идентифицировать и использовать как минимум одну уязвимость на каждом узле и хосте.

В качестве исходных данных для определения потенциальных уязвимостей используются данные по составу информационной системы и особенностям ее функционирования, а также данные об уязвимостях в этом программном обеспечении, опубликованные в общедоступных источниках, полученные по результатам исследований и (или) полученные от уполномоченных органов и организаций.

Для каждой выявленной потенциальной уязвимости проводится оценка возможностей ее идентификации и использования в информационной системе нарушителем, обладающим определенными возможностями и для каждого из
возможных сценариев реализации угрозы безопасности информации.

Оценка возможностей нарушителя по идентификации и использованию уязвимости в информационной системе проводится по результатам определения следующих показателей:
*время, затрачиваемое нарушителем на идентификацию и использование уязвимости (затрачиваемое время);
*техническая компетентность нарушителя;
*знание нарушителем проекта и информационной системы;
*оснащенность нарушителя;
*возможности нарушителя по доступу к информационной системе.

Во многих случаях указанные показатели являются зависимыми и могут в различной степени заменять друг друга. В частности, показатели технической
компетентности или оснащенности могут заменяться показателем затрачиваемого времени.

==а) определение показателя «затрачиваемое время»==

Показатель «затрачиваемое время» характеризует время, непрерывно затрачиваемое нарушителем для идентификации и использования уязвимости для реализации угрозы безопасности информации.

Показатель «затрачиваемое время» может принимать значения «за минуты», «за часы», «за дни» или «за месяцы».

Значение «за минуты» присваивается, если для реализации угрозы безопасности информации нарушитель затратит менее получаса на идентификацию и использование уязвимости.

Значение «за часы» присваивается, если для реализации угрозы безопасности информации нарушитель затратит менее чем один день на идентификацию и использование уязвимости.

Значение «за дни» присваивается, если для реализации угрозы безопасности информации нарушитель затратит менее чем один месяц на идентификацию и использование уязвимости.

Значение «за месяцы» присваивается, если для реализации угрозы безопасности информации нарушитель затратит, как минимум, месяц на идентификацию и использование уязвимости.

==б) определение показателя «техническая компетентность нарушителя»==

Показатель «техническая компетентность нарушителя» характеризует, каким уровнем знаний и подготовкой в области информационных технологий и защиты информации должен обладать нарушитель, чтобы идентифицировать и использовать уязвимости для реализации угрозы безопасности информации.

Показатель «техническая компетентность нарушителя» может принимать значения «специалист», «профессионал» или «непрофессионал».

Значение «профессионал» присваивается, если нарушитель имеет хорошую осведомленность о мерах защиты информации, применяемых в информационной системе, об алгоритмах, аппаратных и программных средствах, используемых в информационной системе, а также обладает специальными знаниями о методах и средствах выявления новых уязвимостей и способах реализации угроз безопасности информации для информационных систем данного типа.

Значение «специалист» присваивается, если нарушитель имеет осведомленность о мерах защиты информации, применяемых в информационной системе данного типа.

Значение «непрофессионал» присваивается, если нарушитель имеет слабую осведомленность (по сравнению со специалистами или профессионалами) о мерах защиты информации, применяемых в информационных системах данного типа, и не обладает специальными знаниями по реализации угроз безопасности информации.

==в) определение показателя «знание нарушителем проекта и информационной системы»==

Показатель «знание нарушителем проекта и информационной системы» характеризует, какие сведения об информационной системе и условиях ее эксплуатации доступны нарушителю, чтобы идентифицировать и использовать уязвимости для реализации угрозы безопасности информации.

Показатель «знание нарушителем проекта и информационной системы» может принимать значения «отсутствие знаний», «ограниченные знания» или «знание чувствительной информации».

Значение «отсутствие знаний» присваивается, если в результате принятия мер по защите информации нарушителю не может стать известно о структурно-функциональных характеристиках информационной системы, системе защиты информации информационной системы, а также об иной информации по разработке (проектированию) и эксплуатации информационной системы, включая сведения из конструкторской, проектной и эксплуатационной документации.

При этом может быть доступна информация о целях и задачах, решаемых информационной системой. Данный показатель также присваивается, если сведения об информационной системе отнесены к информации ограниченного доступа и не могут быть доступны для неограниченного круга лиц.

Значение «ограниченные знания» присваивается, если нарушителю наряду с информацией о целях и задачах, решаемых информационной системой, может стать известна только эксплуатационная документация на информационную систему (в частности руководство пользователя и (или) правила эксплуатации информационной системы).

Значение «знание чувствительной информации» присваивается, если нарушителю может стать известны конструкторская (проектная) и эксплуатационная документация на информационную систему, информация о структурно-функциональных характеристиках информационной системы, системе защиты информационной системы.

==г) определение показателя «возможности нарушителя по доступу к информационной системе»==

Показатель «возможности нарушителя по доступу к информационной системе» характеризует, как долго по времени нарушитель должен иметь возможность доступа к информационной системе для идентификации и использования уязвимостей для реализации угроз безопасности информации.

Показатель «возможности нарушителя по доступу к информационной системе» может принимать значения «за минуты», «за часы», «за дни» или «за месяцы».

Значение «за минуты» присваивается, если для идентификации и использования уязвимости для реализации угрозы безопасности информации нарушителю требуется доступ менее получаса.

Значение «за часы» присваивается, если для идентификации и использования уязвимости для реализации угрозы безопасности информации нарушителю требуется доступ менее одного дня.

Значение «за дни» присваивается, если для идентификации и использования уязвимости для реализации угрозы безопасности информации нарушителю требуется доступ менее одного месяца.

Значение «за месяцы» присваивается, если для идентификации и использования уязвимости для реализации угрозы безопасности информации нарушителю требуется доступ более одного месяца.

Показатель «возможности нарушителя по доступу к информационной системе» взаимосвязан с показателем «затраченное время». Идентификация и использование уязвимости при реализации угрозы безопасности информации могут требовать продолжительного времени по доступу к информационной системе, что увеличивает возможность обнаружения уязвимости. В отдельных случаях продолжительный доступ к информационной системе не требуется (методы и средства реализации угроз безопасности разрабатываются автономно), но при этом требуется кратковременный доступ к информационной системе.

==д) определение показателя «оснащенность нарушителя»==

Показатель «оснащенность нарушителя» характеризует, какие программные и (или) программно-технические средства требуются нарушителю для идентификации и использования уязвимостей для реализации угроз безопасности информации.

Показатель «оснащенность нарушителя» может принимать значения «стандартное оборудование», «специализированное оборудование» или «оборудование, сделанное на заказ».

Значение «стандартное оборудование» присваивается, если для идентификации или использования уязвимостей при реализации угрозы безопасности информации требуются программные (программно-технические) средства, легко доступные для нарушителя. К таким средствам, в первую очередь, относятся программные средства непосредственно информационной системы (отладчик в операционной системе, средства разработки и иные), программные средства, которые могут быть легко получены (программы, имеющиеся в свободном доступе в сети Интернет) или имеются простые сценарии реализации угроз.

Значение «специализированное оборудование» присваивается, если для идентификации или использования уязвимостей при реализации угрозы безопасности информации требуются программные (программно-технические)
средства, которые отсутствуют в свободном доступе, но могут быть приобретены нарушителем без значительных усилий. К таким средствам, в первую очередь, относятся программные (программно-технические) средства, которые имеются в продаже (анализаторы кода, анализаторы протоколов и иные) или требуется разработка более сложных программ и сценариев реализации угрозы.

Оборудование может быть закуплено, либо, например, могут быть использованы компьютеры, объединенные через сеть Интернет (бот-сети).

Значение «оборудование, сделанное на заказ» присваивается, если для идентификации или использования уязвимостей при реализации угрозы безопасности информации требуются программные (программно-технические)
средства, которые недоступны широкому кругу лиц, так как требуется их специальная разработка с привлечением исследовательских организаций, или распространение этих средств контролируется в соответствии с законодательством. К такому оборудованию также относится дорогостоящие средства или средства, сведения о которых относятся к информации ограниченного доступа.

С целью вычисления потенциала нарушителя определяются числовые значения указанных показателей в соответствии с таблицей 3.1.

===Таблица 3.1===
Показатель возможностей нарушителя
Значения при
идентификации
уязвимости
Значения при
использова-
нии уязвимо-
сти
Затрачиваемое
время
< 0,5 час 0 0
< 1 день 2 3
< 1 месяц 3 5
> 1 месяц 5 8
Техническая ком-
петентность
нарушителя
Непрофессионал 0 0
Специалист 2 3
Профессионал 5 4
Знание проекта и
информационной
системы
Отсутствие знаний 0 0
Ограниченные знания 2 2
Знание чувствительной
информации 5
4
Возможность до-
ступа к информа-
ционной системе
< 0,5 час или не обна-
руживаемый доступ 0
0
< 1 день 2 4
< 1 месяц 3 6
> 1 месяц 4 9
Не возможно
Оснащенность
нарушителя
Отсутствует 0 0
Стандартное оборудо-
вание
1
2
Специализированное
оборудование 3
4
Оборудование, сделан-
ное на заказ

Для конкретной потенциальной уязвимости может возникнуть необходимость определять показатели несколько раз для различных способов реализации угроз безопасности информации (попеременно использовать разные значения показателей компетентности в сочетании со значениями времени и оборудования). При этом следует выбирать наибольшее значение, полученное при каждом расчете показателей.

Полученные на основе таблицы 3.1 значения характеристик потенциала нарушителя суммируются. Полученная сумма значений характеристик соотносится с диапазонами значений, приведенных в таблице 3.2, в соответствии с которой определяется потенциал нарушителя, необходимый для реализации угрозы безопасности информации.

===Таблица 3.2===

Диапазон
значений
Потенциал
нарушителя
<10 Потенциал недостаточен для реализации
угрозы безопасности
10-17 Базовый (низкий)
18-24 Базовый повышенный (средний)
>24 Высокий

Мотивация нарушителя для реализации угроз безопасности информации может быть базовой или повышенной. Мотивация нарушителя характеризует уровень устремлений нарушителя к информации, содержащейся в информационной системе, или информационной системе в целом. При определении потенциала нарушителя необходимо исходить, как минимум, из его базовой мотивации.

Потенциал нарушителя, требуемый для реализации угрозы безопасности информации, переходит на следующий уровень (от низкого к среднего или от среднего к высокому), если определено, что нарушитель имеет повышенную мотивацию реализации угроз безопасности по отношению к информационной системе.

Мотивация нарушителя определяется как повышенная, если:
*а) имеются сведения (в том числе опубликованные в общедоступных источниках) об устремлениях нарушителей к конкретной информационной системе и (или) отдельным ее объектам защиты; например, если информация, обрабатываемая в информационной системе, является высоко ценной для нарушителя или для нарушителя является крайне приоритетным нанести ущерб оператору информационной системы;
*б) имеется информация, полученная от уполномоченных федеральных органов исполнительной власти, о намерении нарушителя осуществить неправомерные действия в отношении информационной системы и (или) информации, содержащейся в этой информационной системе.

http://fstec.ru/component/attachments/download/812

Методика определения угроз безопасности информации в информационных системах

2015-10-02T09:05:46Z

Hunter po: /* Приложение № 3 */

Методика определения угроз безопасности информации в информационных системах

2015-10-02T08:57:55Z

Hunter po: /* Приложение № 2 */

ФЕДЕРАЛЬНАЯ СЛУЖБА
ПО ТЕХНИЧЕСКОМУ И ЭКСПОРТНОМУ КОНТРОЛЮ
(ФСТЭК РОССИИ)

МЕТОДИЧЕСКИЙ ДОКУМЕНТ
МЕТОДИКА ОПРЕДЕЛЕНИЯ УГРОЗ БЕЗОПАСНОСТИ ИНФОРМАЦИИ В ИНФОРМАЦИОННЫХ СИСТЕМАХ
(ПРОЕКТ) 2015

=ОБЩИЕ ПОЛОЖЕНИЯ=

Настоящий методический документ ФСТЭК России «Методика определения угроз безопасности информации в информационных системах» (далее - Методика) разработан и утвержден в соответствии с подпунктом 4 пункта 8 Положения о Федеральной службе по техническому и экспортному контролю, утвержденного Указом Президента Российской Федерации от 16 августа 2004 г. № 1085.

Документ устанавливает единый методический подход к определению угроз безопасности информации и разработке моделей угроз безопасности информации в государственных информационных системах (далее – информационные системы), защита информации в которых обеспечивается в соответствии с Требованиями о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах, утвержденными приказом ФСТЭК России от 11 февраля 2013 г. № 17 (зарегистрирован Минюстом России 31 мая 2013 г., рег. № 28608).

По решению оператора персональных данных Методика может применяться для определения в соответствии с пунктом 1 части 2 статьи 19 Федерального закона «О персональных данных» угроз безопасности персональных данных при их обработке в информационных системах персональных данных, защита которых обеспечивается в соответствии с Составом и содержанием организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденных приказом ФСТЭК России от 18 февраля 2013 г. № 21 (зарегистрирован Минюстом России 14 мая 2013 г., рег. № 28375).

Методика не распространяется на определение угроз безопасности информации, составляющей государственную тайну.

Методика предназначена для:
*органов государственной власти, органов местного самоуправления и организаций, являющихся в соответствии с законодательством Российской Федерации обладателями информации, заказчиками и (или) операторами информационных систем;
*организаций, осуществляющих в соответствии с законодательством Российской Федерации работы по созданию (проектированию) информационных систем;
*организаций, осуществляющих в соответствии с законодательством Российской Федерации работы по защите информации в ходе создания (проектирования) и эксплуатации информационных систем;
*организаций, осуществляющих в соответствии с законодательством Российской Федерации работы по аттестации (оценке соответствия) информационных систем требованиям о защите информации.

Настоящая Методика применяется на этапах создания информационных систем для определения и оценки угроз безопасности информации и разработки моделей угроз, а также в ходе эксплуатации информационных систем при периодическом пересмотре (переоценке) угроз безопасности информации.

Методика применяется совместно с банком данных угроз безопасности информации, сформированным ФСТЭК России (ubi.fstec.ru), а также базовыми и типовыми моделями угроз безопасности информации в информационных системах различных классов и типов, разрабатываемых ФСТЭК России в соответствии с подпунктом 4 пункта 8 Положения о Федеральной службе по техническому и экспортному контролю, утвержденного Указом Президента Российской Федерации от 16 августа 2004 г. № 1085.

Методика ориентирована на определение и оценку антропогенных угроз безопасности информации, возникновение которых обусловлено объективными факторами. Вместе с тем, часть приведенных в Методике подходов может также применяться для оценки техногенных угроз в случае, если они позволяют достичь целей такой оценки. Определение угроз, связанных со стихийными бедствиями и природными явлениями осуществляется в соответствии с правилами, установленными уполномоченными федеральными органами исполнительной власти, национальными стандартами и находятся за рамками настоящей Методики.

В случае, если в соответствии с настоящей Методикой к числу актуальных угроз, отнесены угрозы, связанные с утечкой информации по техническим каналам, дальнейшая их оценка проводится в соответствии со специальными требованиями и рекомендациями по технической защите конфиденциальной информации и методиками оценки защищенности конфиденциальной информации.

В Методике используются термины и их определения, установленные
национальными стандартами в области защиты информации.

В связи с утверждением настоящего методического документа не применяется для определения угроз безопасности информации Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных (ФСТЭК России, 2008 г.).

=ПРОЦЕСС ОПРЕДЕЛЕНИЯ УГРОЗ БЕЗОПАСНОСТИ ИНФОРМАЦИИ В ИНФОРМАЦИОННОЙ СИСТЕМЕ=

Целью определения угроз безопасности информации является установление того, существует ли возможность нарушения конфиденциальности, целостности или доступности информации, содержащейся в информационной системе, и приведет ли нарушение хотя бы одного из указанных свойств безопасности информации к наступлению неприемлемых негативных последствий (ущерба) для обладателя информации или оператора, а в случае обработки персональных данных и для субъектов персональных данных.

Определение угроз безопасности информации должно носить систематический характер и осуществляться как на этапе создания информационной системы и формирования требований по ее защите, так и в ходе эксплуатации информационной системы. Систематический подход к определению угроз безопасности информации необходим для того, чтобы определить потребности в конкретных требованиях к защите информации и создать адекватную эффективную систему защиты информации в информационной системе. Меры защиты информации, принимаемые обладателем информации и оператором, должны обеспечивать эффективное и своевременное выявление и блокирование (нейтрализацию) угроз безопасности информации, в результате реализации которых возможно наступление неприемлемых негативных последствий (ущерба).

Систематический подход к определению угроз безопасности информации предусматривает реализацию непрерывного процесса, в рамках которого определяется область применения процесса определения угроз, идентифицируются источники угроз и угрозы безопасности информации, оценивается возможность реализации угроз безопасности информации и степень возможного ущерба в случае такой реализации, осуществляется мониторинг (периодический пересмотр) и переоценка угроз безопасности информации.

Оценка угроз безопасности информации проводится экспертным методом.

Рекомендации по формированию экспертной группы и проведению экспертной оценки при определении угроз безопасности информации приведены в приложении № 1 к настоящей Методике.

==а) область применения процесса определения угроз безопасности информации==

На этапах принятия решения о необходимости защиты информации в информационной системе и разработки требований к защите информации должны быть определены физические и логические границы информационной системы, в которых принимаются и контролируются меры защиты информации, за которые ответственен оператор, а также определены объекты защиты и сегменты информационной системы.

Процесс определения угроз безопасности информации должен охватывать все объекты защиты и сегменты в логических и физических границах информационной системы, в которых оператором принимаются и контролируются меры защиты информации. Процесс определения угроз безопасности информации организуется подразделением оператора, назначенным ответственным за защиту информации в информационной системе. В случае, если информационная система имеет сегменты, эксплуатируемые разными подразделениями оператора, которые могут самостоятельно принимать и контролировать меры защиты информации, должны быть определены границы ответственности этих подразделений и порядок их взаимодействия в процессе определения угроз безопасности информации.

Область применения процесса определения угроз безопасности информации отражается в модели угроз безопасности информации наряду с областью действия модели угроз, структурно-функциональными характеристиками информационной системы и особенностями ее функционирования.

==б) идентификация источников угроз и угроз безопасности информации==

В обобщенном виде угрозы безопасности информации характеризуется источниками угроз, факторами, обуславливающими возможность реализации угроз, способами (методами) реализации угроз и последствиями от реализации угроз безопасности информации.

Важным этапом в процессе определения угроз безопасности информации является идентификация лиц или событий (явлений), в результате действий (наступления, возникновения) которых возможно нарушение конфиденциальности, целостности или доступности информации, содержащейся в информационной системе, и возникновение неприемлемых негативных последствий (ущерба).

В качестве источников угроз безопасности информации могут выступать субъекты (физические лица, организации, государства) или явления (техногенные аварии, стихийные бедствия, иные природные явления).

Источники угроз безопасности информации являются определяющим фактором при определении угроз безопасности информации в информационных системах. В процессе определения угроз безопасности информации подлежат оценке те угрозы, у которых есть источники и источники имеют возможности и условия для реализации угроз безопасности информации в информационной системе с заданными структурно-функциональными характеристиками и особенностями ее функционирования.

Источники угроз безопасности информации могут быть следующих типов:
*антропогенные источники (антропогенные угрозы);
*техногенные источники (техногенные угрозы);
*стихийные источники (угрозы стихийных бедствий, иных природных явлений).

В качестве источников антропогенных угроз безопасности информации могут выступать:
*лица, осуществляющие преднамеренные действия с целью доступа к информации (воздействия на информацию), содержащейся в информационной системе, или нарушения функционирования информационной системы или обслуживающей ее инфраструктуры (преднамеренные угрозы безопасности информации);
*лица, имеющие доступ к информационной системе, не преднамеренные действия которых могут привести к нарушению безопасности информации (непреднамеренные угрозы безопасности информации).

Для информационных систем, в которых целью защиты является обеспечение целостности и доступности обрабатываемой информации, в обязательном порядке подлежат оценке техногенные угрозы, связанные с отказами или сбоями в работе технических средств или программного обеспечения. Такие угрозы могут быть обусловлены:
*низким качеством (надежностью) технических, программных или программно-технических средств;
*низким качеством (надежностью) сетей связи и (или) услуг связи;
*отсутствием или низкой эффективностью систем резервирования или дублирования программно-технических и технических средств;
*низким качеством (надежностью) инженерных систем (кондиционирования, электроснабжения, охранных систем и т.д.);
*низким качеством обслуживания со стороны обслуживающих организаций и лиц.

При определении угроз безопасности информации оценке подлежат угрозы, связанные со всеми типами источников. Однако в целях создания и эксплуатации адекватной эффективной системы защиты информации в информационной системе следует, в первую очередь, уделять внимание оценке антропогенных угроз, связанных с несанкционированными (неправомерными) действиями субъектов по нарушению безопасности (конфиденциальности, целостности, доступности) информации, в том числе целенаправленными воздействиями программными (программно-техническими) средствами на информационные системы, осуществляемые в целях нарушения (прекращения) их функционирования (компьютерные атаки).

Также при определении угроз безопасности информации наряду с угрозами, реализация которых может привести непосредственно к нарушению конфиденциальности, целостности или доступности информации (прямыми угрозами), необходимо выявлять и оценивать угрозы, создающие условия для реализации прямых угроз безопасности информации (косвенные угрозы). В качестве косвенных угроз безопасности информации могут рассматриваться угрозы повышения привилегий, исчерпания вычислительных ресурсов, недоступности обновления программного обеспечения и иные угрозы безопасности информации.

В процессе определения угроз безопасности информации на всех стадиях (этапах) жизненного цикла информационных систем необходимо регулярно проводить идентификацию источников угроз, оценивать их возможности и определять на этой основе угрозы безопасности информации. Данные о нарушителях и их возможностях по реализации угроз безопасности информации, полученные при идентификации источников угроз, включаются в модели угроз безопасности информации.

Для идентификации угроз безопасности информации в информационной системе определяются:
*возможности (тип, вид, потенциал) нарушителей, необходимые им для реализации угроз безопасности информации;
*уязвимости, которые могут использоваться при реализации угроз безопасности информации (включая специально внедренные программные закладки);
*способы (методы) реализации угроз безопасности информации;
*объекты информационной системы, на которые направлена угроза безопасности информации (объекты воздействия);
*результат и последствия от реализации угроз безопасности информации.

Каждая угроза безопасности информации в информационной системе описывается (идентифицируется) следующим образом:
УБИj = [нарушитель (источник угрозы); уязвимости; способы реализации угрозы; объекты воздействия; последствия от реализации угрозы].

==в) оценка вероятности (возможности) реализации угроз безопасности информации и степени возможного ущерба==
Идентифицированная угроза безопасности информации подлежит нейтрализации (блокированию), если она является актуальной (УБИj А ) для информационной системы, то есть в информационной системе с заданными структурно функциональными характеристиками и особенностями функционирования существует вероятность (возможность) реализации рассматриваемой угрозы нарушителем с соответствующим потенциалом и ее реализация приведет к неприемлемым негативным последствиям (ущербу):
УБИj А = [вероятность (возможность) реализации угрозы (Рj); степень ущерба (Хj)].

Актуальные угрозы безопасности информации включаются в модель угроз безопасности информации. Модель угроз безопасности информации, учитывая особенности информационной системы, используемые в ней программные, программно-технические, технические средства и процессы обработки информации, дает описание угроз безопасности, которым подвержена информационная система. Структура модели угроз безопасности информации приведена в приложении № 2 к настоящей Методике.

==г) мониторинг и переоценка угроз безопасности информации==

Определение угроз безопасности информации на этапе создания информационной системы позволяет обеспечить формирование требований и внедрение эффективной адекватной системы защиты информации в информационной системе для угроз, актуальных к моменту ввода в эксплуатацию информационной системы.

В ходе эксплуатации информационной системы оператор, обеспечивая достижение целей и задач информационной системы, может изменять ее базовую конфигурацию, что приводит к изменению структурно-функциональных характеристик информационной системы и применяемых информационных технологий. Также в процессе эксплуатации возможно изменение состава и значимости обрабатываемой информации и особенностей функционирования информационной системы.

В этих условиях процесс определения угроз безопасности информации должен носить систематический характер. В ходе эксплуатации информационной системы регулярно проводится анализ изменения угроз безопасности информации, а актуальные угрозы безопасности информации подлежат периодической переоценке. Периодичность переоценки определяется организацией исходя из особенностей функционирования информационной системы. Рекомендуется пересматривать угрозы безопасности информации не реже одного раза в год. По результатам анализа проводится уточнение (при необходимости) модели угроз
безопасности информации.

Пересмотр (переоценка) угроз безопасности информации, как минимум, осуществляется в случаях:
*изменения требований законодательства Российской Федерации о защите информации, нормативных правовых актов и методических документов, регламентирующих защиту информации;
*изменения конфигурации (состава основных компонентов) и особенностей функционирования информационной системы, следствием которых стало возникновение новых угроз безопасности информации;
*выявления уязвимостей, приводящих к возникновению новых угроз безопасности информации или к повышению возможности реализации существующих;
*появления сведений и фактов о новых возможностях нарушителей.

= ОЦЕНКА ВОЗМОЖНОСТЕЙ НАРУШИТЕЛЕЙ ПО РЕАЛИЗАЦИИ УГРОЗ БЕЗОПАСНОСТИ ИНФОРМАЦИИ (РАЗРАБОТКА МОДЕЛИ НАРУШИТЕЛЯ) =

Целью оценки возможностей нарушителей по реализации угроз безопасности информации является формирование предположения о типах, видах нарушителей, которые могут реализовать угрозы безопасности информации в информационной системе с заданными структурно-функциональными характеристиками и особенностями функционирования, а также потенциале этих нарушителей и возможных способах реализации угроз безопасности информации.

Результаты оценки возможностей нарушителей включаются в модель нарушителя, которая является составной частью (разделом) модели угроз безопасности информации и содержит:
*типы, виды и потенциал нарушителей, которые могут обеспечить реализацию угроз безопасности информации;
*цели, которые могут преследовать нарушители каждого вида при реализации угроз безопасности информации;
*возможные способы реализации угроз безопасности информации.
==а) типы нарушителей==
Типы нарушителей определяются по результатам анализа прав доступа субъектов к информации и (или) к компонентам информационной системы, а также анализа возможностей нарушителей по доступу к компонентам информационной системы исходя из структурно-функциональных характеристик и особенностей функционирования информационной системы.

В зависимости от имеющихся прав доступа нарушители могут иметь легитимный физический (непосредственный) и (или) логический доступ к компонентам информационной системы и (или) содержащейся в них информации или не иметь такого доступа.

Анализ прав доступа проводится, как минимум, в отношении следующих компонент информационной системы:
*устройств ввода/вывода (отображения) информации;
*беспроводных устройств;
*программных, программно-технических и технических средств обработки информации;
*съемных машинных носителей информации;
*машинных носителей информации, выведенных из эксплуатации;
*активного (коммутационного) и пассивного оборудования каналов связи;
*каналов связи, выходящих за пределы контролируемой зоны.

С учетом наличия прав доступа и возможностей по доступу к информации и (или) к компонентам информационной системы нарушители подразделяются на два типа:
* внешние нарушители (тип I) – лица, не имеющие права доступа к информационной системе, ее отдельным компонентам и реализующие угрозы безопасности информации из-за границ информационной системы;
* внутренние нарушители (тип II) – лица, имеющие право постоянного или разового доступа к информационной системе, ее отдельным компонентам.

Наибольшими возможностями по реализации угроз безопасности обладают внутренние нарушители. При оценке возможностей внутренних нарушителей необходимо учитывать принимаемые оператором организационные меры по допуску субъектов к работе в информационной системе. Возможности внутреннего нарушителя существенным образом зависят от установленного порядка допуска физических лиц к информационной системе и ее компонентам, а также мер по контролю за доступом и работой этих лиц.

Внешнего нарушителя необходимо рассматривать в качестве актуального во всех случаях, когда имеются подключения информационной системы к внешним информационно-телекоммуникационным сетям и (или) имеются линии связи, выходящие за пределы контролируемой зоны, используемые для иных подключений.

==б) виды и потенциал нарушителей==

Угрозы безопасности информации в информационной системе могут быть реализованы следующими видами нарушителей:
*специальные службы иностранных государств (блоков государств);
*террористические, экстремистские группировки;
*преступные группы (криминальные структуры);
*внешние субъекты (физические лица);
*конкурирующие организации;
*разработчики, производители, поставщики программных, технических и программно-технических средств;
*лица, привлекаемые для установки, наладки, монтажа, пусконаладочных и иных видов работ;
*лица, обеспечивающие функционирование информационных систем или обслуживающие инфраструктуру оператора (администрация, охрана, уборщики и т.д.);
*пользователи информационной системы;
*администраторы информационной системы и администраторы безопасности;
*бывшие работники (пользователи).

Виды нарушителей, характерных для информационной системы с заданными структурно-функциональными характеристиками и особенностями функционирования, определяются на основе предположений (прогноза) о возможных целях (мотивации) при реализации угроз безопасности информации этими нарушителями.

В качестве возможных целей (мотивации) реализации нарушителями угроз безопасности информации в информационной системе могут быть:
* нанесение ущерба государству, отдельным его сферам деятельности или секторам экономики;
* реализация угроз безопасности информации по идеологическим или политическим мотивам;
* организация террористического акта;
* причинение имущественного ущерба путем мошенничества или иным преступным путем;
* дискредитация или дестабилизация деятельности органов государственной власти, организаций;
* получение конкурентных преимуществ;
* внедрение дополнительных функциональных возможностей в программное обеспечение или программно-технические средства на этапе разработки;
* любопытство или желание самореализации;
* выявление уязвимостей с целью их дальнейшей продажи и получения финансовой выгоды;
* реализация угроз безопасности информации из мести;
* реализация угроз безопасности информации непреднамеренно из-за неосторожности или неквалифицированных действий.

Предположения о целях (мотивации) нарушителей делаются с учетом целей и задач информационной системы, вида обрабатываемой информации, а также с учетом результатов оценки степени возможных последствий (ущерба) от нарушения конфиденциальности, целостности или доступности информации.

Виды нарушителя и их возможные цели (мотивация) реализации угроз безопасности информации приведены в таблице 1.

Таблица 1
№
вида
Виды
нарушителя
Типы
нарушителя
Возможные цели (мотивация)
реализации угроз безопасности
информации
1 Специальные службы
иностранных государств
(блоков государств)
Внешний,
внутренний
Нанесение ущерба государству,
отдельным его сферам деятель-
ности или секторам экономики.
Дискредитация или дестабили-
зация деятельности органов
государственной власти, орга-
низаций
2 Террористические, экс-
тремистские группиров-
ки
Внешний Нанесение ущерба государству,
отдельным его сферам деятель-
ности или секторам экономики.
Совершение террористических
актов.
Идеологические или политиче-
ские мотивы.
Дестабилизация деятельности
органов государственной вла-
13
сти, организаций
3 Преступные группы
(криминальные структу-
ры)
Внешний Причинение имущественного
ущерба путем мошенничества
или иным преступным путем.
Выявление уязвимостей с це-
лью их дальнейшей продажи и
получения финансовой выгоды
4 Внешние субъекты (фи-
зические лица)
Внешний Идеологические или политиче-
ские мотивы.
Причинение имущественного
ущерба путем мошенничества
или иным преступным путем.
Любопытство или желание са-
мореализации (подтверждение
статуса).
Выявление уязвимостей с це-
лью их дальнейшей продажи и
получения финансовой выгоды
5 Конкурирующие орга-
низации
Внешний Получение конкурентных пре-
имуществ.
Причинение имущественного
ущерба путем обмана или зло-
употребления доверием
6 Разработчики, произво-
дители, поставщики про-
граммных, технических и
программно-технических
средств
Внешний Внедрение дополнительных
функциональных возможностей
в программное обеспечение или
программно-технические сред-
ства на этапе разработки.
Причинение имущественного
ущерба путем обмана или зло-
употребления доверием.
Непреднамеренные, неосто-
рожные или неквалифициро-
ванные действия
7 Лица, привлекаемые для
установки, наладки, мон-
тажа, пусконаладочных и
иных видов работ
Внутренний Причинение имущественного
ущерба путем обмана или зло-
употребления доверием.
Непреднамеренные, неосто-
рожные или неквалифициро-
ванные действия
8 Лица, обеспечивающие
функционирование ин-
формационных систем
или обслуживающие ин-
фраструктуру оператора
Внутренний Причинение имущественного
ущерба путем обмана или зло-
употребления доверием.
Непреднамеренные, неосто-
рожные или неквалифициро-
14
(администрация, охрана,
уборщики и т.д.)
ванные действия
9 Пользователи информа-
ционной системы
Внутренний Причинение имущественного
ущерба путем мошенничества
или иным преступным путем.
Любопытство или желание са-
мореализации (подтверждение
статуса).
Месть за ранее совершенные
действия.
Непреднамеренные, неосто-
рожные или неквалифициро-
ванные действия
10 Администраторы ин-
формационной системы
и администраторы без-
опасности
Внутренний Причинение имущественного
ущерба путем мошенничества
или иным преступным путем.
Любопытство или желание са-
мореализации (подтверждение
статуса).
Месть за ранее совершенные
действия.
Выявление уязвимостей с це-
лью их дальнейшей продажи и
получения финансовой выгоды.
Непреднамеренные, неосто-
рожные или неквалифициро-
ванные действия
11 Бывшие работники
(пользователи)
Внешний Причинение имущественного
ущерба путем мошенничества
или иным преступным путем.
Месть за ранее совершенные
действия

При оценке возможностей нарушителей необходимо исходить из условий, что для повышения своих возможностей нарушители 1 вида могут вступать в сговор с нарушителями 3, 4, 6, 7, 8, 9 и 10 видов. Нарушители 2 вида могут вступать в сговор с нарушителями 4, 7, 8, 9 и 10 видов. Нарушители 3 вида могут вступать в сговор с нарушителями 4, 7, 8, 9 и 10 видов. В случае принятия таких предположений цели (мотивация) и возможности нарушителей подлежат объединению.

Возможности каждого вида нарушителя по реализации угроз безопасности информации характеризуются его потенциалом. Потенциал нарушителя определяется компетентностью, ресурсами и мотивацией, требуемыми для реализации угроз безопасности информации в информационной системе с заданными структурно-функциональными характеристиками и особенностями функционирования.

В зависимости от потенциала, требуемого для реализации угроз безопасности информации, нарушители подразделяются на:
*нарушителей, обладающих базовым (низким) потенциалом нападения при реализации угроз безопасности информации в информационной системе;
*нарушителей, обладающих базовым повышенным (средним) потенциалом нападения при реализации угроз безопасности информации в информационной системе;
*нарушителей, обладающих высоким потенциалом нападения при реализации угроз безопасности информации в информационной системе.

Потенциал нарушителей и их возможности приведены в таблице 2.

Таблица 2
№ Потенциал
нарушителей
Виды
нарушителей
Возможности по реализации угроз без-
опасности информации
1 Нарушители с
базовым (низ-
ким) потенци-
алом
Внешние субъ-
екты (физические
лица),
лица, обеспечи-
вающие функци-
онирование ин-
формационных
систем или об-
служивающих
инфраструктуру
оператора,
пользователи
информационной
системы,
бывшие работ-
ники,
лица, привлека-
емые для уста-
новки, наладки,
монтажа, пуско-
наладочных и
иных работ
Имеют возможность получить инфор-
мацию об уязвимостях отдельных ком-
понент информационной системы,
опубликованную в общедоступных ис-
точниках.
Имеют возможность получить инфор-
мацию о методах и средствах реализа-
ции угроз безопасности информации
(компьютерных атак), опубликованных
в общедоступных источниках, и (или)
самостоятельно осуществляет создание
методов и средств реализации атак и
реализацию атак на информационную
систему
2 Нарушители с
базовым по-
вышенным
(средним) по-
тенциалом
Террористиче-
ские, экстремист-
ские группиров-
ки,
преступные
группы (крими-
нальные структу-
Обладают всеми возможностями
нарушителей с базовым потенциалом.
Имеют осведомленность о мерах за-
щиты информации, применяемых в ин-
формационной системе данного типа.
Имеют возможность получить инфор-
мацию об уязвимостях отдельных ком-
16
ры),
конкурирующие
организации,
разработчики,
производители,
поставщики про-
граммных, техни-
ческих и про-
граммно-
технических
средств,
администраторы
информационной
системы и адми-
нистраторы без-
опасности
понент информационной системы пу-
тем проведения, с использованием
имеющихся в свободном доступе про-
граммных средств, анализа кода при-
кладного программного обеспечения и
отдельных программных компонент
общесистемного программного обеспе-
чения.
Имеют доступ к сведениям о струк-
турно-функциональных характеристи-
ках и особенностях функционирования
информационной системы
3 Нарушители с
высоким по-
тенциалом
Специальные
службы ино-
странных госу-
дарств (блоков
государств)
Обладают всеми возможностями
нарушителей с базовым и базовым по-
вышенным потенциалами.
Имеют возможность осуществлять не-
санкционированный доступ из выде-
ленных (ведомственных, корпоратив-
ных) сетей связи, к которым возможен
физический доступ (незащищенных ор-
ганизационными мерами).
Имеют возможность получить доступ
к программному обеспечению чипсетов
(микропрограммам), системному и при-
кладному программному обеспечению,
телекоммуникационному оборудова-
нию и другим программно-техническим
средствам информационной системы
для преднамеренного внесения в них
уязвимостей или программных закла-
док.
Имеют хорошую осведомленность о
мерах защиты информации, применяе-
мых в информационной системе, об ал-
горитмах, аппаратных и программных
средствах, используемых в информаци-
онной системе.
Имеют возможность получить инфор-
мацию об уязвимостях путем проведе-
ния специальных исследований (в том
числе с привлечением специализиро-
17
ванных научных организаций) и приме-
нения специально разработанных
средств для анализа программного
обеспечения.
Имеют возможность создания методов
и средств реализации угроз безопасно-
сти информации с привлечением специ-
ализированных научных организаций и
реализации угроз с применением специ-
ально разработанных средств, в том
числе обеспечивающих скрытное про-
никновение в информационную систе-
му и воздействие на нее.
Имеют возможность создания и при-
менения специальных технических
средств для добывания информации
(воздействия на информацию или тех-
нические средства), распространяю-
щейся в виде физических полей или яв-
лений

==в) возможные способы реализации угроз безопасности информации==

Целью определения возможных способов реализации угроз безопасности информации является формирование предположений о возможных сценариях реализации угроз безопасности информации, описывающих последовательность (алгоритмы) действий отдельных видов нарушителей или групп нарушителей и применяемые ими методы и средства для реализации угроз безопасности информации.

Возможные способы реализации угроз безопасности информации зависят от структурно-функциональных характеристик и особенностей функционирования информационной системы.

Угрозы безопасности информации могут быть реализованы нарушителями за счет:
*несанкционированного доступа и (или) воздействия на объекты на аппаратном уровне (программы (микропрограммы), «прошитые» в аппаратных компонентах (чипсетах));
*несанкционированного доступа и (или) воздействия на объекты на общесистемном уровне (базовые системы ввода-вывода, гипервизоры, операционные системы);
*несанкционированного доступа и (или) воздействия на объекты на прикладном уровне (системы управления базами данных, браузеры, web-приложения, иные прикладные программы общего и специального назначения);
*несанкционированного доступа и (или) воздействия на объекты на сетевом уровне (сетевое оборудование, сетевые приложения, сервисы);
*несанкционированного физического доступа и (или) воздействия на линии, (каналы) связи, технические средства, машинные носители информации;
*воздействия на пользователей, администраторов безопасности, администраторов информационной системы или обслуживающий персонал (социальная инженерия).

Действия нарушителя в зависимости от его потенциала при реализации угроз безопасности информации предусматривают идентификацию и использование уязвимостей в микропрограммном, общесистемном и прикладном программном обеспечении, сетевом оборудовании, применяемых в информационной системе, а также в организации работ по защите информации и конфигурации информационной системы.

При определении способа реализации угроз безопасности информации необходимо учитывать то, что угрозы безопасности информации могут быть реализованы непосредственно за счет доступа к компонентам информационной системы и (или) информации или опосредовано (косвенно) за счет создания условий и (или) средств, обеспечивающих такой доступ, а также за счет доступа или воздействия на обслуживающую инфраструктуру, за которую оператор не отвечает. При этом локальной целью нарушителя, не имеющего доступа (прав доступа) к компонентам информационной системы и (или) информации, как правило,
является получение доступа к информационной системе (в том числе через внешние сети связи общего пользования) и получение максимально возможных прав и привилегий при таком доступе.

Нарушители могут совершать действия, следствием которых является нарушение безопасности информации, преднамеренно (преднамеренные грозы безопасности информации) или случайно (непреднамеренные грозы безопасности информации).

Преднамеренные действия нарушителей могут заключаться в реализации целенаправленных или нецеленаправленных угроз безопасности информации.

Целенаправленная угроза безопасности информации направлена на интересующую нарушителя информационную систему с заранее известными ему структурно-функциональными характеристиками и особенностями функционирования. Целенаправленная угроза безопасности информации адаптирована к структурно-функциональным характеристикам информационной системы. При подготовке и реализации целенаправленных угроз безопасности информации нарушитель может использовать методы социальной инженерии, которые позволяют ему изучить поведение пользователей и их реакцию на поступающие к ним внешние данные.

Нецеленаправленная («веерная») угроза безопасности информации не ориентирована на конкретную информационную систему. Целями такой угрозы могут являться несанкционированный доступ, перехват управления или воздействие на как можно большее количество информационных систем. В данном случае нарушителю заранее не известны структурно-функциональные характеристики и условия функционирования информационной системы.

Реализация преднамеренных угроз безопасности информации, как правило, включает:
*сбор информации об информационной системе, ее структурно-функциональных характеристиках, условиях функционирования;
*выбор (разработка, приобретение) методов и средств, используемых для реализации угроз безопасности информации в информационной системе с заданными структурно-функциональными характеристиками и условиями функционирования;
*непосредственная реализация угроз безопасности информации в информационной системе (проникновение в информационную систему, закрепление в информационной системе, реализация неправомерных действий);
*устранение признаков и следов неправомерных действий в информационной системе.

В зависимости от целей и потенциала нарушителя на каждом из этапов могут эксплуатироваться одна или несколько уязвимостей информационной системы.

При определении возможных способов реализации угроз безопасности информации необходимо исходить из следующих условий:
*нарушитель может действовать один или в составе группы нарушителей;
*в отношении информационной системы внешний нарушитель может действовать совместно с внутренним нарушителем;
*угрозы могут быть реализованы в любое время и в любой точке информационной системы (на любом узле или хосте);
*для достижения своей цели нарушитель выбирает наиболее слабое звено информационной системы.

Возможные способы реализации угроз безопасности информации, определенные на основе настоящего раздела, включаются в модель угроз безопасности информации.

= ОПРЕДЕЛЕНИЕ АКТУАЛЬНЫХ УГРОЗ БЕЗОПАСНОСТИ ИНФОРМАЦИИ В ИНФОРМАЦИОННОЙ СИСТЕМЕ =

Угроза безопасности информации является актуальной (УБИj А ), если для информационной системы с заданными структурно-функциональными характеристиками и особенностями функционирования существует вероятность реализации рассматриваемой угрозы нарушителем с соответствующим потенциалом и ее реализация приведет к неприемлемым негативным последствиям (ущербу) от нарушения конфиденциальности, целостности или доступности информации.

В качестве показателя актуальности угрозы безопасности информации (УБИj А ) принимается двухкомпонентный вектор, первый компонент которого характеризует вероятность реализации угрозы (Рj), а второй – степень возможного ущерба в случае ее реализации (Хj)

УБИj А = [вероятность реализации угрозы (Рj); степень ущерба (Хj)], где Рj определятся на основе анализа статистических данных о частоте реализации угроз безопасности информации (возникновении инцидентов безопасности) в информационной системе и (или) однотипных информационных системах, а Хj определяется на основе оценок степени последствий от нарушения конфиденциальности, целостности или доступности информации.

При отсутствии статистических данных о реализации угроз безопасности информации (возникновении инцидентов безопасности) в информационной системе и (или) однотипных информационных системах, актуальность угрозы безопасности информации определяется на основе оценки возможности реализации угрозы безопасности информации (Yj) УБИj А = [возможность реализации угрозы (Yj); степень ущерба (Хj)], где Yj определятся на основе оценки уровня защищенности информационной системы и потенциала нарушителя, требуемого для реализации угрозы безопасности. Хj также определяется на основе оценок степени последствий от
нарушения конфиденциальности, целостности или доступности информации.

Актуальность угроз безопасности информации определяется в отношении угроз, для которых экспертным методом определено, что:
*возможности (потенциал) нарушителя достаточны для реализации угрозы безопасности информации;
*в информационной системе могут иметься потенциальные уязвимости, которые могут быть использованы при реализации j-ой угрозы безопасности информации;
*структурно-функциональные характеристики и особенности функционирования информационной системы не исключают возможности применения способов, необходимых для реализации j-ой угрозы безопасности информации (существует сценарий реализации угрозы безопасности);
*реализация угрозы безопасности информации приведет к нарушению конфиденциальности, целостности или доступности информации, в результате которого возможно возникновение неприемлемых негативных последствий (ущерба).

В качестве исходных данных об угрозах безопасности информации и их характеристиках используется банк данных угроз безопасности информации, сформированный и поддерживаемый ФСТЭК России, а также базовые и типовые модели угроз безопасности информации, разрабатываемые ФСТЭК России для различных классов и типов информационных систем.

Для определения угроз безопасности информации могут использоваться иные источники, в том числе опубликованные в общедоступных источниках данные об уязвимостях, компьютерных атаках, вредоносном программном
обеспечении, а также результаты специально проведенных исследований по выявлению угроз безопасности информации. В этом случае потенциал нарушителя, возможные уязвимости, способы реализации угрозы безопасности информации и последствия от ее реализации определяются для каждой угрозы безопасности информации.
==а) оценка вероятности (возможности) реализации угрозы безопасности информации==

Под вероятностью реализации угрозы безопасности информации понимается определяемый экспертным путем показатель, характеризующий, насколько вероятным является реализация j-ой угрозы безопасности информации в информационной системе с заданными структурно-функциональными характеристиками и особенностями функционирования. Вводятся три вербальные градации этого показателя:
*низкая вероятность – отсутствуют объективные предпосылки к реализации j-ой угрозы безопасности информации, отсутствует требуемая статистика по фактам реализации j-ой угрозы безопасности информации (возникновения инцидентов безопасности), отсутствует мотивация для реализации j-ой угрозы, возможная частота реализации j-ой угрозы не превышает 1 раза в 5 лет;
*средняя вероятность – существуют предпосылки к реализации j-ой угрозы безопасности информации, зафиксированы случаи реализации j-ой угрозы безопасности информации (возникновения инцидентов безопасности) или имеется иная информация, указывающая на возможность реализации j-ой угрозы безопасности информации, существуют признаки наличия у нарушителя мотивации для реализации такой угрозы, возможная частота реализации j-ой угрозы не превышает 1 раза в год;
*высокая вероятность – существуют объективные предпосылки к реализации j-ой угрозы безопасности информации, существует достоверная статистика реализации j-ой угрозы безопасности информации (возникновения инцидентов безопасности) или имеется иная информация, указывающая на высокую возможность реализации j-ой угрозы безопасности информации, у нарушителя имеются мотивы для реализации j-ой угрозы, частота реализации j-ой угрозы – чаще 1 раза в год.

В случае отсутствия требуемых данных для оценки вероятности реализации угрозы безопасности информации или наличия сомнений в объективности экспертных оценок при определении вербальных градаций вероятности реализации угроз безопасности информации, актуальность j-ой угрозы безопасности информации определяется на основе оценки возможности ее реализации (Yj).

Возможность реализации j-ой угрозы безопасности информации (Yj) оценивается исходя из уровня защищенности информационной системы (Y1) и потенциала нарушителя (Y2), необходимого для реализации этой угрозы безопасности информации в информационной системе с заданными структурнофункциональными характеристиками и особенностями функционирования:
*Yj = [уровень защищенности (Y1); потенциал нарушителя (Y2)].

При определении угроз безопасности информации на этапе создания информационной системы в случае, когда меры защиты информации не реализованы или не проведена оценка их достаточности и эффективности, оценка возможности реализации j-ой угрозы безопасности информации (Yj) проводится относительно уровня проектной защищенности информационной системы (Y1П):
*Yj = [уровень проектной защищенности (Y1П); потенциал нарушителя (Y2)].

Под уровнем проектной защищенности (Y1П) понимается исходная защищенность информационной системы, обусловленная заданными при проектировании структурно-функциональными характеристиками и условиями ее функционирования. Уровень проектной защищенности (Y1П) определяется на основе анализа проектных структурно-функциональных характеристик, приведенных в таблице 3.

Показатели, характеризующие проектную защищенность информационной системы

Таблица 3
Структурно-функциональные характе-
ристики информационной системы,
условия ее эксплуатации
Уровень проектной защищенности ин-
формационной системы (Y1П)
Высокий Средний Низкий
1. По структуре информационной си-
стемы:
автономное автоматизированное рабо-
чее место;
локальная информационная система;
распределенная информационная си-
стема
+
+
+
2. По используемым информационным
технологиям:
23
системы на основе виртуализации;
системы, реализующие «облачные
вычисления»;
системы с мобильными устройства-
ми;
системы с технологиями беспровод-
ного доступа;
грид
-системы;
суперкомпьютерные системы
+
+++++
3
. По архитектуре информационной
системы
:
системы на основе «тонкого клиен-
та»;
системы на основе одноранговой
се-
ти
;
файл
-серверные системы
;
центры обработки данных;
системы с уд
аленным доступом
пользователей;
использование разных типов опера-
ционных систем (гетерогенность сре-
ды)
;
использование прикладных про-
грамм, независимых от операционных
систем
;
использование выделенных каналов
связи
+
++++
+++
4
. По наличию (отсутствию) взаимо-
связей с иными информационными си-
стемами
:
взаимодействующая с системами
;
невзаимодействующая с системами
+
+
5
. По наличию (отсутствию) взаимо-
связей (подключений)
к сетям связи
общего пользования
:
подключенная
;
подключенная через выделенную
инфраструктуру (gov
.ru или иную);
неподключенной
+
+
+
6
. По размещению технических
средств:
расположенные в пределах одной
контролируемой зоны;
расположенные в пределах несколь-
ких контролируемых зон;
+
+
24
расположенные вне контролируемой
зоны
+
7. По режимам обработки информации
в информационной системе:
многопользовательский;
однопользовательский +
+
8. По режимам разграничения прав до-
ступа:
без разграничения;
с разграничением +
+
9. По режимам разделения функций по
управлению информационной системой:
без разделения;
выделение рабочих мест для адми-
нистрирования в отдельный домен;
использование различных сетевых
адресов;
использование выделенных каналов
для администрирования
+
+
+
+
10. По подходам к сегментированию
информационной системы:
без сегментирования;
с сегментированием +
+

В ходе создания информационной системы уровень ее проектной защищенности (Y1П) определяется следующим образом:
*а) информационная система имеет высокий уровень проектной защищенности (Y1П), если не менее 80% характеристик информационной системы соответствуют уровню «высокий» (суммируются положительные решения по второму столбцу, соответствующему высокому уровню защищенности), а остальные - среднему уровню защищенности (положительные решения по третьему столбцу);
*б) информационная система имеет средний уровень проектной защищенности (Y1П), если не выполняются условия по пункту а) и не менее 90% характеристик информационной системы соответствуют уровню не ниже «средний» (берется отношение суммы положительных решений по третьему столбцу, соответствующему среднему уровню защищенности, к общему количеству решений), а остальные - низкому уровню защищенности;
*в) информационная система имеет низкий уровень проектной защищенности (Y1П), если не выполняются условия по пунктам а) и б).

В соответствии с требованиями о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах, до ввода в эксплуатацию информационной системы должны быть реализованы меры защиты информации, направленные на блокирование (нейтрализацию) актуальных угроз безопасности информации. Таким образом, ввод в эксплуатацию информационной системы осуществляется при условии достижения высокого уровня исходной защищенности информационной системы от нарушителя с заданным потенциалом.

Вместе с тем, в ходе эксплуатации информационной системы возможно появление новых уязвимостей, повышение потенциала нарушителя, изменение структурно-функциональных характеристик, значимости обрабатываемой информации, особенностей функционирования информационной системы и других условий, приводящих к возникновению новых угроз безопасности информации, которые могут существенно снизить уровень проектной защищенности информационной системы. В этом случае для поддержания уровня защищенности информационной системы в ходе эксплуатации должен проводиться регулярный анализ изменения угроз безопасности информации, а актуальные угрозы безопасности информации подлежат периодической переоценке.

В ходе эксплуатации информационной системы уровень ее защищенности (Y1) определяется следующим образом:
*а) в информационной системе обеспечивается высокий уровень защищенности (Y1), если в ходе эксплуатации информационной системы не появились дополнительные угрозы безопасности информации или в отношении появившихся дополнительных угроз безопасности информации с высокой оперативностью («за минуты») могут быть приняты меры защиты информации, нейтрализующие эти угрозы;
*б) в информационной системе обеспечивается средний уровень защищенности (Y1), если в ходе эксплуатации информационной системы появились дополнительные угрозы безопасности информации и в отношении них оперативно («за часы») могут быть приняты меры защиты информации, нейтрализующие эти угрозы;
*в) в информационной системе обеспечивается низкий уровень защищенности (Y1), если в ходе эксплуатации информационной системы появились дополнительные угрозы безопасности информации и в отношении них не могут быть с высокой оперативностью или оперативно приняты меры защиты информации, нейтрализующие эти угрозы.

Потенциал, требуемый нарушителю для реализации j-ой угрозы безопасности информации, может быть базовым (низким), базовым повышенным (средним) или высоким. Значение потенциала нарушителя (Y2) для j-ой угрозы безопасности информации определяется на основе данных, приведенных в банке данных угроз безопасности информации ФСТЭК России, а также в базовых и типовых моделях угроз безопасности информации, разрабатываемых ФСТЭК России для информационных систем различных классов и типов. В случае отсутствия информации о потенциале нарушителя для реализации j-ой угрозы безопасности значение потенциала (Y2) определяется в соответствии с приложением № 3 к настоящей Методике.

Возможность реализации j-ой угрозы безопасности информации (Yj) в зависимости от уровня защищенности информационной системы (Y1/Y1П) и потенциала нарушителя (Y2) определяется как высокая, средняя или низкая в соответствии с таблицей 4.

===Возможность реализации угрозы безопасности информации Таблица 4===
Уровень защищенности (Y1/Y1П)
Потенциал нарушителя (Y2)
Высокий Средний Низкий
Базовый (низкий) Низкая Средняя Высокая
Базовый повышенный (средний) Средняя Высокая Высокая
Высокий Высокая Высокая Высокая

==б) оценка степени возможного ущерба от реализации угрозы безопасности информации==

Для оценки степени возможного ущерба от реализации угрозы безопасности информации определяются возможный результат реализации угрозы безопасности информации в информационной системе, вид ущерба, к которому может привести реализация угрозы безопасности информации, степень последствий от реализации угрозы безопасности информации для каждого вида ущерба.

В качестве результата реализации угрозы безопасности информации рассматриваются непосредственное или опосредованное воздействие на конфиденциальность, целостность, доступность информации, содержащейся в информационной системе.

Непосредственное воздействие на конфиденциальность, целостность, доступность информации возможно в результате реализации прямой угрозы безопасности информации. В этом случае объектами воздействия угрозы являются непосредственно информация и (или) иные объекты защиты информационной системы или обеспечивающей инфраструктуры, которые обеспечивают получение, обработку, хранение, передачу, уничтожение информации в информационной системе, в результате доступа к которым или воздействия на которые возможно воздействие на конфиденциальность, целостность или доступность информации.

Опосредованное воздействие на конфиденциальность, целостность, доступность информации рассматривается в результате реализации косвенных угроз безопасности информации. Реализация косвенных угроз безопасности информации не приводит непосредственно к воздействию на конфиденциальность, целостность, доступность информации, но создает условия для реализации одной или нескольких прямых угроз безопасности информации, позволяющих реализовать такое воздействие. В этом случае в качестве результата реализации косвенной угрозы необходимо рассматривать результаты реализации всех прямых угроз безопасности информации, которые возможно реализовать в случае реализации данной косвенной угрозы.

Результат реализации угрозы безопасности информации определяется воздействием угрозы на каждое свойство безопасности информации (конфиденциальность, целостность, доступность) в отдельности в соответствии с таблицей 5.

При обработке в информационной системе двух и более видов информации (служебная тайна, персональные данные, налоговая тайна, иные установленные законодательством Российской Федерации виды информации) воздействие на конфиденциальность, целостность, доступность определяется отдельно для каждого вида информации (k, …, m), содержащейся в информационной системе.

===Таблица 5===
Свойство
безопасности
информации
Результат реализации
угрозы безопасности информации
Не оказывает воздействия Оказывает воздействие
Конфиденциаль-
ность
К Xk1
В результате реализации
угрозы безопасности инфор-
мации отсутствует возмож-
ность неправомерного досту-
па, копирования, предостав-
ления или распространения
информации
В результате реализации
угрозы безопасности ин-
формации возможны не-
правомерный доступ, ко-
пирование, предоставле-
ние или распространение
информации
Целостность
Ц Xk1
В результате реализации
угрозы безопасности инфор-
мации отсутствует возмож-
ность уничтожения или мо-
дифицирования информации
В результате реализации
угрозы безопасности ин-
формации возможно уни-
чтожение или модифици-
рование информации
Доступность
Д Xk1
В результате реализации
угрозы безопасности инфор-
мации отсутствует возмож-
ность блокирования инфор-
мации
В результате реализации
угрозы безопасности ин-
формации возможно бло-
кирование информации

При определении степени возможного ущерба необходимо исходить из того, что в зависимости от целей и задач, решаемых информационной системой, видов обрабатываемой информации, воздействие на конфиденциальность, целостность или доступность каждого вида информации, содержащейся в информационной системе, может привести к различным видам ущерба. При этом для разных обладателей информации и операторов будут характерны разные виды ущерба.

Основные виды ущерба и возможные негативные последствия, к которым может привести нарушение конфиденциальности, целостности, доступности информации, приведены в таблице 6.

===Таблица 6===
Вид
ущерба
Возможные негативнее
последствия от нарушения конфиденциальности, целост-
ности, доступности информации
Экономический
(финансовый)
Снижение, как минимум, одного экономического показа-
теля.
Потеря (кража) финансовых средств.
Недополучение ожидаемой (прогнозируемой) прибыли.
Необходимость дополнительных (незапланированных)
затрат на выплаты штрафов (неустоек) или компенсаций.
Необходимость дополнительных (незапланированных)
затрат на закупку товаров, работ или услуг (в том числе
закупка программного обеспечения, технических средств,
вышедших из строя, замена, настройка, ремонт указанных
средств).
Необходимость дополнительных (незапланированных)
затрат на восстановление деятельности.
Потеря клиентов, поставщиков.
Потеря конкурентного преимущества.
Невозможность заключения договоров, соглашений.
Другие прямые или косвенные финансовые потери
Социальный Создание предпосылок для нанесения вреда здоровью
граждан.
Возможность нарушения функционирования объектов
обеспечения жизнедеятельности граждан.
Организация пикетов, забастовок, митингов и других ак-
ций.
Увольнения.
Увеличение количества жалоб в органы государственной
власти или органы местного самоуправления.
Появление негативных публикаций в общедоступных ис-
точниках.
Невозможность (прерывание) предоставления социаль-
ных услуг (сервисов).
Другие последствия, приводящие к нарастанию социаль-
ной напряженности в обществе
Политический Создание предпосылок к обострению отношений в меж-
дународных отношениях.
Срыв двусторонних (многосторонних) контактов с зару-
бежными партнерами.
Неспособность выполнения международных (двусторон-
них) договорных обязательств.
29
Невозможность заключения международных (двусторон-
них) договоров, соглашений.
Создание предпосылок к внутриполитическому кризису.
Нарушение выборного процесса.
Другие последствия во внутриполитической и внешнепо-
литической областях деятельности
Репутационный Нарушение законодательных и подзаконных актов.
Нарушение деловой репутации.
Снижение престижа.
Дискредитация работников.
Утрата доверия.
Неспособность выполнения договорных обязательств.
Другие последствия, приводящие к нарушению репута-
ции
Ущерб в области
обороны, безопас-
ности и правопо-
рядка
Создание предпосылок к наступлению негативных по-
следствий для обороны, безопасности и правопорядка.
Нарушение общественного правопорядка.
Неблагоприятное влияние на обеспечение общественного
правопорядка.
Возможность потери или снижения уровня контроля за
общественным правопорядком.
Отсутствие возможности оперативного оповещения
населения о чрезвычайной ситуации.
Другие последствия, приводящие к ущербу в области
обороны, безопасности и правопорядка
Ущерб субъекту
персональных дан-
ных
Создание угрозы личной безопасности.
Финансовые или иные материальные потери физического
лица.
Вторжение в частную жизнь.
Создание угрозы здоровью.
Моральный вред.
Утрата репутации.
Другие последствия, приводящие к нарушению прав
субъекта персональных данных
Технологический Невозможность решения задач (реализации функций)
или снижение эффективности решения задач (реализации
функций).
Необходимость изменения (перестроения) внутренних
процедур для достижения целей, решения задач (реализа-
ции функций).
Принятие неправильных решений.
Простой информационной системы или сегмента инфор-
мационной системы
Другие последствия, приводящие к нарушению техноло-
гии обработки информации

Указанные виды ущерба могут дополняться другими видами в зависимости от целей и задач, решаемых информационной системой, а также вида обрабатываемой в ней информации.

Степень возможного ущерба от реализации угрозы безопасности информации определяется степенью негативных последствий от нарушения конфиденциальности, целостности или доступности каждого вида информации, содержащейся в информационной системе.

Степень негативных последствий от нарушения конфиденциальности, целостности или доступности информации определяется для каждого вида ущерба, зависит от целей и задач, решаемых информационной системой, и может иметь разные значения для разных обладателей информации и операторов. В качестве единой шкалы измерения степени негативных последствий принимаются значения «незначительные», «умеренные» и «существенные» негативные последствия. Каждым оператором определяется в указанной единой шкале измерений степень негативных последствий от нарушения конфиденциальности, целостности или доступности информации применительно ко всем целям и задачам, решаемым информационной системой.

Степень возможного ущерба определяется экспертным методом в соответствии с таблицей 7.

===Таблица 7===
Степень
ущерба
Характеристика степени ущерба
Высокая В результате нарушения одного из свойств безопасности
информации (конфиденциальности, целостности, доступно-
сти) возможны существенные негативные последствия.
Информационная система и (или) оператор (обладатель
информации) не могут выполнять возложенные на них
функции
Средняя В результате нарушения одного из свойств безопасности
информации (конфиденциальности, целостности, доступно-
сти) возможны умеренные негативные последствия.
Информационная система и (или) оператор (обладатель
информации) не могут выполнять хотя бы одну из возложен-
ных на них функций
Низкая В результате нарушения одного из свойств безопасности
информации (конфиденциальности, целостности, доступно-
сти) возможны незначительные негативные последствия.
Информационная система и (или) оператор (обладатель
информации) могут выполнять возложенные на них функции
с недостаточной эффективностью или выполнение функций
возможно только с привлечением дополнительных сил и
средств

При обработке в информационной системе двух и более видов информации (служебная тайна, персональные данные, налоговая тайна и иные установленные законодательством Российской Федерации виды информации) степень возможного ущерба определяется отдельно для каждого вида информации (k, …, m), обрабатываемой в информационной системе, применительно к каждому виду ущерба. Итоговая степень возможного ущерба устанавливается по наивысшим значениям степени возможного ущерба, определенным для конфиденциальности, целостности, доступности информации каждого вида информации применительно к каждому виду ущерба.

X max(Х ); i К,Ц, Д.
i
k
i
k  

==в) определение актуальности угрозы безопасности информации==

Решение об актуальности угрозы безопасности информации УБИj А для информационной системы с заданными структурно-функциональными характеристиками и условиями функционирования принимается в соответствии с таблицей 8.

===Таблица 8===
Вероятность (воз-
можность) реали-
зации угрозы (Yj)
Степень возможного ущерба (Хj)
Низкая Средняя Высокая
Низкая неактуальная неактуальная актуальная
Средняя неактуальная актуальная актуальная
Высокая актуальная актуальная актуальная

=Приложение № 1=
к Методике определения угроз безопасности информации в информационных системах

'''Рекомендации по формированию экспертной группы и проведению экспертной оценки при определении угроз безопасности информации'''

Качественное формирование экспертной группы способствует снижению субъективных факторов при оценке угроз безопасности информации. Занижение (ослабление) экспертами прогнозов и предположений при определении угроз может повлечь наступление непрогнозируемого (неожиданного) ущерба в результате реализации угрозы безопасности информации. Завышение экспертами прогнозов и предположений при определении угроз может повлечь за собой неоправданные расходы на нейтрализацию угроз, являющихся неактуальными.

Независимо от результата формирования экспертной группы при оценке угроз безопасности информации существуют субъективные факторы, связанные с психологией принятия решений человеком. Это также может приводить как к занижению (ослаблению), так и к завышению (усилению) экспертами прогнозов и предположений при определении угроз безопасности информации, что в свою очередь может привести к пропуску отдельных угроз безопасности информации или к неоправданным затратам на нейтрализацию неактуальных угроз.

Любое решение, принимаемое экспертами при определении угроз безопасности информации, должно исходить из правил, при которых нарушитель находится в наилучших условиях для реализации угрозы безопасности (принципа «гарантированности»).

==а) формирование экспертной группы==

В состав экспертной группы для определения угроз безопасности информации рекомендуется включать экспертов (независимо от того, реализуются ли функции обладателя информации, заказчика и оператора в рамках одной или нескольких организаций):
*от подразделений обладателей информации, содержащейся в информационной системе;
*от подразделений оператора информационной системы;
*от подразделения по защите информации;
*от лиц, предоставляющих услуги по обработке информации;
*от разработчика информационной системы;
*от операторов взаимодействующих внешних информационных систем (по согласованию).

В качестве экспертов рекомендуется привлекать специалистов, деятельность которых связана с обработкой информации в информационной системе, а также специалистов, имеющие квалификацию и опыт работы в области применения информационных технологий и (или) в области защиты информации.

При привлечении в качестве экспертов специалистов от подразделений по защите информации рекомендуется привлекать лиц, имеющих высшее образование или прошедших переподготовку (повышение квалификации) по направлению подготовки «Информационная безопасность», или имеющих не менее трех лет стажа практической работы в своей сфере деятельности.

Эксперты должны обладать независимостью, основанной на отсутствии коммерческого и финансового интереса или другого давления, которое может оказать влияние на принимаемые решения. Не рекомендуется формировать экспертную группу из участников, находящихся в прямом подчинении, так как это может негативным образом повлиять на результат определения угроз безопасности информации.

Состав экспертной группы зависит от целей и задач информационной системы, но не должен быть меньше трех экспертов.

==б) проведение экспертной оценки==

При проведении экспертной оценки принимаются меры, направленные на снижение уровня субъективности и неопределенности при определении каждой из угроз безопасности информации.

Экспертную оценку рекомендуется проводить в отношении, как минимум, следующих параметров:
*цели реализации угроз безопасности информации (мотивация нарушителей);
*типы и виды нарушителей;
*уязвимости, которые могут быть использованы для реализации угроз безопасности информации;
*способы реализации угроз безопасности информации;
*степень воздействия угрозы безопасности информации на каждое из свойств безопасности информации;
*последствия от реализации угроз безопасности информации;
*вероятность реализации угроз безопасности информации;
*уровень защищенности информационной системы;
*потенциал нарушителя, требуемый для реализации угрозы безопасности информации (в случае отсутствия потенциала в банке данных угроз безопасности информации).

Оценку параметров рекомендуется проводить опросным методом с составлением анкеты, в которой указываются вопросы и возможные варианты ответа в единой принятой шкале измерений («низкий», «средний», «высокий» или «да», «нет» или иные шкалы). При этом вопросы должны быть четкими и однозначно трактуемыми, предполагать однозначные ответы.

Опрос экспертов включает следующие этапы:
*каждый эксперт проводит оценку оцениваемого параметра (рекомендуется не мене двух раундов оценки), результаты которой заносятся в таблицу 1.1;
*после оценки каждым из экспертов отбрасываются минимальные и максимальные значения;
*определяется среднее значение оцениваемого параметра в каждом раунде;
*определяется итоговое среднее значение оцениваемого параметра.

===Пример таблицы результатов оценки параметров===
Таблица 1.1
Эксперты Значение оцениваемого
параметра (раунд 1)
Значение оцениваемого
параметра (раунд 2)
Эксперт 1
Эксперт 2
Эксперт n
Итоговое значение

=Приложение № 2=
к Методике определения угроз безопасности информации в информационных системах

'''Структура модели угроз безопасности информации'''

Модель угроз безопасности информации содержит следующие разделы:

1. Общие положения.

2. Описание информационной системы и особенностей ее функционирования.

2.1. Цель и задачи, решаемые информационной системой.

2.2. Описание структурно-функциональных характеристик информационной системы.

2.3. Описание технологии обработки информации.

3. Возможности нарушителей (модель нарушителя).

3.1. Типы и виды нарушителей.

3.2. Возможные цели и потенциал нарушителей.

3.3. Возможные способы реализации угроз безопасности информации.

4. Актуальные угрозы безопасности информации.

Приложения (при необходимости).

Раздел «Общие положения» содержит назначение и область действия документа, информацию о полном наименовании информационной системы, для которой разработана модель угроз безопасности информации, а также информацию об использованных для разработки модели угроз безопасности информации нормативных и методических документах, национальных стандартах. В данный раздел также включается информация об используемых данных и источниках, на основе которых определяются угрозы безопасности информации (документация, исходные тексты программ, опросы персонала, журналы регистрации средств защиты, отчеты об аудите и иные источники).

Раздел «Описание информационной системы и особенностей ее функционирования» содержит общую характеристику информационной системы, описание структурно-функциональных характеристик информационной системы, описание взаимосвязей между сегментами информационной системы, описание взаимосвязей с другими информационными системами и информационно-телекоммуникационными сетями, описание технологии обработки информации.

Также в данном разделе приводятся предположения, касающиеся информационной системы и особенностей ее функционирования (в частности предположения об отсутствии неучтенных беспроводных каналов доступа или динамичность выделения адресов узлам информационной системы, иные предположения). В раздел включаются любые ограничения, касающиеся информационной системы и особенностей ее функционирования.

Раздел «Возможности нарушителей (модель нарушителя)» содержит описание типов, видов, потенциала и мотивации нарушителей, от которых необходимо обеспечить защиту информации в информационной системе, способов реализации угроз безопасности информации. В данный раздел также включаются предположения, касающиеся нарушителей (в частности предположение об отсутствии у нарушителя возможности доступа к оборудованию, сделанному на заказ и применяемому при реализации угрозы, предположение о наличии (отсутствии) сговора между внешними и внутренними нарушителями или иные предположения). В раздел включаются любые ограничения, касающиеся определения нарушителей (в частности исключение администраторов информационной системы или администраторов безопасности из числа потенциальных нарушителей или иные предположения).

Раздел «Актуальные угрозы безопасности информации» содержит описание актуальных угроз безопасности, включающее наименование угрозы безопасности информации, возможности нарушителя по реализации угрозы, используемые уязвимости информационной системы, описание способов реализации угрозы безопасности информации, объекты воздействия, возможные результат и последствия от реализации угрозы безопасности информации.

=Приложение № 3=
к Методике определения угроз безопасности
информации в информационных системах
Определение
потенциала нарушителя, необходимого для реализации угрозы без-
опасности информации в информационной системе
Настоящее приложение применяется для определения потенциала, необхо-
димого для реализации угрозы безопасности информации, данные по которой
отсутствуют в банке данных угроз безопасности информации, и характеристики
которых определяются на основе иных источников или результатов исследова-
ний.
Приведенный подход к оценке потенциала нарушителя направлен на сни-
жение уровня субъективности и неопределенности при оценке потенциала
нарушителя, который требуется для реализации угрозы безопасности информа-
ции в информационной системе с заданными структурно-функциональными ха-
рактеристиками и особенностями функционирования.
Исходными данными для определения потенциала нарушителя являются:
данные об аппаратном, общесистемном и прикладном программном обес-
печении, применяемых информационных технологиях, особенностях функцио-
нирования информационной системы;
данные об уязвимостях в аппаратном, общесистемном и прикладном про-
граммном обеспечении, опубликованные в различных базах данных уязвимо-
стей, полученные в результате исследований (тестировании) или полученные от
уполномоченных федеральных органов исполнительной власти и организаций.
При оценке потенциала нарушителя необходимо исходить из того, что для
успешного достижения целей реализации угроз безопасности информации,
нарушителю необходимо осуществить подготовку к реализации угрозы и непо-
средственно реализацию угрозы безопасности информации. При этом не един-
ственным, но необходимым условием на этапе подготовки к реализации угрозы
безопасности информации является идентификация уязвимостей в информаци-
онной системе, а на этапе реализации угрозы безопасности информации – ис-
пользование уязвимостей информационной системы.
Таким образом, для определения потенциала нарушителя необходимо оце-
нить возможности нарушителя идентифицировать уязвимости и использовать их
в информационной системе в ходе подготовки к реализации и непосредственно в
ходе реализации угрозы безопасности информации. Для проведения указанной
оценки делается предположение о наличии уязвимостей, которые потенциально
содержатся в информационной системе и могут быть использованы для реализа-
ции угрозы безопасности информации.
Потенциальные уязвимости определяются для каждого класса и типа про-
граммного обеспечения и для каждого узла (хоста) информационной системы
исходя из условия, что для реализации угрозы безопасности информации нару-
38
шителю необходимо идентифицировать и использовать как минимум одну уяз-
вимость на каждом узле и хосте.
В качестве исходных данных для определения потенциальных уязвимостей
используются данные по составу информационной системы и особенностям ее
функционирования, а также данные об уязвимостях в этом программном обеспе-
чении, опубликованные в общедоступных источниках, полученные по результа-
там исследований и (или) полученные от уполномоченных органов и организа-
ций.
Для каждой выявленной потенциальной уязвимости проводится оценка
возможностей ее идентификации и использования в информационной системе
нарушителем, обладающим определенными возможностями и для каждого из
возможных сценариев реализации угрозы безопасности информации.
Оценка возможностей нарушителя по идентификации и использованию
уязвимости в информационной системе проводится по результатам определения
следующих показателей:
время, затрачиваемое нарушителем на идентификацию и использование
уязвимости (затрачиваемое время);
техническая компетентность нарушителя;
знание нарушителем проекта и информационной системы;
оснащенность нарушителя;
возможности нарушителя по доступу к информационной системе.
Во многих случаях указанные показатели являются зависимыми и могут в
различной степени заменять друг друга. В частности, показатели технической
компетентности или оснащенности могут заменяться показателем затрачиваемо-
го времени.
а) определение показателя «затрачиваемое время»
Показатель «затрачиваемое время» характеризует время, непрерывно за-
трачиваемое нарушителем для идентификации и использования уязвимости для
реализации угрозы безопасности информации.
Показатель «затрачиваемое время» может принимать значения «за мину-
ты», «за часы», «за дни» или «за месяцы».
Значение «за минуты» присваивается, если для реализации угрозы без-
опасности информации нарушитель затратит менее получаса на идентификацию
и использование уязвимости.
Значение «за часы» присваивается, если для реализации угрозы безопасно-
сти информации нарушитель затратит менее чем один день на идентификацию и
использование уязвимости.
Значение «за дни» присваивается, если для реализации угрозы безопасно-
сти информации нарушитель затратит менее чем один месяц на идентификацию
и использование уязвимости.
Значение «за месяцы» присваивается, если для реализации угрозы без-
опасности информации нарушитель затратит, как минимум, месяц на идентифи-
кацию и использование уязвимости.
39
б) определение показателя «техническая компетентность нарушителя»
Показатель «техническая компетентность нарушителя» характеризует, ка-
ким уровнем знаний и подготовкой в области информационных технологий и
защиты информации должен обладать нарушитель, чтобы идентифицировать и
использовать уязвимости для реализации угрозы безопасности информации.
Показатель «техническая компетентность нарушителя» может принимать
значения «специалист», «профессионал» или «непрофессионал».
Значение «профессионал» присваивается, если нарушитель имеет хоро-
шую осведомленность о мерах защиты информации, применяемых в информа-
ционной системе, об алгоритмах, аппаратных и программных средствах, исполь-
зуемых в информационной системе, а также обладает специальными знаниями о
методах и средствах выявления новых уязвимостей и способах реализации угроз
безопасности информации для информационных систем данного типа.
Значение «специалист» присваивается, если нарушитель имеет осведом-
ленность о мерах защиты информации, применяемых в информационной систе-
ме данного типа.
Значение «непрофессионал» присваивается, если нарушитель имеет сла-
бую осведомленность (по сравнению со специалистами или профессионалами) о
мерах защиты информации, применяемых в информационных системах данного
типа, и не обладает специальными знаниями по реализации угроз безопасности
информации.
в) определение показателя «знание нарушителем проекта и информа-
ционной системы»
Показатель «знание нарушителем проекта и информационной системы»
характеризует, какие сведения об информационной системе и условиях ее экс-
плуатации доступны нарушителю, чтобы идентифицировать и использовать уяз-
вимости для реализации угрозы безопасности информации.
Показатель «знание нарушителем проекта и информационной системы»
может принимать значения «отсутствие знаний», «ограниченные знания» или
«знание чувствительной информации».
Значение «отсутствие знаний» присваивается, если в результате принятия
мер по защите информации нарушителю не может стать известно о структурно-
функциональных характеристиках информационной системы, системе защиты
информации информационной системы, а также об иной информации по разра-
ботке (проектированию) и эксплуатации информационной системы, включая
сведения из конструкторской, проектной и эксплуатационной документации.
При этом может быть доступна информация о целях и задачах, решаемых ин-
формационной системой. Данный показатель также присваивается, если сведе-
ния об информационной системе отнесены к информации ограниченного досту-
па и не могут быть доступны для неограниченного круга лиц.
40
Значение «ограниченные знания» присваивается, если нарушителю наряду
с информацией о целях и задачах, решаемых информационной системой, может
стать известна только эксплуатационная документация на информационную си-
стему (в частности руководство пользователя и (или) правила эксплуатации ин-
формационной системы).
Значение «знание чувствительной информации» присваивается, если
нарушителю может стать известны конструкторская (проектная) и эксплуатаци-
онная документация на информационную систему, информация о структурно-
функциональных характеристиках информационной системы, системе защиты
информационной системы.
г) определение показателя «возможности нарушителя по доступу к
информационной системе»
Показатель «возможности нарушителя по доступу к информационной си-
стеме» характеризует, как долго по времени нарушитель должен иметь возмож-
ность доступа к информационной системе для идентификации и использования
уязвимостей для реализации угроз безопасности информации.
Показатель «возможности нарушителя по доступу к информационной си-
стеме» может принимать значения «за минуты», «за часы», «за дни» или «за ме-
сяцы».
Значение «за минуты» присваивается, если для идентификации и исполь-
зования уязвимости для реализации угрозы безопасности информации наруши-
телю требуется доступ менее получаса.
Значение «за часы» присваивается, если для идентификации и использова-
ния уязвимости для реализации угрозы безопасности информации нарушителю
требуется доступ менее одного дня.
Значение «за дни» присваивается, если для идентификации и использова-
ния уязвимости для реализации угрозы безопасности информации нарушителю
требуется доступ менее одного месяца.
Значение «за месяцы» присваивается, если для идентификации и использо-
вания уязвимости для реализации угрозы безопасности информации нарушите-
лю требуется доступ более одного месяца.
Показатель «возможности нарушителя по доступу к информационной си-
стеме» взаимосвязан с показателем «затраченное время». Идентификация и ис-
пользование уязвимости при реализации угрозы безопасности информации мо-
гут требовать продолжительного времени по доступу к информационной систе-
ме, что увеличивает возможность обнаружения уязвимости. В отдельных случа-
ях продолжительный доступ к информационной системе не требуется (методы и
средства реализации угроз безопасности разрабатываются автономно), но при
этом требуется кратковременный доступ к информационной системе.
41
д) определение показателя «оснащенность нарушителя»
Показатель «оснащенность нарушителя» характеризует, какие программ-
ные и (или) программно-технические средства требуются нарушителю для иден-
тификации и использования уязвимостей для реализации угроз безопасности
информации.
Показатель «оснащенность нарушителя» может принимать значения
«стандартное оборудование», «специализированное оборудование» или «обору-
дование, сделанное на заказ».
Значение «стандартное оборудование» присваивается, если для идентифи-
кации или использования уязвимостей при реализации угрозы безопасности ин-
формации требуются программные (программно-технические) средства, легко
доступные для нарушителя. К таким средствам, в первую очередь, относятся
программные средства непосредственно информационной системы (отладчик в
операционной системе, средства разработки и иные), программные средства, ко-
торые могут быть легко получены (программы, имеющиеся в свободном доступе
в сети Интернет) или имеются простые сценарии реализации угроз.
Значение «специализированное оборудование» присваивается, если для
идентификации или использования уязвимостей при реализации угрозы без-
опасности информации требуются программные (программно-технические)
средства, которые отсутствуют в свободном доступе, но могут быть приобрете-
ны нарушителем без значительных усилий. К таким средствам, в первую оче-
редь, относятся программные (программно-технические) средства, которые
имеются в продаже (анализаторы кода, анализаторы протоколов и иные) или
требуется разработка более сложных программ и сценариев реализации угрозы.
Оборудование может быть закуплено, либо, например, могут быть использованы
компьютеры, объединенные через сеть Интернет (бот-сети).
Значение «оборудование, сделанное на заказ» присваивается, если для
идентификации или использования уязвимостей при реализации угрозы без-
опасности информации требуются программные (программно-технические)
средства, которые недоступны широкому кругу лиц, так как требуется их специ-
альная разработка с привлечением исследовательских организаций, или распро-
странение этих средств контролируется в соответствии с законодательством. К
такому оборудованию также относится дорогостоящие средства или средства,
сведения о которых относятся к информации ограниченного доступа.
С целью вычисления потенциала нарушителя определяются числовые зна-
чения указанных показателей в соответствии с таблицей 3.1.
42
Таблица 3.1
Показатель возможностей нарушителя
Значения при
идентификации
уязвимости
Значения при
использова-
нии уязвимо-
сти
Затрачиваемое
время
< 0,5 час 0 0
< 1 день 2 3
< 1 месяц 3 5
> 1 месяц 5 8
Техническая ком-
петентность
нарушителя
Непрофессионал 0 0
Специалист 2 3
Профессионал 5 4
Знание проекта и
информационной
системы
Отсутствие знаний 0 0
Ограниченные знания 2 2
Знание чувствительной
информации 5
4
Возможность до-
ступа к информа-
ционной системе
< 0,5 час или не обна-
руживаемый доступ 0
0
< 1 день 2 4
< 1 месяц 3 6
> 1 месяц 4 9
Не возможно
Оснащенность
нарушителя
Отсутствует 0 0
Стандартное оборудо-
вание
1
2
Специализированное
оборудование 3
4
Оборудование, сделан-
ное на заказ
5
6
Для конкретной потенциальной уязвимости может возникнуть необходи-
мость определять показатели несколько раз для различных способов реализации
угроз безопасности информации (попеременно использовать разные значения
показателей компетентности в сочетании со значениями времени и оборудова-
ния). При этом следует выбирать наибольшее значение, полученное при каждом
расчете показателей.
Полученные на основе таблицы 3.1 значения характеристик потенциала
нарушителя суммируются. Полученная сумма значений характеристик соотно-
сится с диапазонами значений, приведенных в таблице 3.2, в соответствии с ко-
торой определяется потенциал нарушителя, необходимый для реализации угрозы
безопасности информации.
43
Таблица 3.2
Диапазон
значений
Потенциал
нарушителя
<10 Потенциал недостаточен для реализации
угрозы безопасности
10-17 Базовый (низкий)
18-24 Базовый повышенный (средний)
>24 Высокий
Мотивация нарушителя для реализации угроз безопасности информации
может быть базовой или повышенной. Мотивация нарушителя характеризует
уровень устремлений нарушителя к информации, содержащейся в информаци-
онной системе, или информационной системе в целом. При определении потен-
циала нарушителя необходимо исходить, как минимум, из его базовой мотива-
ции.
Потенциал нарушителя, требуемый для реализации угрозы безопасности
информации, переходит на следующий уровень (от низкого к среднего или от
среднего к высокому), если определено, что нарушитель имеет повышенную мо-
тивацию реализации угроз безопасности по отношению к информационной си-
стеме.
Мотивация нарушителя определяется как повышенная, если:
а) имеются сведения (в том числе опубликованные в общедоступных ис-
точниках) об устремлениях нарушителей к конкретной информационной системе
и (или) отдельным ее объектам защиты; например, если информация, обрабаты-
ваемая в информационной системе, является высоко ценной для нарушителя или
для нарушителя является крайне приоритетным нанести ущерб оператору ин-
формационной системы;
б) имеется информация, полученная от уполномоченных федеральных ор-
ганов исполнительной власти, о намерении нарушителя осуществить неправо-
мерные действия в отношении информационной системы и (или) информации,
содержащейся в этой информационной системе.

Методика определения угроз безопасности информации в информационных системах

2015-10-02T08:55:41Z

Hunter po: /* Приложение № 1 */

ФЕДЕРАЛЬНАЯ СЛУЖБА
ПО ТЕХНИЧЕСКОМУ И ЭКСПОРТНОМУ КОНТРОЛЮ
(ФСТЭК РОССИИ)

МЕТОДИЧЕСКИЙ ДОКУМЕНТ
МЕТОДИКА ОПРЕДЕЛЕНИЯ УГРОЗ БЕЗОПАСНОСТИ ИНФОРМАЦИИ В ИНФОРМАЦИОННЫХ СИСТЕМАХ
(ПРОЕКТ) 2015

=ОБЩИЕ ПОЛОЖЕНИЯ=

Настоящий методический документ ФСТЭК России «Методика определения угроз безопасности информации в информационных системах» (далее - Методика) разработан и утвержден в соответствии с подпунктом 4 пункта 8 Положения о Федеральной службе по техническому и экспортному контролю, утвержденного Указом Президента Российской Федерации от 16 августа 2004 г. № 1085.

Документ устанавливает единый методический подход к определению угроз безопасности информации и разработке моделей угроз безопасности информации в государственных информационных системах (далее – информационные системы), защита информации в которых обеспечивается в соответствии с Требованиями о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах, утвержденными приказом ФСТЭК России от 11 февраля 2013 г. № 17 (зарегистрирован Минюстом России 31 мая 2013 г., рег. № 28608).

По решению оператора персональных данных Методика может применяться для определения в соответствии с пунктом 1 части 2 статьи 19 Федерального закона «О персональных данных» угроз безопасности персональных данных при их обработке в информационных системах персональных данных, защита которых обеспечивается в соответствии с Составом и содержанием организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденных приказом ФСТЭК России от 18 февраля 2013 г. № 21 (зарегистрирован Минюстом России 14 мая 2013 г., рег. № 28375).

Методика не распространяется на определение угроз безопасности информации, составляющей государственную тайну.

Методика предназначена для:
*органов государственной власти, органов местного самоуправления и организаций, являющихся в соответствии с законодательством Российской Федерации обладателями информации, заказчиками и (или) операторами информационных систем;
*организаций, осуществляющих в соответствии с законодательством Российской Федерации работы по созданию (проектированию) информационных систем;
*организаций, осуществляющих в соответствии с законодательством Российской Федерации работы по защите информации в ходе создания (проектирования) и эксплуатации информационных систем;
*организаций, осуществляющих в соответствии с законодательством Российской Федерации работы по аттестации (оценке соответствия) информационных систем требованиям о защите информации.

Настоящая Методика применяется на этапах создания информационных систем для определения и оценки угроз безопасности информации и разработки моделей угроз, а также в ходе эксплуатации информационных систем при периодическом пересмотре (переоценке) угроз безопасности информации.

Методика применяется совместно с банком данных угроз безопасности информации, сформированным ФСТЭК России (ubi.fstec.ru), а также базовыми и типовыми моделями угроз безопасности информации в информационных системах различных классов и типов, разрабатываемых ФСТЭК России в соответствии с подпунктом 4 пункта 8 Положения о Федеральной службе по техническому и экспортному контролю, утвержденного Указом Президента Российской Федерации от 16 августа 2004 г. № 1085.

Методика ориентирована на определение и оценку антропогенных угроз безопасности информации, возникновение которых обусловлено объективными факторами. Вместе с тем, часть приведенных в Методике подходов может также применяться для оценки техногенных угроз в случае, если они позволяют достичь целей такой оценки. Определение угроз, связанных со стихийными бедствиями и природными явлениями осуществляется в соответствии с правилами, установленными уполномоченными федеральными органами исполнительной власти, национальными стандартами и находятся за рамками настоящей Методики.

В случае, если в соответствии с настоящей Методикой к числу актуальных угроз, отнесены угрозы, связанные с утечкой информации по техническим каналам, дальнейшая их оценка проводится в соответствии со специальными требованиями и рекомендациями по технической защите конфиденциальной информации и методиками оценки защищенности конфиденциальной информации.

В Методике используются термины и их определения, установленные
национальными стандартами в области защиты информации.

В связи с утверждением настоящего методического документа не применяется для определения угроз безопасности информации Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных (ФСТЭК России, 2008 г.).

=ПРОЦЕСС ОПРЕДЕЛЕНИЯ УГРОЗ БЕЗОПАСНОСТИ ИНФОРМАЦИИ В ИНФОРМАЦИОННОЙ СИСТЕМЕ=

Целью определения угроз безопасности информации является установление того, существует ли возможность нарушения конфиденциальности, целостности или доступности информации, содержащейся в информационной системе, и приведет ли нарушение хотя бы одного из указанных свойств безопасности информации к наступлению неприемлемых негативных последствий (ущерба) для обладателя информации или оператора, а в случае обработки персональных данных и для субъектов персональных данных.

Определение угроз безопасности информации должно носить систематический характер и осуществляться как на этапе создания информационной системы и формирования требований по ее защите, так и в ходе эксплуатации информационной системы. Систематический подход к определению угроз безопасности информации необходим для того, чтобы определить потребности в конкретных требованиях к защите информации и создать адекватную эффективную систему защиты информации в информационной системе. Меры защиты информации, принимаемые обладателем информации и оператором, должны обеспечивать эффективное и своевременное выявление и блокирование (нейтрализацию) угроз безопасности информации, в результате реализации которых возможно наступление неприемлемых негативных последствий (ущерба).

Систематический подход к определению угроз безопасности информации предусматривает реализацию непрерывного процесса, в рамках которого определяется область применения процесса определения угроз, идентифицируются источники угроз и угрозы безопасности информации, оценивается возможность реализации угроз безопасности информации и степень возможного ущерба в случае такой реализации, осуществляется мониторинг (периодический пересмотр) и переоценка угроз безопасности информации.

Оценка угроз безопасности информации проводится экспертным методом.

Рекомендации по формированию экспертной группы и проведению экспертной оценки при определении угроз безопасности информации приведены в приложении № 1 к настоящей Методике.

==а) область применения процесса определения угроз безопасности информации==

На этапах принятия решения о необходимости защиты информации в информационной системе и разработки требований к защите информации должны быть определены физические и логические границы информационной системы, в которых принимаются и контролируются меры защиты информации, за которые ответственен оператор, а также определены объекты защиты и сегменты информационной системы.

Процесс определения угроз безопасности информации должен охватывать все объекты защиты и сегменты в логических и физических границах информационной системы, в которых оператором принимаются и контролируются меры защиты информации. Процесс определения угроз безопасности информации организуется подразделением оператора, назначенным ответственным за защиту информации в информационной системе. В случае, если информационная система имеет сегменты, эксплуатируемые разными подразделениями оператора, которые могут самостоятельно принимать и контролировать меры защиты информации, должны быть определены границы ответственности этих подразделений и порядок их взаимодействия в процессе определения угроз безопасности информации.

Область применения процесса определения угроз безопасности информации отражается в модели угроз безопасности информации наряду с областью действия модели угроз, структурно-функциональными характеристиками информационной системы и особенностями ее функционирования.

==б) идентификация источников угроз и угроз безопасности информации==

В обобщенном виде угрозы безопасности информации характеризуется источниками угроз, факторами, обуславливающими возможность реализации угроз, способами (методами) реализации угроз и последствиями от реализации угроз безопасности информации.

Важным этапом в процессе определения угроз безопасности информации является идентификация лиц или событий (явлений), в результате действий (наступления, возникновения) которых возможно нарушение конфиденциальности, целостности или доступности информации, содержащейся в информационной системе, и возникновение неприемлемых негативных последствий (ущерба).

В качестве источников угроз безопасности информации могут выступать субъекты (физические лица, организации, государства) или явления (техногенные аварии, стихийные бедствия, иные природные явления).

Источники угроз безопасности информации являются определяющим фактором при определении угроз безопасности информации в информационных системах. В процессе определения угроз безопасности информации подлежат оценке те угрозы, у которых есть источники и источники имеют возможности и условия для реализации угроз безопасности информации в информационной системе с заданными структурно-функциональными характеристиками и особенностями ее функционирования.

Источники угроз безопасности информации могут быть следующих типов:
*антропогенные источники (антропогенные угрозы);
*техногенные источники (техногенные угрозы);
*стихийные источники (угрозы стихийных бедствий, иных природных явлений).

В качестве источников антропогенных угроз безопасности информации могут выступать:
*лица, осуществляющие преднамеренные действия с целью доступа к информации (воздействия на информацию), содержащейся в информационной системе, или нарушения функционирования информационной системы или обслуживающей ее инфраструктуры (преднамеренные угрозы безопасности информации);
*лица, имеющие доступ к информационной системе, не преднамеренные действия которых могут привести к нарушению безопасности информации (непреднамеренные угрозы безопасности информации).

Для информационных систем, в которых целью защиты является обеспечение целостности и доступности обрабатываемой информации, в обязательном порядке подлежат оценке техногенные угрозы, связанные с отказами или сбоями в работе технических средств или программного обеспечения. Такие угрозы могут быть обусловлены:
*низким качеством (надежностью) технических, программных или программно-технических средств;
*низким качеством (надежностью) сетей связи и (или) услуг связи;
*отсутствием или низкой эффективностью систем резервирования или дублирования программно-технических и технических средств;
*низким качеством (надежностью) инженерных систем (кондиционирования, электроснабжения, охранных систем и т.д.);
*низким качеством обслуживания со стороны обслуживающих организаций и лиц.

При определении угроз безопасности информации оценке подлежат угрозы, связанные со всеми типами источников. Однако в целях создания и эксплуатации адекватной эффективной системы защиты информации в информационной системе следует, в первую очередь, уделять внимание оценке антропогенных угроз, связанных с несанкционированными (неправомерными) действиями субъектов по нарушению безопасности (конфиденциальности, целостности, доступности) информации, в том числе целенаправленными воздействиями программными (программно-техническими) средствами на информационные системы, осуществляемые в целях нарушения (прекращения) их функционирования (компьютерные атаки).

Также при определении угроз безопасности информации наряду с угрозами, реализация которых может привести непосредственно к нарушению конфиденциальности, целостности или доступности информации (прямыми угрозами), необходимо выявлять и оценивать угрозы, создающие условия для реализации прямых угроз безопасности информации (косвенные угрозы). В качестве косвенных угроз безопасности информации могут рассматриваться угрозы повышения привилегий, исчерпания вычислительных ресурсов, недоступности обновления программного обеспечения и иные угрозы безопасности информации.

В процессе определения угроз безопасности информации на всех стадиях (этапах) жизненного цикла информационных систем необходимо регулярно проводить идентификацию источников угроз, оценивать их возможности и определять на этой основе угрозы безопасности информации. Данные о нарушителях и их возможностях по реализации угроз безопасности информации, полученные при идентификации источников угроз, включаются в модели угроз безопасности информации.

Для идентификации угроз безопасности информации в информационной системе определяются:
*возможности (тип, вид, потенциал) нарушителей, необходимые им для реализации угроз безопасности информации;
*уязвимости, которые могут использоваться при реализации угроз безопасности информации (включая специально внедренные программные закладки);
*способы (методы) реализации угроз безопасности информации;
*объекты информационной системы, на которые направлена угроза безопасности информации (объекты воздействия);
*результат и последствия от реализации угроз безопасности информации.

Каждая угроза безопасности информации в информационной системе описывается (идентифицируется) следующим образом:
УБИj = [нарушитель (источник угрозы); уязвимости; способы реализации угрозы; объекты воздействия; последствия от реализации угрозы].

==в) оценка вероятности (возможности) реализации угроз безопасности информации и степени возможного ущерба==
Идентифицированная угроза безопасности информации подлежит нейтрализации (блокированию), если она является актуальной (УБИj А ) для информационной системы, то есть в информационной системе с заданными структурно функциональными характеристиками и особенностями функционирования существует вероятность (возможность) реализации рассматриваемой угрозы нарушителем с соответствующим потенциалом и ее реализация приведет к неприемлемым негативным последствиям (ущербу):
УБИj А = [вероятность (возможность) реализации угрозы (Рj); степень ущерба (Хj)].

Актуальные угрозы безопасности информации включаются в модель угроз безопасности информации. Модель угроз безопасности информации, учитывая особенности информационной системы, используемые в ней программные, программно-технические, технические средства и процессы обработки информации, дает описание угроз безопасности, которым подвержена информационная система. Структура модели угроз безопасности информации приведена в приложении № 2 к настоящей Методике.

==г) мониторинг и переоценка угроз безопасности информации==

Определение угроз безопасности информации на этапе создания информационной системы позволяет обеспечить формирование требований и внедрение эффективной адекватной системы защиты информации в информационной системе для угроз, актуальных к моменту ввода в эксплуатацию информационной системы.

В ходе эксплуатации информационной системы оператор, обеспечивая достижение целей и задач информационной системы, может изменять ее базовую конфигурацию, что приводит к изменению структурно-функциональных характеристик информационной системы и применяемых информационных технологий. Также в процессе эксплуатации возможно изменение состава и значимости обрабатываемой информации и особенностей функционирования информационной системы.

В этих условиях процесс определения угроз безопасности информации должен носить систематический характер. В ходе эксплуатации информационной системы регулярно проводится анализ изменения угроз безопасности информации, а актуальные угрозы безопасности информации подлежат периодической переоценке. Периодичность переоценки определяется организацией исходя из особенностей функционирования информационной системы. Рекомендуется пересматривать угрозы безопасности информации не реже одного раза в год. По результатам анализа проводится уточнение (при необходимости) модели угроз
безопасности информации.

Пересмотр (переоценка) угроз безопасности информации, как минимум, осуществляется в случаях:
*изменения требований законодательства Российской Федерации о защите информации, нормативных правовых актов и методических документов, регламентирующих защиту информации;
*изменения конфигурации (состава основных компонентов) и особенностей функционирования информационной системы, следствием которых стало возникновение новых угроз безопасности информации;
*выявления уязвимостей, приводящих к возникновению новых угроз безопасности информации или к повышению возможности реализации существующих;
*появления сведений и фактов о новых возможностях нарушителей.

= ОЦЕНКА ВОЗМОЖНОСТЕЙ НАРУШИТЕЛЕЙ ПО РЕАЛИЗАЦИИ УГРОЗ БЕЗОПАСНОСТИ ИНФОРМАЦИИ (РАЗРАБОТКА МОДЕЛИ НАРУШИТЕЛЯ) =

Целью оценки возможностей нарушителей по реализации угроз безопасности информации является формирование предположения о типах, видах нарушителей, которые могут реализовать угрозы безопасности информации в информационной системе с заданными структурно-функциональными характеристиками и особенностями функционирования, а также потенциале этих нарушителей и возможных способах реализации угроз безопасности информации.

Результаты оценки возможностей нарушителей включаются в модель нарушителя, которая является составной частью (разделом) модели угроз безопасности информации и содержит:
*типы, виды и потенциал нарушителей, которые могут обеспечить реализацию угроз безопасности информации;
*цели, которые могут преследовать нарушители каждого вида при реализации угроз безопасности информации;
*возможные способы реализации угроз безопасности информации.
==а) типы нарушителей==
Типы нарушителей определяются по результатам анализа прав доступа субъектов к информации и (или) к компонентам информационной системы, а также анализа возможностей нарушителей по доступу к компонентам информационной системы исходя из структурно-функциональных характеристик и особенностей функционирования информационной системы.

В зависимости от имеющихся прав доступа нарушители могут иметь легитимный физический (непосредственный) и (или) логический доступ к компонентам информационной системы и (или) содержащейся в них информации или не иметь такого доступа.

Анализ прав доступа проводится, как минимум, в отношении следующих компонент информационной системы:
*устройств ввода/вывода (отображения) информации;
*беспроводных устройств;
*программных, программно-технических и технических средств обработки информации;
*съемных машинных носителей информации;
*машинных носителей информации, выведенных из эксплуатации;
*активного (коммутационного) и пассивного оборудования каналов связи;
*каналов связи, выходящих за пределы контролируемой зоны.

С учетом наличия прав доступа и возможностей по доступу к информации и (или) к компонентам информационной системы нарушители подразделяются на два типа:
* внешние нарушители (тип I) – лица, не имеющие права доступа к информационной системе, ее отдельным компонентам и реализующие угрозы безопасности информации из-за границ информационной системы;
* внутренние нарушители (тип II) – лица, имеющие право постоянного или разового доступа к информационной системе, ее отдельным компонентам.

Наибольшими возможностями по реализации угроз безопасности обладают внутренние нарушители. При оценке возможностей внутренних нарушителей необходимо учитывать принимаемые оператором организационные меры по допуску субъектов к работе в информационной системе. Возможности внутреннего нарушителя существенным образом зависят от установленного порядка допуска физических лиц к информационной системе и ее компонентам, а также мер по контролю за доступом и работой этих лиц.

Внешнего нарушителя необходимо рассматривать в качестве актуального во всех случаях, когда имеются подключения информационной системы к внешним информационно-телекоммуникационным сетям и (или) имеются линии связи, выходящие за пределы контролируемой зоны, используемые для иных подключений.

==б) виды и потенциал нарушителей==

Угрозы безопасности информации в информационной системе могут быть реализованы следующими видами нарушителей:
*специальные службы иностранных государств (блоков государств);
*террористические, экстремистские группировки;
*преступные группы (криминальные структуры);
*внешние субъекты (физические лица);
*конкурирующие организации;
*разработчики, производители, поставщики программных, технических и программно-технических средств;
*лица, привлекаемые для установки, наладки, монтажа, пусконаладочных и иных видов работ;
*лица, обеспечивающие функционирование информационных систем или обслуживающие инфраструктуру оператора (администрация, охрана, уборщики и т.д.);
*пользователи информационной системы;
*администраторы информационной системы и администраторы безопасности;
*бывшие работники (пользователи).

Виды нарушителей, характерных для информационной системы с заданными структурно-функциональными характеристиками и особенностями функционирования, определяются на основе предположений (прогноза) о возможных целях (мотивации) при реализации угроз безопасности информации этими нарушителями.

В качестве возможных целей (мотивации) реализации нарушителями угроз безопасности информации в информационной системе могут быть:
* нанесение ущерба государству, отдельным его сферам деятельности или секторам экономики;
* реализация угроз безопасности информации по идеологическим или политическим мотивам;
* организация террористического акта;
* причинение имущественного ущерба путем мошенничества или иным преступным путем;
* дискредитация или дестабилизация деятельности органов государственной власти, организаций;
* получение конкурентных преимуществ;
* внедрение дополнительных функциональных возможностей в программное обеспечение или программно-технические средства на этапе разработки;
* любопытство или желание самореализации;
* выявление уязвимостей с целью их дальнейшей продажи и получения финансовой выгоды;
* реализация угроз безопасности информации из мести;
* реализация угроз безопасности информации непреднамеренно из-за неосторожности или неквалифицированных действий.

Предположения о целях (мотивации) нарушителей делаются с учетом целей и задач информационной системы, вида обрабатываемой информации, а также с учетом результатов оценки степени возможных последствий (ущерба) от нарушения конфиденциальности, целостности или доступности информации.

Виды нарушителя и их возможные цели (мотивация) реализации угроз безопасности информации приведены в таблице 1.

Таблица 1
№
вида
Виды
нарушителя
Типы
нарушителя
Возможные цели (мотивация)
реализации угроз безопасности
информации
1 Специальные службы
иностранных государств
(блоков государств)
Внешний,
внутренний
Нанесение ущерба государству,
отдельным его сферам деятель-
ности или секторам экономики.
Дискредитация или дестабили-
зация деятельности органов
государственной власти, орга-
низаций
2 Террористические, экс-
тремистские группиров-
ки
Внешний Нанесение ущерба государству,
отдельным его сферам деятель-
ности или секторам экономики.
Совершение террористических
актов.
Идеологические или политиче-
ские мотивы.
Дестабилизация деятельности
органов государственной вла-
13
сти, организаций
3 Преступные группы
(криминальные структу-
ры)
Внешний Причинение имущественного
ущерба путем мошенничества
или иным преступным путем.
Выявление уязвимостей с це-
лью их дальнейшей продажи и
получения финансовой выгоды
4 Внешние субъекты (фи-
зические лица)
Внешний Идеологические или политиче-
ские мотивы.
Причинение имущественного
ущерба путем мошенничества
или иным преступным путем.
Любопытство или желание са-
мореализации (подтверждение
статуса).
Выявление уязвимостей с це-
лью их дальнейшей продажи и
получения финансовой выгоды
5 Конкурирующие орга-
низации
Внешний Получение конкурентных пре-
имуществ.
Причинение имущественного
ущерба путем обмана или зло-
употребления доверием
6 Разработчики, произво-
дители, поставщики про-
граммных, технических и
программно-технических
средств
Внешний Внедрение дополнительных
функциональных возможностей
в программное обеспечение или
программно-технические сред-
ства на этапе разработки.
Причинение имущественного
ущерба путем обмана или зло-
употребления доверием.
Непреднамеренные, неосто-
рожные или неквалифициро-
ванные действия
7 Лица, привлекаемые для
установки, наладки, мон-
тажа, пусконаладочных и
иных видов работ
Внутренний Причинение имущественного
ущерба путем обмана или зло-
употребления доверием.
Непреднамеренные, неосто-
рожные или неквалифициро-
ванные действия
8 Лица, обеспечивающие
функционирование ин-
формационных систем
или обслуживающие ин-
фраструктуру оператора
Внутренний Причинение имущественного
ущерба путем обмана или зло-
употребления доверием.
Непреднамеренные, неосто-
рожные или неквалифициро-
14
(администрация, охрана,
уборщики и т.д.)
ванные действия
9 Пользователи информа-
ционной системы
Внутренний Причинение имущественного
ущерба путем мошенничества
или иным преступным путем.
Любопытство или желание са-
мореализации (подтверждение
статуса).
Месть за ранее совершенные
действия.
Непреднамеренные, неосто-
рожные или неквалифициро-
ванные действия
10 Администраторы ин-
формационной системы
и администраторы без-
опасности
Внутренний Причинение имущественного
ущерба путем мошенничества
или иным преступным путем.
Любопытство или желание са-
мореализации (подтверждение
статуса).
Месть за ранее совершенные
действия.
Выявление уязвимостей с це-
лью их дальнейшей продажи и
получения финансовой выгоды.
Непреднамеренные, неосто-
рожные или неквалифициро-
ванные действия
11 Бывшие работники
(пользователи)
Внешний Причинение имущественного
ущерба путем мошенничества
или иным преступным путем.
Месть за ранее совершенные
действия

При оценке возможностей нарушителей необходимо исходить из условий, что для повышения своих возможностей нарушители 1 вида могут вступать в сговор с нарушителями 3, 4, 6, 7, 8, 9 и 10 видов. Нарушители 2 вида могут вступать в сговор с нарушителями 4, 7, 8, 9 и 10 видов. Нарушители 3 вида могут вступать в сговор с нарушителями 4, 7, 8, 9 и 10 видов. В случае принятия таких предположений цели (мотивация) и возможности нарушителей подлежат объединению.

Возможности каждого вида нарушителя по реализации угроз безопасности информации характеризуются его потенциалом. Потенциал нарушителя определяется компетентностью, ресурсами и мотивацией, требуемыми для реализации угроз безопасности информации в информационной системе с заданными структурно-функциональными характеристиками и особенностями функционирования.

В зависимости от потенциала, требуемого для реализации угроз безопасности информации, нарушители подразделяются на:
*нарушителей, обладающих базовым (низким) потенциалом нападения при реализации угроз безопасности информации в информационной системе;
*нарушителей, обладающих базовым повышенным (средним) потенциалом нападения при реализации угроз безопасности информации в информационной системе;
*нарушителей, обладающих высоким потенциалом нападения при реализации угроз безопасности информации в информационной системе.

Потенциал нарушителей и их возможности приведены в таблице 2.

Таблица 2
№ Потенциал
нарушителей
Виды
нарушителей
Возможности по реализации угроз без-
опасности информации
1 Нарушители с
базовым (низ-
ким) потенци-
алом
Внешние субъ-
екты (физические
лица),
лица, обеспечи-
вающие функци-
онирование ин-
формационных
систем или об-
служивающих
инфраструктуру
оператора,
пользователи
информационной
системы,
бывшие работ-
ники,
лица, привлека-
емые для уста-
новки, наладки,
монтажа, пуско-
наладочных и
иных работ
Имеют возможность получить инфор-
мацию об уязвимостях отдельных ком-
понент информационной системы,
опубликованную в общедоступных ис-
точниках.
Имеют возможность получить инфор-
мацию о методах и средствах реализа-
ции угроз безопасности информации
(компьютерных атак), опубликованных
в общедоступных источниках, и (или)
самостоятельно осуществляет создание
методов и средств реализации атак и
реализацию атак на информационную
систему
2 Нарушители с
базовым по-
вышенным
(средним) по-
тенциалом
Террористиче-
ские, экстремист-
ские группиров-
ки,
преступные
группы (крими-
нальные структу-
Обладают всеми возможностями
нарушителей с базовым потенциалом.
Имеют осведомленность о мерах за-
щиты информации, применяемых в ин-
формационной системе данного типа.
Имеют возможность получить инфор-
мацию об уязвимостях отдельных ком-
16
ры),
конкурирующие
организации,
разработчики,
производители,
поставщики про-
граммных, техни-
ческих и про-
граммно-
технических
средств,
администраторы
информационной
системы и адми-
нистраторы без-
опасности
понент информационной системы пу-
тем проведения, с использованием
имеющихся в свободном доступе про-
граммных средств, анализа кода при-
кладного программного обеспечения и
отдельных программных компонент
общесистемного программного обеспе-
чения.
Имеют доступ к сведениям о струк-
турно-функциональных характеристи-
ках и особенностях функционирования
информационной системы
3 Нарушители с
высоким по-
тенциалом
Специальные
службы ино-
странных госу-
дарств (блоков
государств)
Обладают всеми возможностями
нарушителей с базовым и базовым по-
вышенным потенциалами.
Имеют возможность осуществлять не-
санкционированный доступ из выде-
ленных (ведомственных, корпоратив-
ных) сетей связи, к которым возможен
физический доступ (незащищенных ор-
ганизационными мерами).
Имеют возможность получить доступ
к программному обеспечению чипсетов
(микропрограммам), системному и при-
кладному программному обеспечению,
телекоммуникационному оборудова-
нию и другим программно-техническим
средствам информационной системы
для преднамеренного внесения в них
уязвимостей или программных закла-
док.
Имеют хорошую осведомленность о
мерах защиты информации, применяе-
мых в информационной системе, об ал-
горитмах, аппаратных и программных
средствах, используемых в информаци-
онной системе.
Имеют возможность получить инфор-
мацию об уязвимостях путем проведе-
ния специальных исследований (в том
числе с привлечением специализиро-
17
ванных научных организаций) и приме-
нения специально разработанных
средств для анализа программного
обеспечения.
Имеют возможность создания методов
и средств реализации угроз безопасно-
сти информации с привлечением специ-
ализированных научных организаций и
реализации угроз с применением специ-
ально разработанных средств, в том
числе обеспечивающих скрытное про-
никновение в информационную систе-
му и воздействие на нее.
Имеют возможность создания и при-
менения специальных технических
средств для добывания информации
(воздействия на информацию или тех-
нические средства), распространяю-
щейся в виде физических полей или яв-
лений

==в) возможные способы реализации угроз безопасности информации==

Целью определения возможных способов реализации угроз безопасности информации является формирование предположений о возможных сценариях реализации угроз безопасности информации, описывающих последовательность (алгоритмы) действий отдельных видов нарушителей или групп нарушителей и применяемые ими методы и средства для реализации угроз безопасности информации.

Возможные способы реализации угроз безопасности информации зависят от структурно-функциональных характеристик и особенностей функционирования информационной системы.

Угрозы безопасности информации могут быть реализованы нарушителями за счет:
*несанкционированного доступа и (или) воздействия на объекты на аппаратном уровне (программы (микропрограммы), «прошитые» в аппаратных компонентах (чипсетах));
*несанкционированного доступа и (или) воздействия на объекты на общесистемном уровне (базовые системы ввода-вывода, гипервизоры, операционные системы);
*несанкционированного доступа и (или) воздействия на объекты на прикладном уровне (системы управления базами данных, браузеры, web-приложения, иные прикладные программы общего и специального назначения);
*несанкционированного доступа и (или) воздействия на объекты на сетевом уровне (сетевое оборудование, сетевые приложения, сервисы);
*несанкционированного физического доступа и (или) воздействия на линии, (каналы) связи, технические средства, машинные носители информации;
*воздействия на пользователей, администраторов безопасности, администраторов информационной системы или обслуживающий персонал (социальная инженерия).

Действия нарушителя в зависимости от его потенциала при реализации угроз безопасности информации предусматривают идентификацию и использование уязвимостей в микропрограммном, общесистемном и прикладном программном обеспечении, сетевом оборудовании, применяемых в информационной системе, а также в организации работ по защите информации и конфигурации информационной системы.

При определении способа реализации угроз безопасности информации необходимо учитывать то, что угрозы безопасности информации могут быть реализованы непосредственно за счет доступа к компонентам информационной системы и (или) информации или опосредовано (косвенно) за счет создания условий и (или) средств, обеспечивающих такой доступ, а также за счет доступа или воздействия на обслуживающую инфраструктуру, за которую оператор не отвечает. При этом локальной целью нарушителя, не имеющего доступа (прав доступа) к компонентам информационной системы и (или) информации, как правило,
является получение доступа к информационной системе (в том числе через внешние сети связи общего пользования) и получение максимально возможных прав и привилегий при таком доступе.

Нарушители могут совершать действия, следствием которых является нарушение безопасности информации, преднамеренно (преднамеренные грозы безопасности информации) или случайно (непреднамеренные грозы безопасности информации).

Преднамеренные действия нарушителей могут заключаться в реализации целенаправленных или нецеленаправленных угроз безопасности информации.

Целенаправленная угроза безопасности информации направлена на интересующую нарушителя информационную систему с заранее известными ему структурно-функциональными характеристиками и особенностями функционирования. Целенаправленная угроза безопасности информации адаптирована к структурно-функциональным характеристикам информационной системы. При подготовке и реализации целенаправленных угроз безопасности информации нарушитель может использовать методы социальной инженерии, которые позволяют ему изучить поведение пользователей и их реакцию на поступающие к ним внешние данные.

Нецеленаправленная («веерная») угроза безопасности информации не ориентирована на конкретную информационную систему. Целями такой угрозы могут являться несанкционированный доступ, перехват управления или воздействие на как можно большее количество информационных систем. В данном случае нарушителю заранее не известны структурно-функциональные характеристики и условия функционирования информационной системы.

Реализация преднамеренных угроз безопасности информации, как правило, включает:
*сбор информации об информационной системе, ее структурно-функциональных характеристиках, условиях функционирования;
*выбор (разработка, приобретение) методов и средств, используемых для реализации угроз безопасности информации в информационной системе с заданными структурно-функциональными характеристиками и условиями функционирования;
*непосредственная реализация угроз безопасности информации в информационной системе (проникновение в информационную систему, закрепление в информационной системе, реализация неправомерных действий);
*устранение признаков и следов неправомерных действий в информационной системе.

В зависимости от целей и потенциала нарушителя на каждом из этапов могут эксплуатироваться одна или несколько уязвимостей информационной системы.

При определении возможных способов реализации угроз безопасности информации необходимо исходить из следующих условий:
*нарушитель может действовать один или в составе группы нарушителей;
*в отношении информационной системы внешний нарушитель может действовать совместно с внутренним нарушителем;
*угрозы могут быть реализованы в любое время и в любой точке информационной системы (на любом узле или хосте);
*для достижения своей цели нарушитель выбирает наиболее слабое звено информационной системы.

Возможные способы реализации угроз безопасности информации, определенные на основе настоящего раздела, включаются в модель угроз безопасности информации.

= ОПРЕДЕЛЕНИЕ АКТУАЛЬНЫХ УГРОЗ БЕЗОПАСНОСТИ ИНФОРМАЦИИ В ИНФОРМАЦИОННОЙ СИСТЕМЕ =

Угроза безопасности информации является актуальной (УБИj А ), если для информационной системы с заданными структурно-функциональными характеристиками и особенностями функционирования существует вероятность реализации рассматриваемой угрозы нарушителем с соответствующим потенциалом и ее реализация приведет к неприемлемым негативным последствиям (ущербу) от нарушения конфиденциальности, целостности или доступности информации.

В качестве показателя актуальности угрозы безопасности информации (УБИj А ) принимается двухкомпонентный вектор, первый компонент которого характеризует вероятность реализации угрозы (Рj), а второй – степень возможного ущерба в случае ее реализации (Хj)

УБИj А = [вероятность реализации угрозы (Рj); степень ущерба (Хj)], где Рj определятся на основе анализа статистических данных о частоте реализации угроз безопасности информации (возникновении инцидентов безопасности) в информационной системе и (или) однотипных информационных системах, а Хj определяется на основе оценок степени последствий от нарушения конфиденциальности, целостности или доступности информации.

При отсутствии статистических данных о реализации угроз безопасности информации (возникновении инцидентов безопасности) в информационной системе и (или) однотипных информационных системах, актуальность угрозы безопасности информации определяется на основе оценки возможности реализации угрозы безопасности информации (Yj) УБИj А = [возможность реализации угрозы (Yj); степень ущерба (Хj)], где Yj определятся на основе оценки уровня защищенности информационной системы и потенциала нарушителя, требуемого для реализации угрозы безопасности. Хj также определяется на основе оценок степени последствий от
нарушения конфиденциальности, целостности или доступности информации.

Актуальность угроз безопасности информации определяется в отношении угроз, для которых экспертным методом определено, что:
*возможности (потенциал) нарушителя достаточны для реализации угрозы безопасности информации;
*в информационной системе могут иметься потенциальные уязвимости, которые могут быть использованы при реализации j-ой угрозы безопасности информации;
*структурно-функциональные характеристики и особенности функционирования информационной системы не исключают возможности применения способов, необходимых для реализации j-ой угрозы безопасности информации (существует сценарий реализации угрозы безопасности);
*реализация угрозы безопасности информации приведет к нарушению конфиденциальности, целостности или доступности информации, в результате которого возможно возникновение неприемлемых негативных последствий (ущерба).

В качестве исходных данных об угрозах безопасности информации и их характеристиках используется банк данных угроз безопасности информации, сформированный и поддерживаемый ФСТЭК России, а также базовые и типовые модели угроз безопасности информации, разрабатываемые ФСТЭК России для различных классов и типов информационных систем.

Для определения угроз безопасности информации могут использоваться иные источники, в том числе опубликованные в общедоступных источниках данные об уязвимостях, компьютерных атаках, вредоносном программном
обеспечении, а также результаты специально проведенных исследований по выявлению угроз безопасности информации. В этом случае потенциал нарушителя, возможные уязвимости, способы реализации угрозы безопасности информации и последствия от ее реализации определяются для каждой угрозы безопасности информации.
==а) оценка вероятности (возможности) реализации угрозы безопасности информации==

Под вероятностью реализации угрозы безопасности информации понимается определяемый экспертным путем показатель, характеризующий, насколько вероятным является реализация j-ой угрозы безопасности информации в информационной системе с заданными структурно-функциональными характеристиками и особенностями функционирования. Вводятся три вербальные градации этого показателя:
*низкая вероятность – отсутствуют объективные предпосылки к реализации j-ой угрозы безопасности информации, отсутствует требуемая статистика по фактам реализации j-ой угрозы безопасности информации (возникновения инцидентов безопасности), отсутствует мотивация для реализации j-ой угрозы, возможная частота реализации j-ой угрозы не превышает 1 раза в 5 лет;
*средняя вероятность – существуют предпосылки к реализации j-ой угрозы безопасности информации, зафиксированы случаи реализации j-ой угрозы безопасности информации (возникновения инцидентов безопасности) или имеется иная информация, указывающая на возможность реализации j-ой угрозы безопасности информации, существуют признаки наличия у нарушителя мотивации для реализации такой угрозы, возможная частота реализации j-ой угрозы не превышает 1 раза в год;
*высокая вероятность – существуют объективные предпосылки к реализации j-ой угрозы безопасности информации, существует достоверная статистика реализации j-ой угрозы безопасности информации (возникновения инцидентов безопасности) или имеется иная информация, указывающая на высокую возможность реализации j-ой угрозы безопасности информации, у нарушителя имеются мотивы для реализации j-ой угрозы, частота реализации j-ой угрозы – чаще 1 раза в год.

В случае отсутствия требуемых данных для оценки вероятности реализации угрозы безопасности информации или наличия сомнений в объективности экспертных оценок при определении вербальных градаций вероятности реализации угроз безопасности информации, актуальность j-ой угрозы безопасности информации определяется на основе оценки возможности ее реализации (Yj).

Возможность реализации j-ой угрозы безопасности информации (Yj) оценивается исходя из уровня защищенности информационной системы (Y1) и потенциала нарушителя (Y2), необходимого для реализации этой угрозы безопасности информации в информационной системе с заданными структурнофункциональными характеристиками и особенностями функционирования:
*Yj = [уровень защищенности (Y1); потенциал нарушителя (Y2)].

При определении угроз безопасности информации на этапе создания информационной системы в случае, когда меры защиты информации не реализованы или не проведена оценка их достаточности и эффективности, оценка возможности реализации j-ой угрозы безопасности информации (Yj) проводится относительно уровня проектной защищенности информационной системы (Y1П):
*Yj = [уровень проектной защищенности (Y1П); потенциал нарушителя (Y2)].

Под уровнем проектной защищенности (Y1П) понимается исходная защищенность информационной системы, обусловленная заданными при проектировании структурно-функциональными характеристиками и условиями ее функционирования. Уровень проектной защищенности (Y1П) определяется на основе анализа проектных структурно-функциональных характеристик, приведенных в таблице 3.

Показатели, характеризующие проектную защищенность информационной системы

Таблица 3
Структурно-функциональные характе-
ристики информационной системы,
условия ее эксплуатации
Уровень проектной защищенности ин-
формационной системы (Y1П)
Высокий Средний Низкий
1. По структуре информационной си-
стемы:
автономное автоматизированное рабо-
чее место;
локальная информационная система;
распределенная информационная си-
стема
+
+
+
2. По используемым информационным
технологиям:
23
системы на основе виртуализации;
системы, реализующие «облачные
вычисления»;
системы с мобильными устройства-
ми;
системы с технологиями беспровод-
ного доступа;
грид
-системы;
суперкомпьютерные системы
+
+++++
3
. По архитектуре информационной
системы
:
системы на основе «тонкого клиен-
та»;
системы на основе одноранговой
се-
ти
;
файл
-серверные системы
;
центры обработки данных;
системы с уд
аленным доступом
пользователей;
использование разных типов опера-
ционных систем (гетерогенность сре-
ды)
;
использование прикладных про-
грамм, независимых от операционных
систем
;
использование выделенных каналов
связи
+
++++
+++
4
. По наличию (отсутствию) взаимо-
связей с иными информационными си-
стемами
:
взаимодействующая с системами
;
невзаимодействующая с системами
+
+
5
. По наличию (отсутствию) взаимо-
связей (подключений)
к сетям связи
общего пользования
:
подключенная
;
подключенная через выделенную
инфраструктуру (gov
.ru или иную);
неподключенной
+
+
+
6
. По размещению технических
средств:
расположенные в пределах одной
контролируемой зоны;
расположенные в пределах несколь-
ких контролируемых зон;
+
+
24
расположенные вне контролируемой
зоны
+
7. По режимам обработки информации
в информационной системе:
многопользовательский;
однопользовательский +
+
8. По режимам разграничения прав до-
ступа:
без разграничения;
с разграничением +
+
9. По режимам разделения функций по
управлению информационной системой:
без разделения;
выделение рабочих мест для адми-
нистрирования в отдельный домен;
использование различных сетевых
адресов;
использование выделенных каналов
для администрирования
+
+
+
+
10. По подходам к сегментированию
информационной системы:
без сегментирования;
с сегментированием +
+

В ходе создания информационной системы уровень ее проектной защищенности (Y1П) определяется следующим образом:
*а) информационная система имеет высокий уровень проектной защищенности (Y1П), если не менее 80% характеристик информационной системы соответствуют уровню «высокий» (суммируются положительные решения по второму столбцу, соответствующему высокому уровню защищенности), а остальные - среднему уровню защищенности (положительные решения по третьему столбцу);
*б) информационная система имеет средний уровень проектной защищенности (Y1П), если не выполняются условия по пункту а) и не менее 90% характеристик информационной системы соответствуют уровню не ниже «средний» (берется отношение суммы положительных решений по третьему столбцу, соответствующему среднему уровню защищенности, к общему количеству решений), а остальные - низкому уровню защищенности;
*в) информационная система имеет низкий уровень проектной защищенности (Y1П), если не выполняются условия по пунктам а) и б).

В соответствии с требованиями о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах, до ввода в эксплуатацию информационной системы должны быть реализованы меры защиты информации, направленные на блокирование (нейтрализацию) актуальных угроз безопасности информации. Таким образом, ввод в эксплуатацию информационной системы осуществляется при условии достижения высокого уровня исходной защищенности информационной системы от нарушителя с заданным потенциалом.

Вместе с тем, в ходе эксплуатации информационной системы возможно появление новых уязвимостей, повышение потенциала нарушителя, изменение структурно-функциональных характеристик, значимости обрабатываемой информации, особенностей функционирования информационной системы и других условий, приводящих к возникновению новых угроз безопасности информации, которые могут существенно снизить уровень проектной защищенности информационной системы. В этом случае для поддержания уровня защищенности информационной системы в ходе эксплуатации должен проводиться регулярный анализ изменения угроз безопасности информации, а актуальные угрозы безопасности информации подлежат периодической переоценке.

В ходе эксплуатации информационной системы уровень ее защищенности (Y1) определяется следующим образом:
*а) в информационной системе обеспечивается высокий уровень защищенности (Y1), если в ходе эксплуатации информационной системы не появились дополнительные угрозы безопасности информации или в отношении появившихся дополнительных угроз безопасности информации с высокой оперативностью («за минуты») могут быть приняты меры защиты информации, нейтрализующие эти угрозы;
*б) в информационной системе обеспечивается средний уровень защищенности (Y1), если в ходе эксплуатации информационной системы появились дополнительные угрозы безопасности информации и в отношении них оперативно («за часы») могут быть приняты меры защиты информации, нейтрализующие эти угрозы;
*в) в информационной системе обеспечивается низкий уровень защищенности (Y1), если в ходе эксплуатации информационной системы появились дополнительные угрозы безопасности информации и в отношении них не могут быть с высокой оперативностью или оперативно приняты меры защиты информации, нейтрализующие эти угрозы.

Потенциал, требуемый нарушителю для реализации j-ой угрозы безопасности информации, может быть базовым (низким), базовым повышенным (средним) или высоким. Значение потенциала нарушителя (Y2) для j-ой угрозы безопасности информации определяется на основе данных, приведенных в банке данных угроз безопасности информации ФСТЭК России, а также в базовых и типовых моделях угроз безопасности информации, разрабатываемых ФСТЭК России для информационных систем различных классов и типов. В случае отсутствия информации о потенциале нарушителя для реализации j-ой угрозы безопасности значение потенциала (Y2) определяется в соответствии с приложением № 3 к настоящей Методике.

Возможность реализации j-ой угрозы безопасности информации (Yj) в зависимости от уровня защищенности информационной системы (Y1/Y1П) и потенциала нарушителя (Y2) определяется как высокая, средняя или низкая в соответствии с таблицей 4.

===Возможность реализации угрозы безопасности информации Таблица 4===
Уровень защищенности (Y1/Y1П)
Потенциал нарушителя (Y2)
Высокий Средний Низкий
Базовый (низкий) Низкая Средняя Высокая
Базовый повышенный (средний) Средняя Высокая Высокая
Высокий Высокая Высокая Высокая

==б) оценка степени возможного ущерба от реализации угрозы безопасности информации==

Для оценки степени возможного ущерба от реализации угрозы безопасности информации определяются возможный результат реализации угрозы безопасности информации в информационной системе, вид ущерба, к которому может привести реализация угрозы безопасности информации, степень последствий от реализации угрозы безопасности информации для каждого вида ущерба.

В качестве результата реализации угрозы безопасности информации рассматриваются непосредственное или опосредованное воздействие на конфиденциальность, целостность, доступность информации, содержащейся в информационной системе.

Непосредственное воздействие на конфиденциальность, целостность, доступность информации возможно в результате реализации прямой угрозы безопасности информации. В этом случае объектами воздействия угрозы являются непосредственно информация и (или) иные объекты защиты информационной системы или обеспечивающей инфраструктуры, которые обеспечивают получение, обработку, хранение, передачу, уничтожение информации в информационной системе, в результате доступа к которым или воздействия на которые возможно воздействие на конфиденциальность, целостность или доступность информации.

Опосредованное воздействие на конфиденциальность, целостность, доступность информации рассматривается в результате реализации косвенных угроз безопасности информации. Реализация косвенных угроз безопасности информации не приводит непосредственно к воздействию на конфиденциальность, целостность, доступность информации, но создает условия для реализации одной или нескольких прямых угроз безопасности информации, позволяющих реализовать такое воздействие. В этом случае в качестве результата реализации косвенной угрозы необходимо рассматривать результаты реализации всех прямых угроз безопасности информации, которые возможно реализовать в случае реализации данной косвенной угрозы.

Результат реализации угрозы безопасности информации определяется воздействием угрозы на каждое свойство безопасности информации (конфиденциальность, целостность, доступность) в отдельности в соответствии с таблицей 5.

При обработке в информационной системе двух и более видов информации (служебная тайна, персональные данные, налоговая тайна, иные установленные законодательством Российской Федерации виды информации) воздействие на конфиденциальность, целостность, доступность определяется отдельно для каждого вида информации (k, …, m), содержащейся в информационной системе.

===Таблица 5===
Свойство
безопасности
информации
Результат реализации
угрозы безопасности информации
Не оказывает воздействия Оказывает воздействие
Конфиденциаль-
ность
К Xk1
В результате реализации
угрозы безопасности инфор-
мации отсутствует возмож-
ность неправомерного досту-
па, копирования, предостав-
ления или распространения
информации
В результате реализации
угрозы безопасности ин-
формации возможны не-
правомерный доступ, ко-
пирование, предоставле-
ние или распространение
информации
Целостность
Ц Xk1
В результате реализации
угрозы безопасности инфор-
мации отсутствует возмож-
ность уничтожения или мо-
дифицирования информации
В результате реализации
угрозы безопасности ин-
формации возможно уни-
чтожение или модифици-
рование информации
Доступность
Д Xk1
В результате реализации
угрозы безопасности инфор-
мации отсутствует возмож-
ность блокирования инфор-
мации
В результате реализации
угрозы безопасности ин-
формации возможно бло-
кирование информации

При определении степени возможного ущерба необходимо исходить из того, что в зависимости от целей и задач, решаемых информационной системой, видов обрабатываемой информации, воздействие на конфиденциальность, целостность или доступность каждого вида информации, содержащейся в информационной системе, может привести к различным видам ущерба. При этом для разных обладателей информации и операторов будут характерны разные виды ущерба.

Основные виды ущерба и возможные негативные последствия, к которым может привести нарушение конфиденциальности, целостности, доступности информации, приведены в таблице 6.

===Таблица 6===
Вид
ущерба
Возможные негативнее
последствия от нарушения конфиденциальности, целост-
ности, доступности информации
Экономический
(финансовый)
Снижение, как минимум, одного экономического показа-
теля.
Потеря (кража) финансовых средств.
Недополучение ожидаемой (прогнозируемой) прибыли.
Необходимость дополнительных (незапланированных)
затрат на выплаты штрафов (неустоек) или компенсаций.
Необходимость дополнительных (незапланированных)
затрат на закупку товаров, работ или услуг (в том числе
закупка программного обеспечения, технических средств,
вышедших из строя, замена, настройка, ремонт указанных
средств).
Необходимость дополнительных (незапланированных)
затрат на восстановление деятельности.
Потеря клиентов, поставщиков.
Потеря конкурентного преимущества.
Невозможность заключения договоров, соглашений.
Другие прямые или косвенные финансовые потери
Социальный Создание предпосылок для нанесения вреда здоровью
граждан.
Возможность нарушения функционирования объектов
обеспечения жизнедеятельности граждан.
Организация пикетов, забастовок, митингов и других ак-
ций.
Увольнения.
Увеличение количества жалоб в органы государственной
власти или органы местного самоуправления.
Появление негативных публикаций в общедоступных ис-
точниках.
Невозможность (прерывание) предоставления социаль-
ных услуг (сервисов).
Другие последствия, приводящие к нарастанию социаль-
ной напряженности в обществе
Политический Создание предпосылок к обострению отношений в меж-
дународных отношениях.
Срыв двусторонних (многосторонних) контактов с зару-
бежными партнерами.
Неспособность выполнения международных (двусторон-
них) договорных обязательств.
29
Невозможность заключения международных (двусторон-
них) договоров, соглашений.
Создание предпосылок к внутриполитическому кризису.
Нарушение выборного процесса.
Другие последствия во внутриполитической и внешнепо-
литической областях деятельности
Репутационный Нарушение законодательных и подзаконных актов.
Нарушение деловой репутации.
Снижение престижа.
Дискредитация работников.
Утрата доверия.
Неспособность выполнения договорных обязательств.
Другие последствия, приводящие к нарушению репута-
ции
Ущерб в области
обороны, безопас-
ности и правопо-
рядка
Создание предпосылок к наступлению негативных по-
следствий для обороны, безопасности и правопорядка.
Нарушение общественного правопорядка.
Неблагоприятное влияние на обеспечение общественного
правопорядка.
Возможность потери или снижения уровня контроля за
общественным правопорядком.
Отсутствие возможности оперативного оповещения
населения о чрезвычайной ситуации.
Другие последствия, приводящие к ущербу в области
обороны, безопасности и правопорядка
Ущерб субъекту
персональных дан-
ных
Создание угрозы личной безопасности.
Финансовые или иные материальные потери физического
лица.
Вторжение в частную жизнь.
Создание угрозы здоровью.
Моральный вред.
Утрата репутации.
Другие последствия, приводящие к нарушению прав
субъекта персональных данных
Технологический Невозможность решения задач (реализации функций)
или снижение эффективности решения задач (реализации
функций).
Необходимость изменения (перестроения) внутренних
процедур для достижения целей, решения задач (реализа-
ции функций).
Принятие неправильных решений.
Простой информационной системы или сегмента инфор-
мационной системы
Другие последствия, приводящие к нарушению техноло-
гии обработки информации

Указанные виды ущерба могут дополняться другими видами в зависимости от целей и задач, решаемых информационной системой, а также вида обрабатываемой в ней информации.

Степень возможного ущерба от реализации угрозы безопасности информации определяется степенью негативных последствий от нарушения конфиденциальности, целостности или доступности каждого вида информации, содержащейся в информационной системе.

Степень негативных последствий от нарушения конфиденциальности, целостности или доступности информации определяется для каждого вида ущерба, зависит от целей и задач, решаемых информационной системой, и может иметь разные значения для разных обладателей информации и операторов. В качестве единой шкалы измерения степени негативных последствий принимаются значения «незначительные», «умеренные» и «существенные» негативные последствия. Каждым оператором определяется в указанной единой шкале измерений степень негативных последствий от нарушения конфиденциальности, целостности или доступности информации применительно ко всем целям и задачам, решаемым информационной системой.

Степень возможного ущерба определяется экспертным методом в соответствии с таблицей 7.

===Таблица 7===
Степень
ущерба
Характеристика степени ущерба
Высокая В результате нарушения одного из свойств безопасности
информации (конфиденциальности, целостности, доступно-
сти) возможны существенные негативные последствия.
Информационная система и (или) оператор (обладатель
информации) не могут выполнять возложенные на них
функции
Средняя В результате нарушения одного из свойств безопасности
информации (конфиденциальности, целостности, доступно-
сти) возможны умеренные негативные последствия.
Информационная система и (или) оператор (обладатель
информации) не могут выполнять хотя бы одну из возложен-
ных на них функций
Низкая В результате нарушения одного из свойств безопасности
информации (конфиденциальности, целостности, доступно-
сти) возможны незначительные негативные последствия.
Информационная система и (или) оператор (обладатель
информации) могут выполнять возложенные на них функции
с недостаточной эффективностью или выполнение функций
возможно только с привлечением дополнительных сил и
средств

При обработке в информационной системе двух и более видов информации (служебная тайна, персональные данные, налоговая тайна и иные установленные законодательством Российской Федерации виды информации) степень возможного ущерба определяется отдельно для каждого вида информации (k, …, m), обрабатываемой в информационной системе, применительно к каждому виду ущерба. Итоговая степень возможного ущерба устанавливается по наивысшим значениям степени возможного ущерба, определенным для конфиденциальности, целостности, доступности информации каждого вида информации применительно к каждому виду ущерба.

X max(Х ); i К,Ц, Д.
i
k
i
k  

==в) определение актуальности угрозы безопасности информации==

Решение об актуальности угрозы безопасности информации УБИj А для информационной системы с заданными структурно-функциональными характеристиками и условиями функционирования принимается в соответствии с таблицей 8.

===Таблица 8===
Вероятность (воз-
можность) реали-
зации угрозы (Yj)
Степень возможного ущерба (Хj)
Низкая Средняя Высокая
Низкая неактуальная неактуальная актуальная
Средняя неактуальная актуальная актуальная
Высокая актуальная актуальная актуальная

=Приложение № 1=
к Методике определения угроз безопасности информации в информационных системах

'''Рекомендации по формированию экспертной группы и проведению экспертной оценки при определении угроз безопасности информации'''

Качественное формирование экспертной группы способствует снижению субъективных факторов при оценке угроз безопасности информации. Занижение (ослабление) экспертами прогнозов и предположений при определении угроз может повлечь наступление непрогнозируемого (неожиданного) ущерба в результате реализации угрозы безопасности информации. Завышение экспертами прогнозов и предположений при определении угроз может повлечь за собой неоправданные расходы на нейтрализацию угроз, являющихся неактуальными.

Независимо от результата формирования экспертной группы при оценке угроз безопасности информации существуют субъективные факторы, связанные с психологией принятия решений человеком. Это также может приводить как к занижению (ослаблению), так и к завышению (усилению) экспертами прогнозов и предположений при определении угроз безопасности информации, что в свою очередь может привести к пропуску отдельных угроз безопасности информации или к неоправданным затратам на нейтрализацию неактуальных угроз.

Любое решение, принимаемое экспертами при определении угроз безопасности информации, должно исходить из правил, при которых нарушитель находится в наилучших условиях для реализации угрозы безопасности (принципа «гарантированности»).

==а) формирование экспертной группы==

В состав экспертной группы для определения угроз безопасности информации рекомендуется включать экспертов (независимо от того, реализуются ли функции обладателя информации, заказчика и оператора в рамках одной или нескольких организаций):
*от подразделений обладателей информации, содержащейся в информационной системе;
*от подразделений оператора информационной системы;
*от подразделения по защите информации;
*от лиц, предоставляющих услуги по обработке информации;
*от разработчика информационной системы;
*от операторов взаимодействующих внешних информационных систем (по согласованию).

В качестве экспертов рекомендуется привлекать специалистов, деятельность которых связана с обработкой информации в информационной системе, а также специалистов, имеющие квалификацию и опыт работы в области применения информационных технологий и (или) в области защиты информации.

При привлечении в качестве экспертов специалистов от подразделений по защите информации рекомендуется привлекать лиц, имеющих высшее образование или прошедших переподготовку (повышение квалификации) по направлению подготовки «Информационная безопасность», или имеющих не менее трех лет стажа практической работы в своей сфере деятельности.

Эксперты должны обладать независимостью, основанной на отсутствии коммерческого и финансового интереса или другого давления, которое может оказать влияние на принимаемые решения. Не рекомендуется формировать экспертную группу из участников, находящихся в прямом подчинении, так как это может негативным образом повлиять на результат определения угроз безопасности информации.

Состав экспертной группы зависит от целей и задач информационной системы, но не должен быть меньше трех экспертов.

==б) проведение экспертной оценки==

При проведении экспертной оценки принимаются меры, направленные на снижение уровня субъективности и неопределенности при определении каждой из угроз безопасности информации.

Экспертную оценку рекомендуется проводить в отношении, как минимум, следующих параметров:
*цели реализации угроз безопасности информации (мотивация нарушителей);
*типы и виды нарушителей;
*уязвимости, которые могут быть использованы для реализации угроз безопасности информации;
*способы реализации угроз безопасности информации;
*степень воздействия угрозы безопасности информации на каждое из свойств безопасности информации;
*последствия от реализации угроз безопасности информации;
*вероятность реализации угроз безопасности информации;
*уровень защищенности информационной системы;
*потенциал нарушителя, требуемый для реализации угрозы безопасности информации (в случае отсутствия потенциала в банке данных угроз безопасности информации).

Оценку параметров рекомендуется проводить опросным методом с составлением анкеты, в которой указываются вопросы и возможные варианты ответа в единой принятой шкале измерений («низкий», «средний», «высокий» или «да», «нет» или иные шкалы). При этом вопросы должны быть четкими и однозначно трактуемыми, предполагать однозначные ответы.

Опрос экспертов включает следующие этапы:
*каждый эксперт проводит оценку оцениваемого параметра (рекомендуется не мене двух раундов оценки), результаты которой заносятся в таблицу 1.1;
*после оценки каждым из экспертов отбрасываются минимальные и максимальные значения;
*определяется среднее значение оцениваемого параметра в каждом раунде;
*определяется итоговое среднее значение оцениваемого параметра.

===Пример таблицы результатов оценки параметров===
Таблица 1.1
Эксперты Значение оцениваемого
параметра (раунд 1)
Значение оцениваемого
параметра (раунд 2)
Эксперт 1
Эксперт 2
Эксперт n
Итоговое значение

=Приложение № 2=
к
Методике определения угроз безопасности
информации в информационных системах
Структура модели угроз безопасности информации
Модель угроз безопасности информации содержит следующие разделы:
1. Общие положения.
2. Описание информационной системы и особенностей ее функционирова-
ния.
2.1. Цель и задачи, решаемые информационной системой.
2.2. Описание структурно-функциональных характеристик информацион-
ной системы.
2.3. Описание технологии обработки информации.
3. Возможности нарушителей (модель нарушителя).
3.1. Типы и виды нарушителей.
3.2. Возможные цели и потенциал нарушителей.
3.3. Возможные способы реализации угроз безопасности информации.
4. Актуальные угрозы безопасности информации.
Приложения (при необходимости).
Раздел «Общие положения» содержит назначение и область действия до-
кумента, информацию о полном наименовании информационной системы, для
которой разработана модель угроз безопасности информации, а также информа-
цию об использованных для разработки модели угроз безопасности информации
нормативных и методических документах, национальных стандартах. В данный
раздел также включается информация об используемых данных и источниках, на
основе которых определяются угрозы безопасности информации (документация,
исходные тексты программ, опросы персонала, журналы регистрации средств
защиты, отчеты об аудите и иные источники).
Раздел «Описание информационной системы и особенностей ее функцио-
нирования» содержит общую характеристику информационной системы, описа-
ние структурно-функциональных характеристик информационной системы, опи-
сание взаимосвязей между сегментами информационной системы, описание вза-
имосвязей с другими информационными системами и информационно-
телекоммуникационными сетями, описание технологии обработки информации.
Также в данном разделе приводятся предположения, касающиеся информацион-
ной системы и особенностей ее функционирования (в частности предположения
об отсутствии неучтенных беспроводных каналов доступа или динамичность
выделения адресов узлам информационной системы, иные предположения). В
раздел включаются любые ограничения, касающиеся информационной системы
и особенностей ее функционирования.
Раздел «Возможности нарушителей (модель нарушителя)» содержит опи-
сание типов, видов, потенциала и мотивации нарушителей, от которых необхо-
димо обеспечить защиту информации в информационной системе, способов реа-
36
лизации угроз безопасности информации. В данный раздел также включаются
предположения, касающиеся нарушителей (в частности предположение об от-
сутствии у нарушителя возможности доступа к оборудованию, сделанному на
заказ и применяемому при реализации угрозы, предположение о наличии (отсут-
ствии) сговора между внешними и внутренними нарушителями или иные пред-
положения). В раздел включаются любые ограничения, касающиеся определения
нарушителей (в частности исключение администраторов информационной си-
стемы или администраторов безопасности из числа потенциальных нарушителей
или иные предположения).
Раздел «Актуальные угрозы безопасности информации» содержит описа-
ние актуальных угроз безопасности, включающее наименование угрозы безопас-
ности информации, возможности нарушителя по реализации угрозы, используе-
мые уязвимости информационной системы, описание способов реализации угро-
зы безопасности информации, объекты воздействия, возможные результат и по-
следствия от реализации угрозы безопасности информации.
37
=Приложение № 3=
к Методике определения угроз безопасности
информации в информационных системах
Определение
потенциала нарушителя, необходимого для реализации угрозы без-
опасности информации в информационной системе
Настоящее приложение применяется для определения потенциала, необхо-
димого для реализации угрозы безопасности информации, данные по которой
отсутствуют в банке данных угроз безопасности информации, и характеристики
которых определяются на основе иных источников или результатов исследова-
ний.
Приведенный подход к оценке потенциала нарушителя направлен на сни-
жение уровня субъективности и неопределенности при оценке потенциала
нарушителя, который требуется для реализации угрозы безопасности информа-
ции в информационной системе с заданными структурно-функциональными ха-
рактеристиками и особенностями функционирования.
Исходными данными для определения потенциала нарушителя являются:
данные об аппаратном, общесистемном и прикладном программном обес-
печении, применяемых информационных технологиях, особенностях функцио-
нирования информационной системы;
данные об уязвимостях в аппаратном, общесистемном и прикладном про-
граммном обеспечении, опубликованные в различных базах данных уязвимо-
стей, полученные в результате исследований (тестировании) или полученные от
уполномоченных федеральных органов исполнительной власти и организаций.
При оценке потенциала нарушителя необходимо исходить из того, что для
успешного достижения целей реализации угроз безопасности информации,
нарушителю необходимо осуществить подготовку к реализации угрозы и непо-
средственно реализацию угрозы безопасности информации. При этом не един-
ственным, но необходимым условием на этапе подготовки к реализации угрозы
безопасности информации является идентификация уязвимостей в информаци-
онной системе, а на этапе реализации угрозы безопасности информации – ис-
пользование уязвимостей информационной системы.
Таким образом, для определения потенциала нарушителя необходимо оце-
нить возможности нарушителя идентифицировать уязвимости и использовать их
в информационной системе в ходе подготовки к реализации и непосредственно в
ходе реализации угрозы безопасности информации. Для проведения указанной
оценки делается предположение о наличии уязвимостей, которые потенциально
содержатся в информационной системе и могут быть использованы для реализа-
ции угрозы безопасности информации.
Потенциальные уязвимости определяются для каждого класса и типа про-
граммного обеспечения и для каждого узла (хоста) информационной системы
исходя из условия, что для реализации угрозы безопасности информации нару-
38
шителю необходимо идентифицировать и использовать как минимум одну уяз-
вимость на каждом узле и хосте.
В качестве исходных данных для определения потенциальных уязвимостей
используются данные по составу информационной системы и особенностям ее
функционирования, а также данные об уязвимостях в этом программном обеспе-
чении, опубликованные в общедоступных источниках, полученные по результа-
там исследований и (или) полученные от уполномоченных органов и организа-
ций.
Для каждой выявленной потенциальной уязвимости проводится оценка
возможностей ее идентификации и использования в информационной системе
нарушителем, обладающим определенными возможностями и для каждого из
возможных сценариев реализации угрозы безопасности информации.
Оценка возможностей нарушителя по идентификации и использованию
уязвимости в информационной системе проводится по результатам определения
следующих показателей:
время, затрачиваемое нарушителем на идентификацию и использование
уязвимости (затрачиваемое время);
техническая компетентность нарушителя;
знание нарушителем проекта и информационной системы;
оснащенность нарушителя;
возможности нарушителя по доступу к информационной системе.
Во многих случаях указанные показатели являются зависимыми и могут в
различной степени заменять друг друга. В частности, показатели технической
компетентности или оснащенности могут заменяться показателем затрачиваемо-
го времени.
а) определение показателя «затрачиваемое время»
Показатель «затрачиваемое время» характеризует время, непрерывно за-
трачиваемое нарушителем для идентификации и использования уязвимости для
реализации угрозы безопасности информации.
Показатель «затрачиваемое время» может принимать значения «за мину-
ты», «за часы», «за дни» или «за месяцы».
Значение «за минуты» присваивается, если для реализации угрозы без-
опасности информации нарушитель затратит менее получаса на идентификацию
и использование уязвимости.
Значение «за часы» присваивается, если для реализации угрозы безопасно-
сти информации нарушитель затратит менее чем один день на идентификацию и
использование уязвимости.
Значение «за дни» присваивается, если для реализации угрозы безопасно-
сти информации нарушитель затратит менее чем один месяц на идентификацию
и использование уязвимости.
Значение «за месяцы» присваивается, если для реализации угрозы без-
опасности информации нарушитель затратит, как минимум, месяц на идентифи-
кацию и использование уязвимости.
39
б) определение показателя «техническая компетентность нарушителя»
Показатель «техническая компетентность нарушителя» характеризует, ка-
ким уровнем знаний и подготовкой в области информационных технологий и
защиты информации должен обладать нарушитель, чтобы идентифицировать и
использовать уязвимости для реализации угрозы безопасности информации.
Показатель «техническая компетентность нарушителя» может принимать
значения «специалист», «профессионал» или «непрофессионал».
Значение «профессионал» присваивается, если нарушитель имеет хоро-
шую осведомленность о мерах защиты информации, применяемых в информа-
ционной системе, об алгоритмах, аппаратных и программных средствах, исполь-
зуемых в информационной системе, а также обладает специальными знаниями о
методах и средствах выявления новых уязвимостей и способах реализации угроз
безопасности информации для информационных систем данного типа.
Значение «специалист» присваивается, если нарушитель имеет осведом-
ленность о мерах защиты информации, применяемых в информационной систе-
ме данного типа.
Значение «непрофессионал» присваивается, если нарушитель имеет сла-
бую осведомленность (по сравнению со специалистами или профессионалами) о
мерах защиты информации, применяемых в информационных системах данного
типа, и не обладает специальными знаниями по реализации угроз безопасности
информации.
в) определение показателя «знание нарушителем проекта и информа-
ционной системы»
Показатель «знание нарушителем проекта и информационной системы»
характеризует, какие сведения об информационной системе и условиях ее экс-
плуатации доступны нарушителю, чтобы идентифицировать и использовать уяз-
вимости для реализации угрозы безопасности информации.
Показатель «знание нарушителем проекта и информационной системы»
может принимать значения «отсутствие знаний», «ограниченные знания» или
«знание чувствительной информации».
Значение «отсутствие знаний» присваивается, если в результате принятия
мер по защите информации нарушителю не может стать известно о структурно-
функциональных характеристиках информационной системы, системе защиты
информации информационной системы, а также об иной информации по разра-
ботке (проектированию) и эксплуатации информационной системы, включая
сведения из конструкторской, проектной и эксплуатационной документации.
При этом может быть доступна информация о целях и задачах, решаемых ин-
формационной системой. Данный показатель также присваивается, если сведе-
ния об информационной системе отнесены к информации ограниченного досту-
па и не могут быть доступны для неограниченного круга лиц.
40
Значение «ограниченные знания» присваивается, если нарушителю наряду
с информацией о целях и задачах, решаемых информационной системой, может
стать известна только эксплуатационная документация на информационную си-
стему (в частности руководство пользователя и (или) правила эксплуатации ин-
формационной системы).
Значение «знание чувствительной информации» присваивается, если
нарушителю может стать известны конструкторская (проектная) и эксплуатаци-
онная документация на информационную систему, информация о структурно-
функциональных характеристиках информационной системы, системе защиты
информационной системы.
г) определение показателя «возможности нарушителя по доступу к
информационной системе»
Показатель «возможности нарушителя по доступу к информационной си-
стеме» характеризует, как долго по времени нарушитель должен иметь возмож-
ность доступа к информационной системе для идентификации и использования
уязвимостей для реализации угроз безопасности информации.
Показатель «возможности нарушителя по доступу к информационной си-
стеме» может принимать значения «за минуты», «за часы», «за дни» или «за ме-
сяцы».
Значение «за минуты» присваивается, если для идентификации и исполь-
зования уязвимости для реализации угрозы безопасности информации наруши-
телю требуется доступ менее получаса.
Значение «за часы» присваивается, если для идентификации и использова-
ния уязвимости для реализации угрозы безопасности информации нарушителю
требуется доступ менее одного дня.
Значение «за дни» присваивается, если для идентификации и использова-
ния уязвимости для реализации угрозы безопасности информации нарушителю
требуется доступ менее одного месяца.
Значение «за месяцы» присваивается, если для идентификации и использо-
вания уязвимости для реализации угрозы безопасности информации нарушите-
лю требуется доступ более одного месяца.
Показатель «возможности нарушителя по доступу к информационной си-
стеме» взаимосвязан с показателем «затраченное время». Идентификация и ис-
пользование уязвимости при реализации угрозы безопасности информации мо-
гут требовать продолжительного времени по доступу к информационной систе-
ме, что увеличивает возможность обнаружения уязвимости. В отдельных случа-
ях продолжительный доступ к информационной системе не требуется (методы и
средства реализации угроз безопасности разрабатываются автономно), но при
этом требуется кратковременный доступ к информационной системе.
41
д) определение показателя «оснащенность нарушителя»
Показатель «оснащенность нарушителя» характеризует, какие программ-
ные и (или) программно-технические средства требуются нарушителю для иден-
тификации и использования уязвимостей для реализации угроз безопасности
информации.
Показатель «оснащенность нарушителя» может принимать значения
«стандартное оборудование», «специализированное оборудование» или «обору-
дование, сделанное на заказ».
Значение «стандартное оборудование» присваивается, если для идентифи-
кации или использования уязвимостей при реализации угрозы безопасности ин-
формации требуются программные (программно-технические) средства, легко
доступные для нарушителя. К таким средствам, в первую очередь, относятся
программные средства непосредственно информационной системы (отладчик в
операционной системе, средства разработки и иные), программные средства, ко-
торые могут быть легко получены (программы, имеющиеся в свободном доступе
в сети Интернет) или имеются простые сценарии реализации угроз.
Значение «специализированное оборудование» присваивается, если для
идентификации или использования уязвимостей при реализации угрозы без-
опасности информации требуются программные (программно-технические)
средства, которые отсутствуют в свободном доступе, но могут быть приобрете-
ны нарушителем без значительных усилий. К таким средствам, в первую оче-
редь, относятся программные (программно-технические) средства, которые
имеются в продаже (анализаторы кода, анализаторы протоколов и иные) или
требуется разработка более сложных программ и сценариев реализации угрозы.
Оборудование может быть закуплено, либо, например, могут быть использованы
компьютеры, объединенные через сеть Интернет (бот-сети).
Значение «оборудование, сделанное на заказ» присваивается, если для
идентификации или использования уязвимостей при реализации угрозы без-
опасности информации требуются программные (программно-технические)
средства, которые недоступны широкому кругу лиц, так как требуется их специ-
альная разработка с привлечением исследовательских организаций, или распро-
странение этих средств контролируется в соответствии с законодательством. К
такому оборудованию также относится дорогостоящие средства или средства,
сведения о которых относятся к информации ограниченного доступа.
С целью вычисления потенциала нарушителя определяются числовые зна-
чения указанных показателей в соответствии с таблицей 3.1.
42
Таблица 3.1
Показатель возможностей нарушителя
Значения при
идентификации
уязвимости
Значения при
использова-
нии уязвимо-
сти
Затрачиваемое
время
< 0,5 час 0 0
< 1 день 2 3
< 1 месяц 3 5
> 1 месяц 5 8
Техническая ком-
петентность
нарушителя
Непрофессионал 0 0
Специалист 2 3
Профессионал 5 4
Знание проекта и
информационной
системы
Отсутствие знаний 0 0
Ограниченные знания 2 2
Знание чувствительной
информации 5
4
Возможность до-
ступа к информа-
ционной системе
< 0,5 час или не обна-
руживаемый доступ 0
0
< 1 день 2 4
< 1 месяц 3 6
> 1 месяц 4 9
Не возможно
Оснащенность
нарушителя
Отсутствует 0 0
Стандартное оборудо-
вание
1
2
Специализированное
оборудование 3
4
Оборудование, сделан-
ное на заказ
5
6
Для конкретной потенциальной уязвимости может возникнуть необходи-
мость определять показатели несколько раз для различных способов реализации
угроз безопасности информации (попеременно использовать разные значения
показателей компетентности в сочетании со значениями времени и оборудова-
ния). При этом следует выбирать наибольшее значение, полученное при каждом
расчете показателей.
Полученные на основе таблицы 3.1 значения характеристик потенциала
нарушителя суммируются. Полученная сумма значений характеристик соотно-
сится с диапазонами значений, приведенных в таблице 3.2, в соответствии с ко-
торой определяется потенциал нарушителя, необходимый для реализации угрозы
безопасности информации.
43
Таблица 3.2
Диапазон
значений
Потенциал
нарушителя
<10 Потенциал недостаточен для реализации
угрозы безопасности
10-17 Базовый (низкий)
18-24 Базовый повышенный (средний)
>24 Высокий
Мотивация нарушителя для реализации угроз безопасности информации
может быть базовой или повышенной. Мотивация нарушителя характеризует
уровень устремлений нарушителя к информации, содержащейся в информаци-
онной системе, или информационной системе в целом. При определении потен-
циала нарушителя необходимо исходить, как минимум, из его базовой мотива-
ции.
Потенциал нарушителя, требуемый для реализации угрозы безопасности
информации, переходит на следующий уровень (от низкого к среднего или от
среднего к высокому), если определено, что нарушитель имеет повышенную мо-
тивацию реализации угроз безопасности по отношению к информационной си-
стеме.
Мотивация нарушителя определяется как повышенная, если:
а) имеются сведения (в том числе опубликованные в общедоступных ис-
точниках) об устремлениях нарушителей к конкретной информационной системе
и (или) отдельным ее объектам защиты; например, если информация, обрабаты-
ваемая в информационной системе, является высоко ценной для нарушителя или
для нарушителя является крайне приоритетным нанести ущерб оператору ин-
формационной системы;
б) имеется информация, полученная от уполномоченных федеральных ор-
ганов исполнительной власти, о намерении нарушителя осуществить неправо-
мерные действия в отношении информационной системы и (или) информации,
содержащейся в этой информационной системе.

Методика определения угроз безопасности информации в информационных системах

2015-10-02T08:50:56Z

Hunter po: /* ОПРЕДЕЛЕНИЕ АКТУАЛЬНЫХ УГРОЗ БЕЗОПАСНОСТИ ИНФОРМАЦИИ В ИНФОРМАЦИОННОЙ СИСТЕМЕ */

ФЕДЕРАЛЬНАЯ СЛУЖБА
ПО ТЕХНИЧЕСКОМУ И ЭКСПОРТНОМУ КОНТРОЛЮ
(ФСТЭК РОССИИ)

МЕТОДИЧЕСКИЙ ДОКУМЕНТ
МЕТОДИКА ОПРЕДЕЛЕНИЯ УГРОЗ БЕЗОПАСНОСТИ ИНФОРМАЦИИ В ИНФОРМАЦИОННЫХ СИСТЕМАХ
(ПРОЕКТ) 2015

=ОБЩИЕ ПОЛОЖЕНИЯ=

Настоящий методический документ ФСТЭК России «Методика определения угроз безопасности информации в информационных системах» (далее - Методика) разработан и утвержден в соответствии с подпунктом 4 пункта 8 Положения о Федеральной службе по техническому и экспортному контролю, утвержденного Указом Президента Российской Федерации от 16 августа 2004 г. № 1085.

Документ устанавливает единый методический подход к определению угроз безопасности информации и разработке моделей угроз безопасности информации в государственных информационных системах (далее – информационные системы), защита информации в которых обеспечивается в соответствии с Требованиями о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах, утвержденными приказом ФСТЭК России от 11 февраля 2013 г. № 17 (зарегистрирован Минюстом России 31 мая 2013 г., рег. № 28608).

По решению оператора персональных данных Методика может применяться для определения в соответствии с пунктом 1 части 2 статьи 19 Федерального закона «О персональных данных» угроз безопасности персональных данных при их обработке в информационных системах персональных данных, защита которых обеспечивается в соответствии с Составом и содержанием организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденных приказом ФСТЭК России от 18 февраля 2013 г. № 21 (зарегистрирован Минюстом России 14 мая 2013 г., рег. № 28375).

Методика не распространяется на определение угроз безопасности информации, составляющей государственную тайну.

Методика предназначена для:
*органов государственной власти, органов местного самоуправления и организаций, являющихся в соответствии с законодательством Российской Федерации обладателями информации, заказчиками и (или) операторами информационных систем;
*организаций, осуществляющих в соответствии с законодательством Российской Федерации работы по созданию (проектированию) информационных систем;
*организаций, осуществляющих в соответствии с законодательством Российской Федерации работы по защите информации в ходе создания (проектирования) и эксплуатации информационных систем;
*организаций, осуществляющих в соответствии с законодательством Российской Федерации работы по аттестации (оценке соответствия) информационных систем требованиям о защите информации.

Настоящая Методика применяется на этапах создания информационных систем для определения и оценки угроз безопасности информации и разработки моделей угроз, а также в ходе эксплуатации информационных систем при периодическом пересмотре (переоценке) угроз безопасности информации.

Методика применяется совместно с банком данных угроз безопасности информации, сформированным ФСТЭК России (ubi.fstec.ru), а также базовыми и типовыми моделями угроз безопасности информации в информационных системах различных классов и типов, разрабатываемых ФСТЭК России в соответствии с подпунктом 4 пункта 8 Положения о Федеральной службе по техническому и экспортному контролю, утвержденного Указом Президента Российской Федерации от 16 августа 2004 г. № 1085.

Методика ориентирована на определение и оценку антропогенных угроз безопасности информации, возникновение которых обусловлено объективными факторами. Вместе с тем, часть приведенных в Методике подходов может также применяться для оценки техногенных угроз в случае, если они позволяют достичь целей такой оценки. Определение угроз, связанных со стихийными бедствиями и природными явлениями осуществляется в соответствии с правилами, установленными уполномоченными федеральными органами исполнительной власти, национальными стандартами и находятся за рамками настоящей Методики.

В случае, если в соответствии с настоящей Методикой к числу актуальных угроз, отнесены угрозы, связанные с утечкой информации по техническим каналам, дальнейшая их оценка проводится в соответствии со специальными требованиями и рекомендациями по технической защите конфиденциальной информации и методиками оценки защищенности конфиденциальной информации.

В Методике используются термины и их определения, установленные
национальными стандартами в области защиты информации.

В связи с утверждением настоящего методического документа не применяется для определения угроз безопасности информации Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных (ФСТЭК России, 2008 г.).

=ПРОЦЕСС ОПРЕДЕЛЕНИЯ УГРОЗ БЕЗОПАСНОСТИ ИНФОРМАЦИИ В ИНФОРМАЦИОННОЙ СИСТЕМЕ=

Целью определения угроз безопасности информации является установление того, существует ли возможность нарушения конфиденциальности, целостности или доступности информации, содержащейся в информационной системе, и приведет ли нарушение хотя бы одного из указанных свойств безопасности информации к наступлению неприемлемых негативных последствий (ущерба) для обладателя информации или оператора, а в случае обработки персональных данных и для субъектов персональных данных.

Определение угроз безопасности информации должно носить систематический характер и осуществляться как на этапе создания информационной системы и формирования требований по ее защите, так и в ходе эксплуатации информационной системы. Систематический подход к определению угроз безопасности информации необходим для того, чтобы определить потребности в конкретных требованиях к защите информации и создать адекватную эффективную систему защиты информации в информационной системе. Меры защиты информации, принимаемые обладателем информации и оператором, должны обеспечивать эффективное и своевременное выявление и блокирование (нейтрализацию) угроз безопасности информации, в результате реализации которых возможно наступление неприемлемых негативных последствий (ущерба).

Систематический подход к определению угроз безопасности информации предусматривает реализацию непрерывного процесса, в рамках которого определяется область применения процесса определения угроз, идентифицируются источники угроз и угрозы безопасности информации, оценивается возможность реализации угроз безопасности информации и степень возможного ущерба в случае такой реализации, осуществляется мониторинг (периодический пересмотр) и переоценка угроз безопасности информации.

Оценка угроз безопасности информации проводится экспертным методом.

Рекомендации по формированию экспертной группы и проведению экспертной оценки при определении угроз безопасности информации приведены в приложении № 1 к настоящей Методике.

==а) область применения процесса определения угроз безопасности информации==

На этапах принятия решения о необходимости защиты информации в информационной системе и разработки требований к защите информации должны быть определены физические и логические границы информационной системы, в которых принимаются и контролируются меры защиты информации, за которые ответственен оператор, а также определены объекты защиты и сегменты информационной системы.

Процесс определения угроз безопасности информации должен охватывать все объекты защиты и сегменты в логических и физических границах информационной системы, в которых оператором принимаются и контролируются меры защиты информации. Процесс определения угроз безопасности информации организуется подразделением оператора, назначенным ответственным за защиту информации в информационной системе. В случае, если информационная система имеет сегменты, эксплуатируемые разными подразделениями оператора, которые могут самостоятельно принимать и контролировать меры защиты информации, должны быть определены границы ответственности этих подразделений и порядок их взаимодействия в процессе определения угроз безопасности информации.

Область применения процесса определения угроз безопасности информации отражается в модели угроз безопасности информации наряду с областью действия модели угроз, структурно-функциональными характеристиками информационной системы и особенностями ее функционирования.

==б) идентификация источников угроз и угроз безопасности информации==

В обобщенном виде угрозы безопасности информации характеризуется источниками угроз, факторами, обуславливающими возможность реализации угроз, способами (методами) реализации угроз и последствиями от реализации угроз безопасности информации.

Важным этапом в процессе определения угроз безопасности информации является идентификация лиц или событий (явлений), в результате действий (наступления, возникновения) которых возможно нарушение конфиденциальности, целостности или доступности информации, содержащейся в информационной системе, и возникновение неприемлемых негативных последствий (ущерба).

В качестве источников угроз безопасности информации могут выступать субъекты (физические лица, организации, государства) или явления (техногенные аварии, стихийные бедствия, иные природные явления).

Источники угроз безопасности информации являются определяющим фактором при определении угроз безопасности информации в информационных системах. В процессе определения угроз безопасности информации подлежат оценке те угрозы, у которых есть источники и источники имеют возможности и условия для реализации угроз безопасности информации в информационной системе с заданными структурно-функциональными характеристиками и особенностями ее функционирования.

Источники угроз безопасности информации могут быть следующих типов:
*антропогенные источники (антропогенные угрозы);
*техногенные источники (техногенные угрозы);
*стихийные источники (угрозы стихийных бедствий, иных природных явлений).

В качестве источников антропогенных угроз безопасности информации могут выступать:
*лица, осуществляющие преднамеренные действия с целью доступа к информации (воздействия на информацию), содержащейся в информационной системе, или нарушения функционирования информационной системы или обслуживающей ее инфраструктуры (преднамеренные угрозы безопасности информации);
*лица, имеющие доступ к информационной системе, не преднамеренные действия которых могут привести к нарушению безопасности информации (непреднамеренные угрозы безопасности информации).

Для информационных систем, в которых целью защиты является обеспечение целостности и доступности обрабатываемой информации, в обязательном порядке подлежат оценке техногенные угрозы, связанные с отказами или сбоями в работе технических средств или программного обеспечения. Такие угрозы могут быть обусловлены:
*низким качеством (надежностью) технических, программных или программно-технических средств;
*низким качеством (надежностью) сетей связи и (или) услуг связи;
*отсутствием или низкой эффективностью систем резервирования или дублирования программно-технических и технических средств;
*низким качеством (надежностью) инженерных систем (кондиционирования, электроснабжения, охранных систем и т.д.);
*низким качеством обслуживания со стороны обслуживающих организаций и лиц.

При определении угроз безопасности информации оценке подлежат угрозы, связанные со всеми типами источников. Однако в целях создания и эксплуатации адекватной эффективной системы защиты информации в информационной системе следует, в первую очередь, уделять внимание оценке антропогенных угроз, связанных с несанкционированными (неправомерными) действиями субъектов по нарушению безопасности (конфиденциальности, целостности, доступности) информации, в том числе целенаправленными воздействиями программными (программно-техническими) средствами на информационные системы, осуществляемые в целях нарушения (прекращения) их функционирования (компьютерные атаки).

Также при определении угроз безопасности информации наряду с угрозами, реализация которых может привести непосредственно к нарушению конфиденциальности, целостности или доступности информации (прямыми угрозами), необходимо выявлять и оценивать угрозы, создающие условия для реализации прямых угроз безопасности информации (косвенные угрозы). В качестве косвенных угроз безопасности информации могут рассматриваться угрозы повышения привилегий, исчерпания вычислительных ресурсов, недоступности обновления программного обеспечения и иные угрозы безопасности информации.

В процессе определения угроз безопасности информации на всех стадиях (этапах) жизненного цикла информационных систем необходимо регулярно проводить идентификацию источников угроз, оценивать их возможности и определять на этой основе угрозы безопасности информации. Данные о нарушителях и их возможностях по реализации угроз безопасности информации, полученные при идентификации источников угроз, включаются в модели угроз безопасности информации.

Для идентификации угроз безопасности информации в информационной системе определяются:
*возможности (тип, вид, потенциал) нарушителей, необходимые им для реализации угроз безопасности информации;
*уязвимости, которые могут использоваться при реализации угроз безопасности информации (включая специально внедренные программные закладки);
*способы (методы) реализации угроз безопасности информации;
*объекты информационной системы, на которые направлена угроза безопасности информации (объекты воздействия);
*результат и последствия от реализации угроз безопасности информации.

Каждая угроза безопасности информации в информационной системе описывается (идентифицируется) следующим образом:
УБИj = [нарушитель (источник угрозы); уязвимости; способы реализации угрозы; объекты воздействия; последствия от реализации угрозы].

==в) оценка вероятности (возможности) реализации угроз безопасности информации и степени возможного ущерба==
Идентифицированная угроза безопасности информации подлежит нейтрализации (блокированию), если она является актуальной (УБИj А ) для информационной системы, то есть в информационной системе с заданными структурно функциональными характеристиками и особенностями функционирования существует вероятность (возможность) реализации рассматриваемой угрозы нарушителем с соответствующим потенциалом и ее реализация приведет к неприемлемым негативным последствиям (ущербу):
УБИj А = [вероятность (возможность) реализации угрозы (Рj); степень ущерба (Хj)].

Актуальные угрозы безопасности информации включаются в модель угроз безопасности информации. Модель угроз безопасности информации, учитывая особенности информационной системы, используемые в ней программные, программно-технические, технические средства и процессы обработки информации, дает описание угроз безопасности, которым подвержена информационная система. Структура модели угроз безопасности информации приведена в приложении № 2 к настоящей Методике.

==г) мониторинг и переоценка угроз безопасности информации==

Определение угроз безопасности информации на этапе создания информационной системы позволяет обеспечить формирование требований и внедрение эффективной адекватной системы защиты информации в информационной системе для угроз, актуальных к моменту ввода в эксплуатацию информационной системы.

В ходе эксплуатации информационной системы оператор, обеспечивая достижение целей и задач информационной системы, может изменять ее базовую конфигурацию, что приводит к изменению структурно-функциональных характеристик информационной системы и применяемых информационных технологий. Также в процессе эксплуатации возможно изменение состава и значимости обрабатываемой информации и особенностей функционирования информационной системы.

В этих условиях процесс определения угроз безопасности информации должен носить систематический характер. В ходе эксплуатации информационной системы регулярно проводится анализ изменения угроз безопасности информации, а актуальные угрозы безопасности информации подлежат периодической переоценке. Периодичность переоценки определяется организацией исходя из особенностей функционирования информационной системы. Рекомендуется пересматривать угрозы безопасности информации не реже одного раза в год. По результатам анализа проводится уточнение (при необходимости) модели угроз
безопасности информации.

Пересмотр (переоценка) угроз безопасности информации, как минимум, осуществляется в случаях:
*изменения требований законодательства Российской Федерации о защите информации, нормативных правовых актов и методических документов, регламентирующих защиту информации;
*изменения конфигурации (состава основных компонентов) и особенностей функционирования информационной системы, следствием которых стало возникновение новых угроз безопасности информации;
*выявления уязвимостей, приводящих к возникновению новых угроз безопасности информации или к повышению возможности реализации существующих;
*появления сведений и фактов о новых возможностях нарушителей.

= ОЦЕНКА ВОЗМОЖНОСТЕЙ НАРУШИТЕЛЕЙ ПО РЕАЛИЗАЦИИ УГРОЗ БЕЗОПАСНОСТИ ИНФОРМАЦИИ (РАЗРАБОТКА МОДЕЛИ НАРУШИТЕЛЯ) =

Целью оценки возможностей нарушителей по реализации угроз безопасности информации является формирование предположения о типах, видах нарушителей, которые могут реализовать угрозы безопасности информации в информационной системе с заданными структурно-функциональными характеристиками и особенностями функционирования, а также потенциале этих нарушителей и возможных способах реализации угроз безопасности информации.

Результаты оценки возможностей нарушителей включаются в модель нарушителя, которая является составной частью (разделом) модели угроз безопасности информации и содержит:
*типы, виды и потенциал нарушителей, которые могут обеспечить реализацию угроз безопасности информации;
*цели, которые могут преследовать нарушители каждого вида при реализации угроз безопасности информации;
*возможные способы реализации угроз безопасности информации.
==а) типы нарушителей==
Типы нарушителей определяются по результатам анализа прав доступа субъектов к информации и (или) к компонентам информационной системы, а также анализа возможностей нарушителей по доступу к компонентам информационной системы исходя из структурно-функциональных характеристик и особенностей функционирования информационной системы.

В зависимости от имеющихся прав доступа нарушители могут иметь легитимный физический (непосредственный) и (или) логический доступ к компонентам информационной системы и (или) содержащейся в них информации или не иметь такого доступа.

Анализ прав доступа проводится, как минимум, в отношении следующих компонент информационной системы:
*устройств ввода/вывода (отображения) информации;
*беспроводных устройств;
*программных, программно-технических и технических средств обработки информации;
*съемных машинных носителей информации;
*машинных носителей информации, выведенных из эксплуатации;
*активного (коммутационного) и пассивного оборудования каналов связи;
*каналов связи, выходящих за пределы контролируемой зоны.

С учетом наличия прав доступа и возможностей по доступу к информации и (или) к компонентам информационной системы нарушители подразделяются на два типа:
* внешние нарушители (тип I) – лица, не имеющие права доступа к информационной системе, ее отдельным компонентам и реализующие угрозы безопасности информации из-за границ информационной системы;
* внутренние нарушители (тип II) – лица, имеющие право постоянного или разового доступа к информационной системе, ее отдельным компонентам.

Наибольшими возможностями по реализации угроз безопасности обладают внутренние нарушители. При оценке возможностей внутренних нарушителей необходимо учитывать принимаемые оператором организационные меры по допуску субъектов к работе в информационной системе. Возможности внутреннего нарушителя существенным образом зависят от установленного порядка допуска физических лиц к информационной системе и ее компонентам, а также мер по контролю за доступом и работой этих лиц.

Внешнего нарушителя необходимо рассматривать в качестве актуального во всех случаях, когда имеются подключения информационной системы к внешним информационно-телекоммуникационным сетям и (или) имеются линии связи, выходящие за пределы контролируемой зоны, используемые для иных подключений.

==б) виды и потенциал нарушителей==

Угрозы безопасности информации в информационной системе могут быть реализованы следующими видами нарушителей:
*специальные службы иностранных государств (блоков государств);
*террористические, экстремистские группировки;
*преступные группы (криминальные структуры);
*внешние субъекты (физические лица);
*конкурирующие организации;
*разработчики, производители, поставщики программных, технических и программно-технических средств;
*лица, привлекаемые для установки, наладки, монтажа, пусконаладочных и иных видов работ;
*лица, обеспечивающие функционирование информационных систем или обслуживающие инфраструктуру оператора (администрация, охрана, уборщики и т.д.);
*пользователи информационной системы;
*администраторы информационной системы и администраторы безопасности;
*бывшие работники (пользователи).

Виды нарушителей, характерных для информационной системы с заданными структурно-функциональными характеристиками и особенностями функционирования, определяются на основе предположений (прогноза) о возможных целях (мотивации) при реализации угроз безопасности информации этими нарушителями.

В качестве возможных целей (мотивации) реализации нарушителями угроз безопасности информации в информационной системе могут быть:
* нанесение ущерба государству, отдельным его сферам деятельности или секторам экономики;
* реализация угроз безопасности информации по идеологическим или политическим мотивам;
* организация террористического акта;
* причинение имущественного ущерба путем мошенничества или иным преступным путем;
* дискредитация или дестабилизация деятельности органов государственной власти, организаций;
* получение конкурентных преимуществ;
* внедрение дополнительных функциональных возможностей в программное обеспечение или программно-технические средства на этапе разработки;
* любопытство или желание самореализации;
* выявление уязвимостей с целью их дальнейшей продажи и получения финансовой выгоды;
* реализация угроз безопасности информации из мести;
* реализация угроз безопасности информации непреднамеренно из-за неосторожности или неквалифицированных действий.

Предположения о целях (мотивации) нарушителей делаются с учетом целей и задач информационной системы, вида обрабатываемой информации, а также с учетом результатов оценки степени возможных последствий (ущерба) от нарушения конфиденциальности, целостности или доступности информации.

Виды нарушителя и их возможные цели (мотивация) реализации угроз безопасности информации приведены в таблице 1.

Таблица 1
№
вида
Виды
нарушителя
Типы
нарушителя
Возможные цели (мотивация)
реализации угроз безопасности
информации
1 Специальные службы
иностранных государств
(блоков государств)
Внешний,
внутренний
Нанесение ущерба государству,
отдельным его сферам деятель-
ности или секторам экономики.
Дискредитация или дестабили-
зация деятельности органов
государственной власти, орга-
низаций
2 Террористические, экс-
тремистские группиров-
ки
Внешний Нанесение ущерба государству,
отдельным его сферам деятель-
ности или секторам экономики.
Совершение террористических
актов.
Идеологические или политиче-
ские мотивы.
Дестабилизация деятельности
органов государственной вла-
13
сти, организаций
3 Преступные группы
(криминальные структу-
ры)
Внешний Причинение имущественного
ущерба путем мошенничества
или иным преступным путем.
Выявление уязвимостей с це-
лью их дальнейшей продажи и
получения финансовой выгоды
4 Внешние субъекты (фи-
зические лица)
Внешний Идеологические или политиче-
ские мотивы.
Причинение имущественного
ущерба путем мошенничества
или иным преступным путем.
Любопытство или желание са-
мореализации (подтверждение
статуса).
Выявление уязвимостей с це-
лью их дальнейшей продажи и
получения финансовой выгоды
5 Конкурирующие орга-
низации
Внешний Получение конкурентных пре-
имуществ.
Причинение имущественного
ущерба путем обмана или зло-
употребления доверием
6 Разработчики, произво-
дители, поставщики про-
граммных, технических и
программно-технических
средств
Внешний Внедрение дополнительных
функциональных возможностей
в программное обеспечение или
программно-технические сред-
ства на этапе разработки.
Причинение имущественного
ущерба путем обмана или зло-
употребления доверием.
Непреднамеренные, неосто-
рожные или неквалифициро-
ванные действия
7 Лица, привлекаемые для
установки, наладки, мон-
тажа, пусконаладочных и
иных видов работ
Внутренний Причинение имущественного
ущерба путем обмана или зло-
употребления доверием.
Непреднамеренные, неосто-
рожные или неквалифициро-
ванные действия
8 Лица, обеспечивающие
функционирование ин-
формационных систем
или обслуживающие ин-
фраструктуру оператора
Внутренний Причинение имущественного
ущерба путем обмана или зло-
употребления доверием.
Непреднамеренные, неосто-
рожные или неквалифициро-
14
(администрация, охрана,
уборщики и т.д.)
ванные действия
9 Пользователи информа-
ционной системы
Внутренний Причинение имущественного
ущерба путем мошенничества
или иным преступным путем.
Любопытство или желание са-
мореализации (подтверждение
статуса).
Месть за ранее совершенные
действия.
Непреднамеренные, неосто-
рожные или неквалифициро-
ванные действия
10 Администраторы ин-
формационной системы
и администраторы без-
опасности
Внутренний Причинение имущественного
ущерба путем мошенничества
или иным преступным путем.
Любопытство или желание са-
мореализации (подтверждение
статуса).
Месть за ранее совершенные
действия.
Выявление уязвимостей с це-
лью их дальнейшей продажи и
получения финансовой выгоды.
Непреднамеренные, неосто-
рожные или неквалифициро-
ванные действия
11 Бывшие работники
(пользователи)
Внешний Причинение имущественного
ущерба путем мошенничества
или иным преступным путем.
Месть за ранее совершенные
действия

При оценке возможностей нарушителей необходимо исходить из условий, что для повышения своих возможностей нарушители 1 вида могут вступать в сговор с нарушителями 3, 4, 6, 7, 8, 9 и 10 видов. Нарушители 2 вида могут вступать в сговор с нарушителями 4, 7, 8, 9 и 10 видов. Нарушители 3 вида могут вступать в сговор с нарушителями 4, 7, 8, 9 и 10 видов. В случае принятия таких предположений цели (мотивация) и возможности нарушителей подлежат объединению.

Возможности каждого вида нарушителя по реализации угроз безопасности информации характеризуются его потенциалом. Потенциал нарушителя определяется компетентностью, ресурсами и мотивацией, требуемыми для реализации угроз безопасности информации в информационной системе с заданными структурно-функциональными характеристиками и особенностями функционирования.

В зависимости от потенциала, требуемого для реализации угроз безопасности информации, нарушители подразделяются на:
*нарушителей, обладающих базовым (низким) потенциалом нападения при реализации угроз безопасности информации в информационной системе;
*нарушителей, обладающих базовым повышенным (средним) потенциалом нападения при реализации угроз безопасности информации в информационной системе;
*нарушителей, обладающих высоким потенциалом нападения при реализации угроз безопасности информации в информационной системе.

Потенциал нарушителей и их возможности приведены в таблице 2.

Таблица 2
№ Потенциал
нарушителей
Виды
нарушителей
Возможности по реализации угроз без-
опасности информации
1 Нарушители с
базовым (низ-
ким) потенци-
алом
Внешние субъ-
екты (физические
лица),
лица, обеспечи-
вающие функци-
онирование ин-
формационных
систем или об-
служивающих
инфраструктуру
оператора,
пользователи
информационной
системы,
бывшие работ-
ники,
лица, привлека-
емые для уста-
новки, наладки,
монтажа, пуско-
наладочных и
иных работ
Имеют возможность получить инфор-
мацию об уязвимостях отдельных ком-
понент информационной системы,
опубликованную в общедоступных ис-
точниках.
Имеют возможность получить инфор-
мацию о методах и средствах реализа-
ции угроз безопасности информации
(компьютерных атак), опубликованных
в общедоступных источниках, и (или)
самостоятельно осуществляет создание
методов и средств реализации атак и
реализацию атак на информационную
систему
2 Нарушители с
базовым по-
вышенным
(средним) по-
тенциалом
Террористиче-
ские, экстремист-
ские группиров-
ки,
преступные
группы (крими-
нальные структу-
Обладают всеми возможностями
нарушителей с базовым потенциалом.
Имеют осведомленность о мерах за-
щиты информации, применяемых в ин-
формационной системе данного типа.
Имеют возможность получить инфор-
мацию об уязвимостях отдельных ком-
16
ры),
конкурирующие
организации,
разработчики,
производители,
поставщики про-
граммных, техни-
ческих и про-
граммно-
технических
средств,
администраторы
информационной
системы и адми-
нистраторы без-
опасности
понент информационной системы пу-
тем проведения, с использованием
имеющихся в свободном доступе про-
граммных средств, анализа кода при-
кладного программного обеспечения и
отдельных программных компонент
общесистемного программного обеспе-
чения.
Имеют доступ к сведениям о струк-
турно-функциональных характеристи-
ках и особенностях функционирования
информационной системы
3 Нарушители с
высоким по-
тенциалом
Специальные
службы ино-
странных госу-
дарств (блоков
государств)
Обладают всеми возможностями
нарушителей с базовым и базовым по-
вышенным потенциалами.
Имеют возможность осуществлять не-
санкционированный доступ из выде-
ленных (ведомственных, корпоратив-
ных) сетей связи, к которым возможен
физический доступ (незащищенных ор-
ганизационными мерами).
Имеют возможность получить доступ
к программному обеспечению чипсетов
(микропрограммам), системному и при-
кладному программному обеспечению,
телекоммуникационному оборудова-
нию и другим программно-техническим
средствам информационной системы
для преднамеренного внесения в них
уязвимостей или программных закла-
док.
Имеют хорошую осведомленность о
мерах защиты информации, применяе-
мых в информационной системе, об ал-
горитмах, аппаратных и программных
средствах, используемых в информаци-
онной системе.
Имеют возможность получить инфор-
мацию об уязвимостях путем проведе-
ния специальных исследований (в том
числе с привлечением специализиро-
17
ванных научных организаций) и приме-
нения специально разработанных
средств для анализа программного
обеспечения.
Имеют возможность создания методов
и средств реализации угроз безопасно-
сти информации с привлечением специ-
ализированных научных организаций и
реализации угроз с применением специ-
ально разработанных средств, в том
числе обеспечивающих скрытное про-
никновение в информационную систе-
му и воздействие на нее.
Имеют возможность создания и при-
менения специальных технических
средств для добывания информации
(воздействия на информацию или тех-
нические средства), распространяю-
щейся в виде физических полей или яв-
лений

==в) возможные способы реализации угроз безопасности информации==

Целью определения возможных способов реализации угроз безопасности информации является формирование предположений о возможных сценариях реализации угроз безопасности информации, описывающих последовательность (алгоритмы) действий отдельных видов нарушителей или групп нарушителей и применяемые ими методы и средства для реализации угроз безопасности информации.

Возможные способы реализации угроз безопасности информации зависят от структурно-функциональных характеристик и особенностей функционирования информационной системы.

Угрозы безопасности информации могут быть реализованы нарушителями за счет:
*несанкционированного доступа и (или) воздействия на объекты на аппаратном уровне (программы (микропрограммы), «прошитые» в аппаратных компонентах (чипсетах));
*несанкционированного доступа и (или) воздействия на объекты на общесистемном уровне (базовые системы ввода-вывода, гипервизоры, операционные системы);
*несанкционированного доступа и (или) воздействия на объекты на прикладном уровне (системы управления базами данных, браузеры, web-приложения, иные прикладные программы общего и специального назначения);
*несанкционированного доступа и (или) воздействия на объекты на сетевом уровне (сетевое оборудование, сетевые приложения, сервисы);
*несанкционированного физического доступа и (или) воздействия на линии, (каналы) связи, технические средства, машинные носители информации;
*воздействия на пользователей, администраторов безопасности, администраторов информационной системы или обслуживающий персонал (социальная инженерия).

Действия нарушителя в зависимости от его потенциала при реализации угроз безопасности информации предусматривают идентификацию и использование уязвимостей в микропрограммном, общесистемном и прикладном программном обеспечении, сетевом оборудовании, применяемых в информационной системе, а также в организации работ по защите информации и конфигурации информационной системы.

При определении способа реализации угроз безопасности информации необходимо учитывать то, что угрозы безопасности информации могут быть реализованы непосредственно за счет доступа к компонентам информационной системы и (или) информации или опосредовано (косвенно) за счет создания условий и (или) средств, обеспечивающих такой доступ, а также за счет доступа или воздействия на обслуживающую инфраструктуру, за которую оператор не отвечает. При этом локальной целью нарушителя, не имеющего доступа (прав доступа) к компонентам информационной системы и (или) информации, как правило,
является получение доступа к информационной системе (в том числе через внешние сети связи общего пользования) и получение максимально возможных прав и привилегий при таком доступе.

Нарушители могут совершать действия, следствием которых является нарушение безопасности информации, преднамеренно (преднамеренные грозы безопасности информации) или случайно (непреднамеренные грозы безопасности информации).

Преднамеренные действия нарушителей могут заключаться в реализации целенаправленных или нецеленаправленных угроз безопасности информации.

Целенаправленная угроза безопасности информации направлена на интересующую нарушителя информационную систему с заранее известными ему структурно-функциональными характеристиками и особенностями функционирования. Целенаправленная угроза безопасности информации адаптирована к структурно-функциональным характеристикам информационной системы. При подготовке и реализации целенаправленных угроз безопасности информации нарушитель может использовать методы социальной инженерии, которые позволяют ему изучить поведение пользователей и их реакцию на поступающие к ним внешние данные.

Нецеленаправленная («веерная») угроза безопасности информации не ориентирована на конкретную информационную систему. Целями такой угрозы могут являться несанкционированный доступ, перехват управления или воздействие на как можно большее количество информационных систем. В данном случае нарушителю заранее не известны структурно-функциональные характеристики и условия функционирования информационной системы.

Реализация преднамеренных угроз безопасности информации, как правило, включает:
*сбор информации об информационной системе, ее структурно-функциональных характеристиках, условиях функционирования;
*выбор (разработка, приобретение) методов и средств, используемых для реализации угроз безопасности информации в информационной системе с заданными структурно-функциональными характеристиками и условиями функционирования;
*непосредственная реализация угроз безопасности информации в информационной системе (проникновение в информационную систему, закрепление в информационной системе, реализация неправомерных действий);
*устранение признаков и следов неправомерных действий в информационной системе.

В зависимости от целей и потенциала нарушителя на каждом из этапов могут эксплуатироваться одна или несколько уязвимостей информационной системы.

При определении возможных способов реализации угроз безопасности информации необходимо исходить из следующих условий:
*нарушитель может действовать один или в составе группы нарушителей;
*в отношении информационной системы внешний нарушитель может действовать совместно с внутренним нарушителем;
*угрозы могут быть реализованы в любое время и в любой точке информационной системы (на любом узле или хосте);
*для достижения своей цели нарушитель выбирает наиболее слабое звено информационной системы.

Возможные способы реализации угроз безопасности информации, определенные на основе настоящего раздела, включаются в модель угроз безопасности информации.

= ОПРЕДЕЛЕНИЕ АКТУАЛЬНЫХ УГРОЗ БЕЗОПАСНОСТИ ИНФОРМАЦИИ В ИНФОРМАЦИОННОЙ СИСТЕМЕ =

Угроза безопасности информации является актуальной (УБИj А ), если для информационной системы с заданными структурно-функциональными характеристиками и особенностями функционирования существует вероятность реализации рассматриваемой угрозы нарушителем с соответствующим потенциалом и ее реализация приведет к неприемлемым негативным последствиям (ущербу) от нарушения конфиденциальности, целостности или доступности информации.

В качестве показателя актуальности угрозы безопасности информации (УБИj А ) принимается двухкомпонентный вектор, первый компонент которого характеризует вероятность реализации угрозы (Рj), а второй – степень возможного ущерба в случае ее реализации (Хj)

УБИj А = [вероятность реализации угрозы (Рj); степень ущерба (Хj)], где Рj определятся на основе анализа статистических данных о частоте реализации угроз безопасности информации (возникновении инцидентов безопасности) в информационной системе и (или) однотипных информационных системах, а Хj определяется на основе оценок степени последствий от нарушения конфиденциальности, целостности или доступности информации.

При отсутствии статистических данных о реализации угроз безопасности информации (возникновении инцидентов безопасности) в информационной системе и (или) однотипных информационных системах, актуальность угрозы безопасности информации определяется на основе оценки возможности реализации угрозы безопасности информации (Yj) УБИj А = [возможность реализации угрозы (Yj); степень ущерба (Хj)], где Yj определятся на основе оценки уровня защищенности информационной системы и потенциала нарушителя, требуемого для реализации угрозы безопасности. Хj также определяется на основе оценок степени последствий от
нарушения конфиденциальности, целостности или доступности информации.

Актуальность угроз безопасности информации определяется в отношении угроз, для которых экспертным методом определено, что:
*возможности (потенциал) нарушителя достаточны для реализации угрозы безопасности информации;
*в информационной системе могут иметься потенциальные уязвимости, которые могут быть использованы при реализации j-ой угрозы безопасности информации;
*структурно-функциональные характеристики и особенности функционирования информационной системы не исключают возможности применения способов, необходимых для реализации j-ой угрозы безопасности информации (существует сценарий реализации угрозы безопасности);
*реализация угрозы безопасности информации приведет к нарушению конфиденциальности, целостности или доступности информации, в результате которого возможно возникновение неприемлемых негативных последствий (ущерба).

В качестве исходных данных об угрозах безопасности информации и их характеристиках используется банк данных угроз безопасности информации, сформированный и поддерживаемый ФСТЭК России, а также базовые и типовые модели угроз безопасности информации, разрабатываемые ФСТЭК России для различных классов и типов информационных систем.

Для определения угроз безопасности информации могут использоваться иные источники, в том числе опубликованные в общедоступных источниках данные об уязвимостях, компьютерных атаках, вредоносном программном
обеспечении, а также результаты специально проведенных исследований по выявлению угроз безопасности информации. В этом случае потенциал нарушителя, возможные уязвимости, способы реализации угрозы безопасности информации и последствия от ее реализации определяются для каждой угрозы безопасности информации.
==а) оценка вероятности (возможности) реализации угрозы безопасности информации==

Под вероятностью реализации угрозы безопасности информации понимается определяемый экспертным путем показатель, характеризующий, насколько вероятным является реализация j-ой угрозы безопасности информации в информационной системе с заданными структурно-функциональными характеристиками и особенностями функционирования. Вводятся три вербальные градации этого показателя:
*низкая вероятность – отсутствуют объективные предпосылки к реализации j-ой угрозы безопасности информации, отсутствует требуемая статистика по фактам реализации j-ой угрозы безопасности информации (возникновения инцидентов безопасности), отсутствует мотивация для реализации j-ой угрозы, возможная частота реализации j-ой угрозы не превышает 1 раза в 5 лет;
*средняя вероятность – существуют предпосылки к реализации j-ой угрозы безопасности информации, зафиксированы случаи реализации j-ой угрозы безопасности информации (возникновения инцидентов безопасности) или имеется иная информация, указывающая на возможность реализации j-ой угрозы безопасности информации, существуют признаки наличия у нарушителя мотивации для реализации такой угрозы, возможная частота реализации j-ой угрозы не превышает 1 раза в год;
*высокая вероятность – существуют объективные предпосылки к реализации j-ой угрозы безопасности информации, существует достоверная статистика реализации j-ой угрозы безопасности информации (возникновения инцидентов безопасности) или имеется иная информация, указывающая на высокую возможность реализации j-ой угрозы безопасности информации, у нарушителя имеются мотивы для реализации j-ой угрозы, частота реализации j-ой угрозы – чаще 1 раза в год.

В случае отсутствия требуемых данных для оценки вероятности реализации угрозы безопасности информации или наличия сомнений в объективности экспертных оценок при определении вербальных градаций вероятности реализации угроз безопасности информации, актуальность j-ой угрозы безопасности информации определяется на основе оценки возможности ее реализации (Yj).

Возможность реализации j-ой угрозы безопасности информации (Yj) оценивается исходя из уровня защищенности информационной системы (Y1) и потенциала нарушителя (Y2), необходимого для реализации этой угрозы безопасности информации в информационной системе с заданными структурнофункциональными характеристиками и особенностями функционирования:
*Yj = [уровень защищенности (Y1); потенциал нарушителя (Y2)].

При определении угроз безопасности информации на этапе создания информационной системы в случае, когда меры защиты информации не реализованы или не проведена оценка их достаточности и эффективности, оценка возможности реализации j-ой угрозы безопасности информации (Yj) проводится относительно уровня проектной защищенности информационной системы (Y1П):
*Yj = [уровень проектной защищенности (Y1П); потенциал нарушителя (Y2)].

Под уровнем проектной защищенности (Y1П) понимается исходная защищенность информационной системы, обусловленная заданными при проектировании структурно-функциональными характеристиками и условиями ее функционирования. Уровень проектной защищенности (Y1П) определяется на основе анализа проектных структурно-функциональных характеристик, приведенных в таблице 3.

Показатели, характеризующие проектную защищенность информационной системы

Таблица 3
Структурно-функциональные характе-
ристики информационной системы,
условия ее эксплуатации
Уровень проектной защищенности ин-
формационной системы (Y1П)
Высокий Средний Низкий
1. По структуре информационной си-
стемы:
автономное автоматизированное рабо-
чее место;
локальная информационная система;
распределенная информационная си-
стема
+
+
+
2. По используемым информационным
технологиям:
23
системы на основе виртуализации;
системы, реализующие «облачные
вычисления»;
системы с мобильными устройства-
ми;
системы с технологиями беспровод-
ного доступа;
грид
-системы;
суперкомпьютерные системы
+
+++++
3
. По архитектуре информационной
системы
:
системы на основе «тонкого клиен-
та»;
системы на основе одноранговой
се-
ти
;
файл
-серверные системы
;
центры обработки данных;
системы с уд
аленным доступом
пользователей;
использование разных типов опера-
ционных систем (гетерогенность сре-
ды)
;
использование прикладных про-
грамм, независимых от операционных
систем
;
использование выделенных каналов
связи
+
++++
+++
4
. По наличию (отсутствию) взаимо-
связей с иными информационными си-
стемами
:
взаимодействующая с системами
;
невзаимодействующая с системами
+
+
5
. По наличию (отсутствию) взаимо-
связей (подключений)
к сетям связи
общего пользования
:
подключенная
;
подключенная через выделенную
инфраструктуру (gov
.ru или иную);
неподключенной
+
+
+
6
. По размещению технических
средств:
расположенные в пределах одной
контролируемой зоны;
расположенные в пределах несколь-
ких контролируемых зон;
+
+
24
расположенные вне контролируемой
зоны
+
7. По режимам обработки информации
в информационной системе:
многопользовательский;
однопользовательский +
+
8. По режимам разграничения прав до-
ступа:
без разграничения;
с разграничением +
+
9. По режимам разделения функций по
управлению информационной системой:
без разделения;
выделение рабочих мест для адми-
нистрирования в отдельный домен;
использование различных сетевых
адресов;
использование выделенных каналов
для администрирования
+
+
+
+
10. По подходам к сегментированию
информационной системы:
без сегментирования;
с сегментированием +
+

В ходе создания информационной системы уровень ее проектной защищенности (Y1П) определяется следующим образом:
*а) информационная система имеет высокий уровень проектной защищенности (Y1П), если не менее 80% характеристик информационной системы соответствуют уровню «высокий» (суммируются положительные решения по второму столбцу, соответствующему высокому уровню защищенности), а остальные - среднему уровню защищенности (положительные решения по третьему столбцу);
*б) информационная система имеет средний уровень проектной защищенности (Y1П), если не выполняются условия по пункту а) и не менее 90% характеристик информационной системы соответствуют уровню не ниже «средний» (берется отношение суммы положительных решений по третьему столбцу, соответствующему среднему уровню защищенности, к общему количеству решений), а остальные - низкому уровню защищенности;
*в) информационная система имеет низкий уровень проектной защищенности (Y1П), если не выполняются условия по пунктам а) и б).

В соответствии с требованиями о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах, до ввода в эксплуатацию информационной системы должны быть реализованы меры защиты информации, направленные на блокирование (нейтрализацию) актуальных угроз безопасности информации. Таким образом, ввод в эксплуатацию информационной системы осуществляется при условии достижения высокого уровня исходной защищенности информационной системы от нарушителя с заданным потенциалом.

Вместе с тем, в ходе эксплуатации информационной системы возможно появление новых уязвимостей, повышение потенциала нарушителя, изменение структурно-функциональных характеристик, значимости обрабатываемой информации, особенностей функционирования информационной системы и других условий, приводящих к возникновению новых угроз безопасности информации, которые могут существенно снизить уровень проектной защищенности информационной системы. В этом случае для поддержания уровня защищенности информационной системы в ходе эксплуатации должен проводиться регулярный анализ изменения угроз безопасности информации, а актуальные угрозы безопасности информации подлежат периодической переоценке.

В ходе эксплуатации информационной системы уровень ее защищенности (Y1) определяется следующим образом:
*а) в информационной системе обеспечивается высокий уровень защищенности (Y1), если в ходе эксплуатации информационной системы не появились дополнительные угрозы безопасности информации или в отношении появившихся дополнительных угроз безопасности информации с высокой оперативностью («за минуты») могут быть приняты меры защиты информации, нейтрализующие эти угрозы;
*б) в информационной системе обеспечивается средний уровень защищенности (Y1), если в ходе эксплуатации информационной системы появились дополнительные угрозы безопасности информации и в отношении них оперативно («за часы») могут быть приняты меры защиты информации, нейтрализующие эти угрозы;
*в) в информационной системе обеспечивается низкий уровень защищенности (Y1), если в ходе эксплуатации информационной системы появились дополнительные угрозы безопасности информации и в отношении них не могут быть с высокой оперативностью или оперативно приняты меры защиты информации, нейтрализующие эти угрозы.

Потенциал, требуемый нарушителю для реализации j-ой угрозы безопасности информации, может быть базовым (низким), базовым повышенным (средним) или высоким. Значение потенциала нарушителя (Y2) для j-ой угрозы безопасности информации определяется на основе данных, приведенных в банке данных угроз безопасности информации ФСТЭК России, а также в базовых и типовых моделях угроз безопасности информации, разрабатываемых ФСТЭК России для информационных систем различных классов и типов. В случае отсутствия информации о потенциале нарушителя для реализации j-ой угрозы безопасности значение потенциала (Y2) определяется в соответствии с приложением № 3 к настоящей Методике.

Возможность реализации j-ой угрозы безопасности информации (Yj) в зависимости от уровня защищенности информационной системы (Y1/Y1П) и потенциала нарушителя (Y2) определяется как высокая, средняя или низкая в соответствии с таблицей 4.

===Возможность реализации угрозы безопасности информации Таблица 4===
Уровень защищенности (Y1/Y1П)
Потенциал нарушителя (Y2)
Высокий Средний Низкий
Базовый (низкий) Низкая Средняя Высокая
Базовый повышенный (средний) Средняя Высокая Высокая
Высокий Высокая Высокая Высокая

==б) оценка степени возможного ущерба от реализации угрозы безопасности информации==

Для оценки степени возможного ущерба от реализации угрозы безопасности информации определяются возможный результат реализации угрозы безопасности информации в информационной системе, вид ущерба, к которому может привести реализация угрозы безопасности информации, степень последствий от реализации угрозы безопасности информации для каждого вида ущерба.

В качестве результата реализации угрозы безопасности информации рассматриваются непосредственное или опосредованное воздействие на конфиденциальность, целостность, доступность информации, содержащейся в информационной системе.

Непосредственное воздействие на конфиденциальность, целостность, доступность информации возможно в результате реализации прямой угрозы безопасности информации. В этом случае объектами воздействия угрозы являются непосредственно информация и (или) иные объекты защиты информационной системы или обеспечивающей инфраструктуры, которые обеспечивают получение, обработку, хранение, передачу, уничтожение информации в информационной системе, в результате доступа к которым или воздействия на которые возможно воздействие на конфиденциальность, целостность или доступность информации.

Опосредованное воздействие на конфиденциальность, целостность, доступность информации рассматривается в результате реализации косвенных угроз безопасности информации. Реализация косвенных угроз безопасности информации не приводит непосредственно к воздействию на конфиденциальность, целостность, доступность информации, но создает условия для реализации одной или нескольких прямых угроз безопасности информации, позволяющих реализовать такое воздействие. В этом случае в качестве результата реализации косвенной угрозы необходимо рассматривать результаты реализации всех прямых угроз безопасности информации, которые возможно реализовать в случае реализации данной косвенной угрозы.

Результат реализации угрозы безопасности информации определяется воздействием угрозы на каждое свойство безопасности информации (конфиденциальность, целостность, доступность) в отдельности в соответствии с таблицей 5.

При обработке в информационной системе двух и более видов информации (служебная тайна, персональные данные, налоговая тайна, иные установленные законодательством Российской Федерации виды информации) воздействие на конфиденциальность, целостность, доступность определяется отдельно для каждого вида информации (k, …, m), содержащейся в информационной системе.

===Таблица 5===
Свойство
безопасности
информации
Результат реализации
угрозы безопасности информации
Не оказывает воздействия Оказывает воздействие
Конфиденциаль-
ность
К Xk1
В результате реализации
угрозы безопасности инфор-
мации отсутствует возмож-
ность неправомерного досту-
па, копирования, предостав-
ления или распространения
информации
В результате реализации
угрозы безопасности ин-
формации возможны не-
правомерный доступ, ко-
пирование, предоставле-
ние или распространение
информации
Целостность
Ц Xk1
В результате реализации
угрозы безопасности инфор-
мации отсутствует возмож-
ность уничтожения или мо-
дифицирования информации
В результате реализации
угрозы безопасности ин-
формации возможно уни-
чтожение или модифици-
рование информации
Доступность
Д Xk1
В результате реализации
угрозы безопасности инфор-
мации отсутствует возмож-
ность блокирования инфор-
мации
В результате реализации
угрозы безопасности ин-
формации возможно бло-
кирование информации

При определении степени возможного ущерба необходимо исходить из того, что в зависимости от целей и задач, решаемых информационной системой, видов обрабатываемой информации, воздействие на конфиденциальность, целостность или доступность каждого вида информации, содержащейся в информационной системе, может привести к различным видам ущерба. При этом для разных обладателей информации и операторов будут характерны разные виды ущерба.

Основные виды ущерба и возможные негативные последствия, к которым может привести нарушение конфиденциальности, целостности, доступности информации, приведены в таблице 6.

===Таблица 6===
Вид
ущерба
Возможные негативнее
последствия от нарушения конфиденциальности, целост-
ности, доступности информации
Экономический
(финансовый)
Снижение, как минимум, одного экономического показа-
теля.
Потеря (кража) финансовых средств.
Недополучение ожидаемой (прогнозируемой) прибыли.
Необходимость дополнительных (незапланированных)
затрат на выплаты штрафов (неустоек) или компенсаций.
Необходимость дополнительных (незапланированных)
затрат на закупку товаров, работ или услуг (в том числе
закупка программного обеспечения, технических средств,
вышедших из строя, замена, настройка, ремонт указанных
средств).
Необходимость дополнительных (незапланированных)
затрат на восстановление деятельности.
Потеря клиентов, поставщиков.
Потеря конкурентного преимущества.
Невозможность заключения договоров, соглашений.
Другие прямые или косвенные финансовые потери
Социальный Создание предпосылок для нанесения вреда здоровью
граждан.
Возможность нарушения функционирования объектов
обеспечения жизнедеятельности граждан.
Организация пикетов, забастовок, митингов и других ак-
ций.
Увольнения.
Увеличение количества жалоб в органы государственной
власти или органы местного самоуправления.
Появление негативных публикаций в общедоступных ис-
точниках.
Невозможность (прерывание) предоставления социаль-
ных услуг (сервисов).
Другие последствия, приводящие к нарастанию социаль-
ной напряженности в обществе
Политический Создание предпосылок к обострению отношений в меж-
дународных отношениях.
Срыв двусторонних (многосторонних) контактов с зару-
бежными партнерами.
Неспособность выполнения международных (двусторон-
них) договорных обязательств.
29
Невозможность заключения международных (двусторон-
них) договоров, соглашений.
Создание предпосылок к внутриполитическому кризису.
Нарушение выборного процесса.
Другие последствия во внутриполитической и внешнепо-
литической областях деятельности
Репутационный Нарушение законодательных и подзаконных актов.
Нарушение деловой репутации.
Снижение престижа.
Дискредитация работников.
Утрата доверия.
Неспособность выполнения договорных обязательств.
Другие последствия, приводящие к нарушению репута-
ции
Ущерб в области
обороны, безопас-
ности и правопо-
рядка
Создание предпосылок к наступлению негативных по-
следствий для обороны, безопасности и правопорядка.
Нарушение общественного правопорядка.
Неблагоприятное влияние на обеспечение общественного
правопорядка.
Возможность потери или снижения уровня контроля за
общественным правопорядком.
Отсутствие возможности оперативного оповещения
населения о чрезвычайной ситуации.
Другие последствия, приводящие к ущербу в области
обороны, безопасности и правопорядка
Ущерб субъекту
персональных дан-
ных
Создание угрозы личной безопасности.
Финансовые или иные материальные потери физического
лица.
Вторжение в частную жизнь.
Создание угрозы здоровью.
Моральный вред.
Утрата репутации.
Другие последствия, приводящие к нарушению прав
субъекта персональных данных
Технологический Невозможность решения задач (реализации функций)
или снижение эффективности решения задач (реализации
функций).
Необходимость изменения (перестроения) внутренних
процедур для достижения целей, решения задач (реализа-
ции функций).
Принятие неправильных решений.
Простой информационной системы или сегмента инфор-
мационной системы
Другие последствия, приводящие к нарушению техноло-
гии обработки информации

Указанные виды ущерба могут дополняться другими видами в зависимости от целей и задач, решаемых информационной системой, а также вида обрабатываемой в ней информации.

Степень возможного ущерба от реализации угрозы безопасности информации определяется степенью негативных последствий от нарушения конфиденциальности, целостности или доступности каждого вида информации, содержащейся в информационной системе.

Степень негативных последствий от нарушения конфиденциальности, целостности или доступности информации определяется для каждого вида ущерба, зависит от целей и задач, решаемых информационной системой, и может иметь разные значения для разных обладателей информации и операторов. В качестве единой шкалы измерения степени негативных последствий принимаются значения «незначительные», «умеренные» и «существенные» негативные последствия. Каждым оператором определяется в указанной единой шкале измерений степень негативных последствий от нарушения конфиденциальности, целостности или доступности информации применительно ко всем целям и задачам, решаемым информационной системой.

Степень возможного ущерба определяется экспертным методом в соответствии с таблицей 7.

===Таблица 7===
Степень
ущерба
Характеристика степени ущерба
Высокая В результате нарушения одного из свойств безопасности
информации (конфиденциальности, целостности, доступно-
сти) возможны существенные негативные последствия.
Информационная система и (или) оператор (обладатель
информации) не могут выполнять возложенные на них
функции
Средняя В результате нарушения одного из свойств безопасности
информации (конфиденциальности, целостности, доступно-
сти) возможны умеренные негативные последствия.
Информационная система и (или) оператор (обладатель
информации) не могут выполнять хотя бы одну из возложен-
ных на них функций
Низкая В результате нарушения одного из свойств безопасности
информации (конфиденциальности, целостности, доступно-
сти) возможны незначительные негативные последствия.
Информационная система и (или) оператор (обладатель
информации) могут выполнять возложенные на них функции
с недостаточной эффективностью или выполнение функций
возможно только с привлечением дополнительных сил и
средств

При обработке в информационной системе двух и более видов информации (служебная тайна, персональные данные, налоговая тайна и иные установленные законодательством Российской Федерации виды информации) степень возможного ущерба определяется отдельно для каждого вида информации (k, …, m), обрабатываемой в информационной системе, применительно к каждому виду ущерба. Итоговая степень возможного ущерба устанавливается по наивысшим значениям степени возможного ущерба, определенным для конфиденциальности, целостности, доступности информации каждого вида информации применительно к каждому виду ущерба.

X max(Х ); i К,Ц, Д.
i
k
i
k  

==в) определение актуальности угрозы безопасности информации==

Решение об актуальности угрозы безопасности информации УБИj А для информационной системы с заданными структурно-функциональными характеристиками и условиями функционирования принимается в соответствии с таблицей 8.

===Таблица 8===
Вероятность (воз-
можность) реали-
зации угрозы (Yj)
Степень возможного ущерба (Хj)
Низкая Средняя Высокая
Низкая неактуальная неактуальная актуальная
Средняя неактуальная актуальная актуальная
Высокая актуальная актуальная актуальная

=Приложение № 1=
к
Методике определения угроз безопасности
информации в информационных системах
Рекомендации по формированию
экспертной группы и проведению экспертной оценки при
определении угроз безопасности информации
Качественное формирование экспертной группы способствует снижению
субъективных факторов при оценке угроз безопасности информации. Занижение
(ослабление) экспертами прогнозов и предположений при определении угроз
может повлечь наступление непрогнозируемого (неожиданного) ущерба в ре-
зультате реализации угрозы безопасности информации. Завышение экспертами
прогнозов и предположений при определении угроз может повлечь за собой не-
оправданные расходы на нейтрализацию угроз, являющихся неактуальными.
Независимо от результата формирования экспертной группы при оценке
угроз безопасности информации существуют субъективные факторы, связанные
с психологией принятия решений человеком. Это также может приводить как к
занижению (ослаблению), так и к завышению (усилению) экспертами прогнозов
и предположений при определении угроз безопасности информации, что в свою
очередь может привести к пропуску отдельных угроз безопасности информации
или к неоправданным затратам на нейтрализацию неактуальных угроз.
Любое решение, принимаемое экспертами при определении угроз безопас-
ности информации, должно исходить из правил, при которых нарушитель нахо-
дится в наилучших условиях для реализации угрозы безопасности (принципа
«гарантированности»).
а) формирование экспертной группы
В состав экспертной группы для определения угроз безопасности инфор-
мации рекомендуется включать экспертов (независимо от того, реализуются ли
функции обладателя информации, заказчика и оператора в рамках одной или не-
скольких организаций):
от подразделений обладателей информации, содержащейся в информаци-
онной системе;
от подразделений оператора информационной системы;
от подразделения по защите информации;
от лиц, предоставляющих услуги по обработке информации;
от разработчика информационной системы;
от операторов взаимодействующих внешних информационных систем (по
согласованию).
В качестве экспертов рекомендуется привлекать специалистов, деятель-
ность которых связана с обработкой информации в информационной системе, а
33
также специалистов, имеющие квалификацию и опыт работы в области приме-
нения информационных технологий и (или) в области защиты информации.
При привлечении в качестве экспертов специалистов от подразделений по
защите информации рекомендуется привлекать лиц, имеющих высшее образова-
ние или прошедших переподготовку (повышение квалификации) по направле-
нию подготовки «Информационная безопасность», или имеющих не менее трех
лет стажа практической работы в своей сфере деятельности.
Эксперты должны обладать независимостью, основанной на отсутствии
коммерческого и финансового интереса или другого давления, которое может
оказать влияние на принимаемые решения. Не рекомендуется формировать экс-
пертную группу из участников, находящихся в прямом подчинении, так как это
может негативным образом повлиять на результат определения угроз безопасно-
сти информации.
Состав экспертной группы зависит от целей и задач информационной си-
стемы, но не должен быть меньше трех экспертов.
б) проведение экспертной оценки
При проведении экспертной оценки принимаются меры, направленные на
снижение уровня субъективности и неопределенности при определении каждой
из угроз безопасности информации.
Экспертную оценку рекомендуется проводить в отношении, как минимум,
следующих параметров:
цели реализации угроз безопасности информации (мотивация нарушите-
лей);
типы и виды нарушителей;
уязвимости, которые могут быть использованы для реализации угроз без-
опасности информации;
способы реализации угроз безопасности информации;
степень воздействия угрозы безопасности информации на каждое из
свойств безопасности информации;
последствия от реализации угроз безопасности информации;
вероятность реализации угроз безопасности информации;
уровень защищенности информационной системы;
потенциал нарушителя, требуемый для реализации угрозы безопасности
информации (в случае отсутствия потенциала в банке данных угроз безопасно-
сти информации).
Оценку параметров рекомендуется проводить опросным методом с состав-
лением анкеты, в которой указываются вопросы и возможные варианты ответа в
единой принятой шкале измерений («низкий», «средний», «высокий» или «да»,
«нет» или иные шкалы). При этом вопросы должны быть четкими и однозначно
трактуемыми, предполагать однозначные ответы.
Опрос экспертов включает следующие этапы:
каждый эксперт проводит оценку оцениваемого параметра (рекомендуется
не мене двух раундов оценки), результаты которой заносятся в таблицу 1.1;
34
после оценки каждым из экспертов отбрасываются минимальные и макси-
мальные значения;
определяется среднее значение оцениваемого параметра в каждом раунде;
определяется итоговое среднее значение оцениваемого параметра.
Пример таблицы результатов оценки параметров
Таблица 1.1
Эксперты Значение оцениваемого
параметра (раунд 1)
Значение оцениваемого
параметра (раунд 2)
Эксперт 1
Эксперт 2
Эксперт n
Итоговое значение
35
=Приложение № 2=
к
Методике определения угроз безопасности
информации в информационных системах
Структура модели угроз безопасности информации
Модель угроз безопасности информации содержит следующие разделы:
1. Общие положения.
2. Описание информационной системы и особенностей ее функционирова-
ния.
2.1. Цель и задачи, решаемые информационной системой.
2.2. Описание структурно-функциональных характеристик информацион-
ной системы.
2.3. Описание технологии обработки информации.
3. Возможности нарушителей (модель нарушителя).
3.1. Типы и виды нарушителей.
3.2. Возможные цели и потенциал нарушителей.
3.3. Возможные способы реализации угроз безопасности информации.
4. Актуальные угрозы безопасности информации.
Приложения (при необходимости).
Раздел «Общие положения» содержит назначение и область действия до-
кумента, информацию о полном наименовании информационной системы, для
которой разработана модель угроз безопасности информации, а также информа-
цию об использованных для разработки модели угроз безопасности информации
нормативных и методических документах, национальных стандартах. В данный
раздел также включается информация об используемых данных и источниках, на
основе которых определяются угрозы безопасности информации (документация,
исходные тексты программ, опросы персонала, журналы регистрации средств
защиты, отчеты об аудите и иные источники).
Раздел «Описание информационной системы и особенностей ее функцио-
нирования» содержит общую характеристику информационной системы, описа-
ние структурно-функциональных характеристик информационной системы, опи-
сание взаимосвязей между сегментами информационной системы, описание вза-
имосвязей с другими информационными системами и информационно-
телекоммуникационными сетями, описание технологии обработки информации.
Также в данном разделе приводятся предположения, касающиеся информацион-
ной системы и особенностей ее функционирования (в частности предположения
об отсутствии неучтенных беспроводных каналов доступа или динамичность
выделения адресов узлам информационной системы, иные предположения). В
раздел включаются любые ограничения, касающиеся информационной системы
и особенностей ее функционирования.
Раздел «Возможности нарушителей (модель нарушителя)» содержит опи-
сание типов, видов, потенциала и мотивации нарушителей, от которых необхо-
димо обеспечить защиту информации в информационной системе, способов реа-
36
лизации угроз безопасности информации. В данный раздел также включаются
предположения, касающиеся нарушителей (в частности предположение об от-
сутствии у нарушителя возможности доступа к оборудованию, сделанному на
заказ и применяемому при реализации угрозы, предположение о наличии (отсут-
ствии) сговора между внешними и внутренними нарушителями или иные пред-
положения). В раздел включаются любые ограничения, касающиеся определения
нарушителей (в частности исключение администраторов информационной си-
стемы или администраторов безопасности из числа потенциальных нарушителей
или иные предположения).
Раздел «Актуальные угрозы безопасности информации» содержит описа-
ние актуальных угроз безопасности, включающее наименование угрозы безопас-
ности информации, возможности нарушителя по реализации угрозы, используе-
мые уязвимости информационной системы, описание способов реализации угро-
зы безопасности информации, объекты воздействия, возможные результат и по-
следствия от реализации угрозы безопасности информации.
37
=Приложение № 3=
к Методике определения угроз безопасности
информации в информационных системах
Определение
потенциала нарушителя, необходимого для реализации угрозы без-
опасности информации в информационной системе
Настоящее приложение применяется для определения потенциала, необхо-
димого для реализации угрозы безопасности информации, данные по которой
отсутствуют в банке данных угроз безопасности информации, и характеристики
которых определяются на основе иных источников или результатов исследова-
ний.
Приведенный подход к оценке потенциала нарушителя направлен на сни-
жение уровня субъективности и неопределенности при оценке потенциала
нарушителя, который требуется для реализации угрозы безопасности информа-
ции в информационной системе с заданными структурно-функциональными ха-
рактеристиками и особенностями функционирования.
Исходными данными для определения потенциала нарушителя являются:
данные об аппаратном, общесистемном и прикладном программном обес-
печении, применяемых информационных технологиях, особенностях функцио-
нирования информационной системы;
данные об уязвимостях в аппаратном, общесистемном и прикладном про-
граммном обеспечении, опубликованные в различных базах данных уязвимо-
стей, полученные в результате исследований (тестировании) или полученные от
уполномоченных федеральных органов исполнительной власти и организаций.
При оценке потенциала нарушителя необходимо исходить из того, что для
успешного достижения целей реализации угроз безопасности информации,
нарушителю необходимо осуществить подготовку к реализации угрозы и непо-
средственно реализацию угрозы безопасности информации. При этом не един-
ственным, но необходимым условием на этапе подготовки к реализации угрозы
безопасности информации является идентификация уязвимостей в информаци-
онной системе, а на этапе реализации угрозы безопасности информации – ис-
пользование уязвимостей информационной системы.
Таким образом, для определения потенциала нарушителя необходимо оце-
нить возможности нарушителя идентифицировать уязвимости и использовать их
в информационной системе в ходе подготовки к реализации и непосредственно в
ходе реализации угрозы безопасности информации. Для проведения указанной
оценки делается предположение о наличии уязвимостей, которые потенциально
содержатся в информационной системе и могут быть использованы для реализа-
ции угрозы безопасности информации.
Потенциальные уязвимости определяются для каждого класса и типа про-
граммного обеспечения и для каждого узла (хоста) информационной системы
исходя из условия, что для реализации угрозы безопасности информации нару-
38
шителю необходимо идентифицировать и использовать как минимум одну уяз-
вимость на каждом узле и хосте.
В качестве исходных данных для определения потенциальных уязвимостей
используются данные по составу информационной системы и особенностям ее
функционирования, а также данные об уязвимостях в этом программном обеспе-
чении, опубликованные в общедоступных источниках, полученные по результа-
там исследований и (или) полученные от уполномоченных органов и организа-
ций.
Для каждой выявленной потенциальной уязвимости проводится оценка
возможностей ее идентификации и использования в информационной системе
нарушителем, обладающим определенными возможностями и для каждого из
возможных сценариев реализации угрозы безопасности информации.
Оценка возможностей нарушителя по идентификации и использованию
уязвимости в информационной системе проводится по результатам определения
следующих показателей:
время, затрачиваемое нарушителем на идентификацию и использование
уязвимости (затрачиваемое время);
техническая компетентность нарушителя;
знание нарушителем проекта и информационной системы;
оснащенность нарушителя;
возможности нарушителя по доступу к информационной системе.
Во многих случаях указанные показатели являются зависимыми и могут в
различной степени заменять друг друга. В частности, показатели технической
компетентности или оснащенности могут заменяться показателем затрачиваемо-
го времени.
а) определение показателя «затрачиваемое время»
Показатель «затрачиваемое время» характеризует время, непрерывно за-
трачиваемое нарушителем для идентификации и использования уязвимости для
реализации угрозы безопасности информации.
Показатель «затрачиваемое время» может принимать значения «за мину-
ты», «за часы», «за дни» или «за месяцы».
Значение «за минуты» присваивается, если для реализации угрозы без-
опасности информации нарушитель затратит менее получаса на идентификацию
и использование уязвимости.
Значение «за часы» присваивается, если для реализации угрозы безопасно-
сти информации нарушитель затратит менее чем один день на идентификацию и
использование уязвимости.
Значение «за дни» присваивается, если для реализации угрозы безопасно-
сти информации нарушитель затратит менее чем один месяц на идентификацию
и использование уязвимости.
Значение «за месяцы» присваивается, если для реализации угрозы без-
опасности информации нарушитель затратит, как минимум, месяц на идентифи-
кацию и использование уязвимости.
39
б) определение показателя «техническая компетентность нарушителя»
Показатель «техническая компетентность нарушителя» характеризует, ка-
ким уровнем знаний и подготовкой в области информационных технологий и
защиты информации должен обладать нарушитель, чтобы идентифицировать и
использовать уязвимости для реализации угрозы безопасности информации.
Показатель «техническая компетентность нарушителя» может принимать
значения «специалист», «профессионал» или «непрофессионал».
Значение «профессионал» присваивается, если нарушитель имеет хоро-
шую осведомленность о мерах защиты информации, применяемых в информа-
ционной системе, об алгоритмах, аппаратных и программных средствах, исполь-
зуемых в информационной системе, а также обладает специальными знаниями о
методах и средствах выявления новых уязвимостей и способах реализации угроз
безопасности информации для информационных систем данного типа.
Значение «специалист» присваивается, если нарушитель имеет осведом-
ленность о мерах защиты информации, применяемых в информационной систе-
ме данного типа.
Значение «непрофессионал» присваивается, если нарушитель имеет сла-
бую осведомленность (по сравнению со специалистами или профессионалами) о
мерах защиты информации, применяемых в информационных системах данного
типа, и не обладает специальными знаниями по реализации угроз безопасности
информации.
в) определение показателя «знание нарушителем проекта и информа-
ционной системы»
Показатель «знание нарушителем проекта и информационной системы»
характеризует, какие сведения об информационной системе и условиях ее экс-
плуатации доступны нарушителю, чтобы идентифицировать и использовать уяз-
вимости для реализации угрозы безопасности информации.
Показатель «знание нарушителем проекта и информационной системы»
может принимать значения «отсутствие знаний», «ограниченные знания» или
«знание чувствительной информации».
Значение «отсутствие знаний» присваивается, если в результате принятия
мер по защите информации нарушителю не может стать известно о структурно-
функциональных характеристиках информационной системы, системе защиты
информации информационной системы, а также об иной информации по разра-
ботке (проектированию) и эксплуатации информационной системы, включая
сведения из конструкторской, проектной и эксплуатационной документации.
При этом может быть доступна информация о целях и задачах, решаемых ин-
формационной системой. Данный показатель также присваивается, если сведе-
ния об информационной системе отнесены к информации ограниченного досту-
па и не могут быть доступны для неограниченного круга лиц.
40
Значение «ограниченные знания» присваивается, если нарушителю наряду
с информацией о целях и задачах, решаемых информационной системой, может
стать известна только эксплуатационная документация на информационную си-
стему (в частности руководство пользователя и (или) правила эксплуатации ин-
формационной системы).
Значение «знание чувствительной информации» присваивается, если
нарушителю может стать известны конструкторская (проектная) и эксплуатаци-
онная документация на информационную систему, информация о структурно-
функциональных характеристиках информационной системы, системе защиты
информационной системы.
г) определение показателя «возможности нарушителя по доступу к
информационной системе»
Показатель «возможности нарушителя по доступу к информационной си-
стеме» характеризует, как долго по времени нарушитель должен иметь возмож-
ность доступа к информационной системе для идентификации и использования
уязвимостей для реализации угроз безопасности информации.
Показатель «возможности нарушителя по доступу к информационной си-
стеме» может принимать значения «за минуты», «за часы», «за дни» или «за ме-
сяцы».
Значение «за минуты» присваивается, если для идентификации и исполь-
зования уязвимости для реализации угрозы безопасности информации наруши-
телю требуется доступ менее получаса.
Значение «за часы» присваивается, если для идентификации и использова-
ния уязвимости для реализации угрозы безопасности информации нарушителю
требуется доступ менее одного дня.
Значение «за дни» присваивается, если для идентификации и использова-
ния уязвимости для реализации угрозы безопасности информации нарушителю
требуется доступ менее одного месяца.
Значение «за месяцы» присваивается, если для идентификации и использо-
вания уязвимости для реализации угрозы безопасности информации нарушите-
лю требуется доступ более одного месяца.
Показатель «возможности нарушителя по доступу к информационной си-
стеме» взаимосвязан с показателем «затраченное время». Идентификация и ис-
пользование уязвимости при реализации угрозы безопасности информации мо-
гут требовать продолжительного времени по доступу к информационной систе-
ме, что увеличивает возможность обнаружения уязвимости. В отдельных случа-
ях продолжительный доступ к информационной системе не требуется (методы и
средства реализации угроз безопасности разрабатываются автономно), но при
этом требуется кратковременный доступ к информационной системе.
41
д) определение показателя «оснащенность нарушителя»
Показатель «оснащенность нарушителя» характеризует, какие программ-
ные и (или) программно-технические средства требуются нарушителю для иден-
тификации и использования уязвимостей для реализации угроз безопасности
информации.
Показатель «оснащенность нарушителя» может принимать значения
«стандартное оборудование», «специализированное оборудование» или «обору-
дование, сделанное на заказ».
Значение «стандартное оборудование» присваивается, если для идентифи-
кации или использования уязвимостей при реализации угрозы безопасности ин-
формации требуются программные (программно-технические) средства, легко
доступные для нарушителя. К таким средствам, в первую очередь, относятся
программные средства непосредственно информационной системы (отладчик в
операционной системе, средства разработки и иные), программные средства, ко-
торые могут быть легко получены (программы, имеющиеся в свободном доступе
в сети Интернет) или имеются простые сценарии реализации угроз.
Значение «специализированное оборудование» присваивается, если для
идентификации или использования уязвимостей при реализации угрозы без-
опасности информации требуются программные (программно-технические)
средства, которые отсутствуют в свободном доступе, но могут быть приобрете-
ны нарушителем без значительных усилий. К таким средствам, в первую оче-
редь, относятся программные (программно-технические) средства, которые
имеются в продаже (анализаторы кода, анализаторы протоколов и иные) или
требуется разработка более сложных программ и сценариев реализации угрозы.
Оборудование может быть закуплено, либо, например, могут быть использованы
компьютеры, объединенные через сеть Интернет (бот-сети).
Значение «оборудование, сделанное на заказ» присваивается, если для
идентификации или использования уязвимостей при реализации угрозы без-
опасности информации требуются программные (программно-технические)
средства, которые недоступны широкому кругу лиц, так как требуется их специ-
альная разработка с привлечением исследовательских организаций, или распро-
странение этих средств контролируется в соответствии с законодательством. К
такому оборудованию также относится дорогостоящие средства или средства,
сведения о которых относятся к информации ограниченного доступа.
С целью вычисления потенциала нарушителя определяются числовые зна-
чения указанных показателей в соответствии с таблицей 3.1.
42
Таблица 3.1
Показатель возможностей нарушителя
Значения при
идентификации
уязвимости
Значения при
использова-
нии уязвимо-
сти
Затрачиваемое
время
< 0,5 час 0 0
< 1 день 2 3
< 1 месяц 3 5
> 1 месяц 5 8
Техническая ком-
петентность
нарушителя
Непрофессионал 0 0
Специалист 2 3
Профессионал 5 4
Знание проекта и
информационной
системы
Отсутствие знаний 0 0
Ограниченные знания 2 2
Знание чувствительной
информации 5
4
Возможность до-
ступа к информа-
ционной системе
< 0,5 час или не обна-
руживаемый доступ 0
0
< 1 день 2 4
< 1 месяц 3 6
> 1 месяц 4 9
Не возможно
Оснащенность
нарушителя
Отсутствует 0 0
Стандартное оборудо-
вание
1
2
Специализированное
оборудование 3
4
Оборудование, сделан-
ное на заказ
5
6
Для конкретной потенциальной уязвимости может возникнуть необходи-
мость определять показатели несколько раз для различных способов реализации
угроз безопасности информации (попеременно использовать разные значения
показателей компетентности в сочетании со значениями времени и оборудова-
ния). При этом следует выбирать наибольшее значение, полученное при каждом
расчете показателей.
Полученные на основе таблицы 3.1 значения характеристик потенциала
нарушителя суммируются. Полученная сумма значений характеристик соотно-
сится с диапазонами значений, приведенных в таблице 3.2, в соответствии с ко-
торой определяется потенциал нарушителя, необходимый для реализации угрозы
безопасности информации.
43
Таблица 3.2
Диапазон
значений
Потенциал
нарушителя
<10 Потенциал недостаточен для реализации
угрозы безопасности
10-17 Базовый (низкий)
18-24 Базовый повышенный (средний)
>24 Высокий
Мотивация нарушителя для реализации угроз безопасности информации
может быть базовой или повышенной. Мотивация нарушителя характеризует
уровень устремлений нарушителя к информации, содержащейся в информаци-
онной системе, или информационной системе в целом. При определении потен-
циала нарушителя необходимо исходить, как минимум, из его базовой мотива-
ции.
Потенциал нарушителя, требуемый для реализации угрозы безопасности
информации, переходит на следующий уровень (от низкого к среднего или от
среднего к высокому), если определено, что нарушитель имеет повышенную мо-
тивацию реализации угроз безопасности по отношению к информационной си-
стеме.
Мотивация нарушителя определяется как повышенная, если:
а) имеются сведения (в том числе опубликованные в общедоступных ис-
точниках) об устремлениях нарушителей к конкретной информационной системе
и (или) отдельным ее объектам защиты; например, если информация, обрабаты-
ваемая в информационной системе, является высоко ценной для нарушителя или
для нарушителя является крайне приоритетным нанести ущерб оператору ин-
формационной системы;
б) имеется информация, полученная от уполномоченных федеральных ор-
ганов исполнительной власти, о намерении нарушителя осуществить неправо-
мерные действия в отношении информационной системы и (или) информации,
содержащейся в этой информационной системе.

Методика определения угроз безопасности информации в информационных системах

2015-10-02T08:37:39Z

Hunter po: /* ОЦЕНКА ВОЗМОЖНОСТЕЙ НАРУШИТЕЛЕЙ ПО РЕАЛИЗАЦИИ УГРОЗ БЕЗОПАСНОСТИ ИНФОРМАЦИИ (РАЗРАБОТКА МОДЕЛИ НАРУШИТЕЛЯ) */

ФЕДЕРАЛЬНАЯ СЛУЖБА
ПО ТЕХНИЧЕСКОМУ И ЭКСПОРТНОМУ КОНТРОЛЮ
(ФСТЭК РОССИИ)

МЕТОДИЧЕСКИЙ ДОКУМЕНТ
МЕТОДИКА ОПРЕДЕЛЕНИЯ УГРОЗ БЕЗОПАСНОСТИ ИНФОРМАЦИИ В ИНФОРМАЦИОННЫХ СИСТЕМАХ
(ПРОЕКТ) 2015

=ОБЩИЕ ПОЛОЖЕНИЯ=

Настоящий методический документ ФСТЭК России «Методика определения угроз безопасности информации в информационных системах» (далее - Методика) разработан и утвержден в соответствии с подпунктом 4 пункта 8 Положения о Федеральной службе по техническому и экспортному контролю, утвержденного Указом Президента Российской Федерации от 16 августа 2004 г. № 1085.

Документ устанавливает единый методический подход к определению угроз безопасности информации и разработке моделей угроз безопасности информации в государственных информационных системах (далее – информационные системы), защита информации в которых обеспечивается в соответствии с Требованиями о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах, утвержденными приказом ФСТЭК России от 11 февраля 2013 г. № 17 (зарегистрирован Минюстом России 31 мая 2013 г., рег. № 28608).

По решению оператора персональных данных Методика может применяться для определения в соответствии с пунктом 1 части 2 статьи 19 Федерального закона «О персональных данных» угроз безопасности персональных данных при их обработке в информационных системах персональных данных, защита которых обеспечивается в соответствии с Составом и содержанием организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденных приказом ФСТЭК России от 18 февраля 2013 г. № 21 (зарегистрирован Минюстом России 14 мая 2013 г., рег. № 28375).

Методика не распространяется на определение угроз безопасности информации, составляющей государственную тайну.

Методика предназначена для:
*органов государственной власти, органов местного самоуправления и организаций, являющихся в соответствии с законодательством Российской Федерации обладателями информации, заказчиками и (или) операторами информационных систем;
*организаций, осуществляющих в соответствии с законодательством Российской Федерации работы по созданию (проектированию) информационных систем;
*организаций, осуществляющих в соответствии с законодательством Российской Федерации работы по защите информации в ходе создания (проектирования) и эксплуатации информационных систем;
*организаций, осуществляющих в соответствии с законодательством Российской Федерации работы по аттестации (оценке соответствия) информационных систем требованиям о защите информации.

Настоящая Методика применяется на этапах создания информационных систем для определения и оценки угроз безопасности информации и разработки моделей угроз, а также в ходе эксплуатации информационных систем при периодическом пересмотре (переоценке) угроз безопасности информации.

Методика применяется совместно с банком данных угроз безопасности информации, сформированным ФСТЭК России (ubi.fstec.ru), а также базовыми и типовыми моделями угроз безопасности информации в информационных системах различных классов и типов, разрабатываемых ФСТЭК России в соответствии с подпунктом 4 пункта 8 Положения о Федеральной службе по техническому и экспортному контролю, утвержденного Указом Президента Российской Федерации от 16 августа 2004 г. № 1085.

Методика ориентирована на определение и оценку антропогенных угроз безопасности информации, возникновение которых обусловлено объективными факторами. Вместе с тем, часть приведенных в Методике подходов может также применяться для оценки техногенных угроз в случае, если они позволяют достичь целей такой оценки. Определение угроз, связанных со стихийными бедствиями и природными явлениями осуществляется в соответствии с правилами, установленными уполномоченными федеральными органами исполнительной власти, национальными стандартами и находятся за рамками настоящей Методики.

В случае, если в соответствии с настоящей Методикой к числу актуальных угроз, отнесены угрозы, связанные с утечкой информации по техническим каналам, дальнейшая их оценка проводится в соответствии со специальными требованиями и рекомендациями по технической защите конфиденциальной информации и методиками оценки защищенности конфиденциальной информации.

В Методике используются термины и их определения, установленные
национальными стандартами в области защиты информации.

В связи с утверждением настоящего методического документа не применяется для определения угроз безопасности информации Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных (ФСТЭК России, 2008 г.).

=ПРОЦЕСС ОПРЕДЕЛЕНИЯ УГРОЗ БЕЗОПАСНОСТИ ИНФОРМАЦИИ В ИНФОРМАЦИОННОЙ СИСТЕМЕ=

Целью определения угроз безопасности информации является установление того, существует ли возможность нарушения конфиденциальности, целостности или доступности информации, содержащейся в информационной системе, и приведет ли нарушение хотя бы одного из указанных свойств безопасности информации к наступлению неприемлемых негативных последствий (ущерба) для обладателя информации или оператора, а в случае обработки персональных данных и для субъектов персональных данных.

Определение угроз безопасности информации должно носить систематический характер и осуществляться как на этапе создания информационной системы и формирования требований по ее защите, так и в ходе эксплуатации информационной системы. Систематический подход к определению угроз безопасности информации необходим для того, чтобы определить потребности в конкретных требованиях к защите информации и создать адекватную эффективную систему защиты информации в информационной системе. Меры защиты информации, принимаемые обладателем информации и оператором, должны обеспечивать эффективное и своевременное выявление и блокирование (нейтрализацию) угроз безопасности информации, в результате реализации которых возможно наступление неприемлемых негативных последствий (ущерба).

Систематический подход к определению угроз безопасности информации предусматривает реализацию непрерывного процесса, в рамках которого определяется область применения процесса определения угроз, идентифицируются источники угроз и угрозы безопасности информации, оценивается возможность реализации угроз безопасности информации и степень возможного ущерба в случае такой реализации, осуществляется мониторинг (периодический пересмотр) и переоценка угроз безопасности информации.

Оценка угроз безопасности информации проводится экспертным методом.

Рекомендации по формированию экспертной группы и проведению экспертной оценки при определении угроз безопасности информации приведены в приложении № 1 к настоящей Методике.

==а) область применения процесса определения угроз безопасности информации==

На этапах принятия решения о необходимости защиты информации в информационной системе и разработки требований к защите информации должны быть определены физические и логические границы информационной системы, в которых принимаются и контролируются меры защиты информации, за которые ответственен оператор, а также определены объекты защиты и сегменты информационной системы.

Процесс определения угроз безопасности информации должен охватывать все объекты защиты и сегменты в логических и физических границах информационной системы, в которых оператором принимаются и контролируются меры защиты информации. Процесс определения угроз безопасности информации организуется подразделением оператора, назначенным ответственным за защиту информации в информационной системе. В случае, если информационная система имеет сегменты, эксплуатируемые разными подразделениями оператора, которые могут самостоятельно принимать и контролировать меры защиты информации, должны быть определены границы ответственности этих подразделений и порядок их взаимодействия в процессе определения угроз безопасности информации.

Область применения процесса определения угроз безопасности информации отражается в модели угроз безопасности информации наряду с областью действия модели угроз, структурно-функциональными характеристиками информационной системы и особенностями ее функционирования.

==б) идентификация источников угроз и угроз безопасности информации==

В обобщенном виде угрозы безопасности информации характеризуется источниками угроз, факторами, обуславливающими возможность реализации угроз, способами (методами) реализации угроз и последствиями от реализации угроз безопасности информации.

Важным этапом в процессе определения угроз безопасности информации является идентификация лиц или событий (явлений), в результате действий (наступления, возникновения) которых возможно нарушение конфиденциальности, целостности или доступности информации, содержащейся в информационной системе, и возникновение неприемлемых негативных последствий (ущерба).

В качестве источников угроз безопасности информации могут выступать субъекты (физические лица, организации, государства) или явления (техногенные аварии, стихийные бедствия, иные природные явления).

Источники угроз безопасности информации являются определяющим фактором при определении угроз безопасности информации в информационных системах. В процессе определения угроз безопасности информации подлежат оценке те угрозы, у которых есть источники и источники имеют возможности и условия для реализации угроз безопасности информации в информационной системе с заданными структурно-функциональными характеристиками и особенностями ее функционирования.

Источники угроз безопасности информации могут быть следующих типов:
*антропогенные источники (антропогенные угрозы);
*техногенные источники (техногенные угрозы);
*стихийные источники (угрозы стихийных бедствий, иных природных явлений).

В качестве источников антропогенных угроз безопасности информации могут выступать:
*лица, осуществляющие преднамеренные действия с целью доступа к информации (воздействия на информацию), содержащейся в информационной системе, или нарушения функционирования информационной системы или обслуживающей ее инфраструктуры (преднамеренные угрозы безопасности информации);
*лица, имеющие доступ к информационной системе, не преднамеренные действия которых могут привести к нарушению безопасности информации (непреднамеренные угрозы безопасности информации).

Для информационных систем, в которых целью защиты является обеспечение целостности и доступности обрабатываемой информации, в обязательном порядке подлежат оценке техногенные угрозы, связанные с отказами или сбоями в работе технических средств или программного обеспечения. Такие угрозы могут быть обусловлены:
*низким качеством (надежностью) технических, программных или программно-технических средств;
*низким качеством (надежностью) сетей связи и (или) услуг связи;
*отсутствием или низкой эффективностью систем резервирования или дублирования программно-технических и технических средств;
*низким качеством (надежностью) инженерных систем (кондиционирования, электроснабжения, охранных систем и т.д.);
*низким качеством обслуживания со стороны обслуживающих организаций и лиц.

При определении угроз безопасности информации оценке подлежат угрозы, связанные со всеми типами источников. Однако в целях создания и эксплуатации адекватной эффективной системы защиты информации в информационной системе следует, в первую очередь, уделять внимание оценке антропогенных угроз, связанных с несанкционированными (неправомерными) действиями субъектов по нарушению безопасности (конфиденциальности, целостности, доступности) информации, в том числе целенаправленными воздействиями программными (программно-техническими) средствами на информационные системы, осуществляемые в целях нарушения (прекращения) их функционирования (компьютерные атаки).

Также при определении угроз безопасности информации наряду с угрозами, реализация которых может привести непосредственно к нарушению конфиденциальности, целостности или доступности информации (прямыми угрозами), необходимо выявлять и оценивать угрозы, создающие условия для реализации прямых угроз безопасности информации (косвенные угрозы). В качестве косвенных угроз безопасности информации могут рассматриваться угрозы повышения привилегий, исчерпания вычислительных ресурсов, недоступности обновления программного обеспечения и иные угрозы безопасности информации.

В процессе определения угроз безопасности информации на всех стадиях (этапах) жизненного цикла информационных систем необходимо регулярно проводить идентификацию источников угроз, оценивать их возможности и определять на этой основе угрозы безопасности информации. Данные о нарушителях и их возможностях по реализации угроз безопасности информации, полученные при идентификации источников угроз, включаются в модели угроз безопасности информации.

Для идентификации угроз безопасности информации в информационной системе определяются:
*возможности (тип, вид, потенциал) нарушителей, необходимые им для реализации угроз безопасности информации;
*уязвимости, которые могут использоваться при реализации угроз безопасности информации (включая специально внедренные программные закладки);
*способы (методы) реализации угроз безопасности информации;
*объекты информационной системы, на которые направлена угроза безопасности информации (объекты воздействия);
*результат и последствия от реализации угроз безопасности информации.

Каждая угроза безопасности информации в информационной системе описывается (идентифицируется) следующим образом:
УБИj = [нарушитель (источник угрозы); уязвимости; способы реализации угрозы; объекты воздействия; последствия от реализации угрозы].

==в) оценка вероятности (возможности) реализации угроз безопасности информации и степени возможного ущерба==
Идентифицированная угроза безопасности информации подлежит нейтрализации (блокированию), если она является актуальной (УБИj А ) для информационной системы, то есть в информационной системе с заданными структурно функциональными характеристиками и особенностями функционирования существует вероятность (возможность) реализации рассматриваемой угрозы нарушителем с соответствующим потенциалом и ее реализация приведет к неприемлемым негативным последствиям (ущербу):
УБИj А = [вероятность (возможность) реализации угрозы (Рj); степень ущерба (Хj)].

Актуальные угрозы безопасности информации включаются в модель угроз безопасности информации. Модель угроз безопасности информации, учитывая особенности информационной системы, используемые в ней программные, программно-технические, технические средства и процессы обработки информации, дает описание угроз безопасности, которым подвержена информационная система. Структура модели угроз безопасности информации приведена в приложении № 2 к настоящей Методике.

==г) мониторинг и переоценка угроз безопасности информации==

Определение угроз безопасности информации на этапе создания информационной системы позволяет обеспечить формирование требований и внедрение эффективной адекватной системы защиты информации в информационной системе для угроз, актуальных к моменту ввода в эксплуатацию информационной системы.

В ходе эксплуатации информационной системы оператор, обеспечивая достижение целей и задач информационной системы, может изменять ее базовую конфигурацию, что приводит к изменению структурно-функциональных характеристик информационной системы и применяемых информационных технологий. Также в процессе эксплуатации возможно изменение состава и значимости обрабатываемой информации и особенностей функционирования информационной системы.

В этих условиях процесс определения угроз безопасности информации должен носить систематический характер. В ходе эксплуатации информационной системы регулярно проводится анализ изменения угроз безопасности информации, а актуальные угрозы безопасности информации подлежат периодической переоценке. Периодичность переоценки определяется организацией исходя из особенностей функционирования информационной системы. Рекомендуется пересматривать угрозы безопасности информации не реже одного раза в год. По результатам анализа проводится уточнение (при необходимости) модели угроз
безопасности информации.

Пересмотр (переоценка) угроз безопасности информации, как минимум, осуществляется в случаях:
*изменения требований законодательства Российской Федерации о защите информации, нормативных правовых актов и методических документов, регламентирующих защиту информации;
*изменения конфигурации (состава основных компонентов) и особенностей функционирования информационной системы, следствием которых стало возникновение новых угроз безопасности информации;
*выявления уязвимостей, приводящих к возникновению новых угроз безопасности информации или к повышению возможности реализации существующих;
*появления сведений и фактов о новых возможностях нарушителей.

= ОЦЕНКА ВОЗМОЖНОСТЕЙ НАРУШИТЕЛЕЙ ПО РЕАЛИЗАЦИИ УГРОЗ БЕЗОПАСНОСТИ ИНФОРМАЦИИ (РАЗРАБОТКА МОДЕЛИ НАРУШИТЕЛЯ) =

Целью оценки возможностей нарушителей по реализации угроз безопасности информации является формирование предположения о типах, видах нарушителей, которые могут реализовать угрозы безопасности информации в информационной системе с заданными структурно-функциональными характеристиками и особенностями функционирования, а также потенциале этих нарушителей и возможных способах реализации угроз безопасности информации.

Результаты оценки возможностей нарушителей включаются в модель нарушителя, которая является составной частью (разделом) модели угроз безопасности информации и содержит:
*типы, виды и потенциал нарушителей, которые могут обеспечить реализацию угроз безопасности информации;
*цели, которые могут преследовать нарушители каждого вида при реализации угроз безопасности информации;
*возможные способы реализации угроз безопасности информации.
==а) типы нарушителей==
Типы нарушителей определяются по результатам анализа прав доступа субъектов к информации и (или) к компонентам информационной системы, а также анализа возможностей нарушителей по доступу к компонентам информационной системы исходя из структурно-функциональных характеристик и особенностей функционирования информационной системы.

В зависимости от имеющихся прав доступа нарушители могут иметь легитимный физический (непосредственный) и (или) логический доступ к компонентам информационной системы и (или) содержащейся в них информации или не иметь такого доступа.

Анализ прав доступа проводится, как минимум, в отношении следующих компонент информационной системы:
*устройств ввода/вывода (отображения) информации;
*беспроводных устройств;
*программных, программно-технических и технических средств обработки информации;
*съемных машинных носителей информации;
*машинных носителей информации, выведенных из эксплуатации;
*активного (коммутационного) и пассивного оборудования каналов связи;
*каналов связи, выходящих за пределы контролируемой зоны.

С учетом наличия прав доступа и возможностей по доступу к информации и (или) к компонентам информационной системы нарушители подразделяются на два типа:
* внешние нарушители (тип I) – лица, не имеющие права доступа к информационной системе, ее отдельным компонентам и реализующие угрозы безопасности информации из-за границ информационной системы;
* внутренние нарушители (тип II) – лица, имеющие право постоянного или разового доступа к информационной системе, ее отдельным компонентам.

Наибольшими возможностями по реализации угроз безопасности обладают внутренние нарушители. При оценке возможностей внутренних нарушителей необходимо учитывать принимаемые оператором организационные меры по допуску субъектов к работе в информационной системе. Возможности внутреннего нарушителя существенным образом зависят от установленного порядка допуска физических лиц к информационной системе и ее компонентам, а также мер по контролю за доступом и работой этих лиц.

Внешнего нарушителя необходимо рассматривать в качестве актуального во всех случаях, когда имеются подключения информационной системы к внешним информационно-телекоммуникационным сетям и (или) имеются линии связи, выходящие за пределы контролируемой зоны, используемые для иных подключений.

==б) виды и потенциал нарушителей==

Угрозы безопасности информации в информационной системе могут быть реализованы следующими видами нарушителей:
*специальные службы иностранных государств (блоков государств);
*террористические, экстремистские группировки;
*преступные группы (криминальные структуры);
*внешние субъекты (физические лица);
*конкурирующие организации;
*разработчики, производители, поставщики программных, технических и программно-технических средств;
*лица, привлекаемые для установки, наладки, монтажа, пусконаладочных и иных видов работ;
*лица, обеспечивающие функционирование информационных систем или обслуживающие инфраструктуру оператора (администрация, охрана, уборщики и т.д.);
*пользователи информационной системы;
*администраторы информационной системы и администраторы безопасности;
*бывшие работники (пользователи).

Виды нарушителей, характерных для информационной системы с заданными структурно-функциональными характеристиками и особенностями функционирования, определяются на основе предположений (прогноза) о возможных целях (мотивации) при реализации угроз безопасности информации этими нарушителями.

В качестве возможных целей (мотивации) реализации нарушителями угроз безопасности информации в информационной системе могут быть:
* нанесение ущерба государству, отдельным его сферам деятельности или секторам экономики;
* реализация угроз безопасности информации по идеологическим или политическим мотивам;
* организация террористического акта;
* причинение имущественного ущерба путем мошенничества или иным преступным путем;
* дискредитация или дестабилизация деятельности органов государственной власти, организаций;
* получение конкурентных преимуществ;
* внедрение дополнительных функциональных возможностей в программное обеспечение или программно-технические средства на этапе разработки;
* любопытство или желание самореализации;
* выявление уязвимостей с целью их дальнейшей продажи и получения финансовой выгоды;
* реализация угроз безопасности информации из мести;
* реализация угроз безопасности информации непреднамеренно из-за неосторожности или неквалифицированных действий.

Предположения о целях (мотивации) нарушителей делаются с учетом целей и задач информационной системы, вида обрабатываемой информации, а также с учетом результатов оценки степени возможных последствий (ущерба) от нарушения конфиденциальности, целостности или доступности информации.

Виды нарушителя и их возможные цели (мотивация) реализации угроз безопасности информации приведены в таблице 1.

Таблица 1
№
вида
Виды
нарушителя
Типы
нарушителя
Возможные цели (мотивация)
реализации угроз безопасности
информации
1 Специальные службы
иностранных государств
(блоков государств)
Внешний,
внутренний
Нанесение ущерба государству,
отдельным его сферам деятель-
ности или секторам экономики.
Дискредитация или дестабили-
зация деятельности органов
государственной власти, орга-
низаций
2 Террористические, экс-
тремистские группиров-
ки
Внешний Нанесение ущерба государству,
отдельным его сферам деятель-
ности или секторам экономики.
Совершение террористических
актов.
Идеологические или политиче-
ские мотивы.
Дестабилизация деятельности
органов государственной вла-
13
сти, организаций
3 Преступные группы
(криминальные структу-
ры)
Внешний Причинение имущественного
ущерба путем мошенничества
или иным преступным путем.
Выявление уязвимостей с це-
лью их дальнейшей продажи и
получения финансовой выгоды
4 Внешние субъекты (фи-
зические лица)
Внешний Идеологические или политиче-
ские мотивы.
Причинение имущественного
ущерба путем мошенничества
или иным преступным путем.
Любопытство или желание са-
мореализации (подтверждение
статуса).
Выявление уязвимостей с це-
лью их дальнейшей продажи и
получения финансовой выгоды
5 Конкурирующие орга-
низации
Внешний Получение конкурентных пре-
имуществ.
Причинение имущественного
ущерба путем обмана или зло-
употребления доверием
6 Разработчики, произво-
дители, поставщики про-
граммных, технических и
программно-технических
средств
Внешний Внедрение дополнительных
функциональных возможностей
в программное обеспечение или
программно-технические сред-
ства на этапе разработки.
Причинение имущественного
ущерба путем обмана или зло-
употребления доверием.
Непреднамеренные, неосто-
рожные или неквалифициро-
ванные действия
7 Лица, привлекаемые для
установки, наладки, мон-
тажа, пусконаладочных и
иных видов работ
Внутренний Причинение имущественного
ущерба путем обмана или зло-
употребления доверием.
Непреднамеренные, неосто-
рожные или неквалифициро-
ванные действия
8 Лица, обеспечивающие
функционирование ин-
формационных систем
или обслуживающие ин-
фраструктуру оператора
Внутренний Причинение имущественного
ущерба путем обмана или зло-
употребления доверием.
Непреднамеренные, неосто-
рожные или неквалифициро-
14
(администрация, охрана,
уборщики и т.д.)
ванные действия
9 Пользователи информа-
ционной системы
Внутренний Причинение имущественного
ущерба путем мошенничества
или иным преступным путем.
Любопытство или желание са-
мореализации (подтверждение
статуса).
Месть за ранее совершенные
действия.
Непреднамеренные, неосто-
рожные или неквалифициро-
ванные действия
10 Администраторы ин-
формационной системы
и администраторы без-
опасности
Внутренний Причинение имущественного
ущерба путем мошенничества
или иным преступным путем.
Любопытство или желание са-
мореализации (подтверждение
статуса).
Месть за ранее совершенные
действия.
Выявление уязвимостей с це-
лью их дальнейшей продажи и
получения финансовой выгоды.
Непреднамеренные, неосто-
рожные или неквалифициро-
ванные действия
11 Бывшие работники
(пользователи)
Внешний Причинение имущественного
ущерба путем мошенничества
или иным преступным путем.
Месть за ранее совершенные
действия

При оценке возможностей нарушителей необходимо исходить из условий, что для повышения своих возможностей нарушители 1 вида могут вступать в сговор с нарушителями 3, 4, 6, 7, 8, 9 и 10 видов. Нарушители 2 вида могут вступать в сговор с нарушителями 4, 7, 8, 9 и 10 видов. Нарушители 3 вида могут вступать в сговор с нарушителями 4, 7, 8, 9 и 10 видов. В случае принятия таких предположений цели (мотивация) и возможности нарушителей подлежат объединению.

Возможности каждого вида нарушителя по реализации угроз безопасности информации характеризуются его потенциалом. Потенциал нарушителя определяется компетентностью, ресурсами и мотивацией, требуемыми для реализации угроз безопасности информации в информационной системе с заданными структурно-функциональными характеристиками и особенностями функционирования.

В зависимости от потенциала, требуемого для реализации угроз безопасности информации, нарушители подразделяются на:
*нарушителей, обладающих базовым (низким) потенциалом нападения при реализации угроз безопасности информации в информационной системе;
*нарушителей, обладающих базовым повышенным (средним) потенциалом нападения при реализации угроз безопасности информации в информационной системе;
*нарушителей, обладающих высоким потенциалом нападения при реализации угроз безопасности информации в информационной системе.

Потенциал нарушителей и их возможности приведены в таблице 2.

Таблица 2
№ Потенциал
нарушителей
Виды
нарушителей
Возможности по реализации угроз без-
опасности информации
1 Нарушители с
базовым (низ-
ким) потенци-
алом
Внешние субъ-
екты (физические
лица),
лица, обеспечи-
вающие функци-
онирование ин-
формационных
систем или об-
служивающих
инфраструктуру
оператора,
пользователи
информационной
системы,
бывшие работ-
ники,
лица, привлека-
емые для уста-
новки, наладки,
монтажа, пуско-
наладочных и
иных работ
Имеют возможность получить инфор-
мацию об уязвимостях отдельных ком-
понент информационной системы,
опубликованную в общедоступных ис-
точниках.
Имеют возможность получить инфор-
мацию о методах и средствах реализа-
ции угроз безопасности информации
(компьютерных атак), опубликованных
в общедоступных источниках, и (или)
самостоятельно осуществляет создание
методов и средств реализации атак и
реализацию атак на информационную
систему
2 Нарушители с
базовым по-
вышенным
(средним) по-
тенциалом
Террористиче-
ские, экстремист-
ские группиров-
ки,
преступные
группы (крими-
нальные структу-
Обладают всеми возможностями
нарушителей с базовым потенциалом.
Имеют осведомленность о мерах за-
щиты информации, применяемых в ин-
формационной системе данного типа.
Имеют возможность получить инфор-
мацию об уязвимостях отдельных ком-
16
ры),
конкурирующие
организации,
разработчики,
производители,
поставщики про-
граммных, техни-
ческих и про-
граммно-
технических
средств,
администраторы
информационной
системы и адми-
нистраторы без-
опасности
понент информационной системы пу-
тем проведения, с использованием
имеющихся в свободном доступе про-
граммных средств, анализа кода при-
кладного программного обеспечения и
отдельных программных компонент
общесистемного программного обеспе-
чения.
Имеют доступ к сведениям о струк-
турно-функциональных характеристи-
ках и особенностях функционирования
информационной системы
3 Нарушители с
высоким по-
тенциалом
Специальные
службы ино-
странных госу-
дарств (блоков
государств)
Обладают всеми возможностями
нарушителей с базовым и базовым по-
вышенным потенциалами.
Имеют возможность осуществлять не-
санкционированный доступ из выде-
ленных (ведомственных, корпоратив-
ных) сетей связи, к которым возможен
физический доступ (незащищенных ор-
ганизационными мерами).
Имеют возможность получить доступ
к программному обеспечению чипсетов
(микропрограммам), системному и при-
кладному программному обеспечению,
телекоммуникационному оборудова-
нию и другим программно-техническим
средствам информационной системы
для преднамеренного внесения в них
уязвимостей или программных закла-
док.
Имеют хорошую осведомленность о
мерах защиты информации, применяе-
мых в информационной системе, об ал-
горитмах, аппаратных и программных
средствах, используемых в информаци-
онной системе.
Имеют возможность получить инфор-
мацию об уязвимостях путем проведе-
ния специальных исследований (в том
числе с привлечением специализиро-
17
ванных научных организаций) и приме-
нения специально разработанных
средств для анализа программного
обеспечения.
Имеют возможность создания методов
и средств реализации угроз безопасно-
сти информации с привлечением специ-
ализированных научных организаций и
реализации угроз с применением специ-
ально разработанных средств, в том
числе обеспечивающих скрытное про-
никновение в информационную систе-
му и воздействие на нее.
Имеют возможность создания и при-
менения специальных технических
средств для добывания информации
(воздействия на информацию или тех-
нические средства), распространяю-
щейся в виде физических полей или яв-
лений

==в) возможные способы реализации угроз безопасности информации==

Целью определения возможных способов реализации угроз безопасности информации является формирование предположений о возможных сценариях реализации угроз безопасности информации, описывающих последовательность (алгоритмы) действий отдельных видов нарушителей или групп нарушителей и применяемые ими методы и средства для реализации угроз безопасности информации.

Возможные способы реализации угроз безопасности информации зависят от структурно-функциональных характеристик и особенностей функционирования информационной системы.

Угрозы безопасности информации могут быть реализованы нарушителями за счет:
*несанкционированного доступа и (или) воздействия на объекты на аппаратном уровне (программы (микропрограммы), «прошитые» в аппаратных компонентах (чипсетах));
*несанкционированного доступа и (или) воздействия на объекты на общесистемном уровне (базовые системы ввода-вывода, гипервизоры, операционные системы);
*несанкционированного доступа и (или) воздействия на объекты на прикладном уровне (системы управления базами данных, браузеры, web-приложения, иные прикладные программы общего и специального назначения);
*несанкционированного доступа и (или) воздействия на объекты на сетевом уровне (сетевое оборудование, сетевые приложения, сервисы);
*несанкционированного физического доступа и (или) воздействия на линии, (каналы) связи, технические средства, машинные носители информации;
*воздействия на пользователей, администраторов безопасности, администраторов информационной системы или обслуживающий персонал (социальная инженерия).

Действия нарушителя в зависимости от его потенциала при реализации угроз безопасности информации предусматривают идентификацию и использование уязвимостей в микропрограммном, общесистемном и прикладном программном обеспечении, сетевом оборудовании, применяемых в информационной системе, а также в организации работ по защите информации и конфигурации информационной системы.

При определении способа реализации угроз безопасности информации необходимо учитывать то, что угрозы безопасности информации могут быть реализованы непосредственно за счет доступа к компонентам информационной системы и (или) информации или опосредовано (косвенно) за счет создания условий и (или) средств, обеспечивающих такой доступ, а также за счет доступа или воздействия на обслуживающую инфраструктуру, за которую оператор не отвечает. При этом локальной целью нарушителя, не имеющего доступа (прав доступа) к компонентам информационной системы и (или) информации, как правило,
является получение доступа к информационной системе (в том числе через внешние сети связи общего пользования) и получение максимально возможных прав и привилегий при таком доступе.

Нарушители могут совершать действия, следствием которых является нарушение безопасности информации, преднамеренно (преднамеренные грозы безопасности информации) или случайно (непреднамеренные грозы безопасности информации).

Преднамеренные действия нарушителей могут заключаться в реализации целенаправленных или нецеленаправленных угроз безопасности информации.

Целенаправленная угроза безопасности информации направлена на интересующую нарушителя информационную систему с заранее известными ему структурно-функциональными характеристиками и особенностями функционирования. Целенаправленная угроза безопасности информации адаптирована к структурно-функциональным характеристикам информационной системы. При подготовке и реализации целенаправленных угроз безопасности информации нарушитель может использовать методы социальной инженерии, которые позволяют ему изучить поведение пользователей и их реакцию на поступающие к ним внешние данные.

Нецеленаправленная («веерная») угроза безопасности информации не ориентирована на конкретную информационную систему. Целями такой угрозы могут являться несанкционированный доступ, перехват управления или воздействие на как можно большее количество информационных систем. В данном случае нарушителю заранее не известны структурно-функциональные характеристики и условия функционирования информационной системы.

Реализация преднамеренных угроз безопасности информации, как правило, включает:
*сбор информации об информационной системе, ее структурно-функциональных характеристиках, условиях функционирования;
*выбор (разработка, приобретение) методов и средств, используемых для реализации угроз безопасности информации в информационной системе с заданными структурно-функциональными характеристиками и условиями функционирования;
*непосредственная реализация угроз безопасности информации в информационной системе (проникновение в информационную систему, закрепление в информационной системе, реализация неправомерных действий);
*устранение признаков и следов неправомерных действий в информационной системе.

В зависимости от целей и потенциала нарушителя на каждом из этапов могут эксплуатироваться одна или несколько уязвимостей информационной системы.

При определении возможных способов реализации угроз безопасности информации необходимо исходить из следующих условий:
*нарушитель может действовать один или в составе группы нарушителей;
*в отношении информационной системы внешний нарушитель может действовать совместно с внутренним нарушителем;
*угрозы могут быть реализованы в любое время и в любой точке информационной системы (на любом узле или хосте);
*для достижения своей цели нарушитель выбирает наиболее слабое звено информационной системы.

Возможные способы реализации угроз безопасности информации, определенные на основе настоящего раздела, включаются в модель угроз безопасности информации.

= ОПРЕДЕЛЕНИЕ АКТУАЛЬНЫХ УГРОЗ БЕЗОПАСНОСТИ ИНФОРМАЦИИ В ИНФОРМАЦИОННОЙ СИСТЕМЕ =
Угроза безопасности информации является актуальной (УБИj
А
), если для
информационной системы с заданными структурно-функциональными характе-
ристиками и особенностями функционирования существует вероятность реали-
зации рассматриваемой угрозы нарушителем с соответствующим потенциалом и
ее реализация приведет к неприемлемым негативным последствиям (ущербу) от
нарушения конфиденциальности, целостности или доступности информации.
В качестве показателя актуальности угрозы безопасности информации
(УБИj
А
) принимается двухкомпонентный вектор, первый компонент которого
характеризует вероятность реализации угрозы (Рj), а второй – степень возможно-
го ущерба в случае ее реализации (Хj)
УБИj
А
= [вероятность реализации угрозы (Рj); степень ущерба (Хj)],
где Рj определятся на основе анализа статистических данных о частоте ре-
ализации угроз безопасности информации (возникновении инцидентов безопас-
ности) в информационной системе и (или) однотипных информационных систе-
мах, а Хj определяется на основе оценок степени последствий от нарушения
конфиденциальности, целостности или доступности информации.
При отсутствии статистических данных о реализации угроз безопасности
информации (возникновении инцидентов безопасности) в информационной си-
стеме и (или) однотипных информационных системах, актуальность угрозы без-
опасности информации определяется на основе оценки возможности реализации
угрозы безопасности информации (Yj)
УБИj
А
= [возможность реализации угрозы (Yj); степень ущерба (Хj)],
где Yj определятся на основе оценки уровня защищенности информацион-
ной системы и потенциала нарушителя, требуемого для реализации угрозы без-
опасности. Хj также определяется на основе оценок степени последствий от
нарушения конфиденциальности, целостности или доступности информации.
Актуальность угроз безопасности информации определяется в отношении
угроз, для которых экспертным методом определено, что:
возможности (потенциал) нарушителя достаточны для реализации угрозы
безопасности информации;
в информационной системе могут иметься потенциальные уязвимости, ко-
торые могут быть использованы при реализации j-ой угрозы безопасности ин-
формации;
структурно-функциональные характеристики и особенности функциони-
рования информационной системы не исключают возможности применения спо-
собов, необходимых для реализации j-ой угрозы безопасности информации (су-
ществует сценарий реализации угрозы безопасности);
21
реализация угрозы безопасности информации приведет к нарушению кон-
фиденциальности, целостности или доступности информации, в результате ко-
торого возможно возникновение неприемлемых негативных последствий (ущер-
ба).
В качестве исходных данных об угрозах безопасности информации и их
характеристиках используется банк данных угроз безопасности информации,
сформированный и поддерживаемый ФСТЭК России, а также базовые и типовые
модели угроз безопасности информации, разрабатываемые ФСТЭК России для
различных классов и типов информационных систем.
Для определения угроз безопасности информации могут использоваться
иные источники, в том числе опубликованные в общедоступных источниках
данные об уязвимостях, компьютерных атаках, вредоносном программном
обеспечении, а также результаты специально проведенных исследований по вы-
явлению угроз безопасности информации. В этом случае потенциал нарушителя,
возможные уязвимости, способы реализации угрозы безопасности информации и
последствия от ее реализации определяются для каждой угрозы безопасности
информации.
а) оценка вероятности (возможности) реализации угрозы безопасности
информации
Под вероятностью реализации угрозы безопасности информации понима-
ется определяемый экспертным путем показатель, характеризующий, насколько
вероятным является реализация j-ой угрозы безопасности информации в инфор-
мационной системе с заданными структурно-функциональными характеристи-
ками и особенностями функционирования. Вводятся три вербальные градации
этого показателя:
низкая вероятность – отсутствуют объективные предпосылки к реализации
j-ой угрозы безопасности информации, отсутствует требуемая статистика по
фактам реализации j-ой угрозы безопасности информации (возникновения инци-
дентов безопасности), отсутствует мотивация для реализации j-ой угрозы, воз-
можная частота реализации j-ой угрозы не превышает 1 раза в 5 лет;
средняя вероятность – существуют предпосылки к реализации j-ой угрозы
безопасности информации, зафиксированы случаи реализации j-ой угрозы без-
опасности информации (возникновения инцидентов безопасности) или имеется
иная информация, указывающая на возможность реализации j-ой угрозы без-
опасности информации, существуют признаки наличия у нарушителя мотивации
для реализации такой угрозы, возможная частота реализации j-ой угрозы не пре-
вышает 1 раза в год;
высокая вероятность – существуют объективные предпосылки к реализа-
ции j-ой угрозы безопасности информации, существует достоверная статистика
реализации j-ой угрозы безопасности информации (возникновения инцидентов
безопасности) или имеется иная информация, указывающая на высокую возмож-
ность реализации j-ой угрозы безопасности информации, у нарушителя имеются
22
мотивы для реализации j-ой угрозы, частота реализации j-ой угрозы – чаще 1 ра-
за в год.
В случае отсутствия требуемых данных для оценки вероятности реализа-
ции угрозы безопасности информации или наличия сомнений в объективности
экспертных оценок при определении вербальных градаций вероятности реализа-
ции угроз безопасности информации, актуальность j-ой угрозы безопасности
информации определяется на основе оценки возможности ее реализации (Yj).
Возможность реализации j-ой угрозы безопасности информации (Yj) оце-
нивается исходя из уровня защищенности информационной системы (Y1) и по-
тенциала нарушителя (Y2), необходимого для реализации этой угрозы безопас-
ности информации в информационной системе с заданными структурно-
функциональными характеристиками и особенностями функционирования:
Yj = [уровень защищенности (Y1); потенциал нарушителя (Y2)].
При определении угроз безопасности информации на этапе создания ин-
формационной системы в случае, когда меры защиты информации не реализова-
ны или не проведена оценка их достаточности и эффективности, оценка возмож-
ности реализации j-ой угрозы безопасности информации (Yj) проводится относи-
тельно уровня проектной защищенности информационной системы (Y1П):
Yj = [уровень проектной защищенности (Y1П); потенциал нарушителя (Y2)].
Под уровнем проектной защищенности (Y1П) понимается исходная защи-
щенность информационной системы, обусловленная заданными при проектиро-
вании структурно-функциональными характеристиками и условиями ее функци-
онирования. Уровень проектной защищенности (Y1П) определяется на основе
анализа проектных структурно-функциональных характеристик, приведенных в
таблице 3.
Показатели, характеризующие проектную
защищенность информационной системы
Таблица 3
Структурно-функциональные характе-
ристики информационной системы,
условия ее эксплуатации
Уровень проектной защищенности ин-
формационной системы (Y1П)
Высокий Средний Низкий
1. По структуре информационной си-
стемы:
автономное автоматизированное рабо-
чее место;
локальная информационная система;
распределенная информационная си-
стема
+
+
+
2. По используемым информационным
технологиям:
23
системы на основе виртуализации;
системы, реализующие «облачные
вычисления»;
системы с мобильными устройства-
ми;
системы с технологиями беспровод-
ного доступа;
грид
-системы;
суперкомпьютерные системы
+
+++++
3
. По архитектуре информационной
системы
:
системы на основе «тонкого клиен-
та»;
системы на основе одноранговой
се-
ти
;
файл
-серверные системы
;
центры обработки данных;
системы с уд
аленным доступом
пользователей;
использование разных типов опера-
ционных систем (гетерогенность сре-
ды)
;
использование прикладных про-
грамм, независимых от операционных
систем
;
использование выделенных каналов
связи
+
++++
+++
4
. По наличию (отсутствию) взаимо-
связей с иными информационными си-
стемами
:
взаимодействующая с системами
;
невзаимодействующая с системами
+
+
5
. По наличию (отсутствию) взаимо-
связей (подключений)
к сетям связи
общего пользования
:
подключенная
;
подключенная через выделенную
инфраструктуру (gov
.ru или иную);
неподключенной
+
+
+
6
. По размещению технических
средств:
расположенные в пределах одной
контролируемой зоны;
расположенные в пределах несколь-
ких контролируемых зон;
+
+
24
расположенные вне контролируемой
зоны
+
7. По режимам обработки информации
в информационной системе:
многопользовательский;
однопользовательский +
+
8. По режимам разграничения прав до-
ступа:
без разграничения;
с разграничением +
+
9. По режимам разделения функций по
управлению информационной системой:
без разделения;
выделение рабочих мест для адми-
нистрирования в отдельный домен;
использование различных сетевых
адресов;
использование выделенных каналов
для администрирования
+
+
+
+
10. По подходам к сегментированию
информационной системы:
без сегментирования;
с сегментированием +
+
В ходе создания информационной системы уровень ее проектной защи-
щенности (Y1П) определяется следующим образом:
а) информационная система имеет высокий уровень проектной защищен-
ности (Y1П), если не менее 80% характеристик информационной системы соот-
ветствуют уровню «высокий» (суммируются положительные решения по второ-
му столбцу, соответствующему высокому уровню защищенности), а остальные -
среднему уровню защищенности (положительные решения по третьему столб-
цу);
б) информационная система имеет средний уровень проектной защищен-
ности (Y1П), если не выполняются условия по пункту а) и не менее 90% характе-
ристик информационной системы соответствуют уровню не ниже «средний»
(берется отношение суммы положительных решений по третьему столбцу, соот-
ветствующему среднему уровню защищенности, к общему количеству решений),
а остальные - низкому уровню защищенности;
в) информационная система имеет низкий уровень проектной защищенно-
сти (Y1П), если не выполняются условия по пунктам а) и б).
В соответствии с требованиями о защите информации, не составляющей
государственную тайну, содержащейся в государственных информационных си-
стемах, до ввода в эксплуатацию информационной системы должны быть реали-
зованы меры защиты информации, направленные на блокирование (нейтрализа-
25
цию) актуальных угроз безопасности информации. Таким образом, ввод в экс-
плуатацию информационной системы осуществляется при условии достижения
высокого уровня исходной защищенности информационной системы от нару-
шителя с заданным потенциалом.
Вместе с тем, в ходе эксплуатации информационной системы возможно
появление новых уязвимостей, повышение потенциала нарушителя, изменение
структурно-функциональных характеристик, значимости обрабатываемой ин-
формации, особенностей функционирования информационной системы и других
условий, приводящих к возникновению новых угроз безопасности информации,
которые могут существенно снизить уровень проектной защищенности инфор-
мационной системы. В этом случае для поддержания уровня защищенности ин-
формационной системы в ходе эксплуатации должен проводиться регулярный
анализ изменения угроз безопасности информации, а актуальные угрозы без-
опасности информации подлежат периодической переоценке.
В ходе эксплуатации информационной системы уровень ее защищенности
(Y1) определяется следующим образом:
а) в информационной системе обеспечивается высокий уровень защищен-
ности (Y1), если в ходе эксплуатации информационной системы не появились
дополнительные угрозы безопасности информации или в отношении появив-
шихся дополнительных угроз безопасности информации с высокой оперативно-
стью («за минуты») могут быть приняты меры защиты информации, нейтрали-
зующие эти угрозы;
б) в информационной системе обеспечивается средний уровень защищен-
ности (Y1), если в ходе эксплуатации информационной системы появились до-
полнительные угрозы безопасности информации и в отношении них оперативно
(«за часы») могут быть приняты меры защиты информации, нейтрализующие эти
угрозы;
в) в информационной системе обеспечивается низкий уровень защищен-
ности (Y1), если в ходе эксплуатации информационной системы появились до-
полнительные угрозы безопасности информации и в отношении них не могут
быть с высокой оперативностью или оперативно приняты меры защиты инфор-
мации, нейтрализующие эти угрозы.
Потенциал, требуемый нарушителю для реализации j-ой угрозы безопас-
ности информации, может быть базовым (низким), базовым повышенным (сред-
ним) или высоким. Значение потенциала нарушителя (Y2) для j-ой угрозы без-
опасности информации определяется на основе данных, приведенных в банке
данных угроз безопасности информации ФСТЭК России, а также в базовых и
типовых моделях угроз безопасности информации, разрабатываемых ФСТЭК
России для информационных систем различных классов и типов. В случае отсут-
ствия информации о потенциале нарушителя для реализации j-ой угрозы без-
опасности значение потенциала (Y2) определяется в соответствии с приложением
№ 3 к настоящей Методике.
Возможность реализации j-ой угрозы безопасности информации (Yj) в за-
висимости от уровня защищенности информационной системы (Y1/Y1П) и потен-
26
циала нарушителя (Y2) определяется как высокая, средняя или низкая в соответ-
ствии с таблицей 4.
Возможность
реализации угрозы безопасности информации
Таблица 4
Уровень защищенности (Y1/Y1П)
Потенциал нарушителя (Y2)
Высокий Средний Низкий
Базовый (низкий) Низкая Средняя Высокая
Базовый повышенный (средний) Средняя Высокая Высокая
Высокий Высокая Высокая Высокая
б) оценка степени возможного ущерба от реализации угрозы безопас-
ности информации
Для оценки степени возможного ущерба от реализации угрозы безопасно-
сти информации определяются возможный результат реализации угрозы без-
опасности информации в информационной системе, вид ущерба, к которому мо-
жет привести реализация угрозы безопасности информации, степень послед-
ствий от реализации угрозы безопасности информации для каждого вида ущер-
ба.
В качестве результата реализации угрозы безопасности информации рас-
сматриваются непосредственное или опосредованное воздействие на конфиден-
циальность, целостность, доступность информации, содержащейся в информа-
ционной системе.
Непосредственное воздействие на конфиденциальность, целостность, до-
ступность информации возможно в результате реализации прямой угрозы без-
опасности информации. В этом случае объектами воздействия угрозы являются
непосредственно информация и (или) иные объекты защиты информационной
системы или обеспечивающей инфраструктуры, которые обеспечивают получе-
ние, обработку, хранение, передачу, уничтожение информации в информацион-
ной системе, в результате доступа к которым или воздействия на которые воз-
можно воздействие на конфиденциальность, целостность или доступность ин-
формации.
Опосредованное воздействие на конфиденциальность, целостность, до-
ступность информации рассматривается в результате реализации косвенных
угроз безопасности информации. Реализация косвенных угроз безопасности ин-
формации не приводит непосредственно к воздействию на конфиденциальность,
целостность, доступность информации, но создает условия для реализации од-
ной или нескольких прямых угроз безопасности информации, позволяющих реа-
лизовать такое воздействие. В этом случае в качестве результата реализации
косвенной угрозы необходимо рассматривать результаты реализации всех пря-
27
мых угроз безопасности информации, которые возможно реализовать в случае
реализации данной косвенной угрозы.
Результат реализации угрозы безопасности информации определяется воз-
действием угрозы на каждое свойство безопасности информации (конфиденци-
альность, целостность, доступность) в отдельности в соответствии с таблицей 5.
При обработке в информационной системе двух и более видов информации
(служебная тайна, персональные данные, налоговая тайна, иные установленные
законодательством Российской Федерации виды информации) воздействие на
конфиденциальность, целостность, доступность определяется отдельно для каж-
дого вида информации (k, …, m), содержащейся в информационной системе.
Таблица 5
Свойство
безопасности
информации
Результат реализации
угрозы безопасности информации
Не оказывает воздействия Оказывает воздействие
Конфиденциаль-
ность
К Xk1
В результате реализации
угрозы безопасности инфор-
мации отсутствует возмож-
ность неправомерного досту-
па, копирования, предостав-
ления или распространения
информации
В результате реализации
угрозы безопасности ин-
формации возможны не-
правомерный доступ, ко-
пирование, предоставле-
ние или распространение
информации
Целостность
Ц Xk1
В результате реализации
угрозы безопасности инфор-
мации отсутствует возмож-
ность уничтожения или мо-
дифицирования информации
В результате реализации
угрозы безопасности ин-
формации возможно уни-
чтожение или модифици-
рование информации
Доступность
Д Xk1
В результате реализации
угрозы безопасности инфор-
мации отсутствует возмож-
ность блокирования инфор-
мации
В результате реализации
угрозы безопасности ин-
формации возможно бло-
кирование информации
При определении степени возможного ущерба необходимо исходить из то-
го, что в зависимости от целей и задач, решаемых информационной системой,
видов обрабатываемой информации, воздействие на конфиденциальность, це-
лостность или доступность каждого вида информации, содержащейся в инфор-
мационной системе, может привести к различным видам ущерба. При этом для
разных обладателей информации и операторов будут характерны разные виды
ущерба.
Основные виды ущерба и возможные негативные последствия, к которым
может привести нарушение конфиденциальности, целостности, доступности ин-
формации, приведены в таблице 6.
28
Таблица 6
Вид
ущерба
Возможные негативнее
последствия от нарушения конфиденциальности, целост-
ности, доступности информации
Экономический
(финансовый)
Снижение, как минимум, одного экономического показа-
теля.
Потеря (кража) финансовых средств.
Недополучение ожидаемой (прогнозируемой) прибыли.
Необходимость дополнительных (незапланированных)
затрат на выплаты штрафов (неустоек) или компенсаций.
Необходимость дополнительных (незапланированных)
затрат на закупку товаров, работ или услуг (в том числе
закупка программного обеспечения, технических средств,
вышедших из строя, замена, настройка, ремонт указанных
средств).
Необходимость дополнительных (незапланированных)
затрат на восстановление деятельности.
Потеря клиентов, поставщиков.
Потеря конкурентного преимущества.
Невозможность заключения договоров, соглашений.
Другие прямые или косвенные финансовые потери
Социальный Создание предпосылок для нанесения вреда здоровью
граждан.
Возможность нарушения функционирования объектов
обеспечения жизнедеятельности граждан.
Организация пикетов, забастовок, митингов и других ак-
ций.
Увольнения.
Увеличение количества жалоб в органы государственной
власти или органы местного самоуправления.
Появление негативных публикаций в общедоступных ис-
точниках.
Невозможность (прерывание) предоставления социаль-
ных услуг (сервисов).
Другие последствия, приводящие к нарастанию социаль-
ной напряженности в обществе
Политический Создание предпосылок к обострению отношений в меж-
дународных отношениях.
Срыв двусторонних (многосторонних) контактов с зару-
бежными партнерами.
Неспособность выполнения международных (двусторон-
них) договорных обязательств.
29
Невозможность заключения международных (двусторон-
них) договоров, соглашений.
Создание предпосылок к внутриполитическому кризису.
Нарушение выборного процесса.
Другие последствия во внутриполитической и внешнепо-
литической областях деятельности
Репутационный Нарушение законодательных и подзаконных актов.
Нарушение деловой репутации.
Снижение престижа.
Дискредитация работников.
Утрата доверия.
Неспособность выполнения договорных обязательств.
Другие последствия, приводящие к нарушению репута-
ции
Ущерб в области
обороны, безопас-
ности и правопо-
рядка
Создание предпосылок к наступлению негативных по-
следствий для обороны, безопасности и правопорядка.
Нарушение общественного правопорядка.
Неблагоприятное влияние на обеспечение общественного
правопорядка.
Возможность потери или снижения уровня контроля за
общественным правопорядком.
Отсутствие возможности оперативного оповещения
населения о чрезвычайной ситуации.
Другие последствия, приводящие к ущербу в области
обороны, безопасности и правопорядка
Ущерб субъекту
персональных дан-
ных
Создание угрозы личной безопасности.
Финансовые или иные материальные потери физического
лица.
Вторжение в частную жизнь.
Создание угрозы здоровью.
Моральный вред.
Утрата репутации.
Другие последствия, приводящие к нарушению прав
субъекта персональных данных
Технологический Невозможность решения задач (реализации функций)
или снижение эффективности решения задач (реализации
функций).
Необходимость изменения (перестроения) внутренних
процедур для достижения целей, решения задач (реализа-
ции функций).
Принятие неправильных решений.
Простой информационной системы или сегмента инфор-
мационной системы
Другие последствия, приводящие к нарушению техноло-
гии обработки информации
30
Указанные виды ущерба могут дополняться другими видами в зависимо-
сти от целей и задач, решаемых информационной системой, а также вида обра-
батываемой в ней информации.
Степень возможного ущерба от реализации угрозы безопасности инфор-
мации определяется степенью негативных последствий от нарушения конфиден-
циальности, целостности или доступности каждого вида информации, содержа-
щейся в информационной системе.
Степень негативных последствий от нарушения конфиденциальности, це-
лостности или доступности информации определяется для каждого вида ущерба,
зависит от целей и задач, решаемых информационной системой, и может иметь
разные значения для разных обладателей информации и операторов. В качестве
единой шкалы измерения степени негативных последствий принимаются значе-
ния «незначительные», «умеренные» и «существенные» негативные послед-
ствия. Каждым оператором определяется в указанной единой шкале измерений
степень негативных последствий от нарушения конфиденциальности, целостно-
сти или доступности информации применительно ко всем целям и задачам, ре-
шаемым информационной системой.
Степень возможного ущерба определяется экспертным методом в соответ-
ствии с таблицей 7.
Таблица 7
Степень
ущерба
Характеристика степени ущерба
Высокая В результате нарушения одного из свойств безопасности
информации (конфиденциальности, целостности, доступно-
сти) возможны существенные негативные последствия.
Информационная система и (или) оператор (обладатель
информации) не могут выполнять возложенные на них
функции
Средняя В результате нарушения одного из свойств безопасности
информации (конфиденциальности, целостности, доступно-
сти) возможны умеренные негативные последствия.
Информационная система и (или) оператор (обладатель
информации) не могут выполнять хотя бы одну из возложен-
ных на них функций
Низкая В результате нарушения одного из свойств безопасности
информации (конфиденциальности, целостности, доступно-
сти) возможны незначительные негативные последствия.
Информационная система и (или) оператор (обладатель
информации) могут выполнять возложенные на них функции
с недостаточной эффективностью или выполнение функций
возможно только с привлечением дополнительных сил и
средств
31
При обработке в информационной системе двух и более видов информа-
ции (служебная тайна, персональные данные, налоговая тайна и иные установ-
ленные законодательством Российской Федерации виды информации) степень
возможного ущерба определяется отдельно для каждого вида информации
(k, …, m), обрабатываемой в информационной системе, применительно к каждо-
му виду ущерба. Итоговая степень возможного ущерба устанавливается по
наивысшим значениям степени возможного ущерба, определенным для конфи-
денциальности, целостности, доступности информации каждого вида информа-
ции применительно к каждому виду ущерба.
X max(Х ); i К,Ц, Д.
i
k
i
k  
в) определение актуальности угрозы безопасности информации
Решение об актуальности угрозы безопасности информации УБИj
А
для
информационной системы с заданными структурно-функциональными характе-
ристиками и условиями функционирования принимается в соответствии с таб-
лицей 8.
Таблица 8
Вероятность (воз-
можность) реали-
зации угрозы (Yj)
Степень возможного ущерба (Хj)
Низкая Средняя Высокая
Низкая неактуальная неактуальная актуальная
Средняя неактуальная актуальная актуальная
Высокая актуальная актуальная актуальная
32
=Приложение № 1=
к
Методике определения угроз безопасности
информации в информационных системах
Рекомендации по формированию
экспертной группы и проведению экспертной оценки при
определении угроз безопасности информации
Качественное формирование экспертной группы способствует снижению
субъективных факторов при оценке угроз безопасности информации. Занижение
(ослабление) экспертами прогнозов и предположений при определении угроз
может повлечь наступление непрогнозируемого (неожиданного) ущерба в ре-
зультате реализации угрозы безопасности информации. Завышение экспертами
прогнозов и предположений при определении угроз может повлечь за собой не-
оправданные расходы на нейтрализацию угроз, являющихся неактуальными.
Независимо от результата формирования экспертной группы при оценке
угроз безопасности информации существуют субъективные факторы, связанные
с психологией принятия решений человеком. Это также может приводить как к
занижению (ослаблению), так и к завышению (усилению) экспертами прогнозов
и предположений при определении угроз безопасности информации, что в свою
очередь может привести к пропуску отдельных угроз безопасности информации
или к неоправданным затратам на нейтрализацию неактуальных угроз.
Любое решение, принимаемое экспертами при определении угроз безопас-
ности информации, должно исходить из правил, при которых нарушитель нахо-
дится в наилучших условиях для реализации угрозы безопасности (принципа
«гарантированности»).
а) формирование экспертной группы
В состав экспертной группы для определения угроз безопасности инфор-
мации рекомендуется включать экспертов (независимо от того, реализуются ли
функции обладателя информации, заказчика и оператора в рамках одной или не-
скольких организаций):
от подразделений обладателей информации, содержащейся в информаци-
онной системе;
от подразделений оператора информационной системы;
от подразделения по защите информации;
от лиц, предоставляющих услуги по обработке информации;
от разработчика информационной системы;
от операторов взаимодействующих внешних информационных систем (по
согласованию).
В качестве экспертов рекомендуется привлекать специалистов, деятель-
ность которых связана с обработкой информации в информационной системе, а
33
также специалистов, имеющие квалификацию и опыт работы в области приме-
нения информационных технологий и (или) в области защиты информации.
При привлечении в качестве экспертов специалистов от подразделений по
защите информации рекомендуется привлекать лиц, имеющих высшее образова-
ние или прошедших переподготовку (повышение квалификации) по направле-
нию подготовки «Информационная безопасность», или имеющих не менее трех
лет стажа практической работы в своей сфере деятельности.
Эксперты должны обладать независимостью, основанной на отсутствии
коммерческого и финансового интереса или другого давления, которое может
оказать влияние на принимаемые решения. Не рекомендуется формировать экс-
пертную группу из участников, находящихся в прямом подчинении, так как это
может негативным образом повлиять на результат определения угроз безопасно-
сти информации.
Состав экспертной группы зависит от целей и задач информационной си-
стемы, но не должен быть меньше трех экспертов.
б) проведение экспертной оценки
При проведении экспертной оценки принимаются меры, направленные на
снижение уровня субъективности и неопределенности при определении каждой
из угроз безопасности информации.
Экспертную оценку рекомендуется проводить в отношении, как минимум,
следующих параметров:
цели реализации угроз безопасности информации (мотивация нарушите-
лей);
типы и виды нарушителей;
уязвимости, которые могут быть использованы для реализации угроз без-
опасности информации;
способы реализации угроз безопасности информации;
степень воздействия угрозы безопасности информации на каждое из
свойств безопасности информации;
последствия от реализации угроз безопасности информации;
вероятность реализации угроз безопасности информации;
уровень защищенности информационной системы;
потенциал нарушителя, требуемый для реализации угрозы безопасности
информации (в случае отсутствия потенциала в банке данных угроз безопасно-
сти информации).
Оценку параметров рекомендуется проводить опросным методом с состав-
лением анкеты, в которой указываются вопросы и возможные варианты ответа в
единой принятой шкале измерений («низкий», «средний», «высокий» или «да»,
«нет» или иные шкалы). При этом вопросы должны быть четкими и однозначно
трактуемыми, предполагать однозначные ответы.
Опрос экспертов включает следующие этапы:
каждый эксперт проводит оценку оцениваемого параметра (рекомендуется
не мене двух раундов оценки), результаты которой заносятся в таблицу 1.1;
34
после оценки каждым из экспертов отбрасываются минимальные и макси-
мальные значения;
определяется среднее значение оцениваемого параметра в каждом раунде;
определяется итоговое среднее значение оцениваемого параметра.
Пример таблицы результатов оценки параметров
Таблица 1.1
Эксперты Значение оцениваемого
параметра (раунд 1)
Значение оцениваемого
параметра (раунд 2)
Эксперт 1
Эксперт 2
Эксперт n
Итоговое значение
35
=Приложение № 2=
к
Методике определения угроз безопасности
информации в информационных системах
Структура модели угроз безопасности информации
Модель угроз безопасности информации содержит следующие разделы:
1. Общие положения.
2. Описание информационной системы и особенностей ее функционирова-
ния.
2.1. Цель и задачи, решаемые информационной системой.
2.2. Описание структурно-функциональных характеристик информацион-
ной системы.
2.3. Описание технологии обработки информации.
3. Возможности нарушителей (модель нарушителя).
3.1. Типы и виды нарушителей.
3.2. Возможные цели и потенциал нарушителей.
3.3. Возможные способы реализации угроз безопасности информации.
4. Актуальные угрозы безопасности информации.
Приложения (при необходимости).
Раздел «Общие положения» содержит назначение и область действия до-
кумента, информацию о полном наименовании информационной системы, для
которой разработана модель угроз безопасности информации, а также информа-
цию об использованных для разработки модели угроз безопасности информации
нормативных и методических документах, национальных стандартах. В данный
раздел также включается информация об используемых данных и источниках, на
основе которых определяются угрозы безопасности информации (документация,
исходные тексты программ, опросы персонала, журналы регистрации средств
защиты, отчеты об аудите и иные источники).
Раздел «Описание информационной системы и особенностей ее функцио-
нирования» содержит общую характеристику информационной системы, описа-
ние структурно-функциональных характеристик информационной системы, опи-
сание взаимосвязей между сегментами информационной системы, описание вза-
имосвязей с другими информационными системами и информационно-
телекоммуникационными сетями, описание технологии обработки информации.
Также в данном разделе приводятся предположения, касающиеся информацион-
ной системы и особенностей ее функционирования (в частности предположения
об отсутствии неучтенных беспроводных каналов доступа или динамичность
выделения адресов узлам информационной системы, иные предположения). В
раздел включаются любые ограничения, касающиеся информационной системы
и особенностей ее функционирования.
Раздел «Возможности нарушителей (модель нарушителя)» содержит опи-
сание типов, видов, потенциала и мотивации нарушителей, от которых необхо-
димо обеспечить защиту информации в информационной системе, способов реа-
36
лизации угроз безопасности информации. В данный раздел также включаются
предположения, касающиеся нарушителей (в частности предположение об от-
сутствии у нарушителя возможности доступа к оборудованию, сделанному на
заказ и применяемому при реализации угрозы, предположение о наличии (отсут-
ствии) сговора между внешними и внутренними нарушителями или иные пред-
положения). В раздел включаются любые ограничения, касающиеся определения
нарушителей (в частности исключение администраторов информационной си-
стемы или администраторов безопасности из числа потенциальных нарушителей
или иные предположения).
Раздел «Актуальные угрозы безопасности информации» содержит описа-
ние актуальных угроз безопасности, включающее наименование угрозы безопас-
ности информации, возможности нарушителя по реализации угрозы, используе-
мые уязвимости информационной системы, описание способов реализации угро-
зы безопасности информации, объекты воздействия, возможные результат и по-
следствия от реализации угрозы безопасности информации.
37
=Приложение № 3=
к Методике определения угроз безопасности
информации в информационных системах
Определение
потенциала нарушителя, необходимого для реализации угрозы без-
опасности информации в информационной системе
Настоящее приложение применяется для определения потенциала, необхо-
димого для реализации угрозы безопасности информации, данные по которой
отсутствуют в банке данных угроз безопасности информации, и характеристики
которых определяются на основе иных источников или результатов исследова-
ний.
Приведенный подход к оценке потенциала нарушителя направлен на сни-
жение уровня субъективности и неопределенности при оценке потенциала
нарушителя, который требуется для реализации угрозы безопасности информа-
ции в информационной системе с заданными структурно-функциональными ха-
рактеристиками и особенностями функционирования.
Исходными данными для определения потенциала нарушителя являются:
данные об аппаратном, общесистемном и прикладном программном обес-
печении, применяемых информационных технологиях, особенностях функцио-
нирования информационной системы;
данные об уязвимостях в аппаратном, общесистемном и прикладном про-
граммном обеспечении, опубликованные в различных базах данных уязвимо-
стей, полученные в результате исследований (тестировании) или полученные от
уполномоченных федеральных органов исполнительной власти и организаций.
При оценке потенциала нарушителя необходимо исходить из того, что для
успешного достижения целей реализации угроз безопасности информации,
нарушителю необходимо осуществить подготовку к реализации угрозы и непо-
средственно реализацию угрозы безопасности информации. При этом не един-
ственным, но необходимым условием на этапе подготовки к реализации угрозы
безопасности информации является идентификация уязвимостей в информаци-
онной системе, а на этапе реализации угрозы безопасности информации – ис-
пользование уязвимостей информационной системы.
Таким образом, для определения потенциала нарушителя необходимо оце-
нить возможности нарушителя идентифицировать уязвимости и использовать их
в информационной системе в ходе подготовки к реализации и непосредственно в
ходе реализации угрозы безопасности информации. Для проведения указанной
оценки делается предположение о наличии уязвимостей, которые потенциально
содержатся в информационной системе и могут быть использованы для реализа-
ции угрозы безопасности информации.
Потенциальные уязвимости определяются для каждого класса и типа про-
граммного обеспечения и для каждого узла (хоста) информационной системы
исходя из условия, что для реализации угрозы безопасности информации нару-
38
шителю необходимо идентифицировать и использовать как минимум одну уяз-
вимость на каждом узле и хосте.
В качестве исходных данных для определения потенциальных уязвимостей
используются данные по составу информационной системы и особенностям ее
функционирования, а также данные об уязвимостях в этом программном обеспе-
чении, опубликованные в общедоступных источниках, полученные по результа-
там исследований и (или) полученные от уполномоченных органов и организа-
ций.
Для каждой выявленной потенциальной уязвимости проводится оценка
возможностей ее идентификации и использования в информационной системе
нарушителем, обладающим определенными возможностями и для каждого из
возможных сценариев реализации угрозы безопасности информации.
Оценка возможностей нарушителя по идентификации и использованию
уязвимости в информационной системе проводится по результатам определения
следующих показателей:
время, затрачиваемое нарушителем на идентификацию и использование
уязвимости (затрачиваемое время);
техническая компетентность нарушителя;
знание нарушителем проекта и информационной системы;
оснащенность нарушителя;
возможности нарушителя по доступу к информационной системе.
Во многих случаях указанные показатели являются зависимыми и могут в
различной степени заменять друг друга. В частности, показатели технической
компетентности или оснащенности могут заменяться показателем затрачиваемо-
го времени.
а) определение показателя «затрачиваемое время»
Показатель «затрачиваемое время» характеризует время, непрерывно за-
трачиваемое нарушителем для идентификации и использования уязвимости для
реализации угрозы безопасности информации.
Показатель «затрачиваемое время» может принимать значения «за мину-
ты», «за часы», «за дни» или «за месяцы».
Значение «за минуты» присваивается, если для реализации угрозы без-
опасности информации нарушитель затратит менее получаса на идентификацию
и использование уязвимости.
Значение «за часы» присваивается, если для реализации угрозы безопасно-
сти информации нарушитель затратит менее чем один день на идентификацию и
использование уязвимости.
Значение «за дни» присваивается, если для реализации угрозы безопасно-
сти информации нарушитель затратит менее чем один месяц на идентификацию
и использование уязвимости.
Значение «за месяцы» присваивается, если для реализации угрозы без-
опасности информации нарушитель затратит, как минимум, месяц на идентифи-
кацию и использование уязвимости.
39
б) определение показателя «техническая компетентность нарушителя»
Показатель «техническая компетентность нарушителя» характеризует, ка-
ким уровнем знаний и подготовкой в области информационных технологий и
защиты информации должен обладать нарушитель, чтобы идентифицировать и
использовать уязвимости для реализации угрозы безопасности информации.
Показатель «техническая компетентность нарушителя» может принимать
значения «специалист», «профессионал» или «непрофессионал».
Значение «профессионал» присваивается, если нарушитель имеет хоро-
шую осведомленность о мерах защиты информации, применяемых в информа-
ционной системе, об алгоритмах, аппаратных и программных средствах, исполь-
зуемых в информационной системе, а также обладает специальными знаниями о
методах и средствах выявления новых уязвимостей и способах реализации угроз
безопасности информации для информационных систем данного типа.
Значение «специалист» присваивается, если нарушитель имеет осведом-
ленность о мерах защиты информации, применяемых в информационной систе-
ме данного типа.
Значение «непрофессионал» присваивается, если нарушитель имеет сла-
бую осведомленность (по сравнению со специалистами или профессионалами) о
мерах защиты информации, применяемых в информационных системах данного
типа, и не обладает специальными знаниями по реализации угроз безопасности
информации.
в) определение показателя «знание нарушителем проекта и информа-
ционной системы»
Показатель «знание нарушителем проекта и информационной системы»
характеризует, какие сведения об информационной системе и условиях ее экс-
плуатации доступны нарушителю, чтобы идентифицировать и использовать уяз-
вимости для реализации угрозы безопасности информации.
Показатель «знание нарушителем проекта и информационной системы»
может принимать значения «отсутствие знаний», «ограниченные знания» или
«знание чувствительной информации».
Значение «отсутствие знаний» присваивается, если в результате принятия
мер по защите информации нарушителю не может стать известно о структурно-
функциональных характеристиках информационной системы, системе защиты
информации информационной системы, а также об иной информации по разра-
ботке (проектированию) и эксплуатации информационной системы, включая
сведения из конструкторской, проектной и эксплуатационной документации.
При этом может быть доступна информация о целях и задачах, решаемых ин-
формационной системой. Данный показатель также присваивается, если сведе-
ния об информационной системе отнесены к информации ограниченного досту-
па и не могут быть доступны для неограниченного круга лиц.
40
Значение «ограниченные знания» присваивается, если нарушителю наряду
с информацией о целях и задачах, решаемых информационной системой, может
стать известна только эксплуатационная документация на информационную си-
стему (в частности руководство пользователя и (или) правила эксплуатации ин-
формационной системы).
Значение «знание чувствительной информации» присваивается, если
нарушителю может стать известны конструкторская (проектная) и эксплуатаци-
онная документация на информационную систему, информация о структурно-
функциональных характеристиках информационной системы, системе защиты
информационной системы.
г) определение показателя «возможности нарушителя по доступу к
информационной системе»
Показатель «возможности нарушителя по доступу к информационной си-
стеме» характеризует, как долго по времени нарушитель должен иметь возмож-
ность доступа к информационной системе для идентификации и использования
уязвимостей для реализации угроз безопасности информации.
Показатель «возможности нарушителя по доступу к информационной си-
стеме» может принимать значения «за минуты», «за часы», «за дни» или «за ме-
сяцы».
Значение «за минуты» присваивается, если для идентификации и исполь-
зования уязвимости для реализации угрозы безопасности информации наруши-
телю требуется доступ менее получаса.
Значение «за часы» присваивается, если для идентификации и использова-
ния уязвимости для реализации угрозы безопасности информации нарушителю
требуется доступ менее одного дня.
Значение «за дни» присваивается, если для идентификации и использова-
ния уязвимости для реализации угрозы безопасности информации нарушителю
требуется доступ менее одного месяца.
Значение «за месяцы» присваивается, если для идентификации и использо-
вания уязвимости для реализации угрозы безопасности информации нарушите-
лю требуется доступ более одного месяца.
Показатель «возможности нарушителя по доступу к информационной си-
стеме» взаимосвязан с показателем «затраченное время». Идентификация и ис-
пользование уязвимости при реализации угрозы безопасности информации мо-
гут требовать продолжительного времени по доступу к информационной систе-
ме, что увеличивает возможность обнаружения уязвимости. В отдельных случа-
ях продолжительный доступ к информационной системе не требуется (методы и
средства реализации угроз безопасности разрабатываются автономно), но при
этом требуется кратковременный доступ к информационной системе.
41
д) определение показателя «оснащенность нарушителя»
Показатель «оснащенность нарушителя» характеризует, какие программ-
ные и (или) программно-технические средства требуются нарушителю для иден-
тификации и использования уязвимостей для реализации угроз безопасности
информации.
Показатель «оснащенность нарушителя» может принимать значения
«стандартное оборудование», «специализированное оборудование» или «обору-
дование, сделанное на заказ».
Значение «стандартное оборудование» присваивается, если для идентифи-
кации или использования уязвимостей при реализации угрозы безопасности ин-
формации требуются программные (программно-технические) средства, легко
доступные для нарушителя. К таким средствам, в первую очередь, относятся
программные средства непосредственно информационной системы (отладчик в
операционной системе, средства разработки и иные), программные средства, ко-
торые могут быть легко получены (программы, имеющиеся в свободном доступе
в сети Интернет) или имеются простые сценарии реализации угроз.
Значение «специализированное оборудование» присваивается, если для
идентификации или использования уязвимостей при реализации угрозы без-
опасности информации требуются программные (программно-технические)
средства, которые отсутствуют в свободном доступе, но могут быть приобрете-
ны нарушителем без значительных усилий. К таким средствам, в первую оче-
редь, относятся программные (программно-технические) средства, которые
имеются в продаже (анализаторы кода, анализаторы протоколов и иные) или
требуется разработка более сложных программ и сценариев реализации угрозы.
Оборудование может быть закуплено, либо, например, могут быть использованы
компьютеры, объединенные через сеть Интернет (бот-сети).
Значение «оборудование, сделанное на заказ» присваивается, если для
идентификации или использования уязвимостей при реализации угрозы без-
опасности информации требуются программные (программно-технические)
средства, которые недоступны широкому кругу лиц, так как требуется их специ-
альная разработка с привлечением исследовательских организаций, или распро-
странение этих средств контролируется в соответствии с законодательством. К
такому оборудованию также относится дорогостоящие средства или средства,
сведения о которых относятся к информации ограниченного доступа.
С целью вычисления потенциала нарушителя определяются числовые зна-
чения указанных показателей в соответствии с таблицей 3.1.
42
Таблица 3.1
Показатель возможностей нарушителя
Значения при
идентификации
уязвимости
Значения при
использова-
нии уязвимо-
сти
Затрачиваемое
время
< 0,5 час 0 0
< 1 день 2 3
< 1 месяц 3 5
> 1 месяц 5 8
Техническая ком-
петентность
нарушителя
Непрофессионал 0 0
Специалист 2 3
Профессионал 5 4
Знание проекта и
информационной
системы
Отсутствие знаний 0 0
Ограниченные знания 2 2
Знание чувствительной
информации 5
4
Возможность до-
ступа к информа-
ционной системе
< 0,5 час или не обна-
руживаемый доступ 0
0
< 1 день 2 4
< 1 месяц 3 6
> 1 месяц 4 9
Не возможно
Оснащенность
нарушителя
Отсутствует 0 0
Стандартное оборудо-
вание
1
2
Специализированное
оборудование 3
4
Оборудование, сделан-
ное на заказ
5
6
Для конкретной потенциальной уязвимости может возникнуть необходи-
мость определять показатели несколько раз для различных способов реализации
угроз безопасности информации (попеременно использовать разные значения
показателей компетентности в сочетании со значениями времени и оборудова-
ния). При этом следует выбирать наибольшее значение, полученное при каждом
расчете показателей.
Полученные на основе таблицы 3.1 значения характеристик потенциала
нарушителя суммируются. Полученная сумма значений характеристик соотно-
сится с диапазонами значений, приведенных в таблице 3.2, в соответствии с ко-
торой определяется потенциал нарушителя, необходимый для реализации угрозы
безопасности информации.
43
Таблица 3.2
Диапазон
значений
Потенциал
нарушителя
<10 Потенциал недостаточен для реализации
угрозы безопасности
10-17 Базовый (низкий)
18-24 Базовый повышенный (средний)
>24 Высокий
Мотивация нарушителя для реализации угроз безопасности информации
может быть базовой или повышенной. Мотивация нарушителя характеризует
уровень устремлений нарушителя к информации, содержащейся в информаци-
онной системе, или информационной системе в целом. При определении потен-
циала нарушителя необходимо исходить, как минимум, из его базовой мотива-
ции.
Потенциал нарушителя, требуемый для реализации угрозы безопасности
информации, переходит на следующий уровень (от низкого к среднего или от
среднего к высокому), если определено, что нарушитель имеет повышенную мо-
тивацию реализации угроз безопасности по отношению к информационной си-
стеме.
Мотивация нарушителя определяется как повышенная, если:
а) имеются сведения (в том числе опубликованные в общедоступных ис-
точниках) об устремлениях нарушителей к конкретной информационной системе
и (или) отдельным ее объектам защиты; например, если информация, обрабаты-
ваемая в информационной системе, является высоко ценной для нарушителя или
для нарушителя является крайне приоритетным нанести ущерб оператору ин-
формационной системы;
б) имеется информация, полученная от уполномоченных федеральных ор-
ганов исполнительной власти, о намерении нарушителя осуществить неправо-
мерные действия в отношении информационной системы и (или) информации,
содержащейся в этой информационной системе.

Методика определения угроз безопасности информации в информационных системах

2015-10-02T08:26:58Z

Hunter po: /* ПРОЦЕСС ОПРЕДЕЛЕНИЯ УГРОЗ БЕЗОПАСНОСТИ ИНФОРМАЦИИ В ИНФОРМАЦИОННОЙ СИСТЕМЕ */

ФЕДЕРАЛЬНАЯ СЛУЖБА
ПО ТЕХНИЧЕСКОМУ И ЭКСПОРТНОМУ КОНТРОЛЮ
(ФСТЭК РОССИИ)

МЕТОДИЧЕСКИЙ ДОКУМЕНТ
МЕТОДИКА ОПРЕДЕЛЕНИЯ УГРОЗ БЕЗОПАСНОСТИ ИНФОРМАЦИИ В ИНФОРМАЦИОННЫХ СИСТЕМАХ
(ПРОЕКТ) 2015

=ОБЩИЕ ПОЛОЖЕНИЯ=

Настоящий методический документ ФСТЭК России «Методика определения угроз безопасности информации в информационных системах» (далее - Методика) разработан и утвержден в соответствии с подпунктом 4 пункта 8 Положения о Федеральной службе по техническому и экспортному контролю, утвержденного Указом Президента Российской Федерации от 16 августа 2004 г. № 1085.

Документ устанавливает единый методический подход к определению угроз безопасности информации и разработке моделей угроз безопасности информации в государственных информационных системах (далее – информационные системы), защита информации в которых обеспечивается в соответствии с Требованиями о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах, утвержденными приказом ФСТЭК России от 11 февраля 2013 г. № 17 (зарегистрирован Минюстом России 31 мая 2013 г., рег. № 28608).

По решению оператора персональных данных Методика может применяться для определения в соответствии с пунктом 1 части 2 статьи 19 Федерального закона «О персональных данных» угроз безопасности персональных данных при их обработке в информационных системах персональных данных, защита которых обеспечивается в соответствии с Составом и содержанием организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденных приказом ФСТЭК России от 18 февраля 2013 г. № 21 (зарегистрирован Минюстом России 14 мая 2013 г., рег. № 28375).

Методика не распространяется на определение угроз безопасности информации, составляющей государственную тайну.

Методика предназначена для:
*органов государственной власти, органов местного самоуправления и организаций, являющихся в соответствии с законодательством Российской Федерации обладателями информации, заказчиками и (или) операторами информационных систем;
*организаций, осуществляющих в соответствии с законодательством Российской Федерации работы по созданию (проектированию) информационных систем;
*организаций, осуществляющих в соответствии с законодательством Российской Федерации работы по защите информации в ходе создания (проектирования) и эксплуатации информационных систем;
*организаций, осуществляющих в соответствии с законодательством Российской Федерации работы по аттестации (оценке соответствия) информационных систем требованиям о защите информации.

Настоящая Методика применяется на этапах создания информационных систем для определения и оценки угроз безопасности информации и разработки моделей угроз, а также в ходе эксплуатации информационных систем при периодическом пересмотре (переоценке) угроз безопасности информации.

Методика применяется совместно с банком данных угроз безопасности информации, сформированным ФСТЭК России (ubi.fstec.ru), а также базовыми и типовыми моделями угроз безопасности информации в информационных системах различных классов и типов, разрабатываемых ФСТЭК России в соответствии с подпунктом 4 пункта 8 Положения о Федеральной службе по техническому и экспортному контролю, утвержденного Указом Президента Российской Федерации от 16 августа 2004 г. № 1085.

Методика ориентирована на определение и оценку антропогенных угроз безопасности информации, возникновение которых обусловлено объективными факторами. Вместе с тем, часть приведенных в Методике подходов может также применяться для оценки техногенных угроз в случае, если они позволяют достичь целей такой оценки. Определение угроз, связанных со стихийными бедствиями и природными явлениями осуществляется в соответствии с правилами, установленными уполномоченными федеральными органами исполнительной власти, национальными стандартами и находятся за рамками настоящей Методики.

В случае, если в соответствии с настоящей Методикой к числу актуальных угроз, отнесены угрозы, связанные с утечкой информации по техническим каналам, дальнейшая их оценка проводится в соответствии со специальными требованиями и рекомендациями по технической защите конфиденциальной информации и методиками оценки защищенности конфиденциальной информации.

В Методике используются термины и их определения, установленные
национальными стандартами в области защиты информации.

В связи с утверждением настоящего методического документа не применяется для определения угроз безопасности информации Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных (ФСТЭК России, 2008 г.).

=ПРОЦЕСС ОПРЕДЕЛЕНИЯ УГРОЗ БЕЗОПАСНОСТИ ИНФОРМАЦИИ В ИНФОРМАЦИОННОЙ СИСТЕМЕ=

Целью определения угроз безопасности информации является установление того, существует ли возможность нарушения конфиденциальности, целостности или доступности информации, содержащейся в информационной системе, и приведет ли нарушение хотя бы одного из указанных свойств безопасности информации к наступлению неприемлемых негативных последствий (ущерба) для обладателя информации или оператора, а в случае обработки персональных данных и для субъектов персональных данных.

Определение угроз безопасности информации должно носить систематический характер и осуществляться как на этапе создания информационной системы и формирования требований по ее защите, так и в ходе эксплуатации информационной системы. Систематический подход к определению угроз безопасности информации необходим для того, чтобы определить потребности в конкретных требованиях к защите информации и создать адекватную эффективную систему защиты информации в информационной системе. Меры защиты информации, принимаемые обладателем информации и оператором, должны обеспечивать эффективное и своевременное выявление и блокирование (нейтрализацию) угроз безопасности информации, в результате реализации которых возможно наступление неприемлемых негативных последствий (ущерба).

Систематический подход к определению угроз безопасности информации предусматривает реализацию непрерывного процесса, в рамках которого определяется область применения процесса определения угроз, идентифицируются источники угроз и угрозы безопасности информации, оценивается возможность реализации угроз безопасности информации и степень возможного ущерба в случае такой реализации, осуществляется мониторинг (периодический пересмотр) и переоценка угроз безопасности информации.

Оценка угроз безопасности информации проводится экспертным методом.

Рекомендации по формированию экспертной группы и проведению экспертной оценки при определении угроз безопасности информации приведены в приложении № 1 к настоящей Методике.

==а) область применения процесса определения угроз безопасности информации==

На этапах принятия решения о необходимости защиты информации в информационной системе и разработки требований к защите информации должны быть определены физические и логические границы информационной системы, в которых принимаются и контролируются меры защиты информации, за которые ответственен оператор, а также определены объекты защиты и сегменты информационной системы.

Процесс определения угроз безопасности информации должен охватывать все объекты защиты и сегменты в логических и физических границах информационной системы, в которых оператором принимаются и контролируются меры защиты информации. Процесс определения угроз безопасности информации организуется подразделением оператора, назначенным ответственным за защиту информации в информационной системе. В случае, если информационная система имеет сегменты, эксплуатируемые разными подразделениями оператора, которые могут самостоятельно принимать и контролировать меры защиты информации, должны быть определены границы ответственности этих подразделений и порядок их взаимодействия в процессе определения угроз безопасности информации.

Область применения процесса определения угроз безопасности информации отражается в модели угроз безопасности информации наряду с областью действия модели угроз, структурно-функциональными характеристиками информационной системы и особенностями ее функционирования.

==б) идентификация источников угроз и угроз безопасности информации==

В обобщенном виде угрозы безопасности информации характеризуется источниками угроз, факторами, обуславливающими возможность реализации угроз, способами (методами) реализации угроз и последствиями от реализации угроз безопасности информации.

Важным этапом в процессе определения угроз безопасности информации является идентификация лиц или событий (явлений), в результате действий (наступления, возникновения) которых возможно нарушение конфиденциальности, целостности или доступности информации, содержащейся в информационной системе, и возникновение неприемлемых негативных последствий (ущерба).

В качестве источников угроз безопасности информации могут выступать субъекты (физические лица, организации, государства) или явления (техногенные аварии, стихийные бедствия, иные природные явления).

Источники угроз безопасности информации являются определяющим фактором при определении угроз безопасности информации в информационных системах. В процессе определения угроз безопасности информации подлежат оценке те угрозы, у которых есть источники и источники имеют возможности и условия для реализации угроз безопасности информации в информационной системе с заданными структурно-функциональными характеристиками и особенностями ее функционирования.

Источники угроз безопасности информации могут быть следующих типов:
*антропогенные источники (антропогенные угрозы);
*техногенные источники (техногенные угрозы);
*стихийные источники (угрозы стихийных бедствий, иных природных явлений).

В качестве источников антропогенных угроз безопасности информации могут выступать:
*лица, осуществляющие преднамеренные действия с целью доступа к информации (воздействия на информацию), содержащейся в информационной системе, или нарушения функционирования информационной системы или обслуживающей ее инфраструктуры (преднамеренные угрозы безопасности информации);
*лица, имеющие доступ к информационной системе, не преднамеренные действия которых могут привести к нарушению безопасности информации (непреднамеренные угрозы безопасности информации).

Для информационных систем, в которых целью защиты является обеспечение целостности и доступности обрабатываемой информации, в обязательном порядке подлежат оценке техногенные угрозы, связанные с отказами или сбоями в работе технических средств или программного обеспечения. Такие угрозы могут быть обусловлены:
*низким качеством (надежностью) технических, программных или программно-технических средств;
*низким качеством (надежностью) сетей связи и (или) услуг связи;
*отсутствием или низкой эффективностью систем резервирования или дублирования программно-технических и технических средств;
*низким качеством (надежностью) инженерных систем (кондиционирования, электроснабжения, охранных систем и т.д.);
*низким качеством обслуживания со стороны обслуживающих организаций и лиц.

При определении угроз безопасности информации оценке подлежат угрозы, связанные со всеми типами источников. Однако в целях создания и эксплуатации адекватной эффективной системы защиты информации в информационной системе следует, в первую очередь, уделять внимание оценке антропогенных угроз, связанных с несанкционированными (неправомерными) действиями субъектов по нарушению безопасности (конфиденциальности, целостности, доступности) информации, в том числе целенаправленными воздействиями программными (программно-техническими) средствами на информационные системы, осуществляемые в целях нарушения (прекращения) их функционирования (компьютерные атаки).

Также при определении угроз безопасности информации наряду с угрозами, реализация которых может привести непосредственно к нарушению конфиденциальности, целостности или доступности информации (прямыми угрозами), необходимо выявлять и оценивать угрозы, создающие условия для реализации прямых угроз безопасности информации (косвенные угрозы). В качестве косвенных угроз безопасности информации могут рассматриваться угрозы повышения привилегий, исчерпания вычислительных ресурсов, недоступности обновления программного обеспечения и иные угрозы безопасности информации.

В процессе определения угроз безопасности информации на всех стадиях (этапах) жизненного цикла информационных систем необходимо регулярно проводить идентификацию источников угроз, оценивать их возможности и определять на этой основе угрозы безопасности информации. Данные о нарушителях и их возможностях по реализации угроз безопасности информации, полученные при идентификации источников угроз, включаются в модели угроз безопасности информации.

Для идентификации угроз безопасности информации в информационной системе определяются:
*возможности (тип, вид, потенциал) нарушителей, необходимые им для реализации угроз безопасности информации;
*уязвимости, которые могут использоваться при реализации угроз безопасности информации (включая специально внедренные программные закладки);
*способы (методы) реализации угроз безопасности информации;
*объекты информационной системы, на которые направлена угроза безопасности информации (объекты воздействия);
*результат и последствия от реализации угроз безопасности информации.

Каждая угроза безопасности информации в информационной системе описывается (идентифицируется) следующим образом:
УБИj = [нарушитель (источник угрозы); уязвимости; способы реализации угрозы; объекты воздействия; последствия от реализации угрозы].

==в) оценка вероятности (возможности) реализации угроз безопасности информации и степени возможного ущерба==
Идентифицированная угроза безопасности информации подлежит нейтрализации (блокированию), если она является актуальной (УБИj А ) для информационной системы, то есть в информационной системе с заданными структурно функциональными характеристиками и особенностями функционирования существует вероятность (возможность) реализации рассматриваемой угрозы нарушителем с соответствующим потенциалом и ее реализация приведет к неприемлемым негативным последствиям (ущербу):
УБИj А = [вероятность (возможность) реализации угрозы (Рj); степень ущерба (Хj)].

Актуальные угрозы безопасности информации включаются в модель угроз безопасности информации. Модель угроз безопасности информации, учитывая особенности информационной системы, используемые в ней программные, программно-технические, технические средства и процессы обработки информации, дает описание угроз безопасности, которым подвержена информационная система. Структура модели угроз безопасности информации приведена в приложении № 2 к настоящей Методике.

==г) мониторинг и переоценка угроз безопасности информации==

Определение угроз безопасности информации на этапе создания информационной системы позволяет обеспечить формирование требований и внедрение эффективной адекватной системы защиты информации в информационной системе для угроз, актуальных к моменту ввода в эксплуатацию информационной системы.

В ходе эксплуатации информационной системы оператор, обеспечивая достижение целей и задач информационной системы, может изменять ее базовую конфигурацию, что приводит к изменению структурно-функциональных характеристик информационной системы и применяемых информационных технологий. Также в процессе эксплуатации возможно изменение состава и значимости обрабатываемой информации и особенностей функционирования информационной системы.

В этих условиях процесс определения угроз безопасности информации должен носить систематический характер. В ходе эксплуатации информационной системы регулярно проводится анализ изменения угроз безопасности информации, а актуальные угрозы безопасности информации подлежат периодической переоценке. Периодичность переоценки определяется организацией исходя из особенностей функционирования информационной системы. Рекомендуется пересматривать угрозы безопасности информации не реже одного раза в год. По результатам анализа проводится уточнение (при необходимости) модели угроз
безопасности информации.

Пересмотр (переоценка) угроз безопасности информации, как минимум, осуществляется в случаях:
*изменения требований законодательства Российской Федерации о защите информации, нормативных правовых актов и методических документов, регламентирующих защиту информации;
*изменения конфигурации (состава основных компонентов) и особенностей функционирования информационной системы, следствием которых стало возникновение новых угроз безопасности информации;
*выявления уязвимостей, приводящих к возникновению новых угроз безопасности информации или к повышению возможности реализации существующих;
*появления сведений и фактов о новых возможностях нарушителей.

= ОЦЕНКА ВОЗМОЖНОСТЕЙ НАРУШИТЕЛЕЙ ПО РЕАЛИЗАЦИИ УГРОЗ БЕЗОПАСНОСТИ ИНФОРМАЦИИ (РАЗРАБОТКА МОДЕЛИ НАРУШИТЕЛЯ) =

Целью оценки возможностей нарушителей по реализации угроз безопасно-
сти информации является формирование предположения о типах, видах наруши-
телей, которые могут реализовать угрозы безопасности информации в информа-
ционной системе с заданными структурно-функциональными характеристиками
и особенностями функционирования, а также потенциале этих нарушителей и
возможных способах реализации угроз безопасности информации.
Результаты оценки возможностей нарушителей включаются в модель
нарушителя, которая является составной частью (разделом) модели угроз без-
опасности информации и содержит:
типы, виды и потенциал нарушителей, которые могут обеспечить реализа-
цию угроз безопасности информации;
цели, которые могут преследовать нарушители каждого вида при реализа-
ции угроз безопасности информации;
возможные способы реализации угроз безопасности информации.
а) типы нарушителей
Типы нарушителей определяются по результатам анализа прав доступа
субъектов к информации и (или) к компонентам информационной системы, а
также анализа возможностей нарушителей по доступу к компонентам информа-
ционной системы исходя из структурно-функциональных характеристик и осо-
бенностей функционирования информационной системы.
В зависимости от имеющихся прав доступа нарушители могут иметь леги-
тимный физический (непосредственный) и (или) логический доступ к компонен-
там информационной системы и (или) содержащейся в них информации или не
иметь такого доступа.
Анализ прав доступа проводится, как минимум, в отношении следующих
компонент информационной системы:
устройств ввода/вывода (отображения) информации;
беспроводных устройств;
программных, программно-технических и технических средств обработки
информации;
съемных машинных носителей информации;
машинных носителей информации, выведенных из эксплуатации;
активного (коммутационного) и пассивного оборудования каналов связи;
каналов связи, выходящих за пределы контролируемой зоны.
С учетом наличия прав доступа и возможностей по доступу к информации
и (или) к компонентам информационной системы нарушители подразделяются
на два типа:
11
внешние нарушители (тип I) – лица, не имеющие права доступа к инфор-
мационной системе, ее отдельным компонентам и реализующие угрозы безопас-
ности информации из-за границ информационной системы;
внутренние нарушители (тип II) – лица, имеющие право постоянного или
разового доступа к информационной системе, ее отдельным компонентам.
Наибольшими возможностями по реализации угроз безопасности обладают
внутренние нарушители. При оценке возможностей внутренних нарушителей
необходимо учитывать принимаемые оператором организационные меры по до-
пуску субъектов к работе в информационной системе. Возможности внутреннего
нарушителя существенным образом зависят от установленного порядка допуска
физических лиц к информационной системе и ее компонентам, а также мер по
контролю за доступом и работой этих лиц.
Внешнего нарушителя необходимо рассматривать в качестве актуального
во всех случаях, когда имеются подключения информационной системы к внеш-
ним информационно-телекоммуникационным сетям и (или) имеются линии свя-
зи, выходящие за пределы контролируемой зоны, используемые для иных под-
ключений.
б) виды и потенциал нарушителей
Угрозы безопасности информации в информационной системе могут быть
реализованы следующими видами нарушителей:
специальные службы иностранных государств (блоков государств);
террористические, экстремистские группировки;
преступные группы (криминальные структуры);
внешние субъекты (физические лица);
конкурирующие организации;
разработчики, производители, поставщики программных, технических и
программно-технических средств;
лица, привлекаемые для установки, наладки, монтажа, пусконаладочных и
иных видов работ;
лица, обеспечивающие функционирование информационных систем или
обслуживающие инфраструктуру оператора (администрация, охрана, уборщики
и т.д.);
пользователи информационной системы;
администраторы информационной системы и администраторы безопасно-
сти;
бывшие работники (пользователи).
Виды нарушителей, характерных для информационной системы с задан-
ными структурно-функциональными характеристиками и особенностями функ-
ционирования, определяются на основе предположений (прогноза) о возможных
целях (мотивации) при реализации угроз безопасности информации этими нару-
шителями.
В качестве возможных целей (мотивации) реализации нарушителями угроз
безопасности информации в информационной системе могут быть:
12
нанесение ущерба государству, отдельным его сферам деятельности или
секторам экономики;
реализация угроз безопасности информации по идеологическим или поли-
тическим мотивам;
организация террористического акта;
причинение имущественного ущерба путем мошенничества или иным пре-
ступным путем;
дискредитация или дестабилизация деятельности органов государственной
власти, организаций;
получение конкурентных преимуществ;
внедрение дополнительных функциональных возможностей в программное
обеспечение или программно-технические средства на этапе разработки;
любопытство или желание самореализации;
выявление уязвимостей с целью их дальнейшей продажи и получения фи-
нансовой выгоды;
реализация угроз безопасности информации из мести;
реализация угроз безопасности информации непреднамеренно из-за не-
осторожности или неквалифицированных действий.
Предположения о целях (мотивации) нарушителей делаются с учетом це-
лей и задач информационной системы, вида обрабатываемой информации, а
также с учетом результатов оценки степени возможных последствий (ущерба) от
нарушения конфиденциальности, целостности или доступности информации.
Виды нарушителя и их возможные цели (мотивация) реализации угроз безопас-
ности информации приведены в таблице 1.
Таблица 1
№
вида
Виды
нарушителя
Типы
нарушителя
Возможные цели (мотивация)
реализации угроз безопасности
информации
1 Специальные службы
иностранных государств
(блоков государств)
Внешний,
внутренний
Нанесение ущерба государству,
отдельным его сферам деятель-
ности или секторам экономики.
Дискредитация или дестабили-
зация деятельности органов
государственной власти, орга-
низаций
2 Террористические, экс-
тремистские группиров-
ки
Внешний Нанесение ущерба государству,
отдельным его сферам деятель-
ности или секторам экономики.
Совершение террористических
актов.
Идеологические или политиче-
ские мотивы.
Дестабилизация деятельности
органов государственной вла-
13
сти, организаций
3 Преступные группы
(криминальные структу-
ры)
Внешний Причинение имущественного
ущерба путем мошенничества
или иным преступным путем.
Выявление уязвимостей с це-
лью их дальнейшей продажи и
получения финансовой выгоды
4 Внешние субъекты (фи-
зические лица)
Внешний Идеологические или политиче-
ские мотивы.
Причинение имущественного
ущерба путем мошенничества
или иным преступным путем.
Любопытство или желание са-
мореализации (подтверждение
статуса).
Выявление уязвимостей с це-
лью их дальнейшей продажи и
получения финансовой выгоды
5 Конкурирующие орга-
низации
Внешний Получение конкурентных пре-
имуществ.
Причинение имущественного
ущерба путем обмана или зло-
употребления доверием
6 Разработчики, произво-
дители, поставщики про-
граммных, технических и
программно-технических
средств
Внешний Внедрение дополнительных
функциональных возможностей
в программное обеспечение или
программно-технические сред-
ства на этапе разработки.
Причинение имущественного
ущерба путем обмана или зло-
употребления доверием.
Непреднамеренные, неосто-
рожные или неквалифициро-
ванные действия
7 Лица, привлекаемые для
установки, наладки, мон-
тажа, пусконаладочных и
иных видов работ
Внутренний Причинение имущественного
ущерба путем обмана или зло-
употребления доверием.
Непреднамеренные, неосто-
рожные или неквалифициро-
ванные действия
8 Лица, обеспечивающие
функционирование ин-
формационных систем
или обслуживающие ин-
фраструктуру оператора
Внутренний Причинение имущественного
ущерба путем обмана или зло-
употребления доверием.
Непреднамеренные, неосто-
рожные или неквалифициро-
14
(администрация, охрана,
уборщики и т.д.)
ванные действия
9 Пользователи информа-
ционной системы
Внутренний Причинение имущественного
ущерба путем мошенничества
или иным преступным путем.
Любопытство или желание са-
мореализации (подтверждение
статуса).
Месть за ранее совершенные
действия.
Непреднамеренные, неосто-
рожные или неквалифициро-
ванные действия
10 Администраторы ин-
формационной системы
и администраторы без-
опасности
Внутренний Причинение имущественного
ущерба путем мошенничества
или иным преступным путем.
Любопытство или желание са-
мореализации (подтверждение
статуса).
Месть за ранее совершенные
действия.
Выявление уязвимостей с це-
лью их дальнейшей продажи и
получения финансовой выгоды.
Непреднамеренные, неосто-
рожные или неквалифициро-
ванные действия
11 Бывшие работники
(пользователи)
Внешний Причинение имущественного
ущерба путем мошенничества
или иным преступным путем.
Месть за ранее совершенные
действия
При оценке возможностей нарушителей необходимо исходить из условий,
что для повышения своих возможностей нарушители 1 вида могут вступать в
сговор с нарушителями 3, 4, 6, 7, 8, 9 и 10 видов. Нарушители 2 вида могут всту-
пать в сговор с нарушителями 4, 7, 8, 9 и 10 видов. Нарушители 3 вида могут
вступать в сговор с нарушителями 4, 7, 8, 9 и 10 видов. В случае принятия таких
предположений цели (мотивация) и возможности нарушителей подлежат объ-
единению.
Возможности каждого вида нарушителя по реализации угроз безопасности
информации характеризуются его потенциалом. Потенциал нарушителя опреде-
ляется компетентностью, ресурсами и мотивацией, требуемыми для реализации
угроз безопасности информации в информационной системе с заданными струк-
15
турно-функциональными характеристиками и особенностями функционирова-
ния.
В зависимости от потенциала, требуемого для реализации угроз безопас-
ности информации, нарушители подразделяются на:
нарушителей, обладающих базовым (низким) потенциалом нападения при
реализации угроз безопасности информации в информационной системе;
нарушителей, обладающих базовым повышенным (средним) потенциалом
нападения при реализации угроз безопасности информации в информационной
системе;
нарушителей, обладающих высоким потенциалом нападения при реализа-
ции угроз безопасности информации в информационной системе.
Потенциал нарушителей и их возможности приведены в таблице 2.
Таблица 2
№ Потенциал
нарушителей
Виды
нарушителей
Возможности по реализации угроз без-
опасности информации
1 Нарушители с
базовым (низ-
ким) потенци-
алом
Внешние субъ-
екты (физические
лица),
лица, обеспечи-
вающие функци-
онирование ин-
формационных
систем или об-
служивающих
инфраструктуру
оператора,
пользователи
информационной
системы,
бывшие работ-
ники,
лица, привлека-
емые для уста-
новки, наладки,
монтажа, пуско-
наладочных и
иных работ
Имеют возможность получить инфор-
мацию об уязвимостях отдельных ком-
понент информационной системы,
опубликованную в общедоступных ис-
точниках.
Имеют возможность получить инфор-
мацию о методах и средствах реализа-
ции угроз безопасности информации
(компьютерных атак), опубликованных
в общедоступных источниках, и (или)
самостоятельно осуществляет создание
методов и средств реализации атак и
реализацию атак на информационную
систему
2 Нарушители с
базовым по-
вышенным
(средним) по-
тенциалом
Террористиче-
ские, экстремист-
ские группиров-
ки,
преступные
группы (крими-
нальные структу-
Обладают всеми возможностями
нарушителей с базовым потенциалом.
Имеют осведомленность о мерах за-
щиты информации, применяемых в ин-
формационной системе данного типа.
Имеют возможность получить инфор-
мацию об уязвимостях отдельных ком-
16
ры),
конкурирующие
организации,
разработчики,
производители,
поставщики про-
граммных, техни-
ческих и про-
граммно-
технических
средств,
администраторы
информационной
системы и адми-
нистраторы без-
опасности
понент информационной системы пу-
тем проведения, с использованием
имеющихся в свободном доступе про-
граммных средств, анализа кода при-
кладного программного обеспечения и
отдельных программных компонент
общесистемного программного обеспе-
чения.
Имеют доступ к сведениям о струк-
турно-функциональных характеристи-
ках и особенностях функционирования
информационной системы
3 Нарушители с
высоким по-
тенциалом
Специальные
службы ино-
странных госу-
дарств (блоков
государств)
Обладают всеми возможностями
нарушителей с базовым и базовым по-
вышенным потенциалами.
Имеют возможность осуществлять не-
санкционированный доступ из выде-
ленных (ведомственных, корпоратив-
ных) сетей связи, к которым возможен
физический доступ (незащищенных ор-
ганизационными мерами).
Имеют возможность получить доступ
к программному обеспечению чипсетов
(микропрограммам), системному и при-
кладному программному обеспечению,
телекоммуникационному оборудова-
нию и другим программно-техническим
средствам информационной системы
для преднамеренного внесения в них
уязвимостей или программных закла-
док.
Имеют хорошую осведомленность о
мерах защиты информации, применяе-
мых в информационной системе, об ал-
горитмах, аппаратных и программных
средствах, используемых в информаци-
онной системе.
Имеют возможность получить инфор-
мацию об уязвимостях путем проведе-
ния специальных исследований (в том
числе с привлечением специализиро-
17
ванных научных организаций) и приме-
нения специально разработанных
средств для анализа программного
обеспечения.
Имеют возможность создания методов
и средств реализации угроз безопасно-
сти информации с привлечением специ-
ализированных научных организаций и
реализации угроз с применением специ-
ально разработанных средств, в том
числе обеспечивающих скрытное про-
никновение в информационную систе-
му и воздействие на нее.
Имеют возможность создания и при-
менения специальных технических
средств для добывания информации
(воздействия на информацию или тех-
нические средства), распространяю-
щейся в виде физических полей или яв-
лений
в) возможные способы реализации угроз безопасности информации
Целью определения возможных способов реализации угроз безопасности
информации является формирование предположений о возможных сценариях
реализации угроз безопасности информации, описывающих последовательность
(алгоритмы) действий отдельных видов нарушителей или групп нарушителей и
применяемые ими методы и средства для реализации угроз безопасности инфор-
мации.
Возможные способы реализации угроз безопасности информации зависят
от структурно-функциональных характеристик и особенностей функционирова-
ния информационной системы.
Угрозы безопасности информации могут быть реализованы нарушителями
за счет:
несанкционированного доступа и (или) воздействия на объекты на аппа-
ратном уровне (программы (микропрограммы), «прошитые» в аппаратных ком-
понентах (чипсетах));
несанкционированного доступа и (или) воздействия на объекты на обще-
системном уровне (базовые системы ввода-вывода, гипервизоры, операционные
системы);
несанкционированного доступа и (или) воздействия на объекты на при-
кладном уровне (системы управления базами данных, браузеры, web-
приложения, иные прикладные программы общего и специального назначения);
несанкционированного доступа и (или) воздействия на объекты на сетевом
уровне (сетевое оборудование, сетевые приложения, сервисы);
18
несанкционированного физического доступа и (или) воздействия на линии,
(каналы) связи, технические средства, машинные носители информации;
воздействия на пользователей, администраторов безопасности, админи-
страторов информационной системы или обслуживающий персонал (социальная
инженерия).
Действия нарушителя в зависимости от его потенциала при реализации
угроз безопасности информации предусматривают идентификацию и использо-
вание уязвимостей в микропрограммном, общесистемном и прикладном про-
граммном обеспечении, сетевом оборудовании, применяемых в информацион-
ной системе, а также в организации работ по защите информации и конфигура-
ции информационной системы.
При определении способа реализации угроз безопасности информации
необходимо учитывать то, что угрозы безопасности информации могут быть ре-
ализованы непосредственно за счет доступа к компонентам информационной си-
стемы и (или) информации или опосредовано (косвенно) за счет создания усло-
вий и (или) средств, обеспечивающих такой доступ, а также за счет доступа или
воздействия на обслуживающую инфраструктуру, за которую оператор не отве-
чает. При этом локальной целью нарушителя, не имеющего доступа (прав досту-
па) к компонентам информационной системы и (или) информации, как правило,
является получение доступа к информационной системе (в том числе через
внешние сети связи общего пользования) и получение максимально возможных
прав и привилегий при таком доступе.
Нарушители могут совершать действия, следствием которых является
нарушение безопасности информации, преднамеренно (преднамеренные грозы
безопасности информации) или случайно (непреднамеренные грозы безопасно-
сти информации).
Преднамеренные действия нарушителей могут заключаться в реализации
целенаправленных или нецеленаправленных угроз безопасности информации.
Целенаправленная угроза безопасности информации направлена на инте-
ресующую нарушителя информационную систему с заранее известными ему
структурно-функциональными характеристиками и особенностями функциони-
рования. Целенаправленная угроза безопасности информации адаптирована к
структурно-функциональным характеристикам информационной системы. При
подготовке и реализации целенаправленных угроз безопасности информации
нарушитель может использовать методы социальной инженерии, которые позво-
ляют ему изучить поведение пользователей и их реакцию на поступающие к ним
внешние данные.
Нецеленаправленная («веерная») угроза безопасности информации не ори-
ентирована на конкретную информационную систему. Целями такой угрозы мо-
гут являться несанкционированный доступ, перехват управления или воздей-
ствие на как можно большее количество информационных систем. В данном
случае нарушителю заранее не известны структурно-функциональные характе-
ристики и условия функционирования информационной системы.
Реализация преднамеренных угроз безопасности информации, как прави-
ло, включает:
19
сбор информации об информационной системе, ее структурно-
функциональных характеристиках, условиях функционирования;
выбор (разработка, приобретение) методов и средств, используемых для
реализации угроз безопасности информации в информационной системе с задан-
ными структурно-функциональными характеристиками и условиями функцио-
нирования;
непосредственная реализация угроз безопасности информации в информа-
ционной системе (проникновение в информационную систему, закрепление в
информационной системе, реализация неправомерных действий);
устранение признаков и следов неправомерных действий в информацион-
ной системе.
В зависимости от целей и потенциала нарушителя на каждом из этапов мо-
гут эксплуатироваться одна или несколько уязвимостей информационной систе-
мы.
При определении возможных способов реализации угроз безопасности
информации необходимо исходить из следующих условий:
нарушитель может действовать один или в составе группы нарушителей;
в отношении информационной системы внешний нарушитель может дей-
ствовать совместно с внутренним нарушителем;
угрозы могут быть реализованы в любое время и в любой точке информа-
ционной системы (на любом узле или хосте);
для достижения своей цели нарушитель выбирает наиболее слабое звено
информационной системы.
Возможные способы реализации угроз безопасности информации, опреде-
ленные на основе настоящего раздела, включаются в модель угроз безопасности
информации.
20
= ОПРЕДЕЛЕНИЕ АКТУАЛЬНЫХ УГРОЗ БЕЗОПАСНОСТИ ИНФОРМАЦИИ В ИНФОРМАЦИОННОЙ СИСТЕМЕ =
Угроза безопасности информации является актуальной (УБИj
А
), если для
информационной системы с заданными структурно-функциональными характе-
ристиками и особенностями функционирования существует вероятность реали-
зации рассматриваемой угрозы нарушителем с соответствующим потенциалом и
ее реализация приведет к неприемлемым негативным последствиям (ущербу) от
нарушения конфиденциальности, целостности или доступности информации.
В качестве показателя актуальности угрозы безопасности информации
(УБИj
А
) принимается двухкомпонентный вектор, первый компонент которого
характеризует вероятность реализации угрозы (Рj), а второй – степень возможно-
го ущерба в случае ее реализации (Хj)
УБИj
А
= [вероятность реализации угрозы (Рj); степень ущерба (Хj)],
где Рj определятся на основе анализа статистических данных о частоте ре-
ализации угроз безопасности информации (возникновении инцидентов безопас-
ности) в информационной системе и (или) однотипных информационных систе-
мах, а Хj определяется на основе оценок степени последствий от нарушения
конфиденциальности, целостности или доступности информации.
При отсутствии статистических данных о реализации угроз безопасности
информации (возникновении инцидентов безопасности) в информационной си-
стеме и (или) однотипных информационных системах, актуальность угрозы без-
опасности информации определяется на основе оценки возможности реализации
угрозы безопасности информации (Yj)
УБИj
А
= [возможность реализации угрозы (Yj); степень ущерба (Хj)],
где Yj определятся на основе оценки уровня защищенности информацион-
ной системы и потенциала нарушителя, требуемого для реализации угрозы без-
опасности. Хj также определяется на основе оценок степени последствий от
нарушения конфиденциальности, целостности или доступности информации.
Актуальность угроз безопасности информации определяется в отношении
угроз, для которых экспертным методом определено, что:
возможности (потенциал) нарушителя достаточны для реализации угрозы
безопасности информации;
в информационной системе могут иметься потенциальные уязвимости, ко-
торые могут быть использованы при реализации j-ой угрозы безопасности ин-
формации;
структурно-функциональные характеристики и особенности функциони-
рования информационной системы не исключают возможности применения спо-
собов, необходимых для реализации j-ой угрозы безопасности информации (су-
ществует сценарий реализации угрозы безопасности);
21
реализация угрозы безопасности информации приведет к нарушению кон-
фиденциальности, целостности или доступности информации, в результате ко-
торого возможно возникновение неприемлемых негативных последствий (ущер-
ба).
В качестве исходных данных об угрозах безопасности информации и их
характеристиках используется банк данных угроз безопасности информации,
сформированный и поддерживаемый ФСТЭК России, а также базовые и типовые
модели угроз безопасности информации, разрабатываемые ФСТЭК России для
различных классов и типов информационных систем.
Для определения угроз безопасности информации могут использоваться
иные источники, в том числе опубликованные в общедоступных источниках
данные об уязвимостях, компьютерных атаках, вредоносном программном
обеспечении, а также результаты специально проведенных исследований по вы-
явлению угроз безопасности информации. В этом случае потенциал нарушителя,
возможные уязвимости, способы реализации угрозы безопасности информации и
последствия от ее реализации определяются для каждой угрозы безопасности
информации.
а) оценка вероятности (возможности) реализации угрозы безопасности
информации
Под вероятностью реализации угрозы безопасности информации понима-
ется определяемый экспертным путем показатель, характеризующий, насколько
вероятным является реализация j-ой угрозы безопасности информации в инфор-
мационной системе с заданными структурно-функциональными характеристи-
ками и особенностями функционирования. Вводятся три вербальные градации
этого показателя:
низкая вероятность – отсутствуют объективные предпосылки к реализации
j-ой угрозы безопасности информации, отсутствует требуемая статистика по
фактам реализации j-ой угрозы безопасности информации (возникновения инци-
дентов безопасности), отсутствует мотивация для реализации j-ой угрозы, воз-
можная частота реализации j-ой угрозы не превышает 1 раза в 5 лет;
средняя вероятность – существуют предпосылки к реализации j-ой угрозы
безопасности информации, зафиксированы случаи реализации j-ой угрозы без-
опасности информации (возникновения инцидентов безопасности) или имеется
иная информация, указывающая на возможность реализации j-ой угрозы без-
опасности информации, существуют признаки наличия у нарушителя мотивации
для реализации такой угрозы, возможная частота реализации j-ой угрозы не пре-
вышает 1 раза в год;
высокая вероятность – существуют объективные предпосылки к реализа-
ции j-ой угрозы безопасности информации, существует достоверная статистика
реализации j-ой угрозы безопасности информации (возникновения инцидентов
безопасности) или имеется иная информация, указывающая на высокую возмож-
ность реализации j-ой угрозы безопасности информации, у нарушителя имеются
22
мотивы для реализации j-ой угрозы, частота реализации j-ой угрозы – чаще 1 ра-
за в год.
В случае отсутствия требуемых данных для оценки вероятности реализа-
ции угрозы безопасности информации или наличия сомнений в объективности
экспертных оценок при определении вербальных градаций вероятности реализа-
ции угроз безопасности информации, актуальность j-ой угрозы безопасности
информации определяется на основе оценки возможности ее реализации (Yj).
Возможность реализации j-ой угрозы безопасности информации (Yj) оце-
нивается исходя из уровня защищенности информационной системы (Y1) и по-
тенциала нарушителя (Y2), необходимого для реализации этой угрозы безопас-
ности информации в информационной системе с заданными структурно-
функциональными характеристиками и особенностями функционирования:
Yj = [уровень защищенности (Y1); потенциал нарушителя (Y2)].
При определении угроз безопасности информации на этапе создания ин-
формационной системы в случае, когда меры защиты информации не реализова-
ны или не проведена оценка их достаточности и эффективности, оценка возмож-
ности реализации j-ой угрозы безопасности информации (Yj) проводится относи-
тельно уровня проектной защищенности информационной системы (Y1П):
Yj = [уровень проектной защищенности (Y1П); потенциал нарушителя (Y2)].
Под уровнем проектной защищенности (Y1П) понимается исходная защи-
щенность информационной системы, обусловленная заданными при проектиро-
вании структурно-функциональными характеристиками и условиями ее функци-
онирования. Уровень проектной защищенности (Y1П) определяется на основе
анализа проектных структурно-функциональных характеристик, приведенных в
таблице 3.
Показатели, характеризующие проектную
защищенность информационной системы
Таблица 3
Структурно-функциональные характе-
ристики информационной системы,
условия ее эксплуатации
Уровень проектной защищенности ин-
формационной системы (Y1П)
Высокий Средний Низкий
1. По структуре информационной си-
стемы:
автономное автоматизированное рабо-
чее место;
локальная информационная система;
распределенная информационная си-
стема
+
+
+
2. По используемым информационным
технологиям:
23
системы на основе виртуализации;
системы, реализующие «облачные
вычисления»;
системы с мобильными устройства-
ми;
системы с технологиями беспровод-
ного доступа;
грид
-системы;
суперкомпьютерные системы
+
+++++
3
. По архитектуре информационной
системы
:
системы на основе «тонкого клиен-
та»;
системы на основе одноранговой
се-
ти
;
файл
-серверные системы
;
центры обработки данных;
системы с уд
аленным доступом
пользователей;
использование разных типов опера-
ционных систем (гетерогенность сре-
ды)
;
использование прикладных про-
грамм, независимых от операционных
систем
;
использование выделенных каналов
связи
+
++++
+++
4
. По наличию (отсутствию) взаимо-
связей с иными информационными си-
стемами
:
взаимодействующая с системами
;
невзаимодействующая с системами
+
+
5
. По наличию (отсутствию) взаимо-
связей (подключений)
к сетям связи
общего пользования
:
подключенная
;
подключенная через выделенную
инфраструктуру (gov
.ru или иную);
неподключенной
+
+
+
6
. По размещению технических
средств:
расположенные в пределах одной
контролируемой зоны;
расположенные в пределах несколь-
ких контролируемых зон;
+
+
24
расположенные вне контролируемой
зоны
+
7. По режимам обработки информации
в информационной системе:
многопользовательский;
однопользовательский +
+
8. По режимам разграничения прав до-
ступа:
без разграничения;
с разграничением +
+
9. По режимам разделения функций по
управлению информационной системой:
без разделения;
выделение рабочих мест для адми-
нистрирования в отдельный домен;
использование различных сетевых
адресов;
использование выделенных каналов
для администрирования
+
+
+
+
10. По подходам к сегментированию
информационной системы:
без сегментирования;
с сегментированием +
+
В ходе создания информационной системы уровень ее проектной защи-
щенности (Y1П) определяется следующим образом:
а) информационная система имеет высокий уровень проектной защищен-
ности (Y1П), если не менее 80% характеристик информационной системы соот-
ветствуют уровню «высокий» (суммируются положительные решения по второ-
му столбцу, соответствующему высокому уровню защищенности), а остальные -
среднему уровню защищенности (положительные решения по третьему столб-
цу);
б) информационная система имеет средний уровень проектной защищен-
ности (Y1П), если не выполняются условия по пункту а) и не менее 90% характе-
ристик информационной системы соответствуют уровню не ниже «средний»
(берется отношение суммы положительных решений по третьему столбцу, соот-
ветствующему среднему уровню защищенности, к общему количеству решений),
а остальные - низкому уровню защищенности;
в) информационная система имеет низкий уровень проектной защищенно-
сти (Y1П), если не выполняются условия по пунктам а) и б).
В соответствии с требованиями о защите информации, не составляющей
государственную тайну, содержащейся в государственных информационных си-
стемах, до ввода в эксплуатацию информационной системы должны быть реали-
зованы меры защиты информации, направленные на блокирование (нейтрализа-
25
цию) актуальных угроз безопасности информации. Таким образом, ввод в экс-
плуатацию информационной системы осуществляется при условии достижения
высокого уровня исходной защищенности информационной системы от нару-
шителя с заданным потенциалом.
Вместе с тем, в ходе эксплуатации информационной системы возможно
появление новых уязвимостей, повышение потенциала нарушителя, изменение
структурно-функциональных характеристик, значимости обрабатываемой ин-
формации, особенностей функционирования информационной системы и других
условий, приводящих к возникновению новых угроз безопасности информации,
которые могут существенно снизить уровень проектной защищенности инфор-
мационной системы. В этом случае для поддержания уровня защищенности ин-
формационной системы в ходе эксплуатации должен проводиться регулярный
анализ изменения угроз безопасности информации, а актуальные угрозы без-
опасности информации подлежат периодической переоценке.
В ходе эксплуатации информационной системы уровень ее защищенности
(Y1) определяется следующим образом:
а) в информационной системе обеспечивается высокий уровень защищен-
ности (Y1), если в ходе эксплуатации информационной системы не появились
дополнительные угрозы безопасности информации или в отношении появив-
шихся дополнительных угроз безопасности информации с высокой оперативно-
стью («за минуты») могут быть приняты меры защиты информации, нейтрали-
зующие эти угрозы;
б) в информационной системе обеспечивается средний уровень защищен-
ности (Y1), если в ходе эксплуатации информационной системы появились до-
полнительные угрозы безопасности информации и в отношении них оперативно
(«за часы») могут быть приняты меры защиты информации, нейтрализующие эти
угрозы;
в) в информационной системе обеспечивается низкий уровень защищен-
ности (Y1), если в ходе эксплуатации информационной системы появились до-
полнительные угрозы безопасности информации и в отношении них не могут
быть с высокой оперативностью или оперативно приняты меры защиты инфор-
мации, нейтрализующие эти угрозы.
Потенциал, требуемый нарушителю для реализации j-ой угрозы безопас-
ности информации, может быть базовым (низким), базовым повышенным (сред-
ним) или высоким. Значение потенциала нарушителя (Y2) для j-ой угрозы без-
опасности информации определяется на основе данных, приведенных в банке
данных угроз безопасности информации ФСТЭК России, а также в базовых и
типовых моделях угроз безопасности информации, разрабатываемых ФСТЭК
России для информационных систем различных классов и типов. В случае отсут-
ствия информации о потенциале нарушителя для реализации j-ой угрозы без-
опасности значение потенциала (Y2) определяется в соответствии с приложением
№ 3 к настоящей Методике.
Возможность реализации j-ой угрозы безопасности информации (Yj) в за-
висимости от уровня защищенности информационной системы (Y1/Y1П) и потен-
26
циала нарушителя (Y2) определяется как высокая, средняя или низкая в соответ-
ствии с таблицей 4.
Возможность
реализации угрозы безопасности информации
Таблица 4
Уровень защищенности (Y1/Y1П)
Потенциал нарушителя (Y2)
Высокий Средний Низкий
Базовый (низкий) Низкая Средняя Высокая
Базовый повышенный (средний) Средняя Высокая Высокая
Высокий Высокая Высокая Высокая
б) оценка степени возможного ущерба от реализации угрозы безопас-
ности информации
Для оценки степени возможного ущерба от реализации угрозы безопасно-
сти информации определяются возможный результат реализации угрозы без-
опасности информации в информационной системе, вид ущерба, к которому мо-
жет привести реализация угрозы безопасности информации, степень послед-
ствий от реализации угрозы безопасности информации для каждого вида ущер-
ба.
В качестве результата реализации угрозы безопасности информации рас-
сматриваются непосредственное или опосредованное воздействие на конфиден-
циальность, целостность, доступность информации, содержащейся в информа-
ционной системе.
Непосредственное воздействие на конфиденциальность, целостность, до-
ступность информации возможно в результате реализации прямой угрозы без-
опасности информации. В этом случае объектами воздействия угрозы являются
непосредственно информация и (или) иные объекты защиты информационной
системы или обеспечивающей инфраструктуры, которые обеспечивают получе-
ние, обработку, хранение, передачу, уничтожение информации в информацион-
ной системе, в результате доступа к которым или воздействия на которые воз-
можно воздействие на конфиденциальность, целостность или доступность ин-
формации.
Опосредованное воздействие на конфиденциальность, целостность, до-
ступность информации рассматривается в результате реализации косвенных
угроз безопасности информации. Реализация косвенных угроз безопасности ин-
формации не приводит непосредственно к воздействию на конфиденциальность,
целостность, доступность информации, но создает условия для реализации од-
ной или нескольких прямых угроз безопасности информации, позволяющих реа-
лизовать такое воздействие. В этом случае в качестве результата реализации
косвенной угрозы необходимо рассматривать результаты реализации всех пря-
27
мых угроз безопасности информации, которые возможно реализовать в случае
реализации данной косвенной угрозы.
Результат реализации угрозы безопасности информации определяется воз-
действием угрозы на каждое свойство безопасности информации (конфиденци-
альность, целостность, доступность) в отдельности в соответствии с таблицей 5.
При обработке в информационной системе двух и более видов информации
(служебная тайна, персональные данные, налоговая тайна, иные установленные
законодательством Российской Федерации виды информации) воздействие на
конфиденциальность, целостность, доступность определяется отдельно для каж-
дого вида информации (k, …, m), содержащейся в информационной системе.
Таблица 5
Свойство
безопасности
информации
Результат реализации
угрозы безопасности информации
Не оказывает воздействия Оказывает воздействие
Конфиденциаль-
ность
К Xk1
В результате реализации
угрозы безопасности инфор-
мации отсутствует возмож-
ность неправомерного досту-
па, копирования, предостав-
ления или распространения
информации
В результате реализации
угрозы безопасности ин-
формации возможны не-
правомерный доступ, ко-
пирование, предоставле-
ние или распространение
информации
Целостность
Ц Xk1
В результате реализации
угрозы безопасности инфор-
мации отсутствует возмож-
ность уничтожения или мо-
дифицирования информации
В результате реализации
угрозы безопасности ин-
формации возможно уни-
чтожение или модифици-
рование информации
Доступность
Д Xk1
В результате реализации
угрозы безопасности инфор-
мации отсутствует возмож-
ность блокирования инфор-
мации
В результате реализации
угрозы безопасности ин-
формации возможно бло-
кирование информации
При определении степени возможного ущерба необходимо исходить из то-
го, что в зависимости от целей и задач, решаемых информационной системой,
видов обрабатываемой информации, воздействие на конфиденциальность, це-
лостность или доступность каждого вида информации, содержащейся в инфор-
мационной системе, может привести к различным видам ущерба. При этом для
разных обладателей информации и операторов будут характерны разные виды
ущерба.
Основные виды ущерба и возможные негативные последствия, к которым
может привести нарушение конфиденциальности, целостности, доступности ин-
формации, приведены в таблице 6.
28
Таблица 6
Вид
ущерба
Возможные негативнее
последствия от нарушения конфиденциальности, целост-
ности, доступности информации
Экономический
(финансовый)
Снижение, как минимум, одного экономического показа-
теля.
Потеря (кража) финансовых средств.
Недополучение ожидаемой (прогнозируемой) прибыли.
Необходимость дополнительных (незапланированных)
затрат на выплаты штрафов (неустоек) или компенсаций.
Необходимость дополнительных (незапланированных)
затрат на закупку товаров, работ или услуг (в том числе
закупка программного обеспечения, технических средств,
вышедших из строя, замена, настройка, ремонт указанных
средств).
Необходимость дополнительных (незапланированных)
затрат на восстановление деятельности.
Потеря клиентов, поставщиков.
Потеря конкурентного преимущества.
Невозможность заключения договоров, соглашений.
Другие прямые или косвенные финансовые потери
Социальный Создание предпосылок для нанесения вреда здоровью
граждан.
Возможность нарушения функционирования объектов
обеспечения жизнедеятельности граждан.
Организация пикетов, забастовок, митингов и других ак-
ций.
Увольнения.
Увеличение количества жалоб в органы государственной
власти или органы местного самоуправления.
Появление негативных публикаций в общедоступных ис-
точниках.
Невозможность (прерывание) предоставления социаль-
ных услуг (сервисов).
Другие последствия, приводящие к нарастанию социаль-
ной напряженности в обществе
Политический Создание предпосылок к обострению отношений в меж-
дународных отношениях.
Срыв двусторонних (многосторонних) контактов с зару-
бежными партнерами.
Неспособность выполнения международных (двусторон-
них) договорных обязательств.
29
Невозможность заключения международных (двусторон-
них) договоров, соглашений.
Создание предпосылок к внутриполитическому кризису.
Нарушение выборного процесса.
Другие последствия во внутриполитической и внешнепо-
литической областях деятельности
Репутационный Нарушение законодательных и подзаконных актов.
Нарушение деловой репутации.
Снижение престижа.
Дискредитация работников.
Утрата доверия.
Неспособность выполнения договорных обязательств.
Другие последствия, приводящие к нарушению репута-
ции
Ущерб в области
обороны, безопас-
ности и правопо-
рядка
Создание предпосылок к наступлению негативных по-
следствий для обороны, безопасности и правопорядка.
Нарушение общественного правопорядка.
Неблагоприятное влияние на обеспечение общественного
правопорядка.
Возможность потери или снижения уровня контроля за
общественным правопорядком.
Отсутствие возможности оперативного оповещения
населения о чрезвычайной ситуации.
Другие последствия, приводящие к ущербу в области
обороны, безопасности и правопорядка
Ущерб субъекту
персональных дан-
ных
Создание угрозы личной безопасности.
Финансовые или иные материальные потери физического
лица.
Вторжение в частную жизнь.
Создание угрозы здоровью.
Моральный вред.
Утрата репутации.
Другие последствия, приводящие к нарушению прав
субъекта персональных данных
Технологический Невозможность решения задач (реализации функций)
или снижение эффективности решения задач (реализации
функций).
Необходимость изменения (перестроения) внутренних
процедур для достижения целей, решения задач (реализа-
ции функций).
Принятие неправильных решений.
Простой информационной системы или сегмента инфор-
мационной системы
Другие последствия, приводящие к нарушению техноло-
гии обработки информации
30
Указанные виды ущерба могут дополняться другими видами в зависимо-
сти от целей и задач, решаемых информационной системой, а также вида обра-
батываемой в ней информации.
Степень возможного ущерба от реализации угрозы безопасности инфор-
мации определяется степенью негативных последствий от нарушения конфиден-
циальности, целостности или доступности каждого вида информации, содержа-
щейся в информационной системе.
Степень негативных последствий от нарушения конфиденциальности, це-
лостности или доступности информации определяется для каждого вида ущерба,
зависит от целей и задач, решаемых информационной системой, и может иметь
разные значения для разных обладателей информации и операторов. В качестве
единой шкалы измерения степени негативных последствий принимаются значе-
ния «незначительные», «умеренные» и «существенные» негативные послед-
ствия. Каждым оператором определяется в указанной единой шкале измерений
степень негативных последствий от нарушения конфиденциальности, целостно-
сти или доступности информации применительно ко всем целям и задачам, ре-
шаемым информационной системой.
Степень возможного ущерба определяется экспертным методом в соответ-
ствии с таблицей 7.
Таблица 7
Степень
ущерба
Характеристика степени ущерба
Высокая В результате нарушения одного из свойств безопасности
информации (конфиденциальности, целостности, доступно-
сти) возможны существенные негативные последствия.
Информационная система и (или) оператор (обладатель
информации) не могут выполнять возложенные на них
функции
Средняя В результате нарушения одного из свойств безопасности
информации (конфиденциальности, целостности, доступно-
сти) возможны умеренные негативные последствия.
Информационная система и (или) оператор (обладатель
информации) не могут выполнять хотя бы одну из возложен-
ных на них функций
Низкая В результате нарушения одного из свойств безопасности
информации (конфиденциальности, целостности, доступно-
сти) возможны незначительные негативные последствия.
Информационная система и (или) оператор (обладатель
информации) могут выполнять возложенные на них функции
с недостаточной эффективностью или выполнение функций
возможно только с привлечением дополнительных сил и
средств
31
При обработке в информационной системе двух и более видов информа-
ции (служебная тайна, персональные данные, налоговая тайна и иные установ-
ленные законодательством Российской Федерации виды информации) степень
возможного ущерба определяется отдельно для каждого вида информации
(k, …, m), обрабатываемой в информационной системе, применительно к каждо-
му виду ущерба. Итоговая степень возможного ущерба устанавливается по
наивысшим значениям степени возможного ущерба, определенным для конфи-
денциальности, целостности, доступности информации каждого вида информа-
ции применительно к каждому виду ущерба.
X max(Х ); i К,Ц, Д.
i
k
i
k  
в) определение актуальности угрозы безопасности информации
Решение об актуальности угрозы безопасности информации УБИj
А
для
информационной системы с заданными структурно-функциональными характе-
ристиками и условиями функционирования принимается в соответствии с таб-
лицей 8.
Таблица 8
Вероятность (воз-
можность) реали-
зации угрозы (Yj)
Степень возможного ущерба (Хj)
Низкая Средняя Высокая
Низкая неактуальная неактуальная актуальная
Средняя неактуальная актуальная актуальная
Высокая актуальная актуальная актуальная
32
=Приложение № 1=
к
Методике определения угроз безопасности
информации в информационных системах
Рекомендации по формированию
экспертной группы и проведению экспертной оценки при
определении угроз безопасности информации
Качественное формирование экспертной группы способствует снижению
субъективных факторов при оценке угроз безопасности информации. Занижение
(ослабление) экспертами прогнозов и предположений при определении угроз
может повлечь наступление непрогнозируемого (неожиданного) ущерба в ре-
зультате реализации угрозы безопасности информации. Завышение экспертами
прогнозов и предположений при определении угроз может повлечь за собой не-
оправданные расходы на нейтрализацию угроз, являющихся неактуальными.
Независимо от результата формирования экспертной группы при оценке
угроз безопасности информации существуют субъективные факторы, связанные
с психологией принятия решений человеком. Это также может приводить как к
занижению (ослаблению), так и к завышению (усилению) экспертами прогнозов
и предположений при определении угроз безопасности информации, что в свою
очередь может привести к пропуску отдельных угроз безопасности информации
или к неоправданным затратам на нейтрализацию неактуальных угроз.
Любое решение, принимаемое экспертами при определении угроз безопас-
ности информации, должно исходить из правил, при которых нарушитель нахо-
дится в наилучших условиях для реализации угрозы безопасности (принципа
«гарантированности»).
а) формирование экспертной группы
В состав экспертной группы для определения угроз безопасности инфор-
мации рекомендуется включать экспертов (независимо от того, реализуются ли
функции обладателя информации, заказчика и оператора в рамках одной или не-
скольких организаций):
от подразделений обладателей информации, содержащейся в информаци-
онной системе;
от подразделений оператора информационной системы;
от подразделения по защите информации;
от лиц, предоставляющих услуги по обработке информации;
от разработчика информационной системы;
от операторов взаимодействующих внешних информационных систем (по
согласованию).
В качестве экспертов рекомендуется привлекать специалистов, деятель-
ность которых связана с обработкой информации в информационной системе, а
33
также специалистов, имеющие квалификацию и опыт работы в области приме-
нения информационных технологий и (или) в области защиты информации.
При привлечении в качестве экспертов специалистов от подразделений по
защите информации рекомендуется привлекать лиц, имеющих высшее образова-
ние или прошедших переподготовку (повышение квалификации) по направле-
нию подготовки «Информационная безопасность», или имеющих не менее трех
лет стажа практической работы в своей сфере деятельности.
Эксперты должны обладать независимостью, основанной на отсутствии
коммерческого и финансового интереса или другого давления, которое может
оказать влияние на принимаемые решения. Не рекомендуется формировать экс-
пертную группу из участников, находящихся в прямом подчинении, так как это
может негативным образом повлиять на результат определения угроз безопасно-
сти информации.
Состав экспертной группы зависит от целей и задач информационной си-
стемы, но не должен быть меньше трех экспертов.
б) проведение экспертной оценки
При проведении экспертной оценки принимаются меры, направленные на
снижение уровня субъективности и неопределенности при определении каждой
из угроз безопасности информации.
Экспертную оценку рекомендуется проводить в отношении, как минимум,
следующих параметров:
цели реализации угроз безопасности информации (мотивация нарушите-
лей);
типы и виды нарушителей;
уязвимости, которые могут быть использованы для реализации угроз без-
опасности информации;
способы реализации угроз безопасности информации;
степень воздействия угрозы безопасности информации на каждое из
свойств безопасности информации;
последствия от реализации угроз безопасности информации;
вероятность реализации угроз безопасности информации;
уровень защищенности информационной системы;
потенциал нарушителя, требуемый для реализации угрозы безопасности
информации (в случае отсутствия потенциала в банке данных угроз безопасно-
сти информации).
Оценку параметров рекомендуется проводить опросным методом с состав-
лением анкеты, в которой указываются вопросы и возможные варианты ответа в
единой принятой шкале измерений («низкий», «средний», «высокий» или «да»,
«нет» или иные шкалы). При этом вопросы должны быть четкими и однозначно
трактуемыми, предполагать однозначные ответы.
Опрос экспертов включает следующие этапы:
каждый эксперт проводит оценку оцениваемого параметра (рекомендуется
не мене двух раундов оценки), результаты которой заносятся в таблицу 1.1;
34
после оценки каждым из экспертов отбрасываются минимальные и макси-
мальные значения;
определяется среднее значение оцениваемого параметра в каждом раунде;
определяется итоговое среднее значение оцениваемого параметра.
Пример таблицы результатов оценки параметров
Таблица 1.1
Эксперты Значение оцениваемого
параметра (раунд 1)
Значение оцениваемого
параметра (раунд 2)
Эксперт 1
Эксперт 2
Эксперт n
Итоговое значение
35
=Приложение № 2=
к
Методике определения угроз безопасности
информации в информационных системах
Структура модели угроз безопасности информации
Модель угроз безопасности информации содержит следующие разделы:
1. Общие положения.
2. Описание информационной системы и особенностей ее функционирова-
ния.
2.1. Цель и задачи, решаемые информационной системой.
2.2. Описание структурно-функциональных характеристик информацион-
ной системы.
2.3. Описание технологии обработки информации.
3. Возможности нарушителей (модель нарушителя).
3.1. Типы и виды нарушителей.
3.2. Возможные цели и потенциал нарушителей.
3.3. Возможные способы реализации угроз безопасности информации.
4. Актуальные угрозы безопасности информации.
Приложения (при необходимости).
Раздел «Общие положения» содержит назначение и область действия до-
кумента, информацию о полном наименовании информационной системы, для
которой разработана модель угроз безопасности информации, а также информа-
цию об использованных для разработки модели угроз безопасности информации
нормативных и методических документах, национальных стандартах. В данный
раздел также включается информация об используемых данных и источниках, на
основе которых определяются угрозы безопасности информации (документация,
исходные тексты программ, опросы персонала, журналы регистрации средств
защиты, отчеты об аудите и иные источники).
Раздел «Описание информационной системы и особенностей ее функцио-
нирования» содержит общую характеристику информационной системы, описа-
ние структурно-функциональных характеристик информационной системы, опи-
сание взаимосвязей между сегментами информационной системы, описание вза-
имосвязей с другими информационными системами и информационно-
телекоммуникационными сетями, описание технологии обработки информации.
Также в данном разделе приводятся предположения, касающиеся информацион-
ной системы и особенностей ее функционирования (в частности предположения
об отсутствии неучтенных беспроводных каналов доступа или динамичность
выделения адресов узлам информационной системы, иные предположения). В
раздел включаются любые ограничения, касающиеся информационной системы
и особенностей ее функционирования.
Раздел «Возможности нарушителей (модель нарушителя)» содержит опи-
сание типов, видов, потенциала и мотивации нарушителей, от которых необхо-
димо обеспечить защиту информации в информационной системе, способов реа-
36
лизации угроз безопасности информации. В данный раздел также включаются
предположения, касающиеся нарушителей (в частности предположение об от-
сутствии у нарушителя возможности доступа к оборудованию, сделанному на
заказ и применяемому при реализации угрозы, предположение о наличии (отсут-
ствии) сговора между внешними и внутренними нарушителями или иные пред-
положения). В раздел включаются любые ограничения, касающиеся определения
нарушителей (в частности исключение администраторов информационной си-
стемы или администраторов безопасности из числа потенциальных нарушителей
или иные предположения).
Раздел «Актуальные угрозы безопасности информации» содержит описа-
ние актуальных угроз безопасности, включающее наименование угрозы безопас-
ности информации, возможности нарушителя по реализации угрозы, используе-
мые уязвимости информационной системы, описание способов реализации угро-
зы безопасности информации, объекты воздействия, возможные результат и по-
следствия от реализации угрозы безопасности информации.
37
=Приложение № 3=
к Методике определения угроз безопасности
информации в информационных системах
Определение
потенциала нарушителя, необходимого для реализации угрозы без-
опасности информации в информационной системе
Настоящее приложение применяется для определения потенциала, необхо-
димого для реализации угрозы безопасности информации, данные по которой
отсутствуют в банке данных угроз безопасности информации, и характеристики
которых определяются на основе иных источников или результатов исследова-
ний.
Приведенный подход к оценке потенциала нарушителя направлен на сни-
жение уровня субъективности и неопределенности при оценке потенциала
нарушителя, который требуется для реализации угрозы безопасности информа-
ции в информационной системе с заданными структурно-функциональными ха-
рактеристиками и особенностями функционирования.
Исходными данными для определения потенциала нарушителя являются:
данные об аппаратном, общесистемном и прикладном программном обес-
печении, применяемых информационных технологиях, особенностях функцио-
нирования информационной системы;
данные об уязвимостях в аппаратном, общесистемном и прикладном про-
граммном обеспечении, опубликованные в различных базах данных уязвимо-
стей, полученные в результате исследований (тестировании) или полученные от
уполномоченных федеральных органов исполнительной власти и организаций.
При оценке потенциала нарушителя необходимо исходить из того, что для
успешного достижения целей реализации угроз безопасности информации,
нарушителю необходимо осуществить подготовку к реализации угрозы и непо-
средственно реализацию угрозы безопасности информации. При этом не един-
ственным, но необходимым условием на этапе подготовки к реализации угрозы
безопасности информации является идентификация уязвимостей в информаци-
онной системе, а на этапе реализации угрозы безопасности информации – ис-
пользование уязвимостей информационной системы.
Таким образом, для определения потенциала нарушителя необходимо оце-
нить возможности нарушителя идентифицировать уязвимости и использовать их
в информационной системе в ходе подготовки к реализации и непосредственно в
ходе реализации угрозы безопасности информации. Для проведения указанной
оценки делается предположение о наличии уязвимостей, которые потенциально
содержатся в информационной системе и могут быть использованы для реализа-
ции угрозы безопасности информации.
Потенциальные уязвимости определяются для каждого класса и типа про-
граммного обеспечения и для каждого узла (хоста) информационной системы
исходя из условия, что для реализации угрозы безопасности информации нару-
38
шителю необходимо идентифицировать и использовать как минимум одну уяз-
вимость на каждом узле и хосте.
В качестве исходных данных для определения потенциальных уязвимостей
используются данные по составу информационной системы и особенностям ее
функционирования, а также данные об уязвимостях в этом программном обеспе-
чении, опубликованные в общедоступных источниках, полученные по результа-
там исследований и (или) полученные от уполномоченных органов и организа-
ций.
Для каждой выявленной потенциальной уязвимости проводится оценка
возможностей ее идентификации и использования в информационной системе
нарушителем, обладающим определенными возможностями и для каждого из
возможных сценариев реализации угрозы безопасности информации.
Оценка возможностей нарушителя по идентификации и использованию
уязвимости в информационной системе проводится по результатам определения
следующих показателей:
время, затрачиваемое нарушителем на идентификацию и использование
уязвимости (затрачиваемое время);
техническая компетентность нарушителя;
знание нарушителем проекта и информационной системы;
оснащенность нарушителя;
возможности нарушителя по доступу к информационной системе.
Во многих случаях указанные показатели являются зависимыми и могут в
различной степени заменять друг друга. В частности, показатели технической
компетентности или оснащенности могут заменяться показателем затрачиваемо-
го времени.
а) определение показателя «затрачиваемое время»
Показатель «затрачиваемое время» характеризует время, непрерывно за-
трачиваемое нарушителем для идентификации и использования уязвимости для
реализации угрозы безопасности информации.
Показатель «затрачиваемое время» может принимать значения «за мину-
ты», «за часы», «за дни» или «за месяцы».
Значение «за минуты» присваивается, если для реализации угрозы без-
опасности информации нарушитель затратит менее получаса на идентификацию
и использование уязвимости.
Значение «за часы» присваивается, если для реализации угрозы безопасно-
сти информации нарушитель затратит менее чем один день на идентификацию и
использование уязвимости.
Значение «за дни» присваивается, если для реализации угрозы безопасно-
сти информации нарушитель затратит менее чем один месяц на идентификацию
и использование уязвимости.
Значение «за месяцы» присваивается, если для реализации угрозы без-
опасности информации нарушитель затратит, как минимум, месяц на идентифи-
кацию и использование уязвимости.
39
б) определение показателя «техническая компетентность нарушителя»
Показатель «техническая компетентность нарушителя» характеризует, ка-
ким уровнем знаний и подготовкой в области информационных технологий и
защиты информации должен обладать нарушитель, чтобы идентифицировать и
использовать уязвимости для реализации угрозы безопасности информации.
Показатель «техническая компетентность нарушителя» может принимать
значения «специалист», «профессионал» или «непрофессионал».
Значение «профессионал» присваивается, если нарушитель имеет хоро-
шую осведомленность о мерах защиты информации, применяемых в информа-
ционной системе, об алгоритмах, аппаратных и программных средствах, исполь-
зуемых в информационной системе, а также обладает специальными знаниями о
методах и средствах выявления новых уязвимостей и способах реализации угроз
безопасности информации для информационных систем данного типа.
Значение «специалист» присваивается, если нарушитель имеет осведом-
ленность о мерах защиты информации, применяемых в информационной систе-
ме данного типа.
Значение «непрофессионал» присваивается, если нарушитель имеет сла-
бую осведомленность (по сравнению со специалистами или профессионалами) о
мерах защиты информации, применяемых в информационных системах данного
типа, и не обладает специальными знаниями по реализации угроз безопасности
информации.
в) определение показателя «знание нарушителем проекта и информа-
ционной системы»
Показатель «знание нарушителем проекта и информационной системы»
характеризует, какие сведения об информационной системе и условиях ее экс-
плуатации доступны нарушителю, чтобы идентифицировать и использовать уяз-
вимости для реализации угрозы безопасности информации.
Показатель «знание нарушителем проекта и информационной системы»
может принимать значения «отсутствие знаний», «ограниченные знания» или
«знание чувствительной информации».
Значение «отсутствие знаний» присваивается, если в результате принятия
мер по защите информации нарушителю не может стать известно о структурно-
функциональных характеристиках информационной системы, системе защиты
информации информационной системы, а также об иной информации по разра-
ботке (проектированию) и эксплуатации информационной системы, включая
сведения из конструкторской, проектной и эксплуатационной документации.
При этом может быть доступна информация о целях и задачах, решаемых ин-
формационной системой. Данный показатель также присваивается, если сведе-
ния об информационной системе отнесены к информации ограниченного досту-
па и не могут быть доступны для неограниченного круга лиц.
40
Значение «ограниченные знания» присваивается, если нарушителю наряду
с информацией о целях и задачах, решаемых информационной системой, может
стать известна только эксплуатационная документация на информационную си-
стему (в частности руководство пользователя и (или) правила эксплуатации ин-
формационной системы).
Значение «знание чувствительной информации» присваивается, если
нарушителю может стать известны конструкторская (проектная) и эксплуатаци-
онная документация на информационную систему, информация о структурно-
функциональных характеристиках информационной системы, системе защиты
информационной системы.
г) определение показателя «возможности нарушителя по доступу к
информационной системе»
Показатель «возможности нарушителя по доступу к информационной си-
стеме» характеризует, как долго по времени нарушитель должен иметь возмож-
ность доступа к информационной системе для идентификации и использования
уязвимостей для реализации угроз безопасности информации.
Показатель «возможности нарушителя по доступу к информационной си-
стеме» может принимать значения «за минуты», «за часы», «за дни» или «за ме-
сяцы».
Значение «за минуты» присваивается, если для идентификации и исполь-
зования уязвимости для реализации угрозы безопасности информации наруши-
телю требуется доступ менее получаса.
Значение «за часы» присваивается, если для идентификации и использова-
ния уязвимости для реализации угрозы безопасности информации нарушителю
требуется доступ менее одного дня.
Значение «за дни» присваивается, если для идентификации и использова-
ния уязвимости для реализации угрозы безопасности информации нарушителю
требуется доступ менее одного месяца.
Значение «за месяцы» присваивается, если для идентификации и использо-
вания уязвимости для реализации угрозы безопасности информации нарушите-
лю требуется доступ более одного месяца.
Показатель «возможности нарушителя по доступу к информационной си-
стеме» взаимосвязан с показателем «затраченное время». Идентификация и ис-
пользование уязвимости при реализации угрозы безопасности информации мо-
гут требовать продолжительного времени по доступу к информационной систе-
ме, что увеличивает возможность обнаружения уязвимости. В отдельных случа-
ях продолжительный доступ к информационной системе не требуется (методы и
средства реализации угроз безопасности разрабатываются автономно), но при
этом требуется кратковременный доступ к информационной системе.
41
д) определение показателя «оснащенность нарушителя»
Показатель «оснащенность нарушителя» характеризует, какие программ-
ные и (или) программно-технические средства требуются нарушителю для иден-
тификации и использования уязвимостей для реализации угроз безопасности
информации.
Показатель «оснащенность нарушителя» может принимать значения
«стандартное оборудование», «специализированное оборудование» или «обору-
дование, сделанное на заказ».
Значение «стандартное оборудование» присваивается, если для идентифи-
кации или использования уязвимостей при реализации угрозы безопасности ин-
формации требуются программные (программно-технические) средства, легко
доступные для нарушителя. К таким средствам, в первую очередь, относятся
программные средства непосредственно информационной системы (отладчик в
операционной системе, средства разработки и иные), программные средства, ко-
торые могут быть легко получены (программы, имеющиеся в свободном доступе
в сети Интернет) или имеются простые сценарии реализации угроз.
Значение «специализированное оборудование» присваивается, если для
идентификации или использования уязвимостей при реализации угрозы без-
опасности информации требуются программные (программно-технические)
средства, которые отсутствуют в свободном доступе, но могут быть приобрете-
ны нарушителем без значительных усилий. К таким средствам, в первую оче-
редь, относятся программные (программно-технические) средства, которые
имеются в продаже (анализаторы кода, анализаторы протоколов и иные) или
требуется разработка более сложных программ и сценариев реализации угрозы.
Оборудование может быть закуплено, либо, например, могут быть использованы
компьютеры, объединенные через сеть Интернет (бот-сети).
Значение «оборудование, сделанное на заказ» присваивается, если для
идентификации или использования уязвимостей при реализации угрозы без-
опасности информации требуются программные (программно-технические)
средства, которые недоступны широкому кругу лиц, так как требуется их специ-
альная разработка с привлечением исследовательских организаций, или распро-
странение этих средств контролируется в соответствии с законодательством. К
такому оборудованию также относится дорогостоящие средства или средства,
сведения о которых относятся к информации ограниченного доступа.
С целью вычисления потенциала нарушителя определяются числовые зна-
чения указанных показателей в соответствии с таблицей 3.1.
42
Таблица 3.1
Показатель возможностей нарушителя
Значения при
идентификации
уязвимости
Значения при
использова-
нии уязвимо-
сти
Затрачиваемое
время
< 0,5 час 0 0
< 1 день 2 3
< 1 месяц 3 5
> 1 месяц 5 8
Техническая ком-
петентность
нарушителя
Непрофессионал 0 0
Специалист 2 3
Профессионал 5 4
Знание проекта и
информационной
системы
Отсутствие знаний 0 0
Ограниченные знания 2 2
Знание чувствительной
информации 5
4
Возможность до-
ступа к информа-
ционной системе
< 0,5 час или не обна-
руживаемый доступ 0
0
< 1 день 2 4
< 1 месяц 3 6
> 1 месяц 4 9
Не возможно
Оснащенность
нарушителя
Отсутствует 0 0
Стандартное оборудо-
вание
1
2
Специализированное
оборудование 3
4
Оборудование, сделан-
ное на заказ
5
6
Для конкретной потенциальной уязвимости может возникнуть необходи-
мость определять показатели несколько раз для различных способов реализации
угроз безопасности информации (попеременно использовать разные значения
показателей компетентности в сочетании со значениями времени и оборудова-
ния). При этом следует выбирать наибольшее значение, полученное при каждом
расчете показателей.
Полученные на основе таблицы 3.1 значения характеристик потенциала
нарушителя суммируются. Полученная сумма значений характеристик соотно-
сится с диапазонами значений, приведенных в таблице 3.2, в соответствии с ко-
торой определяется потенциал нарушителя, необходимый для реализации угрозы
безопасности информации.
43
Таблица 3.2
Диапазон
значений
Потенциал
нарушителя
<10 Потенциал недостаточен для реализации
угрозы безопасности
10-17 Базовый (низкий)
18-24 Базовый повышенный (средний)
>24 Высокий
Мотивация нарушителя для реализации угроз безопасности информации
может быть базовой или повышенной. Мотивация нарушителя характеризует
уровень устремлений нарушителя к информации, содержащейся в информаци-
онной системе, или информационной системе в целом. При определении потен-
циала нарушителя необходимо исходить, как минимум, из его базовой мотива-
ции.
Потенциал нарушителя, требуемый для реализации угрозы безопасности
информации, переходит на следующий уровень (от низкого к среднего или от
среднего к высокому), если определено, что нарушитель имеет повышенную мо-
тивацию реализации угроз безопасности по отношению к информационной си-
стеме.
Мотивация нарушителя определяется как повышенная, если:
а) имеются сведения (в том числе опубликованные в общедоступных ис-
точниках) об устремлениях нарушителей к конкретной информационной системе
и (или) отдельным ее объектам защиты; например, если информация, обрабаты-
ваемая в информационной системе, является высоко ценной для нарушителя или
для нарушителя является крайне приоритетным нанести ущерб оператору ин-
формационной системы;
б) имеется информация, полученная от уполномоченных федеральных ор-
ганов исполнительной власти, о намерении нарушителя осуществить неправо-
мерные действия в отношении информационной системы и (или) информации,
содержащейся в этой информационной системе.

Методика определения угроз безопасности информации в информационных системах

2015-10-02T08:16:17Z

Hunter po:

ФЕДЕРАЛЬНАЯ СЛУЖБА
ПО ТЕХНИЧЕСКОМУ И ЭКСПОРТНОМУ КОНТРОЛЮ
(ФСТЭК РОССИИ)

МЕТОДИЧЕСКИЙ ДОКУМЕНТ
МЕТОДИКА ОПРЕДЕЛЕНИЯ УГРОЗ БЕЗОПАСНОСТИ ИНФОРМАЦИИ В ИНФОРМАЦИОННЫХ СИСТЕМАХ
(ПРОЕКТ) 2015

=ОБЩИЕ ПОЛОЖЕНИЯ=

Настоящий методический документ ФСТЭК России «Методика определения угроз безопасности информации в информационных системах» (далее - Методика) разработан и утвержден в соответствии с подпунктом 4 пункта 8 Положения о Федеральной службе по техническому и экспортному контролю, утвержденного Указом Президента Российской Федерации от 16 августа 2004 г. № 1085.

Документ устанавливает единый методический подход к определению угроз безопасности информации и разработке моделей угроз безопасности информации в государственных информационных системах (далее – информационные системы), защита информации в которых обеспечивается в соответствии с Требованиями о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах, утвержденными приказом ФСТЭК России от 11 февраля 2013 г. № 17 (зарегистрирован Минюстом России 31 мая 2013 г., рег. № 28608).

По решению оператора персональных данных Методика может применяться для определения в соответствии с пунктом 1 части 2 статьи 19 Федерального закона «О персональных данных» угроз безопасности персональных данных при их обработке в информационных системах персональных данных, защита которых обеспечивается в соответствии с Составом и содержанием организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденных приказом ФСТЭК России от 18 февраля 2013 г. № 21 (зарегистрирован Минюстом России 14 мая 2013 г., рег. № 28375).

Методика не распространяется на определение угроз безопасности информации, составляющей государственную тайну.

Методика предназначена для:
*органов государственной власти, органов местного самоуправления и организаций, являющихся в соответствии с законодательством Российской Федерации обладателями информации, заказчиками и (или) операторами информационных систем;
*организаций, осуществляющих в соответствии с законодательством Российской Федерации работы по созданию (проектированию) информационных систем;
*организаций, осуществляющих в соответствии с законодательством Российской Федерации работы по защите информации в ходе создания (проектирования) и эксплуатации информационных систем;
*организаций, осуществляющих в соответствии с законодательством Российской Федерации работы по аттестации (оценке соответствия) информационных систем требованиям о защите информации.

Настоящая Методика применяется на этапах создания информационных систем для определения и оценки угроз безопасности информации и разработки моделей угроз, а также в ходе эксплуатации информационных систем при периодическом пересмотре (переоценке) угроз безопасности информации.

Методика применяется совместно с банком данных угроз безопасности информации, сформированным ФСТЭК России (ubi.fstec.ru), а также базовыми и типовыми моделями угроз безопасности информации в информационных системах различных классов и типов, разрабатываемых ФСТЭК России в соответствии с подпунктом 4 пункта 8 Положения о Федеральной службе по техническому и экспортному контролю, утвержденного Указом Президента Российской Федерации от 16 августа 2004 г. № 1085.

Методика ориентирована на определение и оценку антропогенных угроз безопасности информации, возникновение которых обусловлено объективными факторами. Вместе с тем, часть приведенных в Методике подходов может также применяться для оценки техногенных угроз в случае, если они позволяют достичь целей такой оценки. Определение угроз, связанных со стихийными бедствиями и природными явлениями осуществляется в соответствии с правилами, установленными уполномоченными федеральными органами исполнительной власти, национальными стандартами и находятся за рамками настоящей Методики.

В случае, если в соответствии с настоящей Методикой к числу актуальных угроз, отнесены угрозы, связанные с утечкой информации по техническим каналам, дальнейшая их оценка проводится в соответствии со специальными требованиями и рекомендациями по технической защите конфиденциальной информации и методиками оценки защищенности конфиденциальной информации.

В Методике используются термины и их определения, установленные
национальными стандартами в области защиты информации.

В связи с утверждением настоящего методического документа не применяется для определения угроз безопасности информации Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных (ФСТЭК России, 2008 г.).

=ПРОЦЕСС ОПРЕДЕЛЕНИЯ УГРОЗ БЕЗОПАСНОСТИ ИНФОРМАЦИИ В ИНФОРМАЦИОННОЙ СИСТЕМЕ=
Целью определения угроз безопасности информации является установле-
ние того, существует ли возможность нарушения конфиденциальности, целост-
ности или доступности информации, содержащейся в информационной системе,
и приведет ли нарушение хотя бы одного из указанных свойств безопасности
информации к наступлению неприемлемых негативных последствий (ущерба)
для обладателя информации или оператора, а в случае обработки персональных
данных и для субъектов персональных данных.
Определение угроз безопасности информации должно носить системати-
ческий характер и осуществляться как на этапе создания информационной си-
стемы и формирования требований по ее защите, так и в ходе эксплуатации ин-
формационной системы. Систематический подход к определению угроз безопас-
ности информации необходим для того, чтобы определить потребности в кон-
кретных требованиях к защите информации и создать адекватную эффективную
систему защиты информации в информационной системе. Меры защиты инфор-
мации, принимаемые обладателем информации и оператором, должны обеспечи-
вать эффективное и своевременное выявление и блокирование (нейтрализацию)
угроз безопасности информации, в результате реализации которых возможно
наступление неприемлемых негативных последствий (ущерба).
Систематический подход к определению угроз безопасности информации
предусматривает реализацию непрерывного процесса, в рамках которого опре-
деляется область применения процесса определения угроз, идентифицируются
источники угроз и угрозы безопасности информации, оценивается возможность
реализации угроз безопасности информации и степень возможного ущерба в
случае такой реализации, осуществляется мониторинг (периодический пере-
смотр) и переоценка угроз безопасности информации.
Оценка угроз безопасности информации проводится экспертным методом.
Рекомендации по формированию экспертной группы и проведению экспертной
оценки при определении угроз безопасности информации приведены в приложе-
нии № 1 к настоящей Методике.
а) область применения процесса определения угроз безопасности ин-
формации
На этапах принятия решения о необходимости защиты информации в ин-
формационной системе и разработки требований к защите информации должны
быть определены физические и логические границы информационной системы, в
которых принимаются и контролируются меры защиты информации, за которые
ответственен оператор, а также определены объекты защиты и сегменты инфор-
мационной системы.
Процесс определения угроз безопасности информации должен охватывать
все объекты защиты и сегменты в логических и физических границах информа-
ционной системы, в которых оператором принимаются и контролируются меры
6
защиты информации. Процесс определения угроз безопасности информации ор-
ганизуется подразделением оператора, назначенным ответственным за защиту
информации в информационной системе. В случае, если информационная систе-
ма имеет сегменты, эксплуатируемые разными подразделениями оператора, ко-
торые могут самостоятельно принимать и контролировать меры защиты инфор-
мации, должны быть определены границы ответственности этих подразделений
и порядок их взаимодействия в процессе определения угроз безопасности ин-
формации.
Область применения процесса определения угроз безопасности информа-
ции отражается в модели угроз безопасности информации наряду с областью
действия модели угроз, структурно-функциональными характеристиками ин-
формационной системы и особенностями ее функционирования.
б) идентификация источников угроз и угроз безопасности информации
В обобщенном виде угрозы безопасности информации характеризуется ис-
точниками угроз, факторами, обуславливающими возможность реализации
угроз, способами (методами) реализации угроз и последствиями от реализации
угроз безопасности информации.
Важным этапом в процессе определения угроз безопасности информации
является идентификация лиц или событий (явлений), в результате действий
(наступления, возникновения) которых возможно нарушение конфиденциально-
сти, целостности или доступности информации, содержащейся в информацион-
ной системе, и возникновение неприемлемых негативных последствий (ущерба).
В качестве источников угроз безопасности информации могут выступать
субъекты (физические лица, организации, государства) или явления (техноген-
ные аварии, стихийные бедствия, иные природные явления).
Источники угроз безопасности информации являются определяющим
фактором при определении угроз безопасности информации в информационных
системах. В процессе определения угроз безопасности информации подлежат
оценке те угрозы, у которых есть источники и источники имеют возможности и
условия для реализации угроз безопасности информации в информационной си-
стеме с заданными структурно-функциональными характеристиками и особен-
ностями ее функционирования.
Источники угроз безопасности информации могут быть следующих типов:
антропогенные источники (антропогенные угрозы);
техногенные источники (техногенные угрозы);
стихийные источники (угрозы стихийных бедствий, иных природных яв-
лений).
В качестве источников антропогенных угроз безопасности информации
могут выступать:
лица, осуществляющие преднамеренные действия с целью доступа к ин-
формации (воздействия на информацию), содержащейся в информационной си-
стеме, или нарушения функционирования информационной системы или обслу-
7
живающей ее инфраструктуры (преднамеренные угрозы безопасности информа-
ции);
лица, имеющие доступ к информационной системе, не преднамеренные
действия которых могут привести к нарушению безопасности информации (не-
преднамеренные угрозы безопасности информации).
Для информационных систем, в которых целью защиты является обеспе-
чение целостности и доступности обрабатываемой информации, в обязательном
порядке подлежат оценке техногенные угрозы, связанные с отказами или сбоями
в работе технических средств или программного обеспечения. Такие угрозы мо-
гут быть обусловлены:
низким качеством (надежностью) технических, программных или про-
граммно-технических средств;
низким качеством (надежностью) сетей связи и (или) услуг связи;
отсутствием или низкой эффективностью систем резервирования или дуб-
лирования программно-технических и технических средств;
низким качеством (надежностью) инженерных систем (кондиционирова-
ния, электроснабжения, охранных систем и т.д.);
низким качеством обслуживания со стороны обслуживающих организаций
и лиц.
При определении угроз безопасности информации оценке подлежат угро-
зы, связанные со всеми типами источников. Однако в целях создания и эксплуа-
тации адекватной эффективной системы защиты информации в информационной
системе следует, в первую очередь, уделять внимание оценке антропогенных
угроз, связанных с несанкционированными (неправомерными) действиями субъ-
ектов по нарушению безопасности (конфиденциальности, целостности, доступ-
ности) информации, в том числе целенаправленными воздействиями программ-
ными (программно-техническими) средствами на информационные системы,
осуществляемые в целях нарушения (прекращения) их функционирования (ком-
пьютерные атаки).
Также при определении угроз безопасности информации наряду с угроза-
ми, реализация которых может привести непосредственно к нарушению конфи-
денциальности, целостности или доступности информации (прямыми угрозами),
необходимо выявлять и оценивать угрозы, создающие условия для реализации
прямых угроз безопасности информации (косвенные угрозы). В качестве косвен-
ных угроз безопасности информации могут рассматриваться угрозы повышения
привилегий, исчерпания вычислительных ресурсов, недоступности обновления
программного обеспечения и иные угрозы безопасности информации.
В процессе определения угроз безопасности информации на всех стадиях
(этапах) жизненного цикла информационных систем необходимо регулярно про-
водить идентификацию источников угроз, оценивать их возможности и опреде-
лять на этой основе угрозы безопасности информации. Данные о нарушителях и
их возможностях по реализации угроз безопасности информации, полученные
при идентификации источников угроз, включаются в модели угроз безопасности
информации.
8
Для идентификации угроз безопасности информации в информационной
системе определяются:
возможности (тип, вид, потенциал) нарушителей, необходимые им для ре-
ализации угроз безопасности информации;
уязвимости, которые могут использоваться при реализации угроз безопас-
ности информации (включая специально внедренные программные закладки);
способы (методы) реализации угроз безопасности информации;
объекты информационной системы, на которые направлена угроза без-
опасности информации (объекты воздействия);
результат и последствия от реализации угроз безопасности информации.
Каждая угроза безопасности информации в информационной системе опи-
сывается (идентифицируется) следующим образом:
УБИj = [нарушитель (источник угрозы); уязвимости; способы реализации угро-
зы; объекты воздействия; последствия от реализации угрозы].
в) оценка вероятности (возможности) реализации угроз безопасности
информации и степени возможного ущерба
Идентифицированная угроза безопасности информации подлежит нейтра-
лизации (блокированию), если она является актуальной (УБИj
А
) для информаци-
онной системы, то есть в информационной системе с заданными структурно-
функциональными характеристиками и особенностями функционирования су-
ществует вероятность (возможность) реализации рассматриваемой угрозы нару-
шителем с соответствующим потенциалом и ее реализация приведет к неприем-
лемым негативным последствиям (ущербу):
УБИj
А
= [вероятность (возможность) реализации угрозы (Рj);
степень ущерба (Хj)].
Актуальные угрозы безопасности информации включаются в модель угроз
безопасности информации. Модель угроз безопасности информации, учитывая
особенности информационной системы, используемые в ней программные, про-
граммно-технические, технические средства и процессы обработки информации,
дает описание угроз безопасности, которым подвержена информационная систе-
ма. Структура модели угроз безопасности информации приведена в приложении
№ 2 к настоящей Методике.
г) мониторинг и переоценка угроз безопасности информации
Определение угроз безопасности информации на этапе создания информа-
ционной системы позволяет обеспечить формирование требований и внедрение
эффективной адекватной системы защиты информации в информационной си-
стеме для угроз, актуальных к моменту ввода в эксплуатацию информационной
системы.
9
В ходе эксплуатации информационной системы оператор, обеспечивая до-
стижение целей и задач информационной системы, может изменять ее базовую
конфигурацию, что приводит к изменению структурно-функциональных харак-
теристик информационной системы и применяемых информационных техноло-
гий. Также в процессе эксплуатации возможно изменение состава и значимости
обрабатываемой информации и особенностей функционирования информацион-
ной системы.
В этих условиях процесс определения угроз безопасности информации
должен носить систематический характер. В ходе эксплуатации информацион-
ной системы регулярно проводится анализ изменения угроз безопасности ин-
формации, а актуальные угрозы безопасности информации подлежат периодиче-
ской переоценке. Периодичность переоценки определяется организацией исходя
из особенностей функционирования информационной системы. Рекомендуется
пересматривать угрозы безопасности информации не реже одного раза в год. По
результатам анализа проводится уточнение (при необходимости) модели угроз
безопасности информации.
Пересмотр (переоценка) угроз безопасности информации, как минимум,
осуществляется в случаях:
изменения требований законодательства Российской Федерации о защите
информации, нормативных правовых актов и методических документов, регла-
ментирующих защиту информации;
изменения конфигурации (состава основных компонентов) и особенностей
функционирования информационной системы, следствием которых стало воз-
никновение новых угроз безопасности информации;
выявления уязвимостей, приводящих к возникновению новых угроз без-
опасности информации или к повышению возможности реализации существую-
щих;
появления сведений и фактов о новых возможностях нарушителей.
10
= ОЦЕНКА ВОЗМОЖНОСТЕЙ НАРУШИТЕЛЕЙ ПО РЕАЛИЗАЦИИ УГРОЗ БЕЗОПАСНОСТИ ИНФОРМАЦИИ (РАЗРАБОТКА МОДЕЛИ НАРУШИТЕЛЯ) =

Целью оценки возможностей нарушителей по реализации угроз безопасно-
сти информации является формирование предположения о типах, видах наруши-
телей, которые могут реализовать угрозы безопасности информации в информа-
ционной системе с заданными структурно-функциональными характеристиками
и особенностями функционирования, а также потенциале этих нарушителей и
возможных способах реализации угроз безопасности информации.
Результаты оценки возможностей нарушителей включаются в модель
нарушителя, которая является составной частью (разделом) модели угроз без-
опасности информации и содержит:
типы, виды и потенциал нарушителей, которые могут обеспечить реализа-
цию угроз безопасности информации;
цели, которые могут преследовать нарушители каждого вида при реализа-
ции угроз безопасности информации;
возможные способы реализации угроз безопасности информации.
а) типы нарушителей
Типы нарушителей определяются по результатам анализа прав доступа
субъектов к информации и (или) к компонентам информационной системы, а
также анализа возможностей нарушителей по доступу к компонентам информа-
ционной системы исходя из структурно-функциональных характеристик и осо-
бенностей функционирования информационной системы.
В зависимости от имеющихся прав доступа нарушители могут иметь леги-
тимный физический (непосредственный) и (или) логический доступ к компонен-
там информационной системы и (или) содержащейся в них информации или не
иметь такого доступа.
Анализ прав доступа проводится, как минимум, в отношении следующих
компонент информационной системы:
устройств ввода/вывода (отображения) информации;
беспроводных устройств;
программных, программно-технических и технических средств обработки
информации;
съемных машинных носителей информации;
машинных носителей информации, выведенных из эксплуатации;
активного (коммутационного) и пассивного оборудования каналов связи;
каналов связи, выходящих за пределы контролируемой зоны.
С учетом наличия прав доступа и возможностей по доступу к информации
и (или) к компонентам информационной системы нарушители подразделяются
на два типа:
11
внешние нарушители (тип I) – лица, не имеющие права доступа к инфор-
мационной системе, ее отдельным компонентам и реализующие угрозы безопас-
ности информации из-за границ информационной системы;
внутренние нарушители (тип II) – лица, имеющие право постоянного или
разового доступа к информационной системе, ее отдельным компонентам.
Наибольшими возможностями по реализации угроз безопасности обладают
внутренние нарушители. При оценке возможностей внутренних нарушителей
необходимо учитывать принимаемые оператором организационные меры по до-
пуску субъектов к работе в информационной системе. Возможности внутреннего
нарушителя существенным образом зависят от установленного порядка допуска
физических лиц к информационной системе и ее компонентам, а также мер по
контролю за доступом и работой этих лиц.
Внешнего нарушителя необходимо рассматривать в качестве актуального
во всех случаях, когда имеются подключения информационной системы к внеш-
ним информационно-телекоммуникационным сетям и (или) имеются линии свя-
зи, выходящие за пределы контролируемой зоны, используемые для иных под-
ключений.
б) виды и потенциал нарушителей
Угрозы безопасности информации в информационной системе могут быть
реализованы следующими видами нарушителей:
специальные службы иностранных государств (блоков государств);
террористические, экстремистские группировки;
преступные группы (криминальные структуры);
внешние субъекты (физические лица);
конкурирующие организации;
разработчики, производители, поставщики программных, технических и
программно-технических средств;
лица, привлекаемые для установки, наладки, монтажа, пусконаладочных и
иных видов работ;
лица, обеспечивающие функционирование информационных систем или
обслуживающие инфраструктуру оператора (администрация, охрана, уборщики
и т.д.);
пользователи информационной системы;
администраторы информационной системы и администраторы безопасно-
сти;
бывшие работники (пользователи).
Виды нарушителей, характерных для информационной системы с задан-
ными структурно-функциональными характеристиками и особенностями функ-
ционирования, определяются на основе предположений (прогноза) о возможных
целях (мотивации) при реализации угроз безопасности информации этими нару-
шителями.
В качестве возможных целей (мотивации) реализации нарушителями угроз
безопасности информации в информационной системе могут быть:
12
нанесение ущерба государству, отдельным его сферам деятельности или
секторам экономики;
реализация угроз безопасности информации по идеологическим или поли-
тическим мотивам;
организация террористического акта;
причинение имущественного ущерба путем мошенничества или иным пре-
ступным путем;
дискредитация или дестабилизация деятельности органов государственной
власти, организаций;
получение конкурентных преимуществ;
внедрение дополнительных функциональных возможностей в программное
обеспечение или программно-технические средства на этапе разработки;
любопытство или желание самореализации;
выявление уязвимостей с целью их дальнейшей продажи и получения фи-
нансовой выгоды;
реализация угроз безопасности информации из мести;
реализация угроз безопасности информации непреднамеренно из-за не-
осторожности или неквалифицированных действий.
Предположения о целях (мотивации) нарушителей делаются с учетом це-
лей и задач информационной системы, вида обрабатываемой информации, а
также с учетом результатов оценки степени возможных последствий (ущерба) от
нарушения конфиденциальности, целостности или доступности информации.
Виды нарушителя и их возможные цели (мотивация) реализации угроз безопас-
ности информации приведены в таблице 1.
Таблица 1
№
вида
Виды
нарушителя
Типы
нарушителя
Возможные цели (мотивация)
реализации угроз безопасности
информации
1 Специальные службы
иностранных государств
(блоков государств)
Внешний,
внутренний
Нанесение ущерба государству,
отдельным его сферам деятель-
ности или секторам экономики.
Дискредитация или дестабили-
зация деятельности органов
государственной власти, орга-
низаций
2 Террористические, экс-
тремистские группиров-
ки
Внешний Нанесение ущерба государству,
отдельным его сферам деятель-
ности или секторам экономики.
Совершение террористических
актов.
Идеологические или политиче-
ские мотивы.
Дестабилизация деятельности
органов государственной вла-
13
сти, организаций
3 Преступные группы
(криминальные структу-
ры)
Внешний Причинение имущественного
ущерба путем мошенничества
или иным преступным путем.
Выявление уязвимостей с це-
лью их дальнейшей продажи и
получения финансовой выгоды
4 Внешние субъекты (фи-
зические лица)
Внешний Идеологические или политиче-
ские мотивы.
Причинение имущественного
ущерба путем мошенничества
или иным преступным путем.
Любопытство или желание са-
мореализации (подтверждение
статуса).
Выявление уязвимостей с це-
лью их дальнейшей продажи и
получения финансовой выгоды
5 Конкурирующие орга-
низации
Внешний Получение конкурентных пре-
имуществ.
Причинение имущественного
ущерба путем обмана или зло-
употребления доверием
6 Разработчики, произво-
дители, поставщики про-
граммных, технических и
программно-технических
средств
Внешний Внедрение дополнительных
функциональных возможностей
в программное обеспечение или
программно-технические сред-
ства на этапе разработки.
Причинение имущественного
ущерба путем обмана или зло-
употребления доверием.
Непреднамеренные, неосто-
рожные или неквалифициро-
ванные действия
7 Лица, привлекаемые для
установки, наладки, мон-
тажа, пусконаладочных и
иных видов работ
Внутренний Причинение имущественного
ущерба путем обмана или зло-
употребления доверием.
Непреднамеренные, неосто-
рожные или неквалифициро-
ванные действия
8 Лица, обеспечивающие
функционирование ин-
формационных систем
или обслуживающие ин-
фраструктуру оператора
Внутренний Причинение имущественного
ущерба путем обмана или зло-
употребления доверием.
Непреднамеренные, неосто-
рожные или неквалифициро-
14
(администрация, охрана,
уборщики и т.д.)
ванные действия
9 Пользователи информа-
ционной системы
Внутренний Причинение имущественного
ущерба путем мошенничества
или иным преступным путем.
Любопытство или желание са-
мореализации (подтверждение
статуса).
Месть за ранее совершенные
действия.
Непреднамеренные, неосто-
рожные или неквалифициро-
ванные действия
10 Администраторы ин-
формационной системы
и администраторы без-
опасности
Внутренний Причинение имущественного
ущерба путем мошенничества
или иным преступным путем.
Любопытство или желание са-
мореализации (подтверждение
статуса).
Месть за ранее совершенные
действия.
Выявление уязвимостей с це-
лью их дальнейшей продажи и
получения финансовой выгоды.
Непреднамеренные, неосто-
рожные или неквалифициро-
ванные действия
11 Бывшие работники
(пользователи)
Внешний Причинение имущественного
ущерба путем мошенничества
или иным преступным путем.
Месть за ранее совершенные
действия
При оценке возможностей нарушителей необходимо исходить из условий,
что для повышения своих возможностей нарушители 1 вида могут вступать в
сговор с нарушителями 3, 4, 6, 7, 8, 9 и 10 видов. Нарушители 2 вида могут всту-
пать в сговор с нарушителями 4, 7, 8, 9 и 10 видов. Нарушители 3 вида могут
вступать в сговор с нарушителями 4, 7, 8, 9 и 10 видов. В случае принятия таких
предположений цели (мотивация) и возможности нарушителей подлежат объ-
единению.
Возможности каждого вида нарушителя по реализации угроз безопасности
информации характеризуются его потенциалом. Потенциал нарушителя опреде-
ляется компетентностью, ресурсами и мотивацией, требуемыми для реализации
угроз безопасности информации в информационной системе с заданными струк-
15
турно-функциональными характеристиками и особенностями функционирова-
ния.
В зависимости от потенциала, требуемого для реализации угроз безопас-
ности информации, нарушители подразделяются на:
нарушителей, обладающих базовым (низким) потенциалом нападения при
реализации угроз безопасности информации в информационной системе;
нарушителей, обладающих базовым повышенным (средним) потенциалом
нападения при реализации угроз безопасности информации в информационной
системе;
нарушителей, обладающих высоким потенциалом нападения при реализа-
ции угроз безопасности информации в информационной системе.
Потенциал нарушителей и их возможности приведены в таблице 2.
Таблица 2
№ Потенциал
нарушителей
Виды
нарушителей
Возможности по реализации угроз без-
опасности информации
1 Нарушители с
базовым (низ-
ким) потенци-
алом
Внешние субъ-
екты (физические
лица),
лица, обеспечи-
вающие функци-
онирование ин-
формационных
систем или об-
служивающих
инфраструктуру
оператора,
пользователи
информационной
системы,
бывшие работ-
ники,
лица, привлека-
емые для уста-
новки, наладки,
монтажа, пуско-
наладочных и
иных работ
Имеют возможность получить инфор-
мацию об уязвимостях отдельных ком-
понент информационной системы,
опубликованную в общедоступных ис-
точниках.
Имеют возможность получить инфор-
мацию о методах и средствах реализа-
ции угроз безопасности информации
(компьютерных атак), опубликованных
в общедоступных источниках, и (или)
самостоятельно осуществляет создание
методов и средств реализации атак и
реализацию атак на информационную
систему
2 Нарушители с
базовым по-
вышенным
(средним) по-
тенциалом
Террористиче-
ские, экстремист-
ские группиров-
ки,
преступные
группы (крими-
нальные структу-
Обладают всеми возможностями
нарушителей с базовым потенциалом.
Имеют осведомленность о мерах за-
щиты информации, применяемых в ин-
формационной системе данного типа.
Имеют возможность получить инфор-
мацию об уязвимостях отдельных ком-
16
ры),
конкурирующие
организации,
разработчики,
производители,
поставщики про-
граммных, техни-
ческих и про-
граммно-
технических
средств,
администраторы
информационной
системы и адми-
нистраторы без-
опасности
понент информационной системы пу-
тем проведения, с использованием
имеющихся в свободном доступе про-
граммных средств, анализа кода при-
кладного программного обеспечения и
отдельных программных компонент
общесистемного программного обеспе-
чения.
Имеют доступ к сведениям о струк-
турно-функциональных характеристи-
ках и особенностях функционирования
информационной системы
3 Нарушители с
высоким по-
тенциалом
Специальные
службы ино-
странных госу-
дарств (блоков
государств)
Обладают всеми возможностями
нарушителей с базовым и базовым по-
вышенным потенциалами.
Имеют возможность осуществлять не-
санкционированный доступ из выде-
ленных (ведомственных, корпоратив-
ных) сетей связи, к которым возможен
физический доступ (незащищенных ор-
ганизационными мерами).
Имеют возможность получить доступ
к программному обеспечению чипсетов
(микропрограммам), системному и при-
кладному программному обеспечению,
телекоммуникационному оборудова-
нию и другим программно-техническим
средствам информационной системы
для преднамеренного внесения в них
уязвимостей или программных закла-
док.
Имеют хорошую осведомленность о
мерах защиты информации, применяе-
мых в информационной системе, об ал-
горитмах, аппаратных и программных
средствах, используемых в информаци-
онной системе.
Имеют возможность получить инфор-
мацию об уязвимостях путем проведе-
ния специальных исследований (в том
числе с привлечением специализиро-
17
ванных научных организаций) и приме-
нения специально разработанных
средств для анализа программного
обеспечения.
Имеют возможность создания методов
и средств реализации угроз безопасно-
сти информации с привлечением специ-
ализированных научных организаций и
реализации угроз с применением специ-
ально разработанных средств, в том
числе обеспечивающих скрытное про-
никновение в информационную систе-
му и воздействие на нее.
Имеют возможность создания и при-
менения специальных технических
средств для добывания информации
(воздействия на информацию или тех-
нические средства), распространяю-
щейся в виде физических полей или яв-
лений
в) возможные способы реализации угроз безопасности информации
Целью определения возможных способов реализации угроз безопасности
информации является формирование предположений о возможных сценариях
реализации угроз безопасности информации, описывающих последовательность
(алгоритмы) действий отдельных видов нарушителей или групп нарушителей и
применяемые ими методы и средства для реализации угроз безопасности инфор-
мации.
Возможные способы реализации угроз безопасности информации зависят
от структурно-функциональных характеристик и особенностей функционирова-
ния информационной системы.
Угрозы безопасности информации могут быть реализованы нарушителями
за счет:
несанкционированного доступа и (или) воздействия на объекты на аппа-
ратном уровне (программы (микропрограммы), «прошитые» в аппаратных ком-
понентах (чипсетах));
несанкционированного доступа и (или) воздействия на объекты на обще-
системном уровне (базовые системы ввода-вывода, гипервизоры, операционные
системы);
несанкционированного доступа и (или) воздействия на объекты на при-
кладном уровне (системы управления базами данных, браузеры, web-
приложения, иные прикладные программы общего и специального назначения);
несанкционированного доступа и (или) воздействия на объекты на сетевом
уровне (сетевое оборудование, сетевые приложения, сервисы);
18
несанкционированного физического доступа и (или) воздействия на линии,
(каналы) связи, технические средства, машинные носители информации;
воздействия на пользователей, администраторов безопасности, админи-
страторов информационной системы или обслуживающий персонал (социальная
инженерия).
Действия нарушителя в зависимости от его потенциала при реализации
угроз безопасности информации предусматривают идентификацию и использо-
вание уязвимостей в микропрограммном, общесистемном и прикладном про-
граммном обеспечении, сетевом оборудовании, применяемых в информацион-
ной системе, а также в организации работ по защите информации и конфигура-
ции информационной системы.
При определении способа реализации угроз безопасности информации
необходимо учитывать то, что угрозы безопасности информации могут быть ре-
ализованы непосредственно за счет доступа к компонентам информационной си-
стемы и (или) информации или опосредовано (косвенно) за счет создания усло-
вий и (или) средств, обеспечивающих такой доступ, а также за счет доступа или
воздействия на обслуживающую инфраструктуру, за которую оператор не отве-
чает. При этом локальной целью нарушителя, не имеющего доступа (прав досту-
па) к компонентам информационной системы и (или) информации, как правило,
является получение доступа к информационной системе (в том числе через
внешние сети связи общего пользования) и получение максимально возможных
прав и привилегий при таком доступе.
Нарушители могут совершать действия, следствием которых является
нарушение безопасности информации, преднамеренно (преднамеренные грозы
безопасности информации) или случайно (непреднамеренные грозы безопасно-
сти информации).
Преднамеренные действия нарушителей могут заключаться в реализации
целенаправленных или нецеленаправленных угроз безопасности информации.
Целенаправленная угроза безопасности информации направлена на инте-
ресующую нарушителя информационную систему с заранее известными ему
структурно-функциональными характеристиками и особенностями функциони-
рования. Целенаправленная угроза безопасности информации адаптирована к
структурно-функциональным характеристикам информационной системы. При
подготовке и реализации целенаправленных угроз безопасности информации
нарушитель может использовать методы социальной инженерии, которые позво-
ляют ему изучить поведение пользователей и их реакцию на поступающие к ним
внешние данные.
Нецеленаправленная («веерная») угроза безопасности информации не ори-
ентирована на конкретную информационную систему. Целями такой угрозы мо-
гут являться несанкционированный доступ, перехват управления или воздей-
ствие на как можно большее количество информационных систем. В данном
случае нарушителю заранее не известны структурно-функциональные характе-
ристики и условия функционирования информационной системы.
Реализация преднамеренных угроз безопасности информации, как прави-
ло, включает:
19
сбор информации об информационной системе, ее структурно-
функциональных характеристиках, условиях функционирования;
выбор (разработка, приобретение) методов и средств, используемых для
реализации угроз безопасности информации в информационной системе с задан-
ными структурно-функциональными характеристиками и условиями функцио-
нирования;
непосредственная реализация угроз безопасности информации в информа-
ционной системе (проникновение в информационную систему, закрепление в
информационной системе, реализация неправомерных действий);
устранение признаков и следов неправомерных действий в информацион-
ной системе.
В зависимости от целей и потенциала нарушителя на каждом из этапов мо-
гут эксплуатироваться одна или несколько уязвимостей информационной систе-
мы.
При определении возможных способов реализации угроз безопасности
информации необходимо исходить из следующих условий:
нарушитель может действовать один или в составе группы нарушителей;
в отношении информационной системы внешний нарушитель может дей-
ствовать совместно с внутренним нарушителем;
угрозы могут быть реализованы в любое время и в любой точке информа-
ционной системы (на любом узле или хосте);
для достижения своей цели нарушитель выбирает наиболее слабое звено
информационной системы.
Возможные способы реализации угроз безопасности информации, опреде-
ленные на основе настоящего раздела, включаются в модель угроз безопасности
информации.
20
= ОПРЕДЕЛЕНИЕ АКТУАЛЬНЫХ УГРОЗ БЕЗОПАСНОСТИ ИНФОРМАЦИИ В ИНФОРМАЦИОННОЙ СИСТЕМЕ =
Угроза безопасности информации является актуальной (УБИj
А
), если для
информационной системы с заданными структурно-функциональными характе-
ристиками и особенностями функционирования существует вероятность реали-
зации рассматриваемой угрозы нарушителем с соответствующим потенциалом и
ее реализация приведет к неприемлемым негативным последствиям (ущербу) от
нарушения конфиденциальности, целостности или доступности информации.
В качестве показателя актуальности угрозы безопасности информации
(УБИj
А
) принимается двухкомпонентный вектор, первый компонент которого
характеризует вероятность реализации угрозы (Рj), а второй – степень возможно-
го ущерба в случае ее реализации (Хj)
УБИj
А
= [вероятность реализации угрозы (Рj); степень ущерба (Хj)],
где Рj определятся на основе анализа статистических данных о частоте ре-
ализации угроз безопасности информации (возникновении инцидентов безопас-
ности) в информационной системе и (или) однотипных информационных систе-
мах, а Хj определяется на основе оценок степени последствий от нарушения
конфиденциальности, целостности или доступности информации.
При отсутствии статистических данных о реализации угроз безопасности
информации (возникновении инцидентов безопасности) в информационной си-
стеме и (или) однотипных информационных системах, актуальность угрозы без-
опасности информации определяется на основе оценки возможности реализации
угрозы безопасности информации (Yj)
УБИj
А
= [возможность реализации угрозы (Yj); степень ущерба (Хj)],
где Yj определятся на основе оценки уровня защищенности информацион-
ной системы и потенциала нарушителя, требуемого для реализации угрозы без-
опасности. Хj также определяется на основе оценок степени последствий от
нарушения конфиденциальности, целостности или доступности информации.
Актуальность угроз безопасности информации определяется в отношении
угроз, для которых экспертным методом определено, что:
возможности (потенциал) нарушителя достаточны для реализации угрозы
безопасности информации;
в информационной системе могут иметься потенциальные уязвимости, ко-
торые могут быть использованы при реализации j-ой угрозы безопасности ин-
формации;
структурно-функциональные характеристики и особенности функциони-
рования информационной системы не исключают возможности применения спо-
собов, необходимых для реализации j-ой угрозы безопасности информации (су-
ществует сценарий реализации угрозы безопасности);
21
реализация угрозы безопасности информации приведет к нарушению кон-
фиденциальности, целостности или доступности информации, в результате ко-
торого возможно возникновение неприемлемых негативных последствий (ущер-
ба).
В качестве исходных данных об угрозах безопасности информации и их
характеристиках используется банк данных угроз безопасности информации,
сформированный и поддерживаемый ФСТЭК России, а также базовые и типовые
модели угроз безопасности информации, разрабатываемые ФСТЭК России для
различных классов и типов информационных систем.
Для определения угроз безопасности информации могут использоваться
иные источники, в том числе опубликованные в общедоступных источниках
данные об уязвимостях, компьютерных атаках, вредоносном программном
обеспечении, а также результаты специально проведенных исследований по вы-
явлению угроз безопасности информации. В этом случае потенциал нарушителя,
возможные уязвимости, способы реализации угрозы безопасности информации и
последствия от ее реализации определяются для каждой угрозы безопасности
информации.
а) оценка вероятности (возможности) реализации угрозы безопасности
информации
Под вероятностью реализации угрозы безопасности информации понима-
ется определяемый экспертным путем показатель, характеризующий, насколько
вероятным является реализация j-ой угрозы безопасности информации в инфор-
мационной системе с заданными структурно-функциональными характеристи-
ками и особенностями функционирования. Вводятся три вербальные градации
этого показателя:
низкая вероятность – отсутствуют объективные предпосылки к реализации
j-ой угрозы безопасности информации, отсутствует требуемая статистика по
фактам реализации j-ой угрозы безопасности информации (возникновения инци-
дентов безопасности), отсутствует мотивация для реализации j-ой угрозы, воз-
можная частота реализации j-ой угрозы не превышает 1 раза в 5 лет;
средняя вероятность – существуют предпосылки к реализации j-ой угрозы
безопасности информации, зафиксированы случаи реализации j-ой угрозы без-
опасности информации (возникновения инцидентов безопасности) или имеется
иная информация, указывающая на возможность реализации j-ой угрозы без-
опасности информации, существуют признаки наличия у нарушителя мотивации
для реализации такой угрозы, возможная частота реализации j-ой угрозы не пре-
вышает 1 раза в год;
высокая вероятность – существуют объективные предпосылки к реализа-
ции j-ой угрозы безопасности информации, существует достоверная статистика
реализации j-ой угрозы безопасности информации (возникновения инцидентов
безопасности) или имеется иная информация, указывающая на высокую возмож-
ность реализации j-ой угрозы безопасности информации, у нарушителя имеются
22
мотивы для реализации j-ой угрозы, частота реализации j-ой угрозы – чаще 1 ра-
за в год.
В случае отсутствия требуемых данных для оценки вероятности реализа-
ции угрозы безопасности информации или наличия сомнений в объективности
экспертных оценок при определении вербальных градаций вероятности реализа-
ции угроз безопасности информации, актуальность j-ой угрозы безопасности
информации определяется на основе оценки возможности ее реализации (Yj).
Возможность реализации j-ой угрозы безопасности информации (Yj) оце-
нивается исходя из уровня защищенности информационной системы (Y1) и по-
тенциала нарушителя (Y2), необходимого для реализации этой угрозы безопас-
ности информации в информационной системе с заданными структурно-
функциональными характеристиками и особенностями функционирования:
Yj = [уровень защищенности (Y1); потенциал нарушителя (Y2)].
При определении угроз безопасности информации на этапе создания ин-
формационной системы в случае, когда меры защиты информации не реализова-
ны или не проведена оценка их достаточности и эффективности, оценка возмож-
ности реализации j-ой угрозы безопасности информации (Yj) проводится относи-
тельно уровня проектной защищенности информационной системы (Y1П):
Yj = [уровень проектной защищенности (Y1П); потенциал нарушителя (Y2)].
Под уровнем проектной защищенности (Y1П) понимается исходная защи-
щенность информационной системы, обусловленная заданными при проектиро-
вании структурно-функциональными характеристиками и условиями ее функци-
онирования. Уровень проектной защищенности (Y1П) определяется на основе
анализа проектных структурно-функциональных характеристик, приведенных в
таблице 3.
Показатели, характеризующие проектную
защищенность информационной системы
Таблица 3
Структурно-функциональные характе-
ристики информационной системы,
условия ее эксплуатации
Уровень проектной защищенности ин-
формационной системы (Y1П)
Высокий Средний Низкий
1. По структуре информационной си-
стемы:
автономное автоматизированное рабо-
чее место;
локальная информационная система;
распределенная информационная си-
стема
+
+
+
2. По используемым информационным
технологиям:
23
системы на основе виртуализации;
системы, реализующие «облачные
вычисления»;
системы с мобильными устройства-
ми;
системы с технологиями беспровод-
ного доступа;
грид
-системы;
суперкомпьютерные системы
+
+++++
3
. По архитектуре информационной
системы
:
системы на основе «тонкого клиен-
та»;
системы на основе одноранговой
се-
ти
;
файл
-серверные системы
;
центры обработки данных;
системы с уд
аленным доступом
пользователей;
использование разных типов опера-
ционных систем (гетерогенность сре-
ды)
;
использование прикладных про-
грамм, независимых от операционных
систем
;
использование выделенных каналов
связи
+
++++
+++
4
. По наличию (отсутствию) взаимо-
связей с иными информационными си-
стемами
:
взаимодействующая с системами
;
невзаимодействующая с системами
+
+
5
. По наличию (отсутствию) взаимо-
связей (подключений)
к сетям связи
общего пользования
:
подключенная
;
подключенная через выделенную
инфраструктуру (gov
.ru или иную);
неподключенной
+
+
+
6
. По размещению технических
средств:
расположенные в пределах одной
контролируемой зоны;
расположенные в пределах несколь-
ких контролируемых зон;
+
+
24
расположенные вне контролируемой
зоны
+
7. По режимам обработки информации
в информационной системе:
многопользовательский;
однопользовательский +
+
8. По режимам разграничения прав до-
ступа:
без разграничения;
с разграничением +
+
9. По режимам разделения функций по
управлению информационной системой:
без разделения;
выделение рабочих мест для адми-
нистрирования в отдельный домен;
использование различных сетевых
адресов;
использование выделенных каналов
для администрирования
+
+
+
+
10. По подходам к сегментированию
информационной системы:
без сегментирования;
с сегментированием +
+
В ходе создания информационной системы уровень ее проектной защи-
щенности (Y1П) определяется следующим образом:
а) информационная система имеет высокий уровень проектной защищен-
ности (Y1П), если не менее 80% характеристик информационной системы соот-
ветствуют уровню «высокий» (суммируются положительные решения по второ-
му столбцу, соответствующему высокому уровню защищенности), а остальные -
среднему уровню защищенности (положительные решения по третьему столб-
цу);
б) информационная система имеет средний уровень проектной защищен-
ности (Y1П), если не выполняются условия по пункту а) и не менее 90% характе-
ристик информационной системы соответствуют уровню не ниже «средний»
(берется отношение суммы положительных решений по третьему столбцу, соот-
ветствующему среднему уровню защищенности, к общему количеству решений),
а остальные - низкому уровню защищенности;
в) информационная система имеет низкий уровень проектной защищенно-
сти (Y1П), если не выполняются условия по пунктам а) и б).
В соответствии с требованиями о защите информации, не составляющей
государственную тайну, содержащейся в государственных информационных си-
стемах, до ввода в эксплуатацию информационной системы должны быть реали-
зованы меры защиты информации, направленные на блокирование (нейтрализа-
25
цию) актуальных угроз безопасности информации. Таким образом, ввод в экс-
плуатацию информационной системы осуществляется при условии достижения
высокого уровня исходной защищенности информационной системы от нару-
шителя с заданным потенциалом.
Вместе с тем, в ходе эксплуатации информационной системы возможно
появление новых уязвимостей, повышение потенциала нарушителя, изменение
структурно-функциональных характеристик, значимости обрабатываемой ин-
формации, особенностей функционирования информационной системы и других
условий, приводящих к возникновению новых угроз безопасности информации,
которые могут существенно снизить уровень проектной защищенности инфор-
мационной системы. В этом случае для поддержания уровня защищенности ин-
формационной системы в ходе эксплуатации должен проводиться регулярный
анализ изменения угроз безопасности информации, а актуальные угрозы без-
опасности информации подлежат периодической переоценке.
В ходе эксплуатации информационной системы уровень ее защищенности
(Y1) определяется следующим образом:
а) в информационной системе обеспечивается высокий уровень защищен-
ности (Y1), если в ходе эксплуатации информационной системы не появились
дополнительные угрозы безопасности информации или в отношении появив-
шихся дополнительных угроз безопасности информации с высокой оперативно-
стью («за минуты») могут быть приняты меры защиты информации, нейтрали-
зующие эти угрозы;
б) в информационной системе обеспечивается средний уровень защищен-
ности (Y1), если в ходе эксплуатации информационной системы появились до-
полнительные угрозы безопасности информации и в отношении них оперативно
(«за часы») могут быть приняты меры защиты информации, нейтрализующие эти
угрозы;
в) в информационной системе обеспечивается низкий уровень защищен-
ности (Y1), если в ходе эксплуатации информационной системы появились до-
полнительные угрозы безопасности информации и в отношении них не могут
быть с высокой оперативностью или оперативно приняты меры защиты инфор-
мации, нейтрализующие эти угрозы.
Потенциал, требуемый нарушителю для реализации j-ой угрозы безопас-
ности информации, может быть базовым (низким), базовым повышенным (сред-
ним) или высоким. Значение потенциала нарушителя (Y2) для j-ой угрозы без-
опасности информации определяется на основе данных, приведенных в банке
данных угроз безопасности информации ФСТЭК России, а также в базовых и
типовых моделях угроз безопасности информации, разрабатываемых ФСТЭК
России для информационных систем различных классов и типов. В случае отсут-
ствия информации о потенциале нарушителя для реализации j-ой угрозы без-
опасности значение потенциала (Y2) определяется в соответствии с приложением
№ 3 к настоящей Методике.
Возможность реализации j-ой угрозы безопасности информации (Yj) в за-
висимости от уровня защищенности информационной системы (Y1/Y1П) и потен-
26
циала нарушителя (Y2) определяется как высокая, средняя или низкая в соответ-
ствии с таблицей 4.
Возможность
реализации угрозы безопасности информации
Таблица 4
Уровень защищенности (Y1/Y1П)
Потенциал нарушителя (Y2)
Высокий Средний Низкий
Базовый (низкий) Низкая Средняя Высокая
Базовый повышенный (средний) Средняя Высокая Высокая
Высокий Высокая Высокая Высокая
б) оценка степени возможного ущерба от реализации угрозы безопас-
ности информации
Для оценки степени возможного ущерба от реализации угрозы безопасно-
сти информации определяются возможный результат реализации угрозы без-
опасности информации в информационной системе, вид ущерба, к которому мо-
жет привести реализация угрозы безопасности информации, степень послед-
ствий от реализации угрозы безопасности информации для каждого вида ущер-
ба.
В качестве результата реализации угрозы безопасности информации рас-
сматриваются непосредственное или опосредованное воздействие на конфиден-
циальность, целостность, доступность информации, содержащейся в информа-
ционной системе.
Непосредственное воздействие на конфиденциальность, целостность, до-
ступность информации возможно в результате реализации прямой угрозы без-
опасности информации. В этом случае объектами воздействия угрозы являются
непосредственно информация и (или) иные объекты защиты информационной
системы или обеспечивающей инфраструктуры, которые обеспечивают получе-
ние, обработку, хранение, передачу, уничтожение информации в информацион-
ной системе, в результате доступа к которым или воздействия на которые воз-
можно воздействие на конфиденциальность, целостность или доступность ин-
формации.
Опосредованное воздействие на конфиденциальность, целостность, до-
ступность информации рассматривается в результате реализации косвенных
угроз безопасности информации. Реализация косвенных угроз безопасности ин-
формации не приводит непосредственно к воздействию на конфиденциальность,
целостность, доступность информации, но создает условия для реализации од-
ной или нескольких прямых угроз безопасности информации, позволяющих реа-
лизовать такое воздействие. В этом случае в качестве результата реализации
косвенной угрозы необходимо рассматривать результаты реализации всех пря-
27
мых угроз безопасности информации, которые возможно реализовать в случае
реализации данной косвенной угрозы.
Результат реализации угрозы безопасности информации определяется воз-
действием угрозы на каждое свойство безопасности информации (конфиденци-
альность, целостность, доступность) в отдельности в соответствии с таблицей 5.
При обработке в информационной системе двух и более видов информации
(служебная тайна, персональные данные, налоговая тайна, иные установленные
законодательством Российской Федерации виды информации) воздействие на
конфиденциальность, целостность, доступность определяется отдельно для каж-
дого вида информации (k, …, m), содержащейся в информационной системе.
Таблица 5
Свойство
безопасности
информации
Результат реализации
угрозы безопасности информации
Не оказывает воздействия Оказывает воздействие
Конфиденциаль-
ность
К Xk1
В результате реализации
угрозы безопасности инфор-
мации отсутствует возмож-
ность неправомерного досту-
па, копирования, предостав-
ления или распространения
информации
В результате реализации
угрозы безопасности ин-
формации возможны не-
правомерный доступ, ко-
пирование, предоставле-
ние или распространение
информации
Целостность
Ц Xk1
В результате реализации
угрозы безопасности инфор-
мации отсутствует возмож-
ность уничтожения или мо-
дифицирования информации
В результате реализации
угрозы безопасности ин-
формации возможно уни-
чтожение или модифици-
рование информации
Доступность
Д Xk1
В результате реализации
угрозы безопасности инфор-
мации отсутствует возмож-
ность блокирования инфор-
мации
В результате реализации
угрозы безопасности ин-
формации возможно бло-
кирование информации
При определении степени возможного ущерба необходимо исходить из то-
го, что в зависимости от целей и задач, решаемых информационной системой,
видов обрабатываемой информации, воздействие на конфиденциальность, це-
лостность или доступность каждого вида информации, содержащейся в инфор-
мационной системе, может привести к различным видам ущерба. При этом для
разных обладателей информации и операторов будут характерны разные виды
ущерба.
Основные виды ущерба и возможные негативные последствия, к которым
может привести нарушение конфиденциальности, целостности, доступности ин-
формации, приведены в таблице 6.
28
Таблица 6
Вид
ущерба
Возможные негативнее
последствия от нарушения конфиденциальности, целост-
ности, доступности информации
Экономический
(финансовый)
Снижение, как минимум, одного экономического показа-
теля.
Потеря (кража) финансовых средств.
Недополучение ожидаемой (прогнозируемой) прибыли.
Необходимость дополнительных (незапланированных)
затрат на выплаты штрафов (неустоек) или компенсаций.
Необходимость дополнительных (незапланированных)
затрат на закупку товаров, работ или услуг (в том числе
закупка программного обеспечения, технических средств,
вышедших из строя, замена, настройка, ремонт указанных
средств).
Необходимость дополнительных (незапланированных)
затрат на восстановление деятельности.
Потеря клиентов, поставщиков.
Потеря конкурентного преимущества.
Невозможность заключения договоров, соглашений.
Другие прямые или косвенные финансовые потери
Социальный Создание предпосылок для нанесения вреда здоровью
граждан.
Возможность нарушения функционирования объектов
обеспечения жизнедеятельности граждан.
Организация пикетов, забастовок, митингов и других ак-
ций.
Увольнения.
Увеличение количества жалоб в органы государственной
власти или органы местного самоуправления.
Появление негативных публикаций в общедоступных ис-
точниках.
Невозможность (прерывание) предоставления социаль-
ных услуг (сервисов).
Другие последствия, приводящие к нарастанию социаль-
ной напряженности в обществе
Политический Создание предпосылок к обострению отношений в меж-
дународных отношениях.
Срыв двусторонних (многосторонних) контактов с зару-
бежными партнерами.
Неспособность выполнения международных (двусторон-
них) договорных обязательств.
29
Невозможность заключения международных (двусторон-
них) договоров, соглашений.
Создание предпосылок к внутриполитическому кризису.
Нарушение выборного процесса.
Другие последствия во внутриполитической и внешнепо-
литической областях деятельности
Репутационный Нарушение законодательных и подзаконных актов.
Нарушение деловой репутации.
Снижение престижа.
Дискредитация работников.
Утрата доверия.
Неспособность выполнения договорных обязательств.
Другие последствия, приводящие к нарушению репута-
ции
Ущерб в области
обороны, безопас-
ности и правопо-
рядка
Создание предпосылок к наступлению негативных по-
следствий для обороны, безопасности и правопорядка.
Нарушение общественного правопорядка.
Неблагоприятное влияние на обеспечение общественного
правопорядка.
Возможность потери или снижения уровня контроля за
общественным правопорядком.
Отсутствие возможности оперативного оповещения
населения о чрезвычайной ситуации.
Другие последствия, приводящие к ущербу в области
обороны, безопасности и правопорядка
Ущерб субъекту
персональных дан-
ных
Создание угрозы личной безопасности.
Финансовые или иные материальные потери физического
лица.
Вторжение в частную жизнь.
Создание угрозы здоровью.
Моральный вред.
Утрата репутации.
Другие последствия, приводящие к нарушению прав
субъекта персональных данных
Технологический Невозможность решения задач (реализации функций)
или снижение эффективности решения задач (реализации
функций).
Необходимость изменения (перестроения) внутренних
процедур для достижения целей, решения задач (реализа-
ции функций).
Принятие неправильных решений.
Простой информационной системы или сегмента инфор-
мационной системы
Другие последствия, приводящие к нарушению техноло-
гии обработки информации
30
Указанные виды ущерба могут дополняться другими видами в зависимо-
сти от целей и задач, решаемых информационной системой, а также вида обра-
батываемой в ней информации.
Степень возможного ущерба от реализации угрозы безопасности инфор-
мации определяется степенью негативных последствий от нарушения конфиден-
циальности, целостности или доступности каждого вида информации, содержа-
щейся в информационной системе.
Степень негативных последствий от нарушения конфиденциальности, це-
лостности или доступности информации определяется для каждого вида ущерба,
зависит от целей и задач, решаемых информационной системой, и может иметь
разные значения для разных обладателей информации и операторов. В качестве
единой шкалы измерения степени негативных последствий принимаются значе-
ния «незначительные», «умеренные» и «существенные» негативные послед-
ствия. Каждым оператором определяется в указанной единой шкале измерений
степень негативных последствий от нарушения конфиденциальности, целостно-
сти или доступности информации применительно ко всем целям и задачам, ре-
шаемым информационной системой.
Степень возможного ущерба определяется экспертным методом в соответ-
ствии с таблицей 7.
Таблица 7
Степень
ущерба
Характеристика степени ущерба
Высокая В результате нарушения одного из свойств безопасности
информации (конфиденциальности, целостности, доступно-
сти) возможны существенные негативные последствия.
Информационная система и (или) оператор (обладатель
информации) не могут выполнять возложенные на них
функции
Средняя В результате нарушения одного из свойств безопасности
информации (конфиденциальности, целостности, доступно-
сти) возможны умеренные негативные последствия.
Информационная система и (или) оператор (обладатель
информации) не могут выполнять хотя бы одну из возложен-
ных на них функций
Низкая В результате нарушения одного из свойств безопасности
информации (конфиденциальности, целостности, доступно-
сти) возможны незначительные негативные последствия.
Информационная система и (или) оператор (обладатель
информации) могут выполнять возложенные на них функции
с недостаточной эффективностью или выполнение функций
возможно только с привлечением дополнительных сил и
средств
31
При обработке в информационной системе двух и более видов информа-
ции (служебная тайна, персональные данные, налоговая тайна и иные установ-
ленные законодательством Российской Федерации виды информации) степень
возможного ущерба определяется отдельно для каждого вида информации
(k, …, m), обрабатываемой в информационной системе, применительно к каждо-
му виду ущерба. Итоговая степень возможного ущерба устанавливается по
наивысшим значениям степени возможного ущерба, определенным для конфи-
денциальности, целостности, доступности информации каждого вида информа-
ции применительно к каждому виду ущерба.
X max(Х ); i К,Ц, Д.
i
k
i
k  
в) определение актуальности угрозы безопасности информации
Решение об актуальности угрозы безопасности информации УБИj
А
для
информационной системы с заданными структурно-функциональными характе-
ристиками и условиями функционирования принимается в соответствии с таб-
лицей 8.
Таблица 8
Вероятность (воз-
можность) реали-
зации угрозы (Yj)
Степень возможного ущерба (Хj)
Низкая Средняя Высокая
Низкая неактуальная неактуальная актуальная
Средняя неактуальная актуальная актуальная
Высокая актуальная актуальная актуальная
32
=Приложение № 1=
к
Методике определения угроз безопасности
информации в информационных системах
Рекомендации по формированию
экспертной группы и проведению экспертной оценки при
определении угроз безопасности информации
Качественное формирование экспертной группы способствует снижению
субъективных факторов при оценке угроз безопасности информации. Занижение
(ослабление) экспертами прогнозов и предположений при определении угроз
может повлечь наступление непрогнозируемого (неожиданного) ущерба в ре-
зультате реализации угрозы безопасности информации. Завышение экспертами
прогнозов и предположений при определении угроз может повлечь за собой не-
оправданные расходы на нейтрализацию угроз, являющихся неактуальными.
Независимо от результата формирования экспертной группы при оценке
угроз безопасности информации существуют субъективные факторы, связанные
с психологией принятия решений человеком. Это также может приводить как к
занижению (ослаблению), так и к завышению (усилению) экспертами прогнозов
и предположений при определении угроз безопасности информации, что в свою
очередь может привести к пропуску отдельных угроз безопасности информации
или к неоправданным затратам на нейтрализацию неактуальных угроз.
Любое решение, принимаемое экспертами при определении угроз безопас-
ности информации, должно исходить из правил, при которых нарушитель нахо-
дится в наилучших условиях для реализации угрозы безопасности (принципа
«гарантированности»).
а) формирование экспертной группы
В состав экспертной группы для определения угроз безопасности инфор-
мации рекомендуется включать экспертов (независимо от того, реализуются ли
функции обладателя информации, заказчика и оператора в рамках одной или не-
скольких организаций):
от подразделений обладателей информации, содержащейся в информаци-
онной системе;
от подразделений оператора информационной системы;
от подразделения по защите информации;
от лиц, предоставляющих услуги по обработке информации;
от разработчика информационной системы;
от операторов взаимодействующих внешних информационных систем (по
согласованию).
В качестве экспертов рекомендуется привлекать специалистов, деятель-
ность которых связана с обработкой информации в информационной системе, а
33
также специалистов, имеющие квалификацию и опыт работы в области приме-
нения информационных технологий и (или) в области защиты информации.
При привлечении в качестве экспертов специалистов от подразделений по
защите информации рекомендуется привлекать лиц, имеющих высшее образова-
ние или прошедших переподготовку (повышение квалификации) по направле-
нию подготовки «Информационная безопасность», или имеющих не менее трех
лет стажа практической работы в своей сфере деятельности.
Эксперты должны обладать независимостью, основанной на отсутствии
коммерческого и финансового интереса или другого давления, которое может
оказать влияние на принимаемые решения. Не рекомендуется формировать экс-
пертную группу из участников, находящихся в прямом подчинении, так как это
может негативным образом повлиять на результат определения угроз безопасно-
сти информации.
Состав экспертной группы зависит от целей и задач информационной си-
стемы, но не должен быть меньше трех экспертов.
б) проведение экспертной оценки
При проведении экспертной оценки принимаются меры, направленные на
снижение уровня субъективности и неопределенности при определении каждой
из угроз безопасности информации.
Экспертную оценку рекомендуется проводить в отношении, как минимум,
следующих параметров:
цели реализации угроз безопасности информации (мотивация нарушите-
лей);
типы и виды нарушителей;
уязвимости, которые могут быть использованы для реализации угроз без-
опасности информации;
способы реализации угроз безопасности информации;
степень воздействия угрозы безопасности информации на каждое из
свойств безопасности информации;
последствия от реализации угроз безопасности информации;
вероятность реализации угроз безопасности информации;
уровень защищенности информационной системы;
потенциал нарушителя, требуемый для реализации угрозы безопасности
информации (в случае отсутствия потенциала в банке данных угроз безопасно-
сти информации).
Оценку параметров рекомендуется проводить опросным методом с состав-
лением анкеты, в которой указываются вопросы и возможные варианты ответа в
единой принятой шкале измерений («низкий», «средний», «высокий» или «да»,
«нет» или иные шкалы). При этом вопросы должны быть четкими и однозначно
трактуемыми, предполагать однозначные ответы.
Опрос экспертов включает следующие этапы:
каждый эксперт проводит оценку оцениваемого параметра (рекомендуется
не мене двух раундов оценки), результаты которой заносятся в таблицу 1.1;
34
после оценки каждым из экспертов отбрасываются минимальные и макси-
мальные значения;
определяется среднее значение оцениваемого параметра в каждом раунде;
определяется итоговое среднее значение оцениваемого параметра.
Пример таблицы результатов оценки параметров
Таблица 1.1
Эксперты Значение оцениваемого
параметра (раунд 1)
Значение оцениваемого
параметра (раунд 2)
Эксперт 1
Эксперт 2
Эксперт n
Итоговое значение
35
=Приложение № 2=
к
Методике определения угроз безопасности
информации в информационных системах
Структура модели угроз безопасности информации
Модель угроз безопасности информации содержит следующие разделы:
1. Общие положения.
2. Описание информационной системы и особенностей ее функционирова-
ния.
2.1. Цель и задачи, решаемые информационной системой.
2.2. Описание структурно-функциональных характеристик информацион-
ной системы.
2.3. Описание технологии обработки информации.
3. Возможности нарушителей (модель нарушителя).
3.1. Типы и виды нарушителей.
3.2. Возможные цели и потенциал нарушителей.
3.3. Возможные способы реализации угроз безопасности информации.
4. Актуальные угрозы безопасности информации.
Приложения (при необходимости).
Раздел «Общие положения» содержит назначение и область действия до-
кумента, информацию о полном наименовании информационной системы, для
которой разработана модель угроз безопасности информации, а также информа-
цию об использованных для разработки модели угроз безопасности информации
нормативных и методических документах, национальных стандартах. В данный
раздел также включается информация об используемых данных и источниках, на
основе которых определяются угрозы безопасности информации (документация,
исходные тексты программ, опросы персонала, журналы регистрации средств
защиты, отчеты об аудите и иные источники).
Раздел «Описание информационной системы и особенностей ее функцио-
нирования» содержит общую характеристику информационной системы, описа-
ние структурно-функциональных характеристик информационной системы, опи-
сание взаимосвязей между сегментами информационной системы, описание вза-
имосвязей с другими информационными системами и информационно-
телекоммуникационными сетями, описание технологии обработки информации.
Также в данном разделе приводятся предположения, касающиеся информацион-
ной системы и особенностей ее функционирования (в частности предположения
об отсутствии неучтенных беспроводных каналов доступа или динамичность
выделения адресов узлам информационной системы, иные предположения). В
раздел включаются любые ограничения, касающиеся информационной системы
и особенностей ее функционирования.
Раздел «Возможности нарушителей (модель нарушителя)» содержит опи-
сание типов, видов, потенциала и мотивации нарушителей, от которых необхо-
димо обеспечить защиту информации в информационной системе, способов реа-
36
лизации угроз безопасности информации. В данный раздел также включаются
предположения, касающиеся нарушителей (в частности предположение об от-
сутствии у нарушителя возможности доступа к оборудованию, сделанному на
заказ и применяемому при реализации угрозы, предположение о наличии (отсут-
ствии) сговора между внешними и внутренними нарушителями или иные пред-
положения). В раздел включаются любые ограничения, касающиеся определения
нарушителей (в частности исключение администраторов информационной си-
стемы или администраторов безопасности из числа потенциальных нарушителей
или иные предположения).
Раздел «Актуальные угрозы безопасности информации» содержит описа-
ние актуальных угроз безопасности, включающее наименование угрозы безопас-
ности информации, возможности нарушителя по реализации угрозы, используе-
мые уязвимости информационной системы, описание способов реализации угро-
зы безопасности информации, объекты воздействия, возможные результат и по-
следствия от реализации угрозы безопасности информации.
37
=Приложение № 3=
к Методике определения угроз безопасности
информации в информационных системах
Определение
потенциала нарушителя, необходимого для реализации угрозы без-
опасности информации в информационной системе
Настоящее приложение применяется для определения потенциала, необхо-
димого для реализации угрозы безопасности информации, данные по которой
отсутствуют в банке данных угроз безопасности информации, и характеристики
которых определяются на основе иных источников или результатов исследова-
ний.
Приведенный подход к оценке потенциала нарушителя направлен на сни-
жение уровня субъективности и неопределенности при оценке потенциала
нарушителя, который требуется для реализации угрозы безопасности информа-
ции в информационной системе с заданными структурно-функциональными ха-
рактеристиками и особенностями функционирования.
Исходными данными для определения потенциала нарушителя являются:
данные об аппаратном, общесистемном и прикладном программном обес-
печении, применяемых информационных технологиях, особенностях функцио-
нирования информационной системы;
данные об уязвимостях в аппаратном, общесистемном и прикладном про-
граммном обеспечении, опубликованные в различных базах данных уязвимо-
стей, полученные в результате исследований (тестировании) или полученные от
уполномоченных федеральных органов исполнительной власти и организаций.
При оценке потенциала нарушителя необходимо исходить из того, что для
успешного достижения целей реализации угроз безопасности информации,
нарушителю необходимо осуществить подготовку к реализации угрозы и непо-
средственно реализацию угрозы безопасности информации. При этом не един-
ственным, но необходимым условием на этапе подготовки к реализации угрозы
безопасности информации является идентификация уязвимостей в информаци-
онной системе, а на этапе реализации угрозы безопасности информации – ис-
пользование уязвимостей информационной системы.
Таким образом, для определения потенциала нарушителя необходимо оце-
нить возможности нарушителя идентифицировать уязвимости и использовать их
в информационной системе в ходе подготовки к реализации и непосредственно в
ходе реализации угрозы безопасности информации. Для проведения указанной
оценки делается предположение о наличии уязвимостей, которые потенциально
содержатся в информационной системе и могут быть использованы для реализа-
ции угрозы безопасности информации.
Потенциальные уязвимости определяются для каждого класса и типа про-
граммного обеспечения и для каждого узла (хоста) информационной системы
исходя из условия, что для реализации угрозы безопасности информации нару-
38
шителю необходимо идентифицировать и использовать как минимум одну уяз-
вимость на каждом узле и хосте.
В качестве исходных данных для определения потенциальных уязвимостей
используются данные по составу информационной системы и особенностям ее
функционирования, а также данные об уязвимостях в этом программном обеспе-
чении, опубликованные в общедоступных источниках, полученные по результа-
там исследований и (или) полученные от уполномоченных органов и организа-
ций.
Для каждой выявленной потенциальной уязвимости проводится оценка
возможностей ее идентификации и использования в информационной системе
нарушителем, обладающим определенными возможностями и для каждого из
возможных сценариев реализации угрозы безопасности информации.
Оценка возможностей нарушителя по идентификации и использованию
уязвимости в информационной системе проводится по результатам определения
следующих показателей:
время, затрачиваемое нарушителем на идентификацию и использование
уязвимости (затрачиваемое время);
техническая компетентность нарушителя;
знание нарушителем проекта и информационной системы;
оснащенность нарушителя;
возможности нарушителя по доступу к информационной системе.
Во многих случаях указанные показатели являются зависимыми и могут в
различной степени заменять друг друга. В частности, показатели технической
компетентности или оснащенности могут заменяться показателем затрачиваемо-
го времени.
а) определение показателя «затрачиваемое время»
Показатель «затрачиваемое время» характеризует время, непрерывно за-
трачиваемое нарушителем для идентификации и использования уязвимости для
реализации угрозы безопасности информации.
Показатель «затрачиваемое время» может принимать значения «за мину-
ты», «за часы», «за дни» или «за месяцы».
Значение «за минуты» присваивается, если для реализации угрозы без-
опасности информации нарушитель затратит менее получаса на идентификацию
и использование уязвимости.
Значение «за часы» присваивается, если для реализации угрозы безопасно-
сти информации нарушитель затратит менее чем один день на идентификацию и
использование уязвимости.
Значение «за дни» присваивается, если для реализации угрозы безопасно-
сти информации нарушитель затратит менее чем один месяц на идентификацию
и использование уязвимости.
Значение «за месяцы» присваивается, если для реализации угрозы без-
опасности информации нарушитель затратит, как минимум, месяц на идентифи-
кацию и использование уязвимости.
39
б) определение показателя «техническая компетентность нарушителя»
Показатель «техническая компетентность нарушителя» характеризует, ка-
ким уровнем знаний и подготовкой в области информационных технологий и
защиты информации должен обладать нарушитель, чтобы идентифицировать и
использовать уязвимости для реализации угрозы безопасности информации.
Показатель «техническая компетентность нарушителя» может принимать
значения «специалист», «профессионал» или «непрофессионал».
Значение «профессионал» присваивается, если нарушитель имеет хоро-
шую осведомленность о мерах защиты информации, применяемых в информа-
ционной системе, об алгоритмах, аппаратных и программных средствах, исполь-
зуемых в информационной системе, а также обладает специальными знаниями о
методах и средствах выявления новых уязвимостей и способах реализации угроз
безопасности информации для информационных систем данного типа.
Значение «специалист» присваивается, если нарушитель имеет осведом-
ленность о мерах защиты информации, применяемых в информационной систе-
ме данного типа.
Значение «непрофессионал» присваивается, если нарушитель имеет сла-
бую осведомленность (по сравнению со специалистами или профессионалами) о
мерах защиты информации, применяемых в информационных системах данного
типа, и не обладает специальными знаниями по реализации угроз безопасности
информации.
в) определение показателя «знание нарушителем проекта и информа-
ционной системы»
Показатель «знание нарушителем проекта и информационной системы»
характеризует, какие сведения об информационной системе и условиях ее экс-
плуатации доступны нарушителю, чтобы идентифицировать и использовать уяз-
вимости для реализации угрозы безопасности информации.
Показатель «знание нарушителем проекта и информационной системы»
может принимать значения «отсутствие знаний», «ограниченные знания» или
«знание чувствительной информации».
Значение «отсутствие знаний» присваивается, если в результате принятия
мер по защите информации нарушителю не может стать известно о структурно-
функциональных характеристиках информационной системы, системе защиты
информации информационной системы, а также об иной информации по разра-
ботке (проектированию) и эксплуатации информационной системы, включая
сведения из конструкторской, проектной и эксплуатационной документации.
При этом может быть доступна информация о целях и задачах, решаемых ин-
формационной системой. Данный показатель также присваивается, если сведе-
ния об информационной системе отнесены к информации ограниченного досту-
па и не могут быть доступны для неограниченного круга лиц.
40
Значение «ограниченные знания» присваивается, если нарушителю наряду
с информацией о целях и задачах, решаемых информационной системой, может
стать известна только эксплуатационная документация на информационную си-
стему (в частности руководство пользователя и (или) правила эксплуатации ин-
формационной системы).
Значение «знание чувствительной информации» присваивается, если
нарушителю может стать известны конструкторская (проектная) и эксплуатаци-
онная документация на информационную систему, информация о структурно-
функциональных характеристиках информационной системы, системе защиты
информационной системы.
г) определение показателя «возможности нарушителя по доступу к
информационной системе»
Показатель «возможности нарушителя по доступу к информационной си-
стеме» характеризует, как долго по времени нарушитель должен иметь возмож-
ность доступа к информационной системе для идентификации и использования
уязвимостей для реализации угроз безопасности информации.
Показатель «возможности нарушителя по доступу к информационной си-
стеме» может принимать значения «за минуты», «за часы», «за дни» или «за ме-
сяцы».
Значение «за минуты» присваивается, если для идентификации и исполь-
зования уязвимости для реализации угрозы безопасности информации наруши-
телю требуется доступ менее получаса.
Значение «за часы» присваивается, если для идентификации и использова-
ния уязвимости для реализации угрозы безопасности информации нарушителю
требуется доступ менее одного дня.
Значение «за дни» присваивается, если для идентификации и использова-
ния уязвимости для реализации угрозы безопасности информации нарушителю
требуется доступ менее одного месяца.
Значение «за месяцы» присваивается, если для идентификации и использо-
вания уязвимости для реализации угрозы безопасности информации нарушите-
лю требуется доступ более одного месяца.
Показатель «возможности нарушителя по доступу к информационной си-
стеме» взаимосвязан с показателем «затраченное время». Идентификация и ис-
пользование уязвимости при реализации угрозы безопасности информации мо-
гут требовать продолжительного времени по доступу к информационной систе-
ме, что увеличивает возможность обнаружения уязвимости. В отдельных случа-
ях продолжительный доступ к информационной системе не требуется (методы и
средства реализации угроз безопасности разрабатываются автономно), но при
этом требуется кратковременный доступ к информационной системе.
41
д) определение показателя «оснащенность нарушителя»
Показатель «оснащенность нарушителя» характеризует, какие программ-
ные и (или) программно-технические средства требуются нарушителю для иден-
тификации и использования уязвимостей для реализации угроз безопасности
информации.
Показатель «оснащенность нарушителя» может принимать значения
«стандартное оборудование», «специализированное оборудование» или «обору-
дование, сделанное на заказ».
Значение «стандартное оборудование» присваивается, если для идентифи-
кации или использования уязвимостей при реализации угрозы безопасности ин-
формации требуются программные (программно-технические) средства, легко
доступные для нарушителя. К таким средствам, в первую очередь, относятся
программные средства непосредственно информационной системы (отладчик в
операционной системе, средства разработки и иные), программные средства, ко-
торые могут быть легко получены (программы, имеющиеся в свободном доступе
в сети Интернет) или имеются простые сценарии реализации угроз.
Значение «специализированное оборудование» присваивается, если для
идентификации или использования уязвимостей при реализации угрозы без-
опасности информации требуются программные (программно-технические)
средства, которые отсутствуют в свободном доступе, но могут быть приобрете-
ны нарушителем без значительных усилий. К таким средствам, в первую оче-
редь, относятся программные (программно-технические) средства, которые
имеются в продаже (анализаторы кода, анализаторы протоколов и иные) или
требуется разработка более сложных программ и сценариев реализации угрозы.
Оборудование может быть закуплено, либо, например, могут быть использованы
компьютеры, объединенные через сеть Интернет (бот-сети).
Значение «оборудование, сделанное на заказ» присваивается, если для
идентификации или использования уязвимостей при реализации угрозы без-
опасности информации требуются программные (программно-технические)
средства, которые недоступны широкому кругу лиц, так как требуется их специ-
альная разработка с привлечением исследовательских организаций, или распро-
странение этих средств контролируется в соответствии с законодательством. К
такому оборудованию также относится дорогостоящие средства или средства,
сведения о которых относятся к информации ограниченного доступа.
С целью вычисления потенциала нарушителя определяются числовые зна-
чения указанных показателей в соответствии с таблицей 3.1.
42
Таблица 3.1
Показатель возможностей нарушителя
Значения при
идентификации
уязвимости
Значения при
использова-
нии уязвимо-
сти
Затрачиваемое
время
< 0,5 час 0 0
< 1 день 2 3
< 1 месяц 3 5
> 1 месяц 5 8
Техническая ком-
петентность
нарушителя
Непрофессионал 0 0
Специалист 2 3
Профессионал 5 4
Знание проекта и
информационной
системы
Отсутствие знаний 0 0
Ограниченные знания 2 2
Знание чувствительной
информации 5
4
Возможность до-
ступа к информа-
ционной системе
< 0,5 час или не обна-
руживаемый доступ 0
0
< 1 день 2 4
< 1 месяц 3 6
> 1 месяц 4 9
Не возможно
Оснащенность
нарушителя
Отсутствует 0 0
Стандартное оборудо-
вание
1
2
Специализированное
оборудование 3
4
Оборудование, сделан-
ное на заказ
5
6
Для конкретной потенциальной уязвимости может возникнуть необходи-
мость определять показатели несколько раз для различных способов реализации
угроз безопасности информации (попеременно использовать разные значения
показателей компетентности в сочетании со значениями времени и оборудова-
ния). При этом следует выбирать наибольшее значение, полученное при каждом
расчете показателей.
Полученные на основе таблицы 3.1 значения характеристик потенциала
нарушителя суммируются. Полученная сумма значений характеристик соотно-
сится с диапазонами значений, приведенных в таблице 3.2, в соответствии с ко-
торой определяется потенциал нарушителя, необходимый для реализации угрозы
безопасности информации.
43
Таблица 3.2
Диапазон
значений
Потенциал
нарушителя
<10 Потенциал недостаточен для реализации
угрозы безопасности
10-17 Базовый (низкий)
18-24 Базовый повышенный (средний)
>24 Высокий
Мотивация нарушителя для реализации угроз безопасности информации
может быть базовой или повышенной. Мотивация нарушителя характеризует
уровень устремлений нарушителя к информации, содержащейся в информаци-
онной системе, или информационной системе в целом. При определении потен-
циала нарушителя необходимо исходить, как минимум, из его базовой мотива-
ции.
Потенциал нарушителя, требуемый для реализации угрозы безопасности
информации, переходит на следующий уровень (от низкого к среднего или от
среднего к высокому), если определено, что нарушитель имеет повышенную мо-
тивацию реализации угроз безопасности по отношению к информационной си-
стеме.
Мотивация нарушителя определяется как повышенная, если:
а) имеются сведения (в том числе опубликованные в общедоступных ис-
точниках) об устремлениях нарушителей к конкретной информационной системе
и (или) отдельным ее объектам защиты; например, если информация, обрабаты-
ваемая в информационной системе, является высоко ценной для нарушителя или
для нарушителя является крайне приоритетным нанести ущерб оператору ин-
формационной системы;
б) имеется информация, полученная от уполномоченных федеральных ор-
ганов исполнительной власти, о намерении нарушителя осуществить неправо-
мерные действия в отношении информационной системы и (или) информации,
содержащейся в этой информационной системе.

Методика определения угроз безопасности информации в информационных системах

2015-10-02T08:15:25Z

Hunter po:

ФЕДЕРАЛЬНАЯ СЛУЖБА
ПО ТЕХНИЧЕСКОМУ И ЭКСПОРТНОМУ КОНТРОЛЮ
(ФСТЭК РОССИИ)

МЕТОДИЧЕСКИЙ ДОКУМЕНТ
МЕТОДИКА ОПРЕДЕЛЕНИЯ УГРОЗ БЕЗОПАСНОСТИ ИНФОРМАЦИИ В ИНФОРМАЦИОННЫХ СИСТЕМАХ
(ПРОЕКТ) 2015

=ОБЩИЕ ПОЛОЖЕНИЯ=

Настоящий методический документ ФСТЭК России «Методика определения угроз безопасности информации в информационных системах» (далее - Методика) разработан и утвержден в соответствии с подпунктом 4 пункта 8 Положения о Федеральной службе по техническому и экспортному контролю, утвержденного Указом Президента Российской Федерации от 16 августа 2004 г. № 1085.

Документ устанавливает единый методический подход к определению угроз безопасности информации и разработке моделей угроз безопасности информации в государственных информационных системах (далее – информационные системы), защита информации в которых обеспечивается в соответствии с Требованиями о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах, утвержденными приказом ФСТЭК России от 11 февраля 2013 г. № 17 (зарегистрирован Минюстом России 31 мая 2013 г., рег. № 28608).

По решению оператора персональных данных Методика может применяться для определения в соответствии с пунктом 1 части 2 статьи 19 Федерального закона «О персональных данных» угроз безопасности персональных данных при их обработке в информационных системах персональных данных, защита которых обеспечивается в соответствии с Составом и содержанием организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденных приказом ФСТЭК России от 18 февраля 2013 г. № 21 (зарегистрирован Минюстом России 14 мая 2013 г., рег. № 28375).

Методика не распространяется на определение угроз безопасности информации, составляющей государственную тайну.

Методика предназначена для:
*органов государственной власти, органов местного самоуправления и организаций, являющихся в соответствии с законодательством Российской Федерации обладателями информации, заказчиками и (или) операторами информационных систем;
*организаций, осуществляющих в соответствии с законодательством Российской Федерации работы по созданию (проектированию) информационных систем;
*организаций, осуществляющих в соответствии с законодательством Российской Федерации работы по защите информации в ходе создания (проектирования) и эксплуатации информационных систем;
*организаций, осуществляющих в соответствии с законодательством Российской Федерации работы по аттестации (оценке соответствия) информационных систем требованиям о защите информации.

Настоящая Методика применяется на этапах создания информационных систем для определения и оценки угроз безопасности информации и разработки моделей угроз, а также в ходе эксплуатации информационных систем при периодическом пересмотре (переоценке) угроз безопасности информации.

Методика применяется совместно с банком данных угроз безопасности информации, сформированным ФСТЭК России (ubi.fstec.ru), а также базовыми и типовыми моделями угроз безопасности информации в информационных системах различных классов и типов, разрабатываемых ФСТЭК России в соответствии с подпунктом 4 пункта 8 Положения о Федеральной службе по техническому и экспортному контролю, утвержденного Указом Президента Российской Федерации от 16 августа 2004 г. № 1085.

Методика ориентирована на определение и оценку антропогенных угроз безопасности информации, возникновение которых обусловлено объективными факторами. Вместе с тем, часть приведенных в Методике подходов может также применяться для оценки техногенных угроз в случае, если они позволяют достичь целей такой оценки. Определение угроз, связанных со стихийными бедствиями и природными явлениями осуществляется в соответствии с правилами, установленными уполномоченными федеральными органами исполнительной власти, национальными стандартами и находятся за рамками настоящей Методики.

В случае, если в соответствии с настоящей Методикой к числу актуальных угроз, отнесены угрозы, связанные с утечкой информации по техническим каналам, дальнейшая их оценка проводится в соответствии со специальными требованиями и рекомендациями по технической защите конфиденциальной информации и методиками оценки защищенности конфиденциальной информации.

В Методике используются термины и их определения, установленные
национальными стандартами в области защиты информации.

В связи с утверждением настоящего методического документа не применяется для определения угроз безопасности информации Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных (ФСТЭК России, 2008 г.).

=ПРОЦЕСС ОПРЕДЕЛЕНИЯ УГРОЗ БЕЗОПАСНОСТИ ИНФОРМАЦИИ В ИНФОРМАЦИОННОЙ СИСТЕМЕ=
Целью определения угроз безопасности информации является установле-
ние того, существует ли возможность нарушения конфиденциальности, целост-
ности или доступности информации, содержащейся в информационной системе,
и приведет ли нарушение хотя бы одного из указанных свойств безопасности
информации к наступлению неприемлемых негативных последствий (ущерба)
для обладателя информации или оператора, а в случае обработки персональных
данных и для субъектов персональных данных.
Определение угроз безопасности информации должно носить системати-
ческий характер и осуществляться как на этапе создания информационной си-
стемы и формирования требований по ее защите, так и в ходе эксплуатации ин-
формационной системы. Систематический подход к определению угроз безопас-
ности информации необходим для того, чтобы определить потребности в кон-
кретных требованиях к защите информации и создать адекватную эффективную
систему защиты информации в информационной системе. Меры защиты инфор-
мации, принимаемые обладателем информации и оператором, должны обеспечи-
вать эффективное и своевременное выявление и блокирование (нейтрализацию)
угроз безопасности информации, в результате реализации которых возможно
наступление неприемлемых негативных последствий (ущерба).
Систематический подход к определению угроз безопасности информации
предусматривает реализацию непрерывного процесса, в рамках которого опре-
деляется область применения процесса определения угроз, идентифицируются
источники угроз и угрозы безопасности информации, оценивается возможность
реализации угроз безопасности информации и степень возможного ущерба в
случае такой реализации, осуществляется мониторинг (периодический пере-
смотр) и переоценка угроз безопасности информации.
Оценка угроз безопасности информации проводится экспертным методом.
Рекомендации по формированию экспертной группы и проведению экспертной
оценки при определении угроз безопасности информации приведены в приложе-
нии № 1 к настоящей Методике.
а) область применения процесса определения угроз безопасности ин-
формации
На этапах принятия решения о необходимости защиты информации в ин-
формационной системе и разработки требований к защите информации должны
быть определены физические и логические границы информационной системы, в
которых принимаются и контролируются меры защиты информации, за которые
ответственен оператор, а также определены объекты защиты и сегменты инфор-
мационной системы.
Процесс определения угроз безопасности информации должен охватывать
все объекты защиты и сегменты в логических и физических границах информа-
ционной системы, в которых оператором принимаются и контролируются меры
6
защиты информации. Процесс определения угроз безопасности информации ор-
ганизуется подразделением оператора, назначенным ответственным за защиту
информации в информационной системе. В случае, если информационная систе-
ма имеет сегменты, эксплуатируемые разными подразделениями оператора, ко-
торые могут самостоятельно принимать и контролировать меры защиты инфор-
мации, должны быть определены границы ответственности этих подразделений
и порядок их взаимодействия в процессе определения угроз безопасности ин-
формации.
Область применения процесса определения угроз безопасности информа-
ции отражается в модели угроз безопасности информации наряду с областью
действия модели угроз, структурно-функциональными характеристиками ин-
формационной системы и особенностями ее функционирования.
б) идентификация источников угроз и угроз безопасности информации
В обобщенном виде угрозы безопасности информации характеризуется ис-
точниками угроз, факторами, обуславливающими возможность реализации
угроз, способами (методами) реализации угроз и последствиями от реализации
угроз безопасности информации.
Важным этапом в процессе определения угроз безопасности информации
является идентификация лиц или событий (явлений), в результате действий
(наступления, возникновения) которых возможно нарушение конфиденциально-
сти, целостности или доступности информации, содержащейся в информацион-
ной системе, и возникновение неприемлемых негативных последствий (ущерба).
В качестве источников угроз безопасности информации могут выступать
субъекты (физические лица, организации, государства) или явления (техноген-
ные аварии, стихийные бедствия, иные природные явления).
Источники угроз безопасности информации являются определяющим
фактором при определении угроз безопасности информации в информационных
системах. В процессе определения угроз безопасности информации подлежат
оценке те угрозы, у которых есть источники и источники имеют возможности и
условия для реализации угроз безопасности информации в информационной си-
стеме с заданными структурно-функциональными характеристиками и особен-
ностями ее функционирования.
Источники угроз безопасности информации могут быть следующих типов:
антропогенные источники (антропогенные угрозы);
техногенные источники (техногенные угрозы);
стихийные источники (угрозы стихийных бедствий, иных природных яв-
лений).
В качестве источников антропогенных угроз безопасности информации
могут выступать:
лица, осуществляющие преднамеренные действия с целью доступа к ин-
формации (воздействия на информацию), содержащейся в информационной си-
стеме, или нарушения функционирования информационной системы или обслу-
7
живающей ее инфраструктуры (преднамеренные угрозы безопасности информа-
ции);
лица, имеющие доступ к информационной системе, не преднамеренные
действия которых могут привести к нарушению безопасности информации (не-
преднамеренные угрозы безопасности информации).
Для информационных систем, в которых целью защиты является обеспе-
чение целостности и доступности обрабатываемой информации, в обязательном
порядке подлежат оценке техногенные угрозы, связанные с отказами или сбоями
в работе технических средств или программного обеспечения. Такие угрозы мо-
гут быть обусловлены:
низким качеством (надежностью) технических, программных или про-
граммно-технических средств;
низким качеством (надежностью) сетей связи и (или) услуг связи;
отсутствием или низкой эффективностью систем резервирования или дуб-
лирования программно-технических и технических средств;
низким качеством (надежностью) инженерных систем (кондиционирова-
ния, электроснабжения, охранных систем и т.д.);
низким качеством обслуживания со стороны обслуживающих организаций
и лиц.
При определении угроз безопасности информации оценке подлежат угро-
зы, связанные со всеми типами источников. Однако в целях создания и эксплуа-
тации адекватной эффективной системы защиты информации в информационной
системе следует, в первую очередь, уделять внимание оценке антропогенных
угроз, связанных с несанкционированными (неправомерными) действиями субъ-
ектов по нарушению безопасности (конфиденциальности, целостности, доступ-
ности) информации, в том числе целенаправленными воздействиями программ-
ными (программно-техническими) средствами на информационные системы,
осуществляемые в целях нарушения (прекращения) их функционирования (ком-
пьютерные атаки).
Также при определении угроз безопасности информации наряду с угроза-
ми, реализация которых может привести непосредственно к нарушению конфи-
денциальности, целостности или доступности информации (прямыми угрозами),
необходимо выявлять и оценивать угрозы, создающие условия для реализации
прямых угроз безопасности информации (косвенные угрозы). В качестве косвен-
ных угроз безопасности информации могут рассматриваться угрозы повышения
привилегий, исчерпания вычислительных ресурсов, недоступности обновления
программного обеспечения и иные угрозы безопасности информации.
В процессе определения угроз безопасности информации на всех стадиях
(этапах) жизненного цикла информационных систем необходимо регулярно про-
водить идентификацию источников угроз, оценивать их возможности и опреде-
лять на этой основе угрозы безопасности информации. Данные о нарушителях и
их возможностях по реализации угроз безопасности информации, полученные
при идентификации источников угроз, включаются в модели угроз безопасности
информации.
8
Для идентификации угроз безопасности информации в информационной
системе определяются:
возможности (тип, вид, потенциал) нарушителей, необходимые им для ре-
ализации угроз безопасности информации;
уязвимости, которые могут использоваться при реализации угроз безопас-
ности информации (включая специально внедренные программные закладки);
способы (методы) реализации угроз безопасности информации;
объекты информационной системы, на которые направлена угроза без-
опасности информации (объекты воздействия);
результат и последствия от реализации угроз безопасности информации.
Каждая угроза безопасности информации в информационной системе опи-
сывается (идентифицируется) следующим образом:
УБИj = [нарушитель (источник угрозы); уязвимости; способы реализации угро-
зы; объекты воздействия; последствия от реализации угрозы].
в) оценка вероятности (возможности) реализации угроз безопасности
информации и степени возможного ущерба
Идентифицированная угроза безопасности информации подлежит нейтра-
лизации (блокированию), если она является актуальной (УБИj
А
) для информаци-
онной системы, то есть в информационной системе с заданными структурно-
функциональными характеристиками и особенностями функционирования су-
ществует вероятность (возможность) реализации рассматриваемой угрозы нару-
шителем с соответствующим потенциалом и ее реализация приведет к неприем-
лемым негативным последствиям (ущербу):
УБИj
А
= [вероятность (возможность) реализации угрозы (Рj);
степень ущерба (Хj)].
Актуальные угрозы безопасности информации включаются в модель угроз
безопасности информации. Модель угроз безопасности информации, учитывая
особенности информационной системы, используемые в ней программные, про-
граммно-технические, технические средства и процессы обработки информации,
дает описание угроз безопасности, которым подвержена информационная систе-
ма. Структура модели угроз безопасности информации приведена в приложении
№ 2 к настоящей Методике.
г) мониторинг и переоценка угроз безопасности информации
Определение угроз безопасности информации на этапе создания информа-
ционной системы позволяет обеспечить формирование требований и внедрение
эффективной адекватной системы защиты информации в информационной си-
стеме для угроз, актуальных к моменту ввода в эксплуатацию информационной
системы.
9
В ходе эксплуатации информационной системы оператор, обеспечивая до-
стижение целей и задач информационной системы, может изменять ее базовую
конфигурацию, что приводит к изменению структурно-функциональных харак-
теристик информационной системы и применяемых информационных техноло-
гий. Также в процессе эксплуатации возможно изменение состава и значимости
обрабатываемой информации и особенностей функционирования информацион-
ной системы.
В этих условиях процесс определения угроз безопасности информации
должен носить систематический характер. В ходе эксплуатации информацион-
ной системы регулярно проводится анализ изменения угроз безопасности ин-
формации, а актуальные угрозы безопасности информации подлежат периодиче-
ской переоценке. Периодичность переоценки определяется организацией исходя
из особенностей функционирования информационной системы. Рекомендуется
пересматривать угрозы безопасности информации не реже одного раза в год. По
результатам анализа проводится уточнение (при необходимости) модели угроз
безопасности информации.
Пересмотр (переоценка) угроз безопасности информации, как минимум,
осуществляется в случаях:
изменения требований законодательства Российской Федерации о защите
информации, нормативных правовых актов и методических документов, регла-
ментирующих защиту информации;
изменения конфигурации (состава основных компонентов) и особенностей
функционирования информационной системы, следствием которых стало воз-
никновение новых угроз безопасности информации;
выявления уязвимостей, приводящих к возникновению новых угроз без-
опасности информации или к повышению возможности реализации существую-
щих;
появления сведений и фактов о новых возможностях нарушителей.
10
= ОЦЕНКА ВОЗМОЖНОСТЕЙ НАРУШИТЕЛЕЙ ПО РЕАЛИЗАЦИИ УГРОЗ БЕЗОПАСНОСТИ ИНФОРМАЦИИ (РАЗРАБОТКА МОДЕЛИ НАРУШИТЕЛЯ) =

Целью оценки возможностей нарушителей по реализации угроз безопасно-
сти информации является формирование предположения о типах, видах наруши-
телей, которые могут реализовать угрозы безопасности информации в информа-
ционной системе с заданными структурно-функциональными характеристиками
и особенностями функционирования, а также потенциале этих нарушителей и
возможных способах реализации угроз безопасности информации.
Результаты оценки возможностей нарушителей включаются в модель
нарушителя, которая является составной частью (разделом) модели угроз без-
опасности информации и содержит:
типы, виды и потенциал нарушителей, которые могут обеспечить реализа-
цию угроз безопасности информации;
цели, которые могут преследовать нарушители каждого вида при реализа-
ции угроз безопасности информации;
возможные способы реализации угроз безопасности информации.
а) типы нарушителей
Типы нарушителей определяются по результатам анализа прав доступа
субъектов к информации и (или) к компонентам информационной системы, а
также анализа возможностей нарушителей по доступу к компонентам информа-
ционной системы исходя из структурно-функциональных характеристик и осо-
бенностей функционирования информационной системы.
В зависимости от имеющихся прав доступа нарушители могут иметь леги-
тимный физический (непосредственный) и (или) логический доступ к компонен-
там информационной системы и (или) содержащейся в них информации или не
иметь такого доступа.
Анализ прав доступа проводится, как минимум, в отношении следующих
компонент информационной системы:
устройств ввода/вывода (отображения) информации;
беспроводных устройств;
программных, программно-технических и технических средств обработки
информации;
съемных машинных носителей информации;
машинных носителей информации, выведенных из эксплуатации;
активного (коммутационного) и пассивного оборудования каналов связи;
каналов связи, выходящих за пределы контролируемой зоны.
С учетом наличия прав доступа и возможностей по доступу к информации
и (или) к компонентам информационной системы нарушители подразделяются
на два типа:
11
внешние нарушители (тип I) – лица, не имеющие права доступа к инфор-
мационной системе, ее отдельным компонентам и реализующие угрозы безопас-
ности информации из-за границ информационной системы;
внутренние нарушители (тип II) – лица, имеющие право постоянного или
разового доступа к информационной системе, ее отдельным компонентам.
Наибольшими возможностями по реализации угроз безопасности обладают
внутренние нарушители. При оценке возможностей внутренних нарушителей
необходимо учитывать принимаемые оператором организационные меры по до-
пуску субъектов к работе в информационной системе. Возможности внутреннего
нарушителя существенным образом зависят от установленного порядка допуска
физических лиц к информационной системе и ее компонентам, а также мер по
контролю за доступом и работой этих лиц.
Внешнего нарушителя необходимо рассматривать в качестве актуального
во всех случаях, когда имеются подключения информационной системы к внеш-
ним информационно-телекоммуникационным сетям и (или) имеются линии свя-
зи, выходящие за пределы контролируемой зоны, используемые для иных под-
ключений.
б) виды и потенциал нарушителей
Угрозы безопасности информации в информационной системе могут быть
реализованы следующими видами нарушителей:
специальные службы иностранных государств (блоков государств);
террористические, экстремистские группировки;
преступные группы (криминальные структуры);
внешние субъекты (физические лица);
конкурирующие организации;
разработчики, производители, поставщики программных, технических и
программно-технических средств;
лица, привлекаемые для установки, наладки, монтажа, пусконаладочных и
иных видов работ;
лица, обеспечивающие функционирование информационных систем или
обслуживающие инфраструктуру оператора (администрация, охрана, уборщики
и т.д.);
пользователи информационной системы;
администраторы информационной системы и администраторы безопасно-
сти;
бывшие работники (пользователи).
Виды нарушителей, характерных для информационной системы с задан-
ными структурно-функциональными характеристиками и особенностями функ-
ционирования, определяются на основе предположений (прогноза) о возможных
целях (мотивации) при реализации угроз безопасности информации этими нару-
шителями.
В качестве возможных целей (мотивации) реализации нарушителями угроз
безопасности информации в информационной системе могут быть:
12
нанесение ущерба государству, отдельным его сферам деятельности или
секторам экономики;
реализация угроз безопасности информации по идеологическим или поли-
тическим мотивам;
организация террористического акта;
причинение имущественного ущерба путем мошенничества или иным пре-
ступным путем;
дискредитация или дестабилизация деятельности органов государственной
власти, организаций;
получение конкурентных преимуществ;
внедрение дополнительных функциональных возможностей в программное
обеспечение или программно-технические средства на этапе разработки;
любопытство или желание самореализации;
выявление уязвимостей с целью их дальнейшей продажи и получения фи-
нансовой выгоды;
реализация угроз безопасности информации из мести;
реализация угроз безопасности информации непреднамеренно из-за не-
осторожности или неквалифицированных действий.
Предположения о целях (мотивации) нарушителей делаются с учетом це-
лей и задач информационной системы, вида обрабатываемой информации, а
также с учетом результатов оценки степени возможных последствий (ущерба) от
нарушения конфиденциальности, целостности или доступности информации.
Виды нарушителя и их возможные цели (мотивация) реализации угроз безопас-
ности информации приведены в таблице 1.
Таблица 1
№
вида
Виды
нарушителя
Типы
нарушителя
Возможные цели (мотивация)
реализации угроз безопасности
информации
1 Специальные службы
иностранных государств
(блоков государств)
Внешний,
внутренний
Нанесение ущерба государству,
отдельным его сферам деятель-
ности или секторам экономики.
Дискредитация или дестабили-
зация деятельности органов
государственной власти, орга-
низаций
2 Террористические, экс-
тремистские группиров-
ки
Внешний Нанесение ущерба государству,
отдельным его сферам деятель-
ности или секторам экономики.
Совершение террористических
актов.
Идеологические или политиче-
ские мотивы.
Дестабилизация деятельности
органов государственной вла-
13
сти, организаций
3 Преступные группы
(криминальные структу-
ры)
Внешний Причинение имущественного
ущерба путем мошенничества
или иным преступным путем.
Выявление уязвимостей с це-
лью их дальнейшей продажи и
получения финансовой выгоды
4 Внешние субъекты (фи-
зические лица)
Внешний Идеологические или политиче-
ские мотивы.
Причинение имущественного
ущерба путем мошенничества
или иным преступным путем.
Любопытство или желание са-
мореализации (подтверждение
статуса).
Выявление уязвимостей с це-
лью их дальнейшей продажи и
получения финансовой выгоды
5 Конкурирующие орга-
низации
Внешний Получение конкурентных пре-
имуществ.
Причинение имущественного
ущерба путем обмана или зло-
употребления доверием
6 Разработчики, произво-
дители, поставщики про-
граммных, технических и
программно-технических
средств
Внешний Внедрение дополнительных
функциональных возможностей
в программное обеспечение или
программно-технические сред-
ства на этапе разработки.
Причинение имущественного
ущерба путем обмана или зло-
употребления доверием.
Непреднамеренные, неосто-
рожные или неквалифициро-
ванные действия
7 Лица, привлекаемые для
установки, наладки, мон-
тажа, пусконаладочных и
иных видов работ
Внутренний Причинение имущественного
ущерба путем обмана или зло-
употребления доверием.
Непреднамеренные, неосто-
рожные или неквалифициро-
ванные действия
8 Лица, обеспечивающие
функционирование ин-
формационных систем
или обслуживающие ин-
фраструктуру оператора
Внутренний Причинение имущественного
ущерба путем обмана или зло-
употребления доверием.
Непреднамеренные, неосто-
рожные или неквалифициро-
14
(администрация, охрана,
уборщики и т.д.)
ванные действия
9 Пользователи информа-
ционной системы
Внутренний Причинение имущественного
ущерба путем мошенничества
или иным преступным путем.
Любопытство или желание са-
мореализации (подтверждение
статуса).
Месть за ранее совершенные
действия.
Непреднамеренные, неосто-
рожные или неквалифициро-
ванные действия
10 Администраторы ин-
формационной системы
и администраторы без-
опасности
Внутренний Причинение имущественного
ущерба путем мошенничества
или иным преступным путем.
Любопытство или желание са-
мореализации (подтверждение
статуса).
Месть за ранее совершенные
действия.
Выявление уязвимостей с це-
лью их дальнейшей продажи и
получения финансовой выгоды.
Непреднамеренные, неосто-
рожные или неквалифициро-
ванные действия
11 Бывшие работники
(пользователи)
Внешний Причинение имущественного
ущерба путем мошенничества
или иным преступным путем.
Месть за ранее совершенные
действия
При оценке возможностей нарушителей необходимо исходить из условий,
что для повышения своих возможностей нарушители 1 вида могут вступать в
сговор с нарушителями 3, 4, 6, 7, 8, 9 и 10 видов. Нарушители 2 вида могут всту-
пать в сговор с нарушителями 4, 7, 8, 9 и 10 видов. Нарушители 3 вида могут
вступать в сговор с нарушителями 4, 7, 8, 9 и 10 видов. В случае принятия таких
предположений цели (мотивация) и возможности нарушителей подлежат объ-
единению.
Возможности каждого вида нарушителя по реализации угроз безопасности
информации характеризуются его потенциалом. Потенциал нарушителя опреде-
ляется компетентностью, ресурсами и мотивацией, требуемыми для реализации
угроз безопасности информации в информационной системе с заданными струк-
15
турно-функциональными характеристиками и особенностями функционирова-
ния.
В зависимости от потенциала, требуемого для реализации угроз безопас-
ности информации, нарушители подразделяются на:
нарушителей, обладающих базовым (низким) потенциалом нападения при
реализации угроз безопасности информации в информационной системе;
нарушителей, обладающих базовым повышенным (средним) потенциалом
нападения при реализации угроз безопасности информации в информационной
системе;
нарушителей, обладающих высоким потенциалом нападения при реализа-
ции угроз безопасности информации в информационной системе.
Потенциал нарушителей и их возможности приведены в таблице 2.
Таблица 2
№ Потенциал
нарушителей
Виды
нарушителей
Возможности по реализации угроз без-
опасности информации
1 Нарушители с
базовым (низ-
ким) потенци-
алом
Внешние субъ-
екты (физические
лица),
лица, обеспечи-
вающие функци-
онирование ин-
формационных
систем или об-
служивающих
инфраструктуру
оператора,
пользователи
информационной
системы,
бывшие работ-
ники,
лица, привлека-
емые для уста-
новки, наладки,
монтажа, пуско-
наладочных и
иных работ
Имеют возможность получить инфор-
мацию об уязвимостях отдельных ком-
понент информационной системы,
опубликованную в общедоступных ис-
точниках.
Имеют возможность получить инфор-
мацию о методах и средствах реализа-
ции угроз безопасности информации
(компьютерных атак), опубликованных
в общедоступных источниках, и (или)
самостоятельно осуществляет создание
методов и средств реализации атак и
реализацию атак на информационную
систему
2 Нарушители с
базовым по-
вышенным
(средним) по-
тенциалом
Террористиче-
ские, экстремист-
ские группиров-
ки,
преступные
группы (крими-
нальные структу-
Обладают всеми возможностями
нарушителей с базовым потенциалом.
Имеют осведомленность о мерах за-
щиты информации, применяемых в ин-
формационной системе данного типа.
Имеют возможность получить инфор-
мацию об уязвимостях отдельных ком-
16
ры),
конкурирующие
организации,
разработчики,
производители,
поставщики про-
граммных, техни-
ческих и про-
граммно-
технических
средств,
администраторы
информационной
системы и адми-
нистраторы без-
опасности
понент информационной системы пу-
тем проведения, с использованием
имеющихся в свободном доступе про-
граммных средств, анализа кода при-
кладного программного обеспечения и
отдельных программных компонент
общесистемного программного обеспе-
чения.
Имеют доступ к сведениям о струк-
турно-функциональных характеристи-
ках и особенностях функционирования
информационной системы
3 Нарушители с
высоким по-
тенциалом
Специальные
службы ино-
странных госу-
дарств (блоков
государств)
Обладают всеми возможностями
нарушителей с базовым и базовым по-
вышенным потенциалами.
Имеют возможность осуществлять не-
санкционированный доступ из выде-
ленных (ведомственных, корпоратив-
ных) сетей связи, к которым возможен
физический доступ (незащищенных ор-
ганизационными мерами).
Имеют возможность получить доступ
к программному обеспечению чипсетов
(микропрограммам), системному и при-
кладному программному обеспечению,
телекоммуникационному оборудова-
нию и другим программно-техническим
средствам информационной системы
для преднамеренного внесения в них
уязвимостей или программных закла-
док.
Имеют хорошую осведомленность о
мерах защиты информации, применяе-
мых в информационной системе, об ал-
горитмах, аппаратных и программных
средствах, используемых в информаци-
онной системе.
Имеют возможность получить инфор-
мацию об уязвимостях путем проведе-
ния специальных исследований (в том
числе с привлечением специализиро-
17
ванных научных организаций) и приме-
нения специально разработанных
средств для анализа программного
обеспечения.
Имеют возможность создания методов
и средств реализации угроз безопасно-
сти информации с привлечением специ-
ализированных научных организаций и
реализации угроз с применением специ-
ально разработанных средств, в том
числе обеспечивающих скрытное про-
никновение в информационную систе-
му и воздействие на нее.
Имеют возможность создания и при-
менения специальных технических
средств для добывания информации
(воздействия на информацию или тех-
нические средства), распространяю-
щейся в виде физических полей или яв-
лений
в) возможные способы реализации угроз безопасности информации
Целью определения возможных способов реализации угроз безопасности
информации является формирование предположений о возможных сценариях
реализации угроз безопасности информации, описывающих последовательность
(алгоритмы) действий отдельных видов нарушителей или групп нарушителей и
применяемые ими методы и средства для реализации угроз безопасности инфор-
мации.
Возможные способы реализации угроз безопасности информации зависят
от структурно-функциональных характеристик и особенностей функционирова-
ния информационной системы.
Угрозы безопасности информации могут быть реализованы нарушителями
за счет:
несанкционированного доступа и (или) воздействия на объекты на аппа-
ратном уровне (программы (микропрограммы), «прошитые» в аппаратных ком-
понентах (чипсетах));
несанкционированного доступа и (или) воздействия на объекты на обще-
системном уровне (базовые системы ввода-вывода, гипервизоры, операционные
системы);
несанкционированного доступа и (или) воздействия на объекты на при-
кладном уровне (системы управления базами данных, браузеры, web-
приложения, иные прикладные программы общего и специального назначения);
несанкционированного доступа и (или) воздействия на объекты на сетевом
уровне (сетевое оборудование, сетевые приложения, сервисы);
18
несанкционированного физического доступа и (или) воздействия на линии,
(каналы) связи, технические средства, машинные носители информации;
воздействия на пользователей, администраторов безопасности, админи-
страторов информационной системы или обслуживающий персонал (социальная
инженерия).
Действия нарушителя в зависимости от его потенциала при реализации
угроз безопасности информации предусматривают идентификацию и использо-
вание уязвимостей в микропрограммном, общесистемном и прикладном про-
граммном обеспечении, сетевом оборудовании, применяемых в информацион-
ной системе, а также в организации работ по защите информации и конфигура-
ции информационной системы.
При определении способа реализации угроз безопасности информации
необходимо учитывать то, что угрозы безопасности информации могут быть ре-
ализованы непосредственно за счет доступа к компонентам информационной си-
стемы и (или) информации или опосредовано (косвенно) за счет создания усло-
вий и (или) средств, обеспечивающих такой доступ, а также за счет доступа или
воздействия на обслуживающую инфраструктуру, за которую оператор не отве-
чает. При этом локальной целью нарушителя, не имеющего доступа (прав досту-
па) к компонентам информационной системы и (или) информации, как правило,
является получение доступа к информационной системе (в том числе через
внешние сети связи общего пользования) и получение максимально возможных
прав и привилегий при таком доступе.
Нарушители могут совершать действия, следствием которых является
нарушение безопасности информации, преднамеренно (преднамеренные грозы
безопасности информации) или случайно (непреднамеренные грозы безопасно-
сти информации).
Преднамеренные действия нарушителей могут заключаться в реализации
целенаправленных или нецеленаправленных угроз безопасности информации.
Целенаправленная угроза безопасности информации направлена на инте-
ресующую нарушителя информационную систему с заранее известными ему
структурно-функциональными характеристиками и особенностями функциони-
рования. Целенаправленная угроза безопасности информации адаптирована к
структурно-функциональным характеристикам информационной системы. При
подготовке и реализации целенаправленных угроз безопасности информации
нарушитель может использовать методы социальной инженерии, которые позво-
ляют ему изучить поведение пользователей и их реакцию на поступающие к ним
внешние данные.
Нецеленаправленная («веерная») угроза безопасности информации не ори-
ентирована на конкретную информационную систему. Целями такой угрозы мо-
гут являться несанкционированный доступ, перехват управления или воздей-
ствие на как можно большее количество информационных систем. В данном
случае нарушителю заранее не известны структурно-функциональные характе-
ристики и условия функционирования информационной системы.
Реализация преднамеренных угроз безопасности информации, как прави-
ло, включает:
19
сбор информации об информационной системе, ее структурно-
функциональных характеристиках, условиях функционирования;
выбор (разработка, приобретение) методов и средств, используемых для
реализации угроз безопасности информации в информационной системе с задан-
ными структурно-функциональными характеристиками и условиями функцио-
нирования;
непосредственная реализация угроз безопасности информации в информа-
ционной системе (проникновение в информационную систему, закрепление в
информационной системе, реализация неправомерных действий);
устранение признаков и следов неправомерных действий в информацион-
ной системе.
В зависимости от целей и потенциала нарушителя на каждом из этапов мо-
гут эксплуатироваться одна или несколько уязвимостей информационной систе-
мы.
При определении возможных способов реализации угроз безопасности
информации необходимо исходить из следующих условий:
нарушитель может действовать один или в составе группы нарушителей;
в отношении информационной системы внешний нарушитель может дей-
ствовать совместно с внутренним нарушителем;
угрозы могут быть реализованы в любое время и в любой точке информа-
ционной системы (на любом узле или хосте);
для достижения своей цели нарушитель выбирает наиболее слабое звено
информационной системы.
Возможные способы реализации угроз безопасности информации, опреде-
ленные на основе настоящего раздела, включаются в модель угроз безопасности
информации.
20
= ОПРЕДЕЛЕНИЕ АКТУАЛЬНЫХ УГРОЗ БЕЗОПАСНОСТИ ИНФОРМАЦИИ В ИНФОРМАЦИОННОЙ СИСТЕМЕ =
Угроза безопасности информации является актуальной (УБИj
А
), если для
информационной системы с заданными структурно-функциональными характе-
ристиками и особенностями функционирования существует вероятность реали-
зации рассматриваемой угрозы нарушителем с соответствующим потенциалом и
ее реализация приведет к неприемлемым негативным последствиям (ущербу) от
нарушения конфиденциальности, целостности или доступности информации.
В качестве показателя актуальности угрозы безопасности информации
(УБИj
А
) принимается двухкомпонентный вектор, первый компонент которого
характеризует вероятность реализации угрозы (Рj), а второй – степень возможно-
го ущерба в случае ее реализации (Хj)
УБИj
А
= [вероятность реализации угрозы (Рj); степень ущерба (Хj)],
где Рj определятся на основе анализа статистических данных о частоте ре-
ализации угроз безопасности информации (возникновении инцидентов безопас-
ности) в информационной системе и (или) однотипных информационных систе-
мах, а Хj определяется на основе оценок степени последствий от нарушения
конфиденциальности, целостности или доступности информации.
При отсутствии статистических данных о реализации угроз безопасности
информации (возникновении инцидентов безопасности) в информационной си-
стеме и (или) однотипных информационных системах, актуальность угрозы без-
опасности информации определяется на основе оценки возможности реализации
угрозы безопасности информации (Yj)
УБИj
А
= [возможность реализации угрозы (Yj); степень ущерба (Хj)],
где Yj определятся на основе оценки уровня защищенности информацион-
ной системы и потенциала нарушителя, требуемого для реализации угрозы без-
опасности. Хj также определяется на основе оценок степени последствий от
нарушения конфиденциальности, целостности или доступности информации.
Актуальность угроз безопасности информации определяется в отношении
угроз, для которых экспертным методом определено, что:
возможности (потенциал) нарушителя достаточны для реализации угрозы
безопасности информации;
в информационной системе могут иметься потенциальные уязвимости, ко-
торые могут быть использованы при реализации j-ой угрозы безопасности ин-
формации;
структурно-функциональные характеристики и особенности функциони-
рования информационной системы не исключают возможности применения спо-
собов, необходимых для реализации j-ой угрозы безопасности информации (су-
ществует сценарий реализации угрозы безопасности);
21
реализация угрозы безопасности информации приведет к нарушению кон-
фиденциальности, целостности или доступности информации, в результате ко-
торого возможно возникновение неприемлемых негативных последствий (ущер-
ба).
В качестве исходных данных об угрозах безопасности информации и их
характеристиках используется банк данных угроз безопасности информации,
сформированный и поддерживаемый ФСТЭК России, а также базовые и типовые
модели угроз безопасности информации, разрабатываемые ФСТЭК России для
различных классов и типов информационных систем.
Для определения угроз безопасности информации могут использоваться
иные источники, в том числе опубликованные в общедоступных источниках
данные об уязвимостях, компьютерных атаках, вредоносном программном
обеспечении, а также результаты специально проведенных исследований по вы-
явлению угроз безопасности информации. В этом случае потенциал нарушителя,
возможные уязвимости, способы реализации угрозы безопасности информации и
последствия от ее реализации определяются для каждой угрозы безопасности
информации.
а) оценка вероятности (возможности) реализации угрозы безопасности
информации
Под вероятностью реализации угрозы безопасности информации понима-
ется определяемый экспертным путем показатель, характеризующий, насколько
вероятным является реализация j-ой угрозы безопасности информации в инфор-
мационной системе с заданными структурно-функциональными характеристи-
ками и особенностями функционирования. Вводятся три вербальные градации
этого показателя:
низкая вероятность – отсутствуют объективные предпосылки к реализации
j-ой угрозы безопасности информации, отсутствует требуемая статистика по
фактам реализации j-ой угрозы безопасности информации (возникновения инци-
дентов безопасности), отсутствует мотивация для реализации j-ой угрозы, воз-
можная частота реализации j-ой угрозы не превышает 1 раза в 5 лет;
средняя вероятность – существуют предпосылки к реализации j-ой угрозы
безопасности информации, зафиксированы случаи реализации j-ой угрозы без-
опасности информации (возникновения инцидентов безопасности) или имеется
иная информация, указывающая на возможность реализации j-ой угрозы без-
опасности информации, существуют признаки наличия у нарушителя мотивации
для реализации такой угрозы, возможная частота реализации j-ой угрозы не пре-
вышает 1 раза в год;
высокая вероятность – существуют объективные предпосылки к реализа-
ции j-ой угрозы безопасности информации, существует достоверная статистика
реализации j-ой угрозы безопасности информации (возникновения инцидентов
безопасности) или имеется иная информация, указывающая на высокую возмож-
ность реализации j-ой угрозы безопасности информации, у нарушителя имеются
22
мотивы для реализации j-ой угрозы, частота реализации j-ой угрозы – чаще 1 ра-
за в год.
В случае отсутствия требуемых данных для оценки вероятности реализа-
ции угрозы безопасности информации или наличия сомнений в объективности
экспертных оценок при определении вербальных градаций вероятности реализа-
ции угроз безопасности информации, актуальность j-ой угрозы безопасности
информации определяется на основе оценки возможности ее реализации (Yj).
Возможность реализации j-ой угрозы безопасности информации (Yj) оце-
нивается исходя из уровня защищенности информационной системы (Y1) и по-
тенциала нарушителя (Y2), необходимого для реализации этой угрозы безопас-
ности информации в информационной системе с заданными структурно-
функциональными характеристиками и особенностями функционирования:
Yj = [уровень защищенности (Y1); потенциал нарушителя (Y2)].
При определении угроз безопасности информации на этапе создания ин-
формационной системы в случае, когда меры защиты информации не реализова-
ны или не проведена оценка их достаточности и эффективности, оценка возмож-
ности реализации j-ой угрозы безопасности информации (Yj) проводится относи-
тельно уровня проектной защищенности информационной системы (Y1П):
Yj = [уровень проектной защищенности (Y1П); потенциал нарушителя (Y2)].
Под уровнем проектной защищенности (Y1П) понимается исходная защи-
щенность информационной системы, обусловленная заданными при проектиро-
вании структурно-функциональными характеристиками и условиями ее функци-
онирования. Уровень проектной защищенности (Y1П) определяется на основе
анализа проектных структурно-функциональных характеристик, приведенных в
таблице 3.
Показатели, характеризующие проектную
защищенность информационной системы
Таблица 3
Структурно-функциональные характе-
ристики информационной системы,
условия ее эксплуатации
Уровень проектной защищенности ин-
формационной системы (Y1П)
Высокий Средний Низкий
1. По структуре информационной си-
стемы:
автономное автоматизированное рабо-
чее место;
локальная информационная система;
распределенная информационная си-
стема
+
+
+
2. По используемым информационным
технологиям:
23
системы на основе виртуализации;
системы, реализующие «облачные
вычисления»;
системы с мобильными устройства-
ми;
системы с технологиями беспровод-
ного доступа;
грид
-системы;
суперкомпьютерные системы
+
+++++
3
. По архитектуре информационной
системы
:
системы на основе «тонкого клиен-
та»;
системы на основе одноранговой
се-
ти
;
файл
-серверные системы
;
центры обработки данных;
системы с уд
аленным доступом
пользователей;
использование разных типов опера-
ционных систем (гетерогенность сре-
ды)
;
использование прикладных про-
грамм, независимых от операционных
систем
;
использование выделенных каналов
связи
+
++++
+++
4
. По наличию (отсутствию) взаимо-
связей с иными информационными си-
стемами
:
взаимодействующая с системами
;
невзаимодействующая с системами
+
+
5
. По наличию (отсутствию) взаимо-
связей (подключений)
к сетям связи
общего пользования
:
подключенная
;
подключенная через выделенную
инфраструктуру (gov
.ru или иную);
неподключенной
+
+
+
6
. По размещению технических
средств:
расположенные в пределах одной
контролируемой зоны;
расположенные в пределах несколь-
ких контролируемых зон;
+
+
24
расположенные вне контролируемой
зоны
+
7. По режимам обработки информации
в информационной системе:
многопользовательский;
однопользовательский +
+
8. По режимам разграничения прав до-
ступа:
без разграничения;
с разграничением +
+
9. По режимам разделения функций по
управлению информационной системой:
без разделения;
выделение рабочих мест для адми-
нистрирования в отдельный домен;
использование различных сетевых
адресов;
использование выделенных каналов
для администрирования
+
+
+
+
10. По подходам к сегментированию
информационной системы:
без сегментирования;
с сегментированием +
+
В ходе создания информационной системы уровень ее проектной защи-
щенности (Y1П) определяется следующим образом:
а) информационная система имеет высокий уровень проектной защищен-
ности (Y1П), если не менее 80% характеристик информационной системы соот-
ветствуют уровню «высокий» (суммируются положительные решения по второ-
му столбцу, соответствующему высокому уровню защищенности), а остальные -
среднему уровню защищенности (положительные решения по третьему столб-
цу);
б) информационная система имеет средний уровень проектной защищен-
ности (Y1П), если не выполняются условия по пункту а) и не менее 90% характе-
ристик информационной системы соответствуют уровню не ниже «средний»
(берется отношение суммы положительных решений по третьему столбцу, соот-
ветствующему среднему уровню защищенности, к общему количеству решений),
а остальные - низкому уровню защищенности;
в) информационная система имеет низкий уровень проектной защищенно-
сти (Y1П), если не выполняются условия по пунктам а) и б).
В соответствии с требованиями о защите информации, не составляющей
государственную тайну, содержащейся в государственных информационных си-
стемах, до ввода в эксплуатацию информационной системы должны быть реали-
зованы меры защиты информации, направленные на блокирование (нейтрализа-
25
цию) актуальных угроз безопасности информации. Таким образом, ввод в экс-
плуатацию информационной системы осуществляется при условии достижения
высокого уровня исходной защищенности информационной системы от нару-
шителя с заданным потенциалом.
Вместе с тем, в ходе эксплуатации информационной системы возможно
появление новых уязвимостей, повышение потенциала нарушителя, изменение
структурно-функциональных характеристик, значимости обрабатываемой ин-
формации, особенностей функционирования информационной системы и других
условий, приводящих к возникновению новых угроз безопасности информации,
которые могут существенно снизить уровень проектной защищенности инфор-
мационной системы. В этом случае для поддержания уровня защищенности ин-
формационной системы в ходе эксплуатации должен проводиться регулярный
анализ изменения угроз безопасности информации, а актуальные угрозы без-
опасности информации подлежат периодической переоценке.
В ходе эксплуатации информационной системы уровень ее защищенности
(Y1) определяется следующим образом:
а) в информационной системе обеспечивается высокий уровень защищен-
ности (Y1), если в ходе эксплуатации информационной системы не появились
дополнительные угрозы безопасности информации или в отношении появив-
шихся дополнительных угроз безопасности информации с высокой оперативно-
стью («за минуты») могут быть приняты меры защиты информации, нейтрали-
зующие эти угрозы;
б) в информационной системе обеспечивается средний уровень защищен-
ности (Y1), если в ходе эксплуатации информационной системы появились до-
полнительные угрозы безопасности информации и в отношении них оперативно
(«за часы») могут быть приняты меры защиты информации, нейтрализующие эти
угрозы;
в) в информационной системе обеспечивается низкий уровень защищен-
ности (Y1), если в ходе эксплуатации информационной системы появились до-
полнительные угрозы безопасности информации и в отношении них не могут
быть с высокой оперативностью или оперативно приняты меры защиты инфор-
мации, нейтрализующие эти угрозы.
Потенциал, требуемый нарушителю для реализации j-ой угрозы безопас-
ности информации, может быть базовым (низким), базовым повышенным (сред-
ним) или высоким. Значение потенциала нарушителя (Y2) для j-ой угрозы без-
опасности информации определяется на основе данных, приведенных в банке
данных угроз безопасности информации ФСТЭК России, а также в базовых и
типовых моделях угроз безопасности информации, разрабатываемых ФСТЭК
России для информационных систем различных классов и типов. В случае отсут-
ствия информации о потенциале нарушителя для реализации j-ой угрозы без-
опасности значение потенциала (Y2) определяется в соответствии с приложением
№ 3 к настоящей Методике.
Возможность реализации j-ой угрозы безопасности информации (Yj) в за-
висимости от уровня защищенности информационной системы (Y1/Y1П) и потен-
26
циала нарушителя (Y2) определяется как высокая, средняя или низкая в соответ-
ствии с таблицей 4.
Возможность
реализации угрозы безопасности информации
Таблица 4
Уровень защищенности (Y1/Y1П)
Потенциал нарушителя (Y2)
Высокий Средний Низкий
Базовый (низкий) Низкая Средняя Высокая
Базовый повышенный (средний) Средняя Высокая Высокая
Высокий Высокая Высокая Высокая
б) оценка степени возможного ущерба от реализации угрозы безопас-
ности информации
Для оценки степени возможного ущерба от реализации угрозы безопасно-
сти информации определяются возможный результат реализации угрозы без-
опасности информации в информационной системе, вид ущерба, к которому мо-
жет привести реализация угрозы безопасности информации, степень послед-
ствий от реализации угрозы безопасности информации для каждого вида ущер-
ба.
В качестве результата реализации угрозы безопасности информации рас-
сматриваются непосредственное или опосредованное воздействие на конфиден-
циальность, целостность, доступность информации, содержащейся в информа-
ционной системе.
Непосредственное воздействие на конфиденциальность, целостность, до-
ступность информации возможно в результате реализации прямой угрозы без-
опасности информации. В этом случае объектами воздействия угрозы являются
непосредственно информация и (или) иные объекты защиты информационной
системы или обеспечивающей инфраструктуры, которые обеспечивают получе-
ние, обработку, хранение, передачу, уничтожение информации в информацион-
ной системе, в результате доступа к которым или воздействия на которые воз-
можно воздействие на конфиденциальность, целостность или доступность ин-
формации.
Опосредованное воздействие на конфиденциальность, целостность, до-
ступность информации рассматривается в результате реализации косвенных
угроз безопасности информации. Реализация косвенных угроз безопасности ин-
формации не приводит непосредственно к воздействию на конфиденциальность,
целостность, доступность информации, но создает условия для реализации од-
ной или нескольких прямых угроз безопасности информации, позволяющих реа-
лизовать такое воздействие. В этом случае в качестве результата реализации
косвенной угрозы необходимо рассматривать результаты реализации всех пря-
27
мых угроз безопасности информации, которые возможно реализовать в случае
реализации данной косвенной угрозы.
Результат реализации угрозы безопасности информации определяется воз-
действием угрозы на каждое свойство безопасности информации (конфиденци-
альность, целостность, доступность) в отдельности в соответствии с таблицей 5.
При обработке в информационной системе двух и более видов информации
(служебная тайна, персональные данные, налоговая тайна, иные установленные
законодательством Российской Федерации виды информации) воздействие на
конфиденциальность, целостность, доступность определяется отдельно для каж-
дого вида информации (k, …, m), содержащейся в информационной системе.
Таблица 5
Свойство
безопасности
информации
Результат реализации
угрозы безопасности информации
Не оказывает воздействия Оказывает воздействие
Конфиденциаль-
ность
К Xk1
В результате реализации
угрозы безопасности инфор-
мации отсутствует возмож-
ность неправомерного досту-
па, копирования, предостав-
ления или распространения
информации
В результате реализации
угрозы безопасности ин-
формации возможны не-
правомерный доступ, ко-
пирование, предоставле-
ние или распространение
информации
Целостность
Ц Xk1
В результате реализации
угрозы безопасности инфор-
мации отсутствует возмож-
ность уничтожения или мо-
дифицирования информации
В результате реализации
угрозы безопасности ин-
формации возможно уни-
чтожение или модифици-
рование информации
Доступность
Д Xk1
В результате реализации
угрозы безопасности инфор-
мации отсутствует возмож-
ность блокирования инфор-
мации
В результате реализации
угрозы безопасности ин-
формации возможно бло-
кирование информации
При определении степени возможного ущерба необходимо исходить из то-
го, что в зависимости от целей и задач, решаемых информационной системой,
видов обрабатываемой информации, воздействие на конфиденциальность, це-
лостность или доступность каждого вида информации, содержащейся в инфор-
мационной системе, может привести к различным видам ущерба. При этом для
разных обладателей информации и операторов будут характерны разные виды
ущерба.
Основные виды ущерба и возможные негативные последствия, к которым
может привести нарушение конфиденциальности, целостности, доступности ин-
формации, приведены в таблице 6.
28
Таблица 6
Вид
ущерба
Возможные негативнее
последствия от нарушения конфиденциальности, целост-
ности, доступности информации
Экономический
(финансовый)
Снижение, как минимум, одного экономического показа-
теля.
Потеря (кража) финансовых средств.
Недополучение ожидаемой (прогнозируемой) прибыли.
Необходимость дополнительных (незапланированных)
затрат на выплаты штрафов (неустоек) или компенсаций.
Необходимость дополнительных (незапланированных)
затрат на закупку товаров, работ или услуг (в том числе
закупка программного обеспечения, технических средств,
вышедших из строя, замена, настройка, ремонт указанных
средств).
Необходимость дополнительных (незапланированных)
затрат на восстановление деятельности.
Потеря клиентов, поставщиков.
Потеря конкурентного преимущества.
Невозможность заключения договоров, соглашений.
Другие прямые или косвенные финансовые потери
Социальный Создание предпосылок для нанесения вреда здоровью
граждан.
Возможность нарушения функционирования объектов
обеспечения жизнедеятельности граждан.
Организация пикетов, забастовок, митингов и других ак-
ций.
Увольнения.
Увеличение количества жалоб в органы государственной
власти или органы местного самоуправления.
Появление негативных публикаций в общедоступных ис-
точниках.
Невозможность (прерывание) предоставления социаль-
ных услуг (сервисов).
Другие последствия, приводящие к нарастанию социаль-
ной напряженности в обществе
Политический Создание предпосылок к обострению отношений в меж-
дународных отношениях.
Срыв двусторонних (многосторонних) контактов с зару-
бежными партнерами.
Неспособность выполнения международных (двусторон-
них) договорных обязательств.
29
Невозможность заключения международных (двусторон-
них) договоров, соглашений.
Создание предпосылок к внутриполитическому кризису.
Нарушение выборного процесса.
Другие последствия во внутриполитической и внешнепо-
литической областях деятельности
Репутационный Нарушение законодательных и подзаконных актов.
Нарушение деловой репутации.
Снижение престижа.
Дискредитация работников.
Утрата доверия.
Неспособность выполнения договорных обязательств.
Другие последствия, приводящие к нарушению репута-
ции
Ущерб в области
обороны, безопас-
ности и правопо-
рядка
Создание предпосылок к наступлению негативных по-
следствий для обороны, безопасности и правопорядка.
Нарушение общественного правопорядка.
Неблагоприятное влияние на обеспечение общественного
правопорядка.
Возможность потери или снижения уровня контроля за
общественным правопорядком.
Отсутствие возможности оперативного оповещения
населения о чрезвычайной ситуации.
Другие последствия, приводящие к ущербу в области
обороны, безопасности и правопорядка
Ущерб субъекту
персональных дан-
ных
Создание угрозы личной безопасности.
Финансовые или иные материальные потери физического
лица.
Вторжение в частную жизнь.
Создание угрозы здоровью.
Моральный вред.
Утрата репутации.
Другие последствия, приводящие к нарушению прав
субъекта персональных данных
Технологический Невозможность решения задач (реализации функций)
или снижение эффективности решения задач (реализации
функций).
Необходимость изменения (перестроения) внутренних
процедур для достижения целей, решения задач (реализа-
ции функций).
Принятие неправильных решений.
Простой информационной системы или сегмента инфор-
мационной системы
Другие последствия, приводящие к нарушению техноло-
гии обработки информации
30
Указанные виды ущерба могут дополняться другими видами в зависимо-
сти от целей и задач, решаемых информационной системой, а также вида обра-
батываемой в ней информации.
Степень возможного ущерба от реализации угрозы безопасности инфор-
мации определяется степенью негативных последствий от нарушения конфиден-
циальности, целостности или доступности каждого вида информации, содержа-
щейся в информационной системе.
Степень негативных последствий от нарушения конфиденциальности, це-
лостности или доступности информации определяется для каждого вида ущерба,
зависит от целей и задач, решаемых информационной системой, и может иметь
разные значения для разных обладателей информации и операторов. В качестве
единой шкалы измерения степени негативных последствий принимаются значе-
ния «незначительные», «умеренные» и «существенные» негативные послед-
ствия. Каждым оператором определяется в указанной единой шкале измерений
степень негативных последствий от нарушения конфиденциальности, целостно-
сти или доступности информации применительно ко всем целям и задачам, ре-
шаемым информационной системой.
Степень возможного ущерба определяется экспертным методом в соответ-
ствии с таблицей 7.
Таблица 7
Степень
ущерба
Характеристика степени ущерба
Высокая В результате нарушения одного из свойств безопасности
информации (конфиденциальности, целостности, доступно-
сти) возможны существенные негативные последствия.
Информационная система и (или) оператор (обладатель
информации) не могут выполнять возложенные на них
функции
Средняя В результате нарушения одного из свойств безопасности
информации (конфиденциальности, целостности, доступно-
сти) возможны умеренные негативные последствия.
Информационная система и (или) оператор (обладатель
информации) не могут выполнять хотя бы одну из возложен-
ных на них функций
Низкая В результате нарушения одного из свойств безопасности
информации (конфиденциальности, целостности, доступно-
сти) возможны незначительные негативные последствия.
Информационная система и (или) оператор (обладатель
информации) могут выполнять возложенные на них функции
с недостаточной эффективностью или выполнение функций
возможно только с привлечением дополнительных сил и
средств
31
При обработке в информационной системе двух и более видов информа-
ции (служебная тайна, персональные данные, налоговая тайна и иные установ-
ленные законодательством Российской Федерации виды информации) степень
возможного ущерба определяется отдельно для каждого вида информации
(k, …, m), обрабатываемой в информационной системе, применительно к каждо-
му виду ущерба. Итоговая степень возможного ущерба устанавливается по
наивысшим значениям степени возможного ущерба, определенным для конфи-
денциальности, целостности, доступности информации каждого вида информа-
ции применительно к каждому виду ущерба.
X max(Х ); i К,Ц, Д.
i
k
i
k  
в) определение актуальности угрозы безопасности информации
Решение об актуальности угрозы безопасности информации УБИj
А
для
информационной системы с заданными структурно-функциональными характе-
ристиками и условиями функционирования принимается в соответствии с таб-
лицей 8.
Таблица 8
Вероятность (воз-
можность) реали-
зации угрозы (Yj)
Степень возможного ущерба (Хj)
Низкая Средняя Высокая
Низкая неактуальная неактуальная актуальная
Средняя неактуальная актуальная актуальная
Высокая актуальная актуальная актуальная
32
=Приложение № 1= к
Методике определения угроз безопасности
информации в информационных системах
Рекомендации по формированию
экспертной группы и проведению экспертной оценки при
определении угроз безопасности информации
Качественное формирование экспертной группы способствует снижению
субъективных факторов при оценке угроз безопасности информации. Занижение
(ослабление) экспертами прогнозов и предположений при определении угроз
может повлечь наступление непрогнозируемого (неожиданного) ущерба в ре-
зультате реализации угрозы безопасности информации. Завышение экспертами
прогнозов и предположений при определении угроз может повлечь за собой не-
оправданные расходы на нейтрализацию угроз, являющихся неактуальными.
Независимо от результата формирования экспертной группы при оценке
угроз безопасности информации существуют субъективные факторы, связанные
с психологией принятия решений человеком. Это также может приводить как к
занижению (ослаблению), так и к завышению (усилению) экспертами прогнозов
и предположений при определении угроз безопасности информации, что в свою
очередь может привести к пропуску отдельных угроз безопасности информации
или к неоправданным затратам на нейтрализацию неактуальных угроз.
Любое решение, принимаемое экспертами при определении угроз безопас-
ности информации, должно исходить из правил, при которых нарушитель нахо-
дится в наилучших условиях для реализации угрозы безопасности (принципа
«гарантированности»).
а) формирование экспертной группы
В состав экспертной группы для определения угроз безопасности инфор-
мации рекомендуется включать экспертов (независимо от того, реализуются ли
функции обладателя информации, заказчика и оператора в рамках одной или не-
скольких организаций):
от подразделений обладателей информации, содержащейся в информаци-
онной системе;
от подразделений оператора информационной системы;
от подразделения по защите информации;
от лиц, предоставляющих услуги по обработке информации;
от разработчика информационной системы;
от операторов взаимодействующих внешних информационных систем (по
согласованию).
В качестве экспертов рекомендуется привлекать специалистов, деятель-
ность которых связана с обработкой информации в информационной системе, а
33
также специалистов, имеющие квалификацию и опыт работы в области приме-
нения информационных технологий и (или) в области защиты информации.
При привлечении в качестве экспертов специалистов от подразделений по
защите информации рекомендуется привлекать лиц, имеющих высшее образова-
ние или прошедших переподготовку (повышение квалификации) по направле-
нию подготовки «Информационная безопасность», или имеющих не менее трех
лет стажа практической работы в своей сфере деятельности.
Эксперты должны обладать независимостью, основанной на отсутствии
коммерческого и финансового интереса или другого давления, которое может
оказать влияние на принимаемые решения. Не рекомендуется формировать экс-
пертную группу из участников, находящихся в прямом подчинении, так как это
может негативным образом повлиять на результат определения угроз безопасно-
сти информации.
Состав экспертной группы зависит от целей и задач информационной си-
стемы, но не должен быть меньше трех экспертов.
б) проведение экспертной оценки
При проведении экспертной оценки принимаются меры, направленные на
снижение уровня субъективности и неопределенности при определении каждой
из угроз безопасности информации.
Экспертную оценку рекомендуется проводить в отношении, как минимум,
следующих параметров:
цели реализации угроз безопасности информации (мотивация нарушите-
лей);
типы и виды нарушителей;
уязвимости, которые могут быть использованы для реализации угроз без-
опасности информации;
способы реализации угроз безопасности информации;
степень воздействия угрозы безопасности информации на каждое из
свойств безопасности информации;
последствия от реализации угроз безопасности информации;
вероятность реализации угроз безопасности информации;
уровень защищенности информационной системы;
потенциал нарушителя, требуемый для реализации угрозы безопасности
информации (в случае отсутствия потенциала в банке данных угроз безопасно-
сти информации).
Оценку параметров рекомендуется проводить опросным методом с состав-
лением анкеты, в которой указываются вопросы и возможные варианты ответа в
единой принятой шкале измерений («низкий», «средний», «высокий» или «да»,
«нет» или иные шкалы). При этом вопросы должны быть четкими и однозначно
трактуемыми, предполагать однозначные ответы.
Опрос экспертов включает следующие этапы:
каждый эксперт проводит оценку оцениваемого параметра (рекомендуется
не мене двух раундов оценки), результаты которой заносятся в таблицу 1.1;
34
после оценки каждым из экспертов отбрасываются минимальные и макси-
мальные значения;
определяется среднее значение оцениваемого параметра в каждом раунде;
определяется итоговое среднее значение оцениваемого параметра.
Пример таблицы результатов оценки параметров
Таблица 1.1
Эксперты Значение оцениваемого
параметра (раунд 1)
Значение оцениваемого
параметра (раунд 2)
Эксперт 1
Эксперт 2
Эксперт n
Итоговое значение
35
=Приложение № 2= к
Методике определения угроз безопасности
информации в информационных системах
Структура модели угроз безопасности информации
Модель угроз безопасности информации содержит следующие разделы:
1. Общие положения.
2. Описание информационной системы и особенностей ее функционирова-
ния.
2.1. Цель и задачи, решаемые информационной системой.
2.2. Описание структурно-функциональных характеристик информацион-
ной системы.
2.3. Описание технологии обработки информации.
3. Возможности нарушителей (модель нарушителя).
3.1. Типы и виды нарушителей.
3.2. Возможные цели и потенциал нарушителей.
3.3. Возможные способы реализации угроз безопасности информации.
4. Актуальные угрозы безопасности информации.
Приложения (при необходимости).
Раздел «Общие положения» содержит назначение и область действия до-
кумента, информацию о полном наименовании информационной системы, для
которой разработана модель угроз безопасности информации, а также информа-
цию об использованных для разработки модели угроз безопасности информации
нормативных и методических документах, национальных стандартах. В данный
раздел также включается информация об используемых данных и источниках, на
основе которых определяются угрозы безопасности информации (документация,
исходные тексты программ, опросы персонала, журналы регистрации средств
защиты, отчеты об аудите и иные источники).
Раздел «Описание информационной системы и особенностей ее функцио-
нирования» содержит общую характеристику информационной системы, описа-
ние структурно-функциональных характеристик информационной системы, опи-
сание взаимосвязей между сегментами информационной системы, описание вза-
имосвязей с другими информационными системами и информационно-
телекоммуникационными сетями, описание технологии обработки информации.
Также в данном разделе приводятся предположения, касающиеся информацион-
ной системы и особенностей ее функционирования (в частности предположения
об отсутствии неучтенных беспроводных каналов доступа или динамичность
выделения адресов узлам информационной системы, иные предположения). В
раздел включаются любые ограничения, касающиеся информационной системы
и особенностей ее функционирования.
Раздел «Возможности нарушителей (модель нарушителя)» содержит опи-
сание типов, видов, потенциала и мотивации нарушителей, от которых необхо-
димо обеспечить защиту информации в информационной системе, способов реа-
36
лизации угроз безопасности информации. В данный раздел также включаются
предположения, касающиеся нарушителей (в частности предположение об от-
сутствии у нарушителя возможности доступа к оборудованию, сделанному на
заказ и применяемому при реализации угрозы, предположение о наличии (отсут-
ствии) сговора между внешними и внутренними нарушителями или иные пред-
положения). В раздел включаются любые ограничения, касающиеся определения
нарушителей (в частности исключение администраторов информационной си-
стемы или администраторов безопасности из числа потенциальных нарушителей
или иные предположения).
Раздел «Актуальные угрозы безопасности информации» содержит описа-
ние актуальных угроз безопасности, включающее наименование угрозы безопас-
ности информации, возможности нарушителя по реализации угрозы, используе-
мые уязвимости информационной системы, описание способов реализации угро-
зы безопасности информации, объекты воздействия, возможные результат и по-
следствия от реализации угрозы безопасности информации.
37
=Приложение № 3=
к Методике определения угроз безопасности
информации в информационных системах
Определение
потенциала нарушителя, необходимого для реализации угрозы без-
опасности информации в информационной системе
Настоящее приложение применяется для определения потенциала, необхо-
димого для реализации угрозы безопасности информации, данные по которой
отсутствуют в банке данных угроз безопасности информации, и характеристики
которых определяются на основе иных источников или результатов исследова-
ний.
Приведенный подход к оценке потенциала нарушителя направлен на сни-
жение уровня субъективности и неопределенности при оценке потенциала
нарушителя, который требуется для реализации угрозы безопасности информа-
ции в информационной системе с заданными структурно-функциональными ха-
рактеристиками и особенностями функционирования.
Исходными данными для определения потенциала нарушителя являются:
данные об аппаратном, общесистемном и прикладном программном обес-
печении, применяемых информационных технологиях, особенностях функцио-
нирования информационной системы;
данные об уязвимостях в аппаратном, общесистемном и прикладном про-
граммном обеспечении, опубликованные в различных базах данных уязвимо-
стей, полученные в результате исследований (тестировании) или полученные от
уполномоченных федеральных органов исполнительной власти и организаций.
При оценке потенциала нарушителя необходимо исходить из того, что для
успешного достижения целей реализации угроз безопасности информации,
нарушителю необходимо осуществить подготовку к реализации угрозы и непо-
средственно реализацию угрозы безопасности информации. При этом не един-
ственным, но необходимым условием на этапе подготовки к реализации угрозы
безопасности информации является идентификация уязвимостей в информаци-
онной системе, а на этапе реализации угрозы безопасности информации – ис-
пользование уязвимостей информационной системы.
Таким образом, для определения потенциала нарушителя необходимо оце-
нить возможности нарушителя идентифицировать уязвимости и использовать их
в информационной системе в ходе подготовки к реализации и непосредственно в
ходе реализации угрозы безопасности информации. Для проведения указанной
оценки делается предположение о наличии уязвимостей, которые потенциально
содержатся в информационной системе и могут быть использованы для реализа-
ции угрозы безопасности информации.
Потенциальные уязвимости определяются для каждого класса и типа про-
граммного обеспечения и для каждого узла (хоста) информационной системы
исходя из условия, что для реализации угрозы безопасности информации нару-
38
шителю необходимо идентифицировать и использовать как минимум одну уяз-
вимость на каждом узле и хосте.
В качестве исходных данных для определения потенциальных уязвимостей
используются данные по составу информационной системы и особенностям ее
функционирования, а также данные об уязвимостях в этом программном обеспе-
чении, опубликованные в общедоступных источниках, полученные по результа-
там исследований и (или) полученные от уполномоченных органов и организа-
ций.
Для каждой выявленной потенциальной уязвимости проводится оценка
возможностей ее идентификации и использования в информационной системе
нарушителем, обладающим определенными возможностями и для каждого из
возможных сценариев реализации угрозы безопасности информации.
Оценка возможностей нарушителя по идентификации и использованию
уязвимости в информационной системе проводится по результатам определения
следующих показателей:
время, затрачиваемое нарушителем на идентификацию и использование
уязвимости (затрачиваемое время);
техническая компетентность нарушителя;
знание нарушителем проекта и информационной системы;
оснащенность нарушителя;
возможности нарушителя по доступу к информационной системе.
Во многих случаях указанные показатели являются зависимыми и могут в
различной степени заменять друг друга. В частности, показатели технической
компетентности или оснащенности могут заменяться показателем затрачиваемо-
го времени.
а) определение показателя «затрачиваемое время»
Показатель «затрачиваемое время» характеризует время, непрерывно за-
трачиваемое нарушителем для идентификации и использования уязвимости для
реализации угрозы безопасности информации.
Показатель «затрачиваемое время» может принимать значения «за мину-
ты», «за часы», «за дни» или «за месяцы».
Значение «за минуты» присваивается, если для реализации угрозы без-
опасности информации нарушитель затратит менее получаса на идентификацию
и использование уязвимости.
Значение «за часы» присваивается, если для реализации угрозы безопасно-
сти информации нарушитель затратит менее чем один день на идентификацию и
использование уязвимости.
Значение «за дни» присваивается, если для реализации угрозы безопасно-
сти информации нарушитель затратит менее чем один месяц на идентификацию
и использование уязвимости.
Значение «за месяцы» присваивается, если для реализации угрозы без-
опасности информации нарушитель затратит, как минимум, месяц на идентифи-
кацию и использование уязвимости.
39
б) определение показателя «техническая компетентность нарушителя»
Показатель «техническая компетентность нарушителя» характеризует, ка-
ким уровнем знаний и подготовкой в области информационных технологий и
защиты информации должен обладать нарушитель, чтобы идентифицировать и
использовать уязвимости для реализации угрозы безопасности информации.
Показатель «техническая компетентность нарушителя» может принимать
значения «специалист», «профессионал» или «непрофессионал».
Значение «профессионал» присваивается, если нарушитель имеет хоро-
шую осведомленность о мерах защиты информации, применяемых в информа-
ционной системе, об алгоритмах, аппаратных и программных средствах, исполь-
зуемых в информационной системе, а также обладает специальными знаниями о
методах и средствах выявления новых уязвимостей и способах реализации угроз
безопасности информации для информационных систем данного типа.
Значение «специалист» присваивается, если нарушитель имеет осведом-
ленность о мерах защиты информации, применяемых в информационной систе-
ме данного типа.
Значение «непрофессионал» присваивается, если нарушитель имеет сла-
бую осведомленность (по сравнению со специалистами или профессионалами) о
мерах защиты информации, применяемых в информационных системах данного
типа, и не обладает специальными знаниями по реализации угроз безопасности
информации.
в) определение показателя «знание нарушителем проекта и информа-
ционной системы»
Показатель «знание нарушителем проекта и информационной системы»
характеризует, какие сведения об информационной системе и условиях ее экс-
плуатации доступны нарушителю, чтобы идентифицировать и использовать уяз-
вимости для реализации угрозы безопасности информации.
Показатель «знание нарушителем проекта и информационной системы»
может принимать значения «отсутствие знаний», «ограниченные знания» или
«знание чувствительной информации».
Значение «отсутствие знаний» присваивается, если в результате принятия
мер по защите информации нарушителю не может стать известно о структурно-
функциональных характеристиках информационной системы, системе защиты
информации информационной системы, а также об иной информации по разра-
ботке (проектированию) и эксплуатации информационной системы, включая
сведения из конструкторской, проектной и эксплуатационной документации.
При этом может быть доступна информация о целях и задачах, решаемых ин-
формационной системой. Данный показатель также присваивается, если сведе-
ния об информационной системе отнесены к информации ограниченного досту-
па и не могут быть доступны для неограниченного круга лиц.
40
Значение «ограниченные знания» присваивается, если нарушителю наряду
с информацией о целях и задачах, решаемых информационной системой, может
стать известна только эксплуатационная документация на информационную си-
стему (в частности руководство пользователя и (или) правила эксплуатации ин-
формационной системы).
Значение «знание чувствительной информации» присваивается, если
нарушителю может стать известны конструкторская (проектная) и эксплуатаци-
онная документация на информационную систему, информация о структурно-
функциональных характеристиках информационной системы, системе защиты
информационной системы.
г) определение показателя «возможности нарушителя по доступу к
информационной системе»
Показатель «возможности нарушителя по доступу к информационной си-
стеме» характеризует, как долго по времени нарушитель должен иметь возмож-
ность доступа к информационной системе для идентификации и использования
уязвимостей для реализации угроз безопасности информации.
Показатель «возможности нарушителя по доступу к информационной си-
стеме» может принимать значения «за минуты», «за часы», «за дни» или «за ме-
сяцы».
Значение «за минуты» присваивается, если для идентификации и исполь-
зования уязвимости для реализации угрозы безопасности информации наруши-
телю требуется доступ менее получаса.
Значение «за часы» присваивается, если для идентификации и использова-
ния уязвимости для реализации угрозы безопасности информации нарушителю
требуется доступ менее одного дня.
Значение «за дни» присваивается, если для идентификации и использова-
ния уязвимости для реализации угрозы безопасности информации нарушителю
требуется доступ менее одного месяца.
Значение «за месяцы» присваивается, если для идентификации и использо-
вания уязвимости для реализации угрозы безопасности информации нарушите-
лю требуется доступ более одного месяца.
Показатель «возможности нарушителя по доступу к информационной си-
стеме» взаимосвязан с показателем «затраченное время». Идентификация и ис-
пользование уязвимости при реализации угрозы безопасности информации мо-
гут требовать продолжительного времени по доступу к информационной систе-
ме, что увеличивает возможность обнаружения уязвимости. В отдельных случа-
ях продолжительный доступ к информационной системе не требуется (методы и
средства реализации угроз безопасности разрабатываются автономно), но при
этом требуется кратковременный доступ к информационной системе.
41
д) определение показателя «оснащенность нарушителя»
Показатель «оснащенность нарушителя» характеризует, какие программ-
ные и (или) программно-технические средства требуются нарушителю для иден-
тификации и использования уязвимостей для реализации угроз безопасности
информации.
Показатель «оснащенность нарушителя» может принимать значения
«стандартное оборудование», «специализированное оборудование» или «обору-
дование, сделанное на заказ».
Значение «стандартное оборудование» присваивается, если для идентифи-
кации или использования уязвимостей при реализации угрозы безопасности ин-
формации требуются программные (программно-технические) средства, легко
доступные для нарушителя. К таким средствам, в первую очередь, относятся
программные средства непосредственно информационной системы (отладчик в
операционной системе, средства разработки и иные), программные средства, ко-
торые могут быть легко получены (программы, имеющиеся в свободном доступе
в сети Интернет) или имеются простые сценарии реализации угроз.
Значение «специализированное оборудование» присваивается, если для
идентификации или использования уязвимостей при реализации угрозы без-
опасности информации требуются программные (программно-технические)
средства, которые отсутствуют в свободном доступе, но могут быть приобрете-
ны нарушителем без значительных усилий. К таким средствам, в первую оче-
редь, относятся программные (программно-технические) средства, которые
имеются в продаже (анализаторы кода, анализаторы протоколов и иные) или
требуется разработка более сложных программ и сценариев реализации угрозы.
Оборудование может быть закуплено, либо, например, могут быть использованы
компьютеры, объединенные через сеть Интернет (бот-сети).
Значение «оборудование, сделанное на заказ» присваивается, если для
идентификации или использования уязвимостей при реализации угрозы без-
опасности информации требуются программные (программно-технические)
средства, которые недоступны широкому кругу лиц, так как требуется их специ-
альная разработка с привлечением исследовательских организаций, или распро-
странение этих средств контролируется в соответствии с законодательством. К
такому оборудованию также относится дорогостоящие средства или средства,
сведения о которых относятся к информации ограниченного доступа.
С целью вычисления потенциала нарушителя определяются числовые зна-
чения указанных показателей в соответствии с таблицей 3.1.
42
Таблица 3.1
Показатель возможностей нарушителя
Значения при
идентификации
уязвимости
Значения при
использова-
нии уязвимо-
сти
Затрачиваемое
время
< 0,5 час 0 0
< 1 день 2 3
< 1 месяц 3 5
> 1 месяц 5 8
Техническая ком-
петентность
нарушителя
Непрофессионал 0 0
Специалист 2 3
Профессионал 5 4
Знание проекта и
информационной
системы
Отсутствие знаний 0 0
Ограниченные знания 2 2
Знание чувствительной
информации 5
4
Возможность до-
ступа к информа-
ционной системе
< 0,5 час или не обна-
руживаемый доступ 0
0
< 1 день 2 4
< 1 месяц 3 6
> 1 месяц 4 9
Не возможно
Оснащенность
нарушителя
Отсутствует 0 0
Стандартное оборудо-
вание
1
2
Специализированное
оборудование 3
4
Оборудование, сделан-
ное на заказ
5
6
Для конкретной потенциальной уязвимости может возникнуть необходи-
мость определять показатели несколько раз для различных способов реализации
угроз безопасности информации (попеременно использовать разные значения
показателей компетентности в сочетании со значениями времени и оборудова-
ния). При этом следует выбирать наибольшее значение, полученное при каждом
расчете показателей.
Полученные на основе таблицы 3.1 значения характеристик потенциала
нарушителя суммируются. Полученная сумма значений характеристик соотно-
сится с диапазонами значений, приведенных в таблице 3.2, в соответствии с ко-
торой определяется потенциал нарушителя, необходимый для реализации угрозы
безопасности информации.
43
Таблица 3.2
Диапазон
значений
Потенциал
нарушителя
<10 Потенциал недостаточен для реализации
угрозы безопасности
10-17 Базовый (низкий)
18-24 Базовый повышенный (средний)
>24 Высокий
Мотивация нарушителя для реализации угроз безопасности информации
может быть базовой или повышенной. Мотивация нарушителя характеризует
уровень устремлений нарушителя к информации, содержащейся в информаци-
онной системе, или информационной системе в целом. При определении потен-
циала нарушителя необходимо исходить, как минимум, из его базовой мотива-
ции.
Потенциал нарушителя, требуемый для реализации угрозы безопасности
информации, переходит на следующий уровень (от низкого к среднего или от
среднего к высокому), если определено, что нарушитель имеет повышенную мо-
тивацию реализации угроз безопасности по отношению к информационной си-
стеме.
Мотивация нарушителя определяется как повышенная, если:
а) имеются сведения (в том числе опубликованные в общедоступных ис-
точниках) об устремлениях нарушителей к конкретной информационной системе
и (или) отдельным ее объектам защиты; например, если информация, обрабаты-
ваемая в информационной системе, является высоко ценной для нарушителя или
для нарушителя является крайне приоритетным нанести ущерб оператору ин-
формационной системы;
б) имеется информация, полученная от уполномоченных федеральных ор-
ганов исполнительной власти, о намерении нарушителя осуществить неправо-
мерные действия в отношении информационной системы и (или) информации,
содержащейся в этой информационной системе.

Методика определения угроз безопасности информации в информационных системах

2015-10-02T08:14:21Z

Hunter po: /* ОБЩИЕ ПОЛОЖЕНИЯ */

ФЕДЕРАЛЬНАЯ СЛУЖБА
ПО ТЕХНИЧЕСКОМУ И ЭКСПОРТНОМУ КОНТРОЛЮ
(ФСТЭК РОССИИ)

МЕТОДИЧЕСКИЙ ДОКУМЕНТ
МЕТОДИКА ОПРЕДЕЛЕНИЯ УГРОЗ БЕЗОПАСНОСТИ ИНФОРМАЦИИ В ИНФОРМАЦИОННЫХ СИСТЕМАХ
(ПРОЕКТ) 2015

СОДЕРЖАНИЕ
1. Общие положения…………………………………………………………... 3
2. Процесс определения угроз безопасности информации в информацион-
ной системе...................................................................................................... 5
3. Оценка возможностей нарушителя по реализации угроз безопасности
информации (разработка модели нарушителя)…………………………… 10
4. Определение актуальных угроз безопасности информации в информа-
ционной системе…………………………………………………………….. 20
Приложение № 1…………………………………………………………….
Приложение № 2…………………………………………………………….
Приложение № 3…………………………………………………………….

=ОБЩИЕ ПОЛОЖЕНИЯ=

Настоящий методический документ ФСТЭК России «Методика определения угроз безопасности информации в информационных системах» (далее - Методика) разработан и утвержден в соответствии с подпунктом 4 пункта 8 Положения о Федеральной службе по техническому и экспортному контролю, утвержденного Указом Президента Российской Федерации от 16 августа 2004 г. № 1085.

Документ устанавливает единый методический подход к определению угроз безопасности информации и разработке моделей угроз безопасности информации в государственных информационных системах (далее – информационные системы), защита информации в которых обеспечивается в соответствии с Требованиями о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах, утвержденными приказом ФСТЭК России от 11 февраля 2013 г. № 17 (зарегистрирован Минюстом России 31 мая 2013 г., рег. № 28608).

По решению оператора персональных данных Методика может применяться для определения в соответствии с пунктом 1 части 2 статьи 19 Федерального закона «О персональных данных» угроз безопасности персональных данных при их обработке в информационных системах персональных данных, защита которых обеспечивается в соответствии с Составом и содержанием организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденных приказом ФСТЭК России от 18 февраля 2013 г. № 21 (зарегистрирован Минюстом России 14 мая 2013 г., рег. № 28375).

Методика не распространяется на определение угроз безопасности информации, составляющей государственную тайну.

Методика предназначена для:
*органов государственной власти, органов местного самоуправления и организаций, являющихся в соответствии с законодательством Российской Федерации обладателями информации, заказчиками и (или) операторами информационных систем;
*организаций, осуществляющих в соответствии с законодательством Российской Федерации работы по созданию (проектированию) информационных систем;
*организаций, осуществляющих в соответствии с законодательством Российской Федерации работы по защите информации в ходе создания (проектирования) и эксплуатации информационных систем;
*организаций, осуществляющих в соответствии с законодательством Российской Федерации работы по аттестации (оценке соответствия) информационных систем требованиям о защите информации.

Настоящая Методика применяется на этапах создания информационных систем для определения и оценки угроз безопасности информации и разработки моделей угроз, а также в ходе эксплуатации информационных систем при периодическом пересмотре (переоценке) угроз безопасности информации.

Методика применяется совместно с банком данных угроз безопасности информации, сформированным ФСТЭК России (ubi.fstec.ru), а также базовыми и типовыми моделями угроз безопасности информации в информационных системах различных классов и типов, разрабатываемых ФСТЭК России в соответствии с подпунктом 4 пункта 8 Положения о Федеральной службе по техническому и экспортному контролю, утвержденного Указом Президента Российской Федерации от 16 августа 2004 г. № 1085.

Методика ориентирована на определение и оценку антропогенных угроз безопасности информации, возникновение которых обусловлено объективными факторами. Вместе с тем, часть приведенных в Методике подходов может также применяться для оценки техногенных угроз в случае, если они позволяют достичь целей такой оценки. Определение угроз, связанных со стихийными бедствиями и природными явлениями осуществляется в соответствии с правилами, установленными уполномоченными федеральными органами исполнительной власти, национальными стандартами и находятся за рамками настоящей Методики.

В случае, если в соответствии с настоящей Методикой к числу актуальных угроз, отнесены угрозы, связанные с утечкой информации по техническим каналам, дальнейшая их оценка проводится в соответствии со специальными требованиями и рекомендациями по технической защите конфиденциальной информации и методиками оценки защищенности конфиденциальной информации.

В Методике используются термины и их определения, установленные
национальными стандартами в области защиты информации.

В связи с утверждением настоящего методического документа не применяется для определения угроз безопасности информации Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных (ФСТЭК России, 2008 г.).

=ПРОЦЕСС ОПРЕДЕЛЕНИЯ УГРОЗ БЕЗОПАСНОСТИ ИНФОРМАЦИИ В ИНФОРМАЦИОННОЙ СИСТЕМЕ=
Целью определения угроз безопасности информации является установле-
ние того, существует ли возможность нарушения конфиденциальности, целост-
ности или доступности информации, содержащейся в информационной системе,
и приведет ли нарушение хотя бы одного из указанных свойств безопасности
информации к наступлению неприемлемых негативных последствий (ущерба)
для обладателя информации или оператора, а в случае обработки персональных
данных и для субъектов персональных данных.
Определение угроз безопасности информации должно носить системати-
ческий характер и осуществляться как на этапе создания информационной си-
стемы и формирования требований по ее защите, так и в ходе эксплуатации ин-
формационной системы. Систематический подход к определению угроз безопас-
ности информации необходим для того, чтобы определить потребности в кон-
кретных требованиях к защите информации и создать адекватную эффективную
систему защиты информации в информационной системе. Меры защиты инфор-
мации, принимаемые обладателем информации и оператором, должны обеспечи-
вать эффективное и своевременное выявление и блокирование (нейтрализацию)
угроз безопасности информации, в результате реализации которых возможно
наступление неприемлемых негативных последствий (ущерба).
Систематический подход к определению угроз безопасности информации
предусматривает реализацию непрерывного процесса, в рамках которого опре-
деляется область применения процесса определения угроз, идентифицируются
источники угроз и угрозы безопасности информации, оценивается возможность
реализации угроз безопасности информации и степень возможного ущерба в
случае такой реализации, осуществляется мониторинг (периодический пере-
смотр) и переоценка угроз безопасности информации.
Оценка угроз безопасности информации проводится экспертным методом.
Рекомендации по формированию экспертной группы и проведению экспертной
оценки при определении угроз безопасности информации приведены в приложе-
нии № 1 к настоящей Методике.
а) область применения процесса определения угроз безопасности ин-
формации
На этапах принятия решения о необходимости защиты информации в ин-
формационной системе и разработки требований к защите информации должны
быть определены физические и логические границы информационной системы, в
которых принимаются и контролируются меры защиты информации, за которые
ответственен оператор, а также определены объекты защиты и сегменты инфор-
мационной системы.
Процесс определения угроз безопасности информации должен охватывать
все объекты защиты и сегменты в логических и физических границах информа-
ционной системы, в которых оператором принимаются и контролируются меры
6
защиты информации. Процесс определения угроз безопасности информации ор-
ганизуется подразделением оператора, назначенным ответственным за защиту
информации в информационной системе. В случае, если информационная систе-
ма имеет сегменты, эксплуатируемые разными подразделениями оператора, ко-
торые могут самостоятельно принимать и контролировать меры защиты инфор-
мации, должны быть определены границы ответственности этих подразделений
и порядок их взаимодействия в процессе определения угроз безопасности ин-
формации.
Область применения процесса определения угроз безопасности информа-
ции отражается в модели угроз безопасности информации наряду с областью
действия модели угроз, структурно-функциональными характеристиками ин-
формационной системы и особенностями ее функционирования.
б) идентификация источников угроз и угроз безопасности информации
В обобщенном виде угрозы безопасности информации характеризуется ис-
точниками угроз, факторами, обуславливающими возможность реализации
угроз, способами (методами) реализации угроз и последствиями от реализации
угроз безопасности информации.
Важным этапом в процессе определения угроз безопасности информации
является идентификация лиц или событий (явлений), в результате действий
(наступления, возникновения) которых возможно нарушение конфиденциально-
сти, целостности или доступности информации, содержащейся в информацион-
ной системе, и возникновение неприемлемых негативных последствий (ущерба).
В качестве источников угроз безопасности информации могут выступать
субъекты (физические лица, организации, государства) или явления (техноген-
ные аварии, стихийные бедствия, иные природные явления).
Источники угроз безопасности информации являются определяющим
фактором при определении угроз безопасности информации в информационных
системах. В процессе определения угроз безопасности информации подлежат
оценке те угрозы, у которых есть источники и источники имеют возможности и
условия для реализации угроз безопасности информации в информационной си-
стеме с заданными структурно-функциональными характеристиками и особен-
ностями ее функционирования.
Источники угроз безопасности информации могут быть следующих типов:
антропогенные источники (антропогенные угрозы);
техногенные источники (техногенные угрозы);
стихийные источники (угрозы стихийных бедствий, иных природных яв-
лений).
В качестве источников антропогенных угроз безопасности информации
могут выступать:
лица, осуществляющие преднамеренные действия с целью доступа к ин-
формации (воздействия на информацию), содержащейся в информационной си-
стеме, или нарушения функционирования информационной системы или обслу-
7
живающей ее инфраструктуры (преднамеренные угрозы безопасности информа-
ции);
лица, имеющие доступ к информационной системе, не преднамеренные
действия которых могут привести к нарушению безопасности информации (не-
преднамеренные угрозы безопасности информации).
Для информационных систем, в которых целью защиты является обеспе-
чение целостности и доступности обрабатываемой информации, в обязательном
порядке подлежат оценке техногенные угрозы, связанные с отказами или сбоями
в работе технических средств или программного обеспечения. Такие угрозы мо-
гут быть обусловлены:
низким качеством (надежностью) технических, программных или про-
граммно-технических средств;
низким качеством (надежностью) сетей связи и (или) услуг связи;
отсутствием или низкой эффективностью систем резервирования или дуб-
лирования программно-технических и технических средств;
низким качеством (надежностью) инженерных систем (кондиционирова-
ния, электроснабжения, охранных систем и т.д.);
низким качеством обслуживания со стороны обслуживающих организаций
и лиц.
При определении угроз безопасности информации оценке подлежат угро-
зы, связанные со всеми типами источников. Однако в целях создания и эксплуа-
тации адекватной эффективной системы защиты информации в информационной
системе следует, в первую очередь, уделять внимание оценке антропогенных
угроз, связанных с несанкционированными (неправомерными) действиями субъ-
ектов по нарушению безопасности (конфиденциальности, целостности, доступ-
ности) информации, в том числе целенаправленными воздействиями программ-
ными (программно-техническими) средствами на информационные системы,
осуществляемые в целях нарушения (прекращения) их функционирования (ком-
пьютерные атаки).
Также при определении угроз безопасности информации наряду с угроза-
ми, реализация которых может привести непосредственно к нарушению конфи-
денциальности, целостности или доступности информации (прямыми угрозами),
необходимо выявлять и оценивать угрозы, создающие условия для реализации
прямых угроз безопасности информации (косвенные угрозы). В качестве косвен-
ных угроз безопасности информации могут рассматриваться угрозы повышения
привилегий, исчерпания вычислительных ресурсов, недоступности обновления
программного обеспечения и иные угрозы безопасности информации.
В процессе определения угроз безопасности информации на всех стадиях
(этапах) жизненного цикла информационных систем необходимо регулярно про-
водить идентификацию источников угроз, оценивать их возможности и опреде-
лять на этой основе угрозы безопасности информации. Данные о нарушителях и
их возможностях по реализации угроз безопасности информации, полученные
при идентификации источников угроз, включаются в модели угроз безопасности
информации.
8
Для идентификации угроз безопасности информации в информационной
системе определяются:
возможности (тип, вид, потенциал) нарушителей, необходимые им для ре-
ализации угроз безопасности информации;
уязвимости, которые могут использоваться при реализации угроз безопас-
ности информации (включая специально внедренные программные закладки);
способы (методы) реализации угроз безопасности информации;
объекты информационной системы, на которые направлена угроза без-
опасности информации (объекты воздействия);
результат и последствия от реализации угроз безопасности информации.
Каждая угроза безопасности информации в информационной системе опи-
сывается (идентифицируется) следующим образом:
УБИj = [нарушитель (источник угрозы); уязвимости; способы реализации угро-
зы; объекты воздействия; последствия от реализации угрозы].
в) оценка вероятности (возможности) реализации угроз безопасности
информации и степени возможного ущерба
Идентифицированная угроза безопасности информации подлежит нейтра-
лизации (блокированию), если она является актуальной (УБИj
А
) для информаци-
онной системы, то есть в информационной системе с заданными структурно-
функциональными характеристиками и особенностями функционирования су-
ществует вероятность (возможность) реализации рассматриваемой угрозы нару-
шителем с соответствующим потенциалом и ее реализация приведет к неприем-
лемым негативным последствиям (ущербу):
УБИj
А
= [вероятность (возможность) реализации угрозы (Рj);
степень ущерба (Хj)].
Актуальные угрозы безопасности информации включаются в модель угроз
безопасности информации. Модель угроз безопасности информации, учитывая
особенности информационной системы, используемые в ней программные, про-
граммно-технические, технические средства и процессы обработки информации,
дает описание угроз безопасности, которым подвержена информационная систе-
ма. Структура модели угроз безопасности информации приведена в приложении
№ 2 к настоящей Методике.
г) мониторинг и переоценка угроз безопасности информации
Определение угроз безопасности информации на этапе создания информа-
ционной системы позволяет обеспечить формирование требований и внедрение
эффективной адекватной системы защиты информации в информационной си-
стеме для угроз, актуальных к моменту ввода в эксплуатацию информационной
системы.
9
В ходе эксплуатации информационной системы оператор, обеспечивая до-
стижение целей и задач информационной системы, может изменять ее базовую
конфигурацию, что приводит к изменению структурно-функциональных харак-
теристик информационной системы и применяемых информационных техноло-
гий. Также в процессе эксплуатации возможно изменение состава и значимости
обрабатываемой информации и особенностей функционирования информацион-
ной системы.
В этих условиях процесс определения угроз безопасности информации
должен носить систематический характер. В ходе эксплуатации информацион-
ной системы регулярно проводится анализ изменения угроз безопасности ин-
формации, а актуальные угрозы безопасности информации подлежат периодиче-
ской переоценке. Периодичность переоценки определяется организацией исходя
из особенностей функционирования информационной системы. Рекомендуется
пересматривать угрозы безопасности информации не реже одного раза в год. По
результатам анализа проводится уточнение (при необходимости) модели угроз
безопасности информации.
Пересмотр (переоценка) угроз безопасности информации, как минимум,
осуществляется в случаях:
изменения требований законодательства Российской Федерации о защите
информации, нормативных правовых актов и методических документов, регла-
ментирующих защиту информации;
изменения конфигурации (состава основных компонентов) и особенностей
функционирования информационной системы, следствием которых стало воз-
никновение новых угроз безопасности информации;
выявления уязвимостей, приводящих к возникновению новых угроз без-
опасности информации или к повышению возможности реализации существую-
щих;
появления сведений и фактов о новых возможностях нарушителей.
10
= ОЦЕНКА ВОЗМОЖНОСТЕЙ НАРУШИТЕЛЕЙ ПО РЕАЛИЗАЦИИ УГРОЗ БЕЗОПАСНОСТИ ИНФОРМАЦИИ (РАЗРАБОТКА МОДЕЛИ НАРУШИТЕЛЯ) =

Целью оценки возможностей нарушителей по реализации угроз безопасно-
сти информации является формирование предположения о типах, видах наруши-
телей, которые могут реализовать угрозы безопасности информации в информа-
ционной системе с заданными структурно-функциональными характеристиками
и особенностями функционирования, а также потенциале этих нарушителей и
возможных способах реализации угроз безопасности информации.
Результаты оценки возможностей нарушителей включаются в модель
нарушителя, которая является составной частью (разделом) модели угроз без-
опасности информации и содержит:
типы, виды и потенциал нарушителей, которые могут обеспечить реализа-
цию угроз безопасности информации;
цели, которые могут преследовать нарушители каждого вида при реализа-
ции угроз безопасности информации;
возможные способы реализации угроз безопасности информации.
а) типы нарушителей
Типы нарушителей определяются по результатам анализа прав доступа
субъектов к информации и (или) к компонентам информационной системы, а
также анализа возможностей нарушителей по доступу к компонентам информа-
ционной системы исходя из структурно-функциональных характеристик и осо-
бенностей функционирования информационной системы.
В зависимости от имеющихся прав доступа нарушители могут иметь леги-
тимный физический (непосредственный) и (или) логический доступ к компонен-
там информационной системы и (или) содержащейся в них информации или не
иметь такого доступа.
Анализ прав доступа проводится, как минимум, в отношении следующих
компонент информационной системы:
устройств ввода/вывода (отображения) информации;
беспроводных устройств;
программных, программно-технических и технических средств обработки
информации;
съемных машинных носителей информации;
машинных носителей информации, выведенных из эксплуатации;
активного (коммутационного) и пассивного оборудования каналов связи;
каналов связи, выходящих за пределы контролируемой зоны.
С учетом наличия прав доступа и возможностей по доступу к информации
и (или) к компонентам информационной системы нарушители подразделяются
на два типа:
11
внешние нарушители (тип I) – лица, не имеющие права доступа к инфор-
мационной системе, ее отдельным компонентам и реализующие угрозы безопас-
ности информации из-за границ информационной системы;
внутренние нарушители (тип II) – лица, имеющие право постоянного или
разового доступа к информационной системе, ее отдельным компонентам.
Наибольшими возможностями по реализации угроз безопасности обладают
внутренние нарушители. При оценке возможностей внутренних нарушителей
необходимо учитывать принимаемые оператором организационные меры по до-
пуску субъектов к работе в информационной системе. Возможности внутреннего
нарушителя существенным образом зависят от установленного порядка допуска
физических лиц к информационной системе и ее компонентам, а также мер по
контролю за доступом и работой этих лиц.
Внешнего нарушителя необходимо рассматривать в качестве актуального
во всех случаях, когда имеются подключения информационной системы к внеш-
ним информационно-телекоммуникационным сетям и (или) имеются линии свя-
зи, выходящие за пределы контролируемой зоны, используемые для иных под-
ключений.
б) виды и потенциал нарушителей
Угрозы безопасности информации в информационной системе могут быть
реализованы следующими видами нарушителей:
специальные службы иностранных государств (блоков государств);
террористические, экстремистские группировки;
преступные группы (криминальные структуры);
внешние субъекты (физические лица);
конкурирующие организации;
разработчики, производители, поставщики программных, технических и
программно-технических средств;
лица, привлекаемые для установки, наладки, монтажа, пусконаладочных и
иных видов работ;
лица, обеспечивающие функционирование информационных систем или
обслуживающие инфраструктуру оператора (администрация, охрана, уборщики
и т.д.);
пользователи информационной системы;
администраторы информационной системы и администраторы безопасно-
сти;
бывшие работники (пользователи).
Виды нарушителей, характерных для информационной системы с задан-
ными структурно-функциональными характеристиками и особенностями функ-
ционирования, определяются на основе предположений (прогноза) о возможных
целях (мотивации) при реализации угроз безопасности информации этими нару-
шителями.
В качестве возможных целей (мотивации) реализации нарушителями угроз
безопасности информации в информационной системе могут быть:
12
нанесение ущерба государству, отдельным его сферам деятельности или
секторам экономики;
реализация угроз безопасности информации по идеологическим или поли-
тическим мотивам;
организация террористического акта;
причинение имущественного ущерба путем мошенничества или иным пре-
ступным путем;
дискредитация или дестабилизация деятельности органов государственной
власти, организаций;
получение конкурентных преимуществ;
внедрение дополнительных функциональных возможностей в программное
обеспечение или программно-технические средства на этапе разработки;
любопытство или желание самореализации;
выявление уязвимостей с целью их дальнейшей продажи и получения фи-
нансовой выгоды;
реализация угроз безопасности информации из мести;
реализация угроз безопасности информации непреднамеренно из-за не-
осторожности или неквалифицированных действий.
Предположения о целях (мотивации) нарушителей делаются с учетом це-
лей и задач информационной системы, вида обрабатываемой информации, а
также с учетом результатов оценки степени возможных последствий (ущерба) от
нарушения конфиденциальности, целостности или доступности информации.
Виды нарушителя и их возможные цели (мотивация) реализации угроз безопас-
ности информации приведены в таблице 1.
Таблица 1
№
вида
Виды
нарушителя
Типы
нарушителя
Возможные цели (мотивация)
реализации угроз безопасности
информации
1 Специальные службы
иностранных государств
(блоков государств)
Внешний,
внутренний
Нанесение ущерба государству,
отдельным его сферам деятель-
ности или секторам экономики.
Дискредитация или дестабили-
зация деятельности органов
государственной власти, орга-
низаций
2 Террористические, экс-
тремистские группиров-
ки
Внешний Нанесение ущерба государству,
отдельным его сферам деятель-
ности или секторам экономики.
Совершение террористических
актов.
Идеологические или политиче-
ские мотивы.
Дестабилизация деятельности
органов государственной вла-
13
сти, организаций
3 Преступные группы
(криминальные структу-
ры)
Внешний Причинение имущественного
ущерба путем мошенничества
или иным преступным путем.
Выявление уязвимостей с це-
лью их дальнейшей продажи и
получения финансовой выгоды
4 Внешние субъекты (фи-
зические лица)
Внешний Идеологические или политиче-
ские мотивы.
Причинение имущественного
ущерба путем мошенничества
или иным преступным путем.
Любопытство или желание са-
мореализации (подтверждение
статуса).
Выявление уязвимостей с це-
лью их дальнейшей продажи и
получения финансовой выгоды
5 Конкурирующие орга-
низации
Внешний Получение конкурентных пре-
имуществ.
Причинение имущественного
ущерба путем обмана или зло-
употребления доверием
6 Разработчики, произво-
дители, поставщики про-
граммных, технических и
программно-технических
средств
Внешний Внедрение дополнительных
функциональных возможностей
в программное обеспечение или
программно-технические сред-
ства на этапе разработки.
Причинение имущественного
ущерба путем обмана или зло-
употребления доверием.
Непреднамеренные, неосто-
рожные или неквалифициро-
ванные действия
7 Лица, привлекаемые для
установки, наладки, мон-
тажа, пусконаладочных и
иных видов работ
Внутренний Причинение имущественного
ущерба путем обмана или зло-
употребления доверием.
Непреднамеренные, неосто-
рожные или неквалифициро-
ванные действия
8 Лица, обеспечивающие
функционирование ин-
формационных систем
или обслуживающие ин-
фраструктуру оператора
Внутренний Причинение имущественного
ущерба путем обмана или зло-
употребления доверием.
Непреднамеренные, неосто-
рожные или неквалифициро-
14
(администрация, охрана,
уборщики и т.д.)
ванные действия
9 Пользователи информа-
ционной системы
Внутренний Причинение имущественного
ущерба путем мошенничества
или иным преступным путем.
Любопытство или желание са-
мореализации (подтверждение
статуса).
Месть за ранее совершенные
действия.
Непреднамеренные, неосто-
рожные или неквалифициро-
ванные действия
10 Администраторы ин-
формационной системы
и администраторы без-
опасности
Внутренний Причинение имущественного
ущерба путем мошенничества
или иным преступным путем.
Любопытство или желание са-
мореализации (подтверждение
статуса).
Месть за ранее совершенные
действия.
Выявление уязвимостей с це-
лью их дальнейшей продажи и
получения финансовой выгоды.
Непреднамеренные, неосто-
рожные или неквалифициро-
ванные действия
11 Бывшие работники
(пользователи)
Внешний Причинение имущественного
ущерба путем мошенничества
или иным преступным путем.
Месть за ранее совершенные
действия
При оценке возможностей нарушителей необходимо исходить из условий,
что для повышения своих возможностей нарушители 1 вида могут вступать в
сговор с нарушителями 3, 4, 6, 7, 8, 9 и 10 видов. Нарушители 2 вида могут всту-
пать в сговор с нарушителями 4, 7, 8, 9 и 10 видов. Нарушители 3 вида могут
вступать в сговор с нарушителями 4, 7, 8, 9 и 10 видов. В случае принятия таких
предположений цели (мотивация) и возможности нарушителей подлежат объ-
единению.
Возможности каждого вида нарушителя по реализации угроз безопасности
информации характеризуются его потенциалом. Потенциал нарушителя опреде-
ляется компетентностью, ресурсами и мотивацией, требуемыми для реализации
угроз безопасности информации в информационной системе с заданными струк-
15
турно-функциональными характеристиками и особенностями функционирова-
ния.
В зависимости от потенциала, требуемого для реализации угроз безопас-
ности информации, нарушители подразделяются на:
нарушителей, обладающих базовым (низким) потенциалом нападения при
реализации угроз безопасности информации в информационной системе;
нарушителей, обладающих базовым повышенным (средним) потенциалом
нападения при реализации угроз безопасности информации в информационной
системе;
нарушителей, обладающих высоким потенциалом нападения при реализа-
ции угроз безопасности информации в информационной системе.
Потенциал нарушителей и их возможности приведены в таблице 2.
Таблица 2
№ Потенциал
нарушителей
Виды
нарушителей
Возможности по реализации угроз без-
опасности информации
1 Нарушители с
базовым (низ-
ким) потенци-
алом
Внешние субъ-
екты (физические
лица),
лица, обеспечи-
вающие функци-
онирование ин-
формационных
систем или об-
служивающих
инфраструктуру
оператора,
пользователи
информационной
системы,
бывшие работ-
ники,
лица, привлека-
емые для уста-
новки, наладки,
монтажа, пуско-
наладочных и
иных работ
Имеют возможность получить инфор-
мацию об уязвимостях отдельных ком-
понент информационной системы,
опубликованную в общедоступных ис-
точниках.
Имеют возможность получить инфор-
мацию о методах и средствах реализа-
ции угроз безопасности информации
(компьютерных атак), опубликованных
в общедоступных источниках, и (или)
самостоятельно осуществляет создание
методов и средств реализации атак и
реализацию атак на информационную
систему
2 Нарушители с
базовым по-
вышенным
(средним) по-
тенциалом
Террористиче-
ские, экстремист-
ские группиров-
ки,
преступные
группы (крими-
нальные структу-
Обладают всеми возможностями
нарушителей с базовым потенциалом.
Имеют осведомленность о мерах за-
щиты информации, применяемых в ин-
формационной системе данного типа.
Имеют возможность получить инфор-
мацию об уязвимостях отдельных ком-
16
ры),
конкурирующие
организации,
разработчики,
производители,
поставщики про-
граммных, техни-
ческих и про-
граммно-
технических
средств,
администраторы
информационной
системы и адми-
нистраторы без-
опасности
понент информационной системы пу-
тем проведения, с использованием
имеющихся в свободном доступе про-
граммных средств, анализа кода при-
кладного программного обеспечения и
отдельных программных компонент
общесистемного программного обеспе-
чения.
Имеют доступ к сведениям о струк-
турно-функциональных характеристи-
ках и особенностях функционирования
информационной системы
3 Нарушители с
высоким по-
тенциалом
Специальные
службы ино-
странных госу-
дарств (блоков
государств)
Обладают всеми возможностями
нарушителей с базовым и базовым по-
вышенным потенциалами.
Имеют возможность осуществлять не-
санкционированный доступ из выде-
ленных (ведомственных, корпоратив-
ных) сетей связи, к которым возможен
физический доступ (незащищенных ор-
ганизационными мерами).
Имеют возможность получить доступ
к программному обеспечению чипсетов
(микропрограммам), системному и при-
кладному программному обеспечению,
телекоммуникационному оборудова-
нию и другим программно-техническим
средствам информационной системы
для преднамеренного внесения в них
уязвимостей или программных закла-
док.
Имеют хорошую осведомленность о
мерах защиты информации, применяе-
мых в информационной системе, об ал-
горитмах, аппаратных и программных
средствах, используемых в информаци-
онной системе.
Имеют возможность получить инфор-
мацию об уязвимостях путем проведе-
ния специальных исследований (в том
числе с привлечением специализиро-
17
ванных научных организаций) и приме-
нения специально разработанных
средств для анализа программного
обеспечения.
Имеют возможность создания методов
и средств реализации угроз безопасно-
сти информации с привлечением специ-
ализированных научных организаций и
реализации угроз с применением специ-
ально разработанных средств, в том
числе обеспечивающих скрытное про-
никновение в информационную систе-
му и воздействие на нее.
Имеют возможность создания и при-
менения специальных технических
средств для добывания информации
(воздействия на информацию или тех-
нические средства), распространяю-
щейся в виде физических полей или яв-
лений
в) возможные способы реализации угроз безопасности информации
Целью определения возможных способов реализации угроз безопасности
информации является формирование предположений о возможных сценариях
реализации угроз безопасности информации, описывающих последовательность
(алгоритмы) действий отдельных видов нарушителей или групп нарушителей и
применяемые ими методы и средства для реализации угроз безопасности инфор-
мации.
Возможные способы реализации угроз безопасности информации зависят
от структурно-функциональных характеристик и особенностей функционирова-
ния информационной системы.
Угрозы безопасности информации могут быть реализованы нарушителями
за счет:
несанкционированного доступа и (или) воздействия на объекты на аппа-
ратном уровне (программы (микропрограммы), «прошитые» в аппаратных ком-
понентах (чипсетах));
несанкционированного доступа и (или) воздействия на объекты на обще-
системном уровне (базовые системы ввода-вывода, гипервизоры, операционные
системы);
несанкционированного доступа и (или) воздействия на объекты на при-
кладном уровне (системы управления базами данных, браузеры, web-
приложения, иные прикладные программы общего и специального назначения);
несанкционированного доступа и (или) воздействия на объекты на сетевом
уровне (сетевое оборудование, сетевые приложения, сервисы);
18
несанкционированного физического доступа и (или) воздействия на линии,
(каналы) связи, технические средства, машинные носители информации;
воздействия на пользователей, администраторов безопасности, админи-
страторов информационной системы или обслуживающий персонал (социальная
инженерия).
Действия нарушителя в зависимости от его потенциала при реализации
угроз безопасности информации предусматривают идентификацию и использо-
вание уязвимостей в микропрограммном, общесистемном и прикладном про-
граммном обеспечении, сетевом оборудовании, применяемых в информацион-
ной системе, а также в организации работ по защите информации и конфигура-
ции информационной системы.
При определении способа реализации угроз безопасности информации
необходимо учитывать то, что угрозы безопасности информации могут быть ре-
ализованы непосредственно за счет доступа к компонентам информационной си-
стемы и (или) информации или опосредовано (косвенно) за счет создания усло-
вий и (или) средств, обеспечивающих такой доступ, а также за счет доступа или
воздействия на обслуживающую инфраструктуру, за которую оператор не отве-
чает. При этом локальной целью нарушителя, не имеющего доступа (прав досту-
па) к компонентам информационной системы и (или) информации, как правило,
является получение доступа к информационной системе (в том числе через
внешние сети связи общего пользования) и получение максимально возможных
прав и привилегий при таком доступе.
Нарушители могут совершать действия, следствием которых является
нарушение безопасности информации, преднамеренно (преднамеренные грозы
безопасности информации) или случайно (непреднамеренные грозы безопасно-
сти информации).
Преднамеренные действия нарушителей могут заключаться в реализации
целенаправленных или нецеленаправленных угроз безопасности информации.
Целенаправленная угроза безопасности информации направлена на инте-
ресующую нарушителя информационную систему с заранее известными ему
структурно-функциональными характеристиками и особенностями функциони-
рования. Целенаправленная угроза безопасности информации адаптирована к
структурно-функциональным характеристикам информационной системы. При
подготовке и реализации целенаправленных угроз безопасности информации
нарушитель может использовать методы социальной инженерии, которые позво-
ляют ему изучить поведение пользователей и их реакцию на поступающие к ним
внешние данные.
Нецеленаправленная («веерная») угроза безопасности информации не ори-
ентирована на конкретную информационную систему. Целями такой угрозы мо-
гут являться несанкционированный доступ, перехват управления или воздей-
ствие на как можно большее количество информационных систем. В данном
случае нарушителю заранее не известны структурно-функциональные характе-
ристики и условия функционирования информационной системы.
Реализация преднамеренных угроз безопасности информации, как прави-
ло, включает:
19
сбор информации об информационной системе, ее структурно-
функциональных характеристиках, условиях функционирования;
выбор (разработка, приобретение) методов и средств, используемых для
реализации угроз безопасности информации в информационной системе с задан-
ными структурно-функциональными характеристиками и условиями функцио-
нирования;
непосредственная реализация угроз безопасности информации в информа-
ционной системе (проникновение в информационную систему, закрепление в
информационной системе, реализация неправомерных действий);
устранение признаков и следов неправомерных действий в информацион-
ной системе.
В зависимости от целей и потенциала нарушителя на каждом из этапов мо-
гут эксплуатироваться одна или несколько уязвимостей информационной систе-
мы.
При определении возможных способов реализации угроз безопасности
информации необходимо исходить из следующих условий:
нарушитель может действовать один или в составе группы нарушителей;
в отношении информационной системы внешний нарушитель может дей-
ствовать совместно с внутренним нарушителем;
угрозы могут быть реализованы в любое время и в любой точке информа-
ционной системы (на любом узле или хосте);
для достижения своей цели нарушитель выбирает наиболее слабое звено
информационной системы.
Возможные способы реализации угроз безопасности информации, опреде-
ленные на основе настоящего раздела, включаются в модель угроз безопасности
информации.
20
= ОПРЕДЕЛЕНИЕ АКТУАЛЬНЫХ УГРОЗ БЕЗОПАСНОСТИ ИНФОРМАЦИИ В ИНФОРМАЦИОННОЙ СИСТЕМЕ =
Угроза безопасности информации является актуальной (УБИj
А
), если для
информационной системы с заданными структурно-функциональными характе-
ристиками и особенностями функционирования существует вероятность реали-
зации рассматриваемой угрозы нарушителем с соответствующим потенциалом и
ее реализация приведет к неприемлемым негативным последствиям (ущербу) от
нарушения конфиденциальности, целостности или доступности информации.
В качестве показателя актуальности угрозы безопасности информации
(УБИj
А
) принимается двухкомпонентный вектор, первый компонент которого
характеризует вероятность реализации угрозы (Рj), а второй – степень возможно-
го ущерба в случае ее реализации (Хj)
УБИj
А
= [вероятность реализации угрозы (Рj); степень ущерба (Хj)],
где Рj определятся на основе анализа статистических данных о частоте ре-
ализации угроз безопасности информации (возникновении инцидентов безопас-
ности) в информационной системе и (или) однотипных информационных систе-
мах, а Хj определяется на основе оценок степени последствий от нарушения
конфиденциальности, целостности или доступности информации.
При отсутствии статистических данных о реализации угроз безопасности
информации (возникновении инцидентов безопасности) в информационной си-
стеме и (или) однотипных информационных системах, актуальность угрозы без-
опасности информации определяется на основе оценки возможности реализации
угрозы безопасности информации (Yj)
УБИj
А
= [возможность реализации угрозы (Yj); степень ущерба (Хj)],
где Yj определятся на основе оценки уровня защищенности информацион-
ной системы и потенциала нарушителя, требуемого для реализации угрозы без-
опасности. Хj также определяется на основе оценок степени последствий от
нарушения конфиденциальности, целостности или доступности информации.
Актуальность угроз безопасности информации определяется в отношении
угроз, для которых экспертным методом определено, что:
возможности (потенциал) нарушителя достаточны для реализации угрозы
безопасности информации;
в информационной системе могут иметься потенциальные уязвимости, ко-
торые могут быть использованы при реализации j-ой угрозы безопасности ин-
формации;
структурно-функциональные характеристики и особенности функциони-
рования информационной системы не исключают возможности применения спо-
собов, необходимых для реализации j-ой угрозы безопасности информации (су-
ществует сценарий реализации угрозы безопасности);
21
реализация угрозы безопасности информации приведет к нарушению кон-
фиденциальности, целостности или доступности информации, в результате ко-
торого возможно возникновение неприемлемых негативных последствий (ущер-
ба).
В качестве исходных данных об угрозах безопасности информации и их
характеристиках используется банк данных угроз безопасности информации,
сформированный и поддерживаемый ФСТЭК России, а также базовые и типовые
модели угроз безопасности информации, разрабатываемые ФСТЭК России для
различных классов и типов информационных систем.
Для определения угроз безопасности информации могут использоваться
иные источники, в том числе опубликованные в общедоступных источниках
данные об уязвимостях, компьютерных атаках, вредоносном программном
обеспечении, а также результаты специально проведенных исследований по вы-
явлению угроз безопасности информации. В этом случае потенциал нарушителя,
возможные уязвимости, способы реализации угрозы безопасности информации и
последствия от ее реализации определяются для каждой угрозы безопасности
информации.
а) оценка вероятности (возможности) реализации угрозы безопасности
информации
Под вероятностью реализации угрозы безопасности информации понима-
ется определяемый экспертным путем показатель, характеризующий, насколько
вероятным является реализация j-ой угрозы безопасности информации в инфор-
мационной системе с заданными структурно-функциональными характеристи-
ками и особенностями функционирования. Вводятся три вербальные градации
этого показателя:
низкая вероятность – отсутствуют объективные предпосылки к реализации
j-ой угрозы безопасности информации, отсутствует требуемая статистика по
фактам реализации j-ой угрозы безопасности информации (возникновения инци-
дентов безопасности), отсутствует мотивация для реализации j-ой угрозы, воз-
можная частота реализации j-ой угрозы не превышает 1 раза в 5 лет;
средняя вероятность – существуют предпосылки к реализации j-ой угрозы
безопасности информации, зафиксированы случаи реализации j-ой угрозы без-
опасности информации (возникновения инцидентов безопасности) или имеется
иная информация, указывающая на возможность реализации j-ой угрозы без-
опасности информации, существуют признаки наличия у нарушителя мотивации
для реализации такой угрозы, возможная частота реализации j-ой угрозы не пре-
вышает 1 раза в год;
высокая вероятность – существуют объективные предпосылки к реализа-
ции j-ой угрозы безопасности информации, существует достоверная статистика
реализации j-ой угрозы безопасности информации (возникновения инцидентов
безопасности) или имеется иная информация, указывающая на высокую возмож-
ность реализации j-ой угрозы безопасности информации, у нарушителя имеются
22
мотивы для реализации j-ой угрозы, частота реализации j-ой угрозы – чаще 1 ра-
за в год.
В случае отсутствия требуемых данных для оценки вероятности реализа-
ции угрозы безопасности информации или наличия сомнений в объективности
экспертных оценок при определении вербальных градаций вероятности реализа-
ции угроз безопасности информации, актуальность j-ой угрозы безопасности
информации определяется на основе оценки возможности ее реализации (Yj).
Возможность реализации j-ой угрозы безопасности информации (Yj) оце-
нивается исходя из уровня защищенности информационной системы (Y1) и по-
тенциала нарушителя (Y2), необходимого для реализации этой угрозы безопас-
ности информации в информационной системе с заданными структурно-
функциональными характеристиками и особенностями функционирования:
Yj = [уровень защищенности (Y1); потенциал нарушителя (Y2)].
При определении угроз безопасности информации на этапе создания ин-
формационной системы в случае, когда меры защиты информации не реализова-
ны или не проведена оценка их достаточности и эффективности, оценка возмож-
ности реализации j-ой угрозы безопасности информации (Yj) проводится относи-
тельно уровня проектной защищенности информационной системы (Y1П):
Yj = [уровень проектной защищенности (Y1П); потенциал нарушителя (Y2)].
Под уровнем проектной защищенности (Y1П) понимается исходная защи-
щенность информационной системы, обусловленная заданными при проектиро-
вании структурно-функциональными характеристиками и условиями ее функци-
онирования. Уровень проектной защищенности (Y1П) определяется на основе
анализа проектных структурно-функциональных характеристик, приведенных в
таблице 3.
Показатели, характеризующие проектную
защищенность информационной системы
Таблица 3
Структурно-функциональные характе-
ристики информационной системы,
условия ее эксплуатации
Уровень проектной защищенности ин-
формационной системы (Y1П)
Высокий Средний Низкий
1. По структуре информационной си-
стемы:
автономное автоматизированное рабо-
чее место;
локальная информационная система;
распределенная информационная си-
стема
+
+
+
2. По используемым информационным
технологиям:
23
системы на основе виртуализации;
системы, реализующие «облачные
вычисления»;
системы с мобильными устройства-
ми;
системы с технологиями беспровод-
ного доступа;
грид
-системы;
суперкомпьютерные системы
+
+++++
3
. По архитектуре информационной
системы
:
системы на основе «тонкого клиен-
та»;
системы на основе одноранговой
се-
ти
;
файл
-серверные системы
;
центры обработки данных;
системы с уд
аленным доступом
пользователей;
использование разных типов опера-
ционных систем (гетерогенность сре-
ды)
;
использование прикладных про-
грамм, независимых от операционных
систем
;
использование выделенных каналов
связи
+
++++
+++
4
. По наличию (отсутствию) взаимо-
связей с иными информационными си-
стемами
:
взаимодействующая с системами
;
невзаимодействующая с системами
+
+
5
. По наличию (отсутствию) взаимо-
связей (подключений)
к сетям связи
общего пользования
:
подключенная
;
подключенная через выделенную
инфраструктуру (gov
.ru или иную);
неподключенной
+
+
+
6
. По размещению технических
средств:
расположенные в пределах одной
контролируемой зоны;
расположенные в пределах несколь-
ких контролируемых зон;
+
+
24
расположенные вне контролируемой
зоны
+
7. По режимам обработки информации
в информационной системе:
многопользовательский;
однопользовательский +
+
8. По режимам разграничения прав до-
ступа:
без разграничения;
с разграничением +
+
9. По режимам разделения функций по
управлению информационной системой:
без разделения;
выделение рабочих мест для адми-
нистрирования в отдельный домен;
использование различных сетевых
адресов;
использование выделенных каналов
для администрирования
+
+
+
+
10. По подходам к сегментированию
информационной системы:
без сегментирования;
с сегментированием +
+
В ходе создания информационной системы уровень ее проектной защи-
щенности (Y1П) определяется следующим образом:
а) информационная система имеет высокий уровень проектной защищен-
ности (Y1П), если не менее 80% характеристик информационной системы соот-
ветствуют уровню «высокий» (суммируются положительные решения по второ-
му столбцу, соответствующему высокому уровню защищенности), а остальные -
среднему уровню защищенности (положительные решения по третьему столб-
цу);
б) информационная система имеет средний уровень проектной защищен-
ности (Y1П), если не выполняются условия по пункту а) и не менее 90% характе-
ристик информационной системы соответствуют уровню не ниже «средний»
(берется отношение суммы положительных решений по третьему столбцу, соот-
ветствующему среднему уровню защищенности, к общему количеству решений),
а остальные - низкому уровню защищенности;
в) информационная система имеет низкий уровень проектной защищенно-
сти (Y1П), если не выполняются условия по пунктам а) и б).
В соответствии с требованиями о защите информации, не составляющей
государственную тайну, содержащейся в государственных информационных си-
стемах, до ввода в эксплуатацию информационной системы должны быть реали-
зованы меры защиты информации, направленные на блокирование (нейтрализа-
25
цию) актуальных угроз безопасности информации. Таким образом, ввод в экс-
плуатацию информационной системы осуществляется при условии достижения
высокого уровня исходной защищенности информационной системы от нару-
шителя с заданным потенциалом.
Вместе с тем, в ходе эксплуатации информационной системы возможно
появление новых уязвимостей, повышение потенциала нарушителя, изменение
структурно-функциональных характеристик, значимости обрабатываемой ин-
формации, особенностей функционирования информационной системы и других
условий, приводящих к возникновению новых угроз безопасности информации,
которые могут существенно снизить уровень проектной защищенности инфор-
мационной системы. В этом случае для поддержания уровня защищенности ин-
формационной системы в ходе эксплуатации должен проводиться регулярный
анализ изменения угроз безопасности информации, а актуальные угрозы без-
опасности информации подлежат периодической переоценке.
В ходе эксплуатации информационной системы уровень ее защищенности
(Y1) определяется следующим образом:
а) в информационной системе обеспечивается высокий уровень защищен-
ности (Y1), если в ходе эксплуатации информационной системы не появились
дополнительные угрозы безопасности информации или в отношении появив-
шихся дополнительных угроз безопасности информации с высокой оперативно-
стью («за минуты») могут быть приняты меры защиты информации, нейтрали-
зующие эти угрозы;
б) в информационной системе обеспечивается средний уровень защищен-
ности (Y1), если в ходе эксплуатации информационной системы появились до-
полнительные угрозы безопасности информации и в отношении них оперативно
(«за часы») могут быть приняты меры защиты информации, нейтрализующие эти
угрозы;
в) в информационной системе обеспечивается низкий уровень защищен-
ности (Y1), если в ходе эксплуатации информационной системы появились до-
полнительные угрозы безопасности информации и в отношении них не могут
быть с высокой оперативностью или оперативно приняты меры защиты инфор-
мации, нейтрализующие эти угрозы.
Потенциал, требуемый нарушителю для реализации j-ой угрозы безопас-
ности информации, может быть базовым (низким), базовым повышенным (сред-
ним) или высоким. Значение потенциала нарушителя (Y2) для j-ой угрозы без-
опасности информации определяется на основе данных, приведенных в банке
данных угроз безопасности информации ФСТЭК России, а также в базовых и
типовых моделях угроз безопасности информации, разрабатываемых ФСТЭК
России для информационных систем различных классов и типов. В случае отсут-
ствия информации о потенциале нарушителя для реализации j-ой угрозы без-
опасности значение потенциала (Y2) определяется в соответствии с приложением
№ 3 к настоящей Методике.
Возможность реализации j-ой угрозы безопасности информации (Yj) в за-
висимости от уровня защищенности информационной системы (Y1/Y1П) и потен-
26
циала нарушителя (Y2) определяется как высокая, средняя или низкая в соответ-
ствии с таблицей 4.
Возможность
реализации угрозы безопасности информации
Таблица 4
Уровень защищенности (Y1/Y1П)
Потенциал нарушителя (Y2)
Высокий Средний Низкий
Базовый (низкий) Низкая Средняя Высокая
Базовый повышенный (средний) Средняя Высокая Высокая
Высокий Высокая Высокая Высокая
б) оценка степени возможного ущерба от реализации угрозы безопас-
ности информации
Для оценки степени возможного ущерба от реализации угрозы безопасно-
сти информации определяются возможный результат реализации угрозы без-
опасности информации в информационной системе, вид ущерба, к которому мо-
жет привести реализация угрозы безопасности информации, степень послед-
ствий от реализации угрозы безопасности информации для каждого вида ущер-
ба.
В качестве результата реализации угрозы безопасности информации рас-
сматриваются непосредственное или опосредованное воздействие на конфиден-
циальность, целостность, доступность информации, содержащейся в информа-
ционной системе.
Непосредственное воздействие на конфиденциальность, целостность, до-
ступность информации возможно в результате реализации прямой угрозы без-
опасности информации. В этом случае объектами воздействия угрозы являются
непосредственно информация и (или) иные объекты защиты информационной
системы или обеспечивающей инфраструктуры, которые обеспечивают получе-
ние, обработку, хранение, передачу, уничтожение информации в информацион-
ной системе, в результате доступа к которым или воздействия на которые воз-
можно воздействие на конфиденциальность, целостность или доступность ин-
формации.
Опосредованное воздействие на конфиденциальность, целостность, до-
ступность информации рассматривается в результате реализации косвенных
угроз безопасности информации. Реализация косвенных угроз безопасности ин-
формации не приводит непосредственно к воздействию на конфиденциальность,
целостность, доступность информации, но создает условия для реализации од-
ной или нескольких прямых угроз безопасности информации, позволяющих реа-
лизовать такое воздействие. В этом случае в качестве результата реализации
косвенной угрозы необходимо рассматривать результаты реализации всех пря-
27
мых угроз безопасности информации, которые возможно реализовать в случае
реализации данной косвенной угрозы.
Результат реализации угрозы безопасности информации определяется воз-
действием угрозы на каждое свойство безопасности информации (конфиденци-
альность, целостность, доступность) в отдельности в соответствии с таблицей 5.
При обработке в информационной системе двух и более видов информации
(служебная тайна, персональные данные, налоговая тайна, иные установленные
законодательством Российской Федерации виды информации) воздействие на
конфиденциальность, целостность, доступность определяется отдельно для каж-
дого вида информации (k, …, m), содержащейся в информационной системе.
Таблица 5
Свойство
безопасности
информации
Результат реализации
угрозы безопасности информации
Не оказывает воздействия Оказывает воздействие
Конфиденциаль-
ность
К Xk1
В результате реализации
угрозы безопасности инфор-
мации отсутствует возмож-
ность неправомерного досту-
па, копирования, предостав-
ления или распространения
информации
В результате реализации
угрозы безопасности ин-
формации возможны не-
правомерный доступ, ко-
пирование, предоставле-
ние или распространение
информации
Целостность
Ц Xk1
В результате реализации
угрозы безопасности инфор-
мации отсутствует возмож-
ность уничтожения или мо-
дифицирования информации
В результате реализации
угрозы безопасности ин-
формации возможно уни-
чтожение или модифици-
рование информации
Доступность
Д Xk1
В результате реализации
угрозы безопасности инфор-
мации отсутствует возмож-
ность блокирования инфор-
мации
В результате реализации
угрозы безопасности ин-
формации возможно бло-
кирование информации
При определении степени возможного ущерба необходимо исходить из то-
го, что в зависимости от целей и задач, решаемых информационной системой,
видов обрабатываемой информации, воздействие на конфиденциальность, це-
лостность или доступность каждого вида информации, содержащейся в инфор-
мационной системе, может привести к различным видам ущерба. При этом для
разных обладателей информации и операторов будут характерны разные виды
ущерба.
Основные виды ущерба и возможные негативные последствия, к которым
может привести нарушение конфиденциальности, целостности, доступности ин-
формации, приведены в таблице 6.
28
Таблица 6
Вид
ущерба
Возможные негативнее
последствия от нарушения конфиденциальности, целост-
ности, доступности информации
Экономический
(финансовый)
Снижение, как минимум, одного экономического показа-
теля.
Потеря (кража) финансовых средств.
Недополучение ожидаемой (прогнозируемой) прибыли.
Необходимость дополнительных (незапланированных)
затрат на выплаты штрафов (неустоек) или компенсаций.
Необходимость дополнительных (незапланированных)
затрат на закупку товаров, работ или услуг (в том числе
закупка программного обеспечения, технических средств,
вышедших из строя, замена, настройка, ремонт указанных
средств).
Необходимость дополнительных (незапланированных)
затрат на восстановление деятельности.
Потеря клиентов, поставщиков.
Потеря конкурентного преимущества.
Невозможность заключения договоров, соглашений.
Другие прямые или косвенные финансовые потери
Социальный Создание предпосылок для нанесения вреда здоровью
граждан.
Возможность нарушения функционирования объектов
обеспечения жизнедеятельности граждан.
Организация пикетов, забастовок, митингов и других ак-
ций.
Увольнения.
Увеличение количества жалоб в органы государственной
власти или органы местного самоуправления.
Появление негативных публикаций в общедоступных ис-
точниках.
Невозможность (прерывание) предоставления социаль-
ных услуг (сервисов).
Другие последствия, приводящие к нарастанию социаль-
ной напряженности в обществе
Политический Создание предпосылок к обострению отношений в меж-
дународных отношениях.
Срыв двусторонних (многосторонних) контактов с зару-
бежными партнерами.
Неспособность выполнения международных (двусторон-
них) договорных обязательств.
29
Невозможность заключения международных (двусторон-
них) договоров, соглашений.
Создание предпосылок к внутриполитическому кризису.
Нарушение выборного процесса.
Другие последствия во внутриполитической и внешнепо-
литической областях деятельности
Репутационный Нарушение законодательных и подзаконных актов.
Нарушение деловой репутации.
Снижение престижа.
Дискредитация работников.
Утрата доверия.
Неспособность выполнения договорных обязательств.
Другие последствия, приводящие к нарушению репута-
ции
Ущерб в области
обороны, безопас-
ности и правопо-
рядка
Создание предпосылок к наступлению негативных по-
следствий для обороны, безопасности и правопорядка.
Нарушение общественного правопорядка.
Неблагоприятное влияние на обеспечение общественного
правопорядка.
Возможность потери или снижения уровня контроля за
общественным правопорядком.
Отсутствие возможности оперативного оповещения
населения о чрезвычайной ситуации.
Другие последствия, приводящие к ущербу в области
обороны, безопасности и правопорядка
Ущерб субъекту
персональных дан-
ных
Создание угрозы личной безопасности.
Финансовые или иные материальные потери физического
лица.
Вторжение в частную жизнь.
Создание угрозы здоровью.
Моральный вред.
Утрата репутации.
Другие последствия, приводящие к нарушению прав
субъекта персональных данных
Технологический Невозможность решения задач (реализации функций)
или снижение эффективности решения задач (реализации
функций).
Необходимость изменения (перестроения) внутренних
процедур для достижения целей, решения задач (реализа-
ции функций).
Принятие неправильных решений.
Простой информационной системы или сегмента инфор-
мационной системы
Другие последствия, приводящие к нарушению техноло-
гии обработки информации
30
Указанные виды ущерба могут дополняться другими видами в зависимо-
сти от целей и задач, решаемых информационной системой, а также вида обра-
батываемой в ней информации.
Степень возможного ущерба от реализации угрозы безопасности инфор-
мации определяется степенью негативных последствий от нарушения конфиден-
циальности, целостности или доступности каждого вида информации, содержа-
щейся в информационной системе.
Степень негативных последствий от нарушения конфиденциальности, це-
лостности или доступности информации определяется для каждого вида ущерба,
зависит от целей и задач, решаемых информационной системой, и может иметь
разные значения для разных обладателей информации и операторов. В качестве
единой шкалы измерения степени негативных последствий принимаются значе-
ния «незначительные», «умеренные» и «существенные» негативные послед-
ствия. Каждым оператором определяется в указанной единой шкале измерений
степень негативных последствий от нарушения конфиденциальности, целостно-
сти или доступности информации применительно ко всем целям и задачам, ре-
шаемым информационной системой.
Степень возможного ущерба определяется экспертным методом в соответ-
ствии с таблицей 7.
Таблица 7
Степень
ущерба
Характеристика степени ущерба
Высокая В результате нарушения одного из свойств безопасности
информации (конфиденциальности, целостности, доступно-
сти) возможны существенные негативные последствия.
Информационная система и (или) оператор (обладатель
информации) не могут выполнять возложенные на них
функции
Средняя В результате нарушения одного из свойств безопасности
информации (конфиденциальности, целостности, доступно-
сти) возможны умеренные негативные последствия.
Информационная система и (или) оператор (обладатель
информации) не могут выполнять хотя бы одну из возложен-
ных на них функций
Низкая В результате нарушения одного из свойств безопасности
информации (конфиденциальности, целостности, доступно-
сти) возможны незначительные негативные последствия.
Информационная система и (или) оператор (обладатель
информации) могут выполнять возложенные на них функции
с недостаточной эффективностью или выполнение функций
возможно только с привлечением дополнительных сил и
средств
31
При обработке в информационной системе двух и более видов информа-
ции (служебная тайна, персональные данные, налоговая тайна и иные установ-
ленные законодательством Российской Федерации виды информации) степень
возможного ущерба определяется отдельно для каждого вида информации
(k, …, m), обрабатываемой в информационной системе, применительно к каждо-
му виду ущерба. Итоговая степень возможного ущерба устанавливается по
наивысшим значениям степени возможного ущерба, определенным для конфи-
денциальности, целостности, доступности информации каждого вида информа-
ции применительно к каждому виду ущерба.
X max(Х ); i К,Ц, Д.
i
k
i
k  
в) определение актуальности угрозы безопасности информации
Решение об актуальности угрозы безопасности информации УБИj
А
для
информационной системы с заданными структурно-функциональными характе-
ристиками и условиями функционирования принимается в соответствии с таб-
лицей 8.
Таблица 8
Вероятность (воз-
можность) реали-
зации угрозы (Yj)
Степень возможного ущерба (Хj)
Низкая Средняя Высокая
Низкая неактуальная неактуальная актуальная
Средняя неактуальная актуальная актуальная
Высокая актуальная актуальная актуальная
32
Приложение № 1 к
Методике определения угроз безопасности
информации в информационных системах
Рекомендации по формированию
экспертной группы и проведению экспертной оценки при
определении угроз безопасности информации
Качественное формирование экспертной группы способствует снижению
субъективных факторов при оценке угроз безопасности информации. Занижение
(ослабление) экспертами прогнозов и предположений при определении угроз
может повлечь наступление непрогнозируемого (неожиданного) ущерба в ре-
зультате реализации угрозы безопасности информации. Завышение экспертами
прогнозов и предположений при определении угроз может повлечь за собой не-
оправданные расходы на нейтрализацию угроз, являющихся неактуальными.
Независимо от результата формирования экспертной группы при оценке
угроз безопасности информации существуют субъективные факторы, связанные
с психологией принятия решений человеком. Это также может приводить как к
занижению (ослаблению), так и к завышению (усилению) экспертами прогнозов
и предположений при определении угроз безопасности информации, что в свою
очередь может привести к пропуску отдельных угроз безопасности информации
или к неоправданным затратам на нейтрализацию неактуальных угроз.
Любое решение, принимаемое экспертами при определении угроз безопас-
ности информации, должно исходить из правил, при которых нарушитель нахо-
дится в наилучших условиях для реализации угрозы безопасности (принципа
«гарантированности»).
а) формирование экспертной группы
В состав экспертной группы для определения угроз безопасности инфор-
мации рекомендуется включать экспертов (независимо от того, реализуются ли
функции обладателя информации, заказчика и оператора в рамках одной или не-
скольких организаций):
от подразделений обладателей информации, содержащейся в информаци-
онной системе;
от подразделений оператора информационной системы;
от подразделения по защите информации;
от лиц, предоставляющих услуги по обработке информации;
от разработчика информационной системы;
от операторов взаимодействующих внешних информационных систем (по
согласованию).
В качестве экспертов рекомендуется привлекать специалистов, деятель-
ность которых связана с обработкой информации в информационной системе, а
33
также специалистов, имеющие квалификацию и опыт работы в области приме-
нения информационных технологий и (или) в области защиты информации.
При привлечении в качестве экспертов специалистов от подразделений по
защите информации рекомендуется привлекать лиц, имеющих высшее образова-
ние или прошедших переподготовку (повышение квалификации) по направле-
нию подготовки «Информационная безопасность», или имеющих не менее трех
лет стажа практической работы в своей сфере деятельности.
Эксперты должны обладать независимостью, основанной на отсутствии
коммерческого и финансового интереса или другого давления, которое может
оказать влияние на принимаемые решения. Не рекомендуется формировать экс-
пертную группу из участников, находящихся в прямом подчинении, так как это
может негативным образом повлиять на результат определения угроз безопасно-
сти информации.
Состав экспертной группы зависит от целей и задач информационной си-
стемы, но не должен быть меньше трех экспертов.
б) проведение экспертной оценки
При проведении экспертной оценки принимаются меры, направленные на
снижение уровня субъективности и неопределенности при определении каждой
из угроз безопасности информации.
Экспертную оценку рекомендуется проводить в отношении, как минимум,
следующих параметров:
цели реализации угроз безопасности информации (мотивация нарушите-
лей);
типы и виды нарушителей;
уязвимости, которые могут быть использованы для реализации угроз без-
опасности информации;
способы реализации угроз безопасности информации;
степень воздействия угрозы безопасности информации на каждое из
свойств безопасности информации;
последствия от реализации угроз безопасности информации;
вероятность реализации угроз безопасности информации;
уровень защищенности информационной системы;
потенциал нарушителя, требуемый для реализации угрозы безопасности
информации (в случае отсутствия потенциала в банке данных угроз безопасно-
сти информации).
Оценку параметров рекомендуется проводить опросным методом с состав-
лением анкеты, в которой указываются вопросы и возможные варианты ответа в
единой принятой шкале измерений («низкий», «средний», «высокий» или «да»,
«нет» или иные шкалы). При этом вопросы должны быть четкими и однозначно
трактуемыми, предполагать однозначные ответы.
Опрос экспертов включает следующие этапы:
каждый эксперт проводит оценку оцениваемого параметра (рекомендуется
не мене двух раундов оценки), результаты которой заносятся в таблицу 1.1;
34
после оценки каждым из экспертов отбрасываются минимальные и макси-
мальные значения;
определяется среднее значение оцениваемого параметра в каждом раунде;
определяется итоговое среднее значение оцениваемого параметра.
Пример таблицы результатов оценки параметров
Таблица 1.1
Эксперты Значение оцениваемого
параметра (раунд 1)
Значение оцениваемого
параметра (раунд 2)
Эксперт 1
Эксперт 2
Эксперт n
Итоговое значение
35
Приложение № 2 к
Методике определения угроз безопасности
информации в информационных системах
Структура модели угроз безопасности информации
Модель угроз безопасности информации содержит следующие разделы:
1. Общие положения.
2. Описание информационной системы и особенностей ее функционирова-
ния.
2.1. Цель и задачи, решаемые информационной системой.
2.2. Описание структурно-функциональных характеристик информацион-
ной системы.
2.3. Описание технологии обработки информации.
3. Возможности нарушителей (модель нарушителя).
3.1. Типы и виды нарушителей.
3.2. Возможные цели и потенциал нарушителей.
3.3. Возможные способы реализации угроз безопасности информации.
4. Актуальные угрозы безопасности информации.
Приложения (при необходимости).
Раздел «Общие положения» содержит назначение и область действия до-
кумента, информацию о полном наименовании информационной системы, для
которой разработана модель угроз безопасности информации, а также информа-
цию об использованных для разработки модели угроз безопасности информации
нормативных и методических документах, национальных стандартах. В данный
раздел также включается информация об используемых данных и источниках, на
основе которых определяются угрозы безопасности информации (документация,
исходные тексты программ, опросы персонала, журналы регистрации средств
защиты, отчеты об аудите и иные источники).
Раздел «Описание информационной системы и особенностей ее функцио-
нирования» содержит общую характеристику информационной системы, описа-
ние структурно-функциональных характеристик информационной системы, опи-
сание взаимосвязей между сегментами информационной системы, описание вза-
имосвязей с другими информационными системами и информационно-
телекоммуникационными сетями, описание технологии обработки информации.
Также в данном разделе приводятся предположения, касающиеся информацион-
ной системы и особенностей ее функционирования (в частности предположения
об отсутствии неучтенных беспроводных каналов доступа или динамичность
выделения адресов узлам информационной системы, иные предположения). В
раздел включаются любые ограничения, касающиеся информационной системы
и особенностей ее функционирования.
Раздел «Возможности нарушителей (модель нарушителя)» содержит опи-
сание типов, видов, потенциала и мотивации нарушителей, от которых необхо-
димо обеспечить защиту информации в информационной системе, способов реа-
36
лизации угроз безопасности информации. В данный раздел также включаются
предположения, касающиеся нарушителей (в частности предположение об от-
сутствии у нарушителя возможности доступа к оборудованию, сделанному на
заказ и применяемому при реализации угрозы, предположение о наличии (отсут-
ствии) сговора между внешними и внутренними нарушителями или иные пред-
положения). В раздел включаются любые ограничения, касающиеся определения
нарушителей (в частности исключение администраторов информационной си-
стемы или администраторов безопасности из числа потенциальных нарушителей
или иные предположения).
Раздел «Актуальные угрозы безопасности информации» содержит описа-
ние актуальных угроз безопасности, включающее наименование угрозы безопас-
ности информации, возможности нарушителя по реализации угрозы, используе-
мые уязвимости информационной системы, описание способов реализации угро-
зы безопасности информации, объекты воздействия, возможные результат и по-
следствия от реализации угрозы безопасности информации.
37
Приложение № 3 к
Методике определения угроз безопасности
информации в информационных системах
Определение
потенциала нарушителя, необходимого для реализации угрозы без-
опасности информации в информационной системе
Настоящее приложение применяется для определения потенциала, необхо-
димого для реализации угрозы безопасности информации, данные по которой
отсутствуют в банке данных угроз безопасности информации, и характеристики
которых определяются на основе иных источников или результатов исследова-
ний.
Приведенный подход к оценке потенциала нарушителя направлен на сни-
жение уровня субъективности и неопределенности при оценке потенциала
нарушителя, который требуется для реализации угрозы безопасности информа-
ции в информационной системе с заданными структурно-функциональными ха-
рактеристиками и особенностями функционирования.
Исходными данными для определения потенциала нарушителя являются:
данные об аппаратном, общесистемном и прикладном программном обес-
печении, применяемых информационных технологиях, особенностях функцио-
нирования информационной системы;
данные об уязвимостях в аппаратном, общесистемном и прикладном про-
граммном обеспечении, опубликованные в различных базах данных уязвимо-
стей, полученные в результате исследований (тестировании) или полученные от
уполномоченных федеральных органов исполнительной власти и организаций.
При оценке потенциала нарушителя необходимо исходить из того, что для
успешного достижения целей реализации угроз безопасности информации,
нарушителю необходимо осуществить подготовку к реализации угрозы и непо-
средственно реализацию угрозы безопасности информации. При этом не един-
ственным, но необходимым условием на этапе подготовки к реализации угрозы
безопасности информации является идентификация уязвимостей в информаци-
онной системе, а на этапе реализации угрозы безопасности информации – ис-
пользование уязвимостей информационной системы.
Таким образом, для определения потенциала нарушителя необходимо оце-
нить возможности нарушителя идентифицировать уязвимости и использовать их
в информационной системе в ходе подготовки к реализации и непосредственно в
ходе реализации угрозы безопасности информации. Для проведения указанной
оценки делается предположение о наличии уязвимостей, которые потенциально
содержатся в информационной системе и могут быть использованы для реализа-
ции угрозы безопасности информации.
Потенциальные уязвимости определяются для каждого класса и типа про-
граммного обеспечения и для каждого узла (хоста) информационной системы
исходя из условия, что для реализации угрозы безопасности информации нару-
38
шителю необходимо идентифицировать и использовать как минимум одну уяз-
вимость на каждом узле и хосте.
В качестве исходных данных для определения потенциальных уязвимостей
используются данные по составу информационной системы и особенностям ее
функционирования, а также данные об уязвимостях в этом программном обеспе-
чении, опубликованные в общедоступных источниках, полученные по результа-
там исследований и (или) полученные от уполномоченных органов и организа-
ций.
Для каждой выявленной потенциальной уязвимости проводится оценка
возможностей ее идентификации и использования в информационной системе
нарушителем, обладающим определенными возможностями и для каждого из
возможных сценариев реализации угрозы безопасности информации.
Оценка возможностей нарушителя по идентификации и использованию
уязвимости в информационной системе проводится по результатам определения
следующих показателей:
время, затрачиваемое нарушителем на идентификацию и использование
уязвимости (затрачиваемое время);
техническая компетентность нарушителя;
знание нарушителем проекта и информационной системы;
оснащенность нарушителя;
возможности нарушителя по доступу к информационной системе.
Во многих случаях указанные показатели являются зависимыми и могут в
различной степени заменять друг друга. В частности, показатели технической
компетентности или оснащенности могут заменяться показателем затрачиваемо-
го времени.
а) определение показателя «затрачиваемое время»
Показатель «затрачиваемое время» характеризует время, непрерывно за-
трачиваемое нарушителем для идентификации и использования уязвимости для
реализации угрозы безопасности информации.
Показатель «затрачиваемое время» может принимать значения «за мину-
ты», «за часы», «за дни» или «за месяцы».
Значение «за минуты» присваивается, если для реализации угрозы без-
опасности информации нарушитель затратит менее получаса на идентификацию
и использование уязвимости.
Значение «за часы» присваивается, если для реализации угрозы безопасно-
сти информации нарушитель затратит менее чем один день на идентификацию и
использование уязвимости.
Значение «за дни» присваивается, если для реализации угрозы безопасно-
сти информации нарушитель затратит менее чем один месяц на идентификацию
и использование уязвимости.
Значение «за месяцы» присваивается, если для реализации угрозы без-
опасности информации нарушитель затратит, как минимум, месяц на идентифи-
кацию и использование уязвимости.
39
б) определение показателя «техническая компетентность нарушителя»
Показатель «техническая компетентность нарушителя» характеризует, ка-
ким уровнем знаний и подготовкой в области информационных технологий и
защиты информации должен обладать нарушитель, чтобы идентифицировать и
использовать уязвимости для реализации угрозы безопасности информации.
Показатель «техническая компетентность нарушителя» может принимать
значения «специалист», «профессионал» или «непрофессионал».
Значение «профессионал» присваивается, если нарушитель имеет хоро-
шую осведомленность о мерах защиты информации, применяемых в информа-
ционной системе, об алгоритмах, аппаратных и программных средствах, исполь-
зуемых в информационной системе, а также обладает специальными знаниями о
методах и средствах выявления новых уязвимостей и способах реализации угроз
безопасности информации для информационных систем данного типа.
Значение «специалист» присваивается, если нарушитель имеет осведом-
ленность о мерах защиты информации, применяемых в информационной систе-
ме данного типа.
Значение «непрофессионал» присваивается, если нарушитель имеет сла-
бую осведомленность (по сравнению со специалистами или профессионалами) о
мерах защиты информации, применяемых в информационных системах данного
типа, и не обладает специальными знаниями по реализации угроз безопасности
информации.
в) определение показателя «знание нарушителем проекта и информа-
ционной системы»
Показатель «знание нарушителем проекта и информационной системы»
характеризует, какие сведения об информационной системе и условиях ее экс-
плуатации доступны нарушителю, чтобы идентифицировать и использовать уяз-
вимости для реализации угрозы безопасности информации.
Показатель «знание нарушителем проекта и информационной системы»
может принимать значения «отсутствие знаний», «ограниченные знания» или
«знание чувствительной информации».
Значение «отсутствие знаний» присваивается, если в результате принятия
мер по защите информации нарушителю не может стать известно о структурно-
функциональных характеристиках информационной системы, системе защиты
информации информационной системы, а также об иной информации по разра-
ботке (проектированию) и эксплуатации информационной системы, включая
сведения из конструкторской, проектной и эксплуатационной документации.
При этом может быть доступна информация о целях и задачах, решаемых ин-
формационной системой. Данный показатель также присваивается, если сведе-
ния об информационной системе отнесены к информации ограниченного досту-
па и не могут быть доступны для неограниченного круга лиц.
40
Значение «ограниченные знания» присваивается, если нарушителю наряду
с информацией о целях и задачах, решаемых информационной системой, может
стать известна только эксплуатационная документация на информационную си-
стему (в частности руководство пользователя и (или) правила эксплуатации ин-
формационной системы).
Значение «знание чувствительной информации» присваивается, если
нарушителю может стать известны конструкторская (проектная) и эксплуатаци-
онная документация на информационную систему, информация о структурно-
функциональных характеристиках информационной системы, системе защиты
информационной системы.
г) определение показателя «возможности нарушителя по доступу к
информационной системе»
Показатель «возможности нарушителя по доступу к информационной си-
стеме» характеризует, как долго по времени нарушитель должен иметь возмож-
ность доступа к информационной системе для идентификации и использования
уязвимостей для реализации угроз безопасности информации.
Показатель «возможности нарушителя по доступу к информационной си-
стеме» может принимать значения «за минуты», «за часы», «за дни» или «за ме-
сяцы».
Значение «за минуты» присваивается, если для идентификации и исполь-
зования уязвимости для реализации угрозы безопасности информации наруши-
телю требуется доступ менее получаса.
Значение «за часы» присваивается, если для идентификации и использова-
ния уязвимости для реализации угрозы безопасности информации нарушителю
требуется доступ менее одного дня.
Значение «за дни» присваивается, если для идентификации и использова-
ния уязвимости для реализации угрозы безопасности информации нарушителю
требуется доступ менее одного месяца.
Значение «за месяцы» присваивается, если для идентификации и использо-
вания уязвимости для реализации угрозы безопасности информации нарушите-
лю требуется доступ более одного месяца.
Показатель «возможности нарушителя по доступу к информационной си-
стеме» взаимосвязан с показателем «затраченное время». Идентификация и ис-
пользование уязвимости при реализации угрозы безопасности информации мо-
гут требовать продолжительного времени по доступу к информационной систе-
ме, что увеличивает возможность обнаружения уязвимости. В отдельных случа-
ях продолжительный доступ к информационной системе не требуется (методы и
средства реализации угроз безопасности разрабатываются автономно), но при
этом требуется кратковременный доступ к информационной системе.
41
д) определение показателя «оснащенность нарушителя»
Показатель «оснащенность нарушителя» характеризует, какие программ-
ные и (или) программно-технические средства требуются нарушителю для иден-
тификации и использования уязвимостей для реализации угроз безопасности
информации.
Показатель «оснащенность нарушителя» может принимать значения
«стандартное оборудование», «специализированное оборудование» или «обору-
дование, сделанное на заказ».
Значение «стандартное оборудование» присваивается, если для идентифи-
кации или использования уязвимостей при реализации угрозы безопасности ин-
формации требуются программные (программно-технические) средства, легко
доступные для нарушителя. К таким средствам, в первую очередь, относятся
программные средства непосредственно информационной системы (отладчик в
операционной системе, средства разработки и иные), программные средства, ко-
торые могут быть легко получены (программы, имеющиеся в свободном доступе
в сети Интернет) или имеются простые сценарии реализации угроз.
Значение «специализированное оборудование» присваивается, если для
идентификации или использования уязвимостей при реализации угрозы без-
опасности информации требуются программные (программно-технические)
средства, которые отсутствуют в свободном доступе, но могут быть приобрете-
ны нарушителем без значительных усилий. К таким средствам, в первую оче-
редь, относятся программные (программно-технические) средства, которые
имеются в продаже (анализаторы кода, анализаторы протоколов и иные) или
требуется разработка более сложных программ и сценариев реализации угрозы.
Оборудование может быть закуплено, либо, например, могут быть использованы
компьютеры, объединенные через сеть Интернет (бот-сети).
Значение «оборудование, сделанное на заказ» присваивается, если для
идентификации или использования уязвимостей при реализации угрозы без-
опасности информации требуются программные (программно-технические)
средства, которые недоступны широкому кругу лиц, так как требуется их специ-
альная разработка с привлечением исследовательских организаций, или распро-
странение этих средств контролируется в соответствии с законодательством. К
такому оборудованию также относится дорогостоящие средства или средства,
сведения о которых относятся к информации ограниченного доступа.
С целью вычисления потенциала нарушителя определяются числовые зна-
чения указанных показателей в соответствии с таблицей 3.1.
42
Таблица 3.1
Показатель возможностей нарушителя
Значения при
идентификации
уязвимости
Значения при
использова-
нии уязвимо-
сти
Затрачиваемое
время
< 0,5 час 0 0
< 1 день 2 3
< 1 месяц 3 5
> 1 месяц 5 8
Техническая ком-
петентность
нарушителя
Непрофессионал 0 0
Специалист 2 3
Профессионал 5 4
Знание проекта и
информационной
системы
Отсутствие знаний 0 0
Ограниченные знания 2 2
Знание чувствительной
информации 5
4
Возможность до-
ступа к информа-
ционной системе
< 0,5 час или не обна-
руживаемый доступ 0
0
< 1 день 2 4
< 1 месяц 3 6
> 1 месяц 4 9
Не возможно
Оснащенность
нарушителя
Отсутствует 0 0
Стандартное оборудо-
вание
1
2
Специализированное
оборудование 3
4
Оборудование, сделан-
ное на заказ
5
6
Для конкретной потенциальной уязвимости может возникнуть необходи-
мость определять показатели несколько раз для различных способов реализации
угроз безопасности информации (попеременно использовать разные значения
показателей компетентности в сочетании со значениями времени и оборудова-
ния). При этом следует выбирать наибольшее значение, полученное при каждом
расчете показателей.
Полученные на основе таблицы 3.1 значения характеристик потенциала
нарушителя суммируются. Полученная сумма значений характеристик соотно-
сится с диапазонами значений, приведенных в таблице 3.2, в соответствии с ко-
торой определяется потенциал нарушителя, необходимый для реализации угрозы
безопасности информации.
43
Таблица 3.2
Диапазон
значений
Потенциал
нарушителя
<10 Потенциал недостаточен для реализации
угрозы безопасности
10-17 Базовый (низкий)
18-24 Базовый повышенный (средний)
>24 Высокий
Мотивация нарушителя для реализации угроз безопасности информации
может быть базовой или повышенной. Мотивация нарушителя характеризует
уровень устремлений нарушителя к информации, содержащейся в информаци-
онной системе, или информационной системе в целом. При определении потен-
циала нарушителя необходимо исходить, как минимум, из его базовой мотива-
ции.
Потенциал нарушителя, требуемый для реализации угрозы безопасности
информации, переходит на следующий уровень (от низкого к среднего или от
среднего к высокому), если определено, что нарушитель имеет повышенную мо-
тивацию реализации угроз безопасности по отношению к информационной си-
стеме.
Мотивация нарушителя определяется как повышенная, если:
а) имеются сведения (в том числе опубликованные в общедоступных ис-
точниках) об устремлениях нарушителей к конкретной информационной системе
и (или) отдельным ее объектам защиты; например, если информация, обрабаты-
ваемая в информационной системе, является высоко ценной для нарушителя или
для нарушителя является крайне приоритетным нанести ущерб оператору ин-
формационной системы;
б) имеется информация, полученная от уполномоченных федеральных ор-
ганов исполнительной власти, о намерении нарушителя осуществить неправо-
мерные действия в отношении информационной системы и (или) информации,
содержащейся в этой информационной системе.