Методика определения угроз безопасности информации в информационных системах: различия между версиями

Материал из Information Security
Перейти к навигации Перейти к поиску
(Новая страница: «ФЕДЕРАЛЬНАЯ СЛУЖБА ПО ТЕХНИЧЕСКОМУ И ЭКСПОРТНОМУ КОНТРОЛЮ (ФСТЭК РОССИИ) МЕТОДИЧЕСКИЙ…»)
 
 
(не показано 9 промежуточных версий этого же участника)
Строка 7: Строка 7:
(ПРОЕКТ) 2015
(ПРОЕКТ) 2015


=ОБЩИЕ ПОЛОЖЕНИЯ=
Настоящий методический документ ФСТЭК России «Методика определения угроз безопасности информации в информационных системах» (далее - Методика) разработан и утвержден в соответствии с подпунктом 4 пункта 8 Положения о Федеральной службе по техническому и экспортному контролю, утвержденного Указом Президента Российской Федерации от 16 августа 2004 г. № 1085.
Документ устанавливает единый методический подход к определению угроз безопасности информации и разработке моделей угроз безопасности информации в государственных информационных системах (далее – информационные системы), защита информации в которых обеспечивается в соответствии с Требованиями о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах, утвержденными приказом ФСТЭК России от 11 февраля 2013 г. № 17 (зарегистрирован Минюстом России 31 мая 2013 г., рег. № 28608).


СОДЕРЖАНИЕ
По решению оператора персональных данных Методика может применяться для определения в соответствии с пунктом 1 части 2 статьи 19 Федерального закона «О персональных данных» угроз безопасности персональных данных при их обработке в информационных системах персональных данных, защита которых обеспечивается в соответствии с Составом и содержанием организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденных приказом ФСТЭК России от 18 февраля 2013 г. № 21 (зарегистрирован Минюстом России 14 мая 2013 г., рег. № 28375).
1. Общие положения…………………………………………………………... 3
 
2. Процесс определения угроз безопасности информации в информацион-
Методика не распространяется на определение угроз безопасности информации, составляющей государственную тайну.
ной системе...................................................................................................... 5
3. Оценка возможностей нарушителя по реализации угроз безопасности
информации (разработка модели нарушителя)…………………………… 10
4. Определение актуальных угроз безопасности информации в информа-
ционной системе…………………………………………………………….. 20
Приложение № 1…………………………………………………………….
Приложение № 2…………………………………………………………….
Приложение № 3…………………………………………………………….


=ОБЩИЕ ПОЛОЖЕНИЯ=
Настоящий методический документ ФСТЭК России «Методика определе-
ния угроз безопасности информации в информационных системах» (далее –
Методика) разработан и утвержден в соответствии с подпунктом 4 пункта 8 По-
ложения о Федеральной службе по техническому и экспортному контролю,
утвержденного Указом Президента Российской Федерации от 16 августа 2004 г.
№ 1085.
Документ устанавливает единый методический подход к определению
угроз безопасности информации и разработке моделей угроз безопасности ин-
формации в государственных информационных системах (далее – информаци-
онные системы), защита информации в которых обеспечивается в соответствии с
Требованиями о защите информации, не составляющей государственную тайну,
содержащейся в государственных информационных системах, утвержденными
приказом ФСТЭК России от 11 февраля 2013 г. № 17 (зарегистрирован Миню-
стом России 31 мая 2013 г., рег. № 28608).
По решению оператора персональных данных Методика может приме-
няться для определения в соответствии с пунктом 1 части 2 статьи 19 Федераль-
ного закона «О персональных данных» угроз безопасности персональных дан-
ных при их обработке в информационных системах персональных данных, за-
щита которых обеспечивается в соответствии с Составом и содержанием органи-
зационных и технических мер по обеспечению безопасности персональных дан-
ных при их обработке в информационных системах персональных данных,
утвержденных приказом ФСТЭК России от 18 февраля 2013 г. № 21 (зарегистри-
рован Минюстом России 14 мая 2013 г., рег. № 28375).
Методика не распространяется на определение угроз безопасности инфор-
мации, составляющей государственную тайну.
Методика предназначена для:
Методика предназначена для:
органов государственной власти, органов местного самоуправления и ор-
*органов государственной власти, органов местного самоуправления и организаций, являющихся в соответствии с законодательством Российской Федерации обладателями информации, заказчиками и (или) операторами информационных систем;
ганизаций, являющихся в соответствии с законодательством Российской Феде-
*организаций, осуществляющих в соответствии с законодательством Российской Федерации работы по созданию (проектированию) информационных систем;
рации обладателями информации, заказчиками и (или) операторами информаци-
*организаций, осуществляющих в соответствии с законодательством Российской Федерации работы по защите информации в ходе создания (проектирования) и эксплуатации информационных систем;
онных систем;
*организаций, осуществляющих в соответствии с законодательством Российской Федерации работы по аттестации (оценке соответствия) информационных систем требованиям о защите информации.
организаций, осуществляющих в соответствии с законодательством Рос-
 
сийской Федерации работы по созданию (проектированию) информационных
Настоящая Методика применяется на этапах создания информационных систем для определения и оценки угроз безопасности информации и разработки моделей угроз, а также в ходе эксплуатации информационных систем при периодическом пересмотре (переоценке) угроз безопасности информации.
систем;
 
организаций, осуществляющих в соответствии с законодательством Рос-
Методика применяется совместно с банком данных угроз безопасности информации, сформированным ФСТЭК России (ubi.fstec.ru), а также базовыми и типовыми моделями угроз безопасности информации в информационных системах различных классов и типов, разрабатываемых ФСТЭК России в соответствии с подпунктом 4 пункта 8 Положения о Федеральной службе по техническому и экспортному контролю, утвержденного Указом Президента Российской Федерации от 16 августа 2004 г. № 1085.
сийской Федерации работы по защите информации в ходе создания (проектиро-
 
вания) и эксплуатации информационных систем;
Методика ориентирована на определение и оценку антропогенных угроз безопасности информации, возникновение которых обусловлено объективными факторами. Вместе с тем, часть приведенных в Методике подходов может также применяться для оценки техногенных угроз в случае, если они позволяют достичь целей такой оценки. Определение угроз, связанных со стихийными бедствиями и природными явлениями осуществляется в соответствии с правилами, установленными уполномоченными федеральными органами исполнительной власти, национальными стандартами и находятся за рамками настоящей Методики.
организаций, осуществляющих в соответствии с законодательством Рос-
 
сийской Федерации работы по аттестации (оценке соответствия) информацион-
В случае, если в соответствии с настоящей Методикой к числу актуальных угроз, отнесены угрозы, связанные с утечкой информации по техническим каналам, дальнейшая их оценка проводится в соответствии со специальными требованиями и рекомендациями по технической защите конфиденциальной информации и методиками оценки защищенности конфиденциальной информации.
ных систем требованиям о защите информации.
 
Настоящая Методика применяется на этапах создания информационных
систем для определения и оценки угроз безопасности информации и разработки
моделей угроз, а также в ходе эксплуатации информационных систем при пери-
одическом пересмотре (переоценке) угроз безопасности информации.
4
Методика применяется совместно с банком данных угроз безопасности
информации, сформированным ФСТЭК России (ubi.fstec.ru), а также базовыми и
типовыми моделями угроз безопасности информации в информационных систе-
мах различных классов и типов, разрабатываемых ФСТЭК России в соответ-
ствии с подпунктом 4 пункта 8 Положения о Федеральной службе по техниче-
скому и экспортному контролю, утвержденного Указом Президента Российской
Федерации от 16 августа 2004 г. № 1085.
Методика ориентирована на определение и оценку антропогенных угроз
безопасности информации, возникновение которых обусловлено объективными
факторами. Вместе с тем, часть приведенных в Методике подходов может также
применяться для оценки техногенных угроз в случае, если они позволяют до-
стичь целей такой оценки. Определение угроз, связанных со стихийными бед-
ствиями и природными явлениями осуществляется в соответствии с правилами,
установленными уполномоченными федеральными органами исполнительной
власти, национальными стандартами и находятся за рамками настоящей Мето-
дики.
В случае, если в соответствии с настоящей Методикой к числу актуальных
угроз, отнесены угрозы, связанные с утечкой информации по техническим кана-
лам, дальнейшая их оценка проводится в соответствии со специальными требо-
ваниями и рекомендациями по технической защите конфиденциальной инфор-
мации и методиками оценки защищенности конфиденциальной информации.
В Методике используются термины и их определения, установленные
В Методике используются термины и их определения, установленные
национальными стандартами в области защиты информации.
национальными стандартами в области защиты информации.
В связи с утверждением настоящего методического документа не приме-
 
няется для определения угроз безопасности информации Методика определения
В связи с утверждением настоящего методического документа не применяется для определения угроз безопасности информации Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных (ФСТЭК России, 2008 г.).
актуальных угроз безопасности персональных данных при их обработке в ин-
формационных системах персональных данных (ФСТЭК России, 2008 г.).


=ПРОЦЕСС ОПРЕДЕЛЕНИЯ УГРОЗ БЕЗОПАСНОСТИ ИНФОРМАЦИИ В ИНФОРМАЦИОННОЙ СИСТЕМЕ=
=ПРОЦЕСС ОПРЕДЕЛЕНИЯ УГРОЗ БЕЗОПАСНОСТИ ИНФОРМАЦИИ В ИНФОРМАЦИОННОЙ СИСТЕМЕ=
Целью определения угроз безопасности информации является установле-
 
ние того, существует ли возможность нарушения конфиденциальности, целост-
Целью определения угроз безопасности информации является установление того, существует ли возможность нарушения конфиденциальности, целостности или доступности информации, содержащейся в информационной системе, и приведет ли нарушение хотя бы одного из указанных свойств безопасности информации к наступлению неприемлемых негативных последствий (ущерба) для обладателя информации или оператора, а в случае обработки персональных данных и для субъектов персональных данных.
ности или доступности информации, содержащейся в информационной системе,
 
и приведет ли нарушение хотя бы одного из указанных свойств безопасности
Определение угроз безопасности информации должно носить систематический характер и осуществляться как на этапе создания информационной системы и формирования требований по ее защите, так и в ходе эксплуатации информационной системы. Систематический подход к определению угроз безопасности информации необходим для того, чтобы определить потребности в конкретных требованиях к защите информации и создать адекватную эффективную систему защиты информации в информационной системе. Меры защиты информации, принимаемые обладателем информации и оператором, должны обеспечивать эффективное и своевременное выявление и блокирование (нейтрализацию) угроз безопасности информации, в результате реализации которых возможно наступление неприемлемых негативных последствий (ущерба).
информации к наступлению неприемлемых негативных последствий (ущерба)
 
для обладателя информации или оператора, а в случае обработки персональных
Систематический подход к определению угроз безопасности информации предусматривает реализацию непрерывного процесса, в рамках которого определяется область применения процесса определения угроз, идентифицируются источники угроз и угрозы безопасности информации, оценивается возможность реализации угроз безопасности информации и степень возможного ущерба в случае такой реализации, осуществляется мониторинг (периодический пересмотр) и переоценка угроз безопасности информации.
данных и для субъектов персональных данных.
 
Определение угроз безопасности информации должно носить системати-
ческий характер и осуществляться как на этапе создания информационной си-
стемы и формирования требований по ее защите, так и в ходе эксплуатации ин-
формационной системы. Систематический подход к определению угроз безопас-
ности информации необходим для того, чтобы определить потребности в кон-
кретных требованиях к защите информации и создать адекватную эффективную
систему защиты информации в информационной системе. Меры защиты инфор-
мации, принимаемые обладателем информации и оператором, должны обеспечи-
вать эффективное и своевременное выявление и блокирование (нейтрализацию)
угроз безопасности информации, в результате реализации которых возможно
наступление неприемлемых негативных последствий (ущерба).
Систематический подход к определению угроз безопасности информации
предусматривает реализацию непрерывного процесса, в рамках которого опре-
деляется область применения процесса определения угроз, идентифицируются
источники угроз и угрозы безопасности информации, оценивается возможность
реализации угроз безопасности информации и степень возможного ущерба в
случае такой реализации, осуществляется мониторинг (периодический пере-
смотр) и переоценка угроз безопасности информации.
Оценка угроз безопасности информации проводится экспертным методом.
Оценка угроз безопасности информации проводится экспертным методом.
Рекомендации по формированию экспертной группы и проведению экспертной
 
оценки при определении угроз безопасности информации приведены в приложе-
Рекомендации по формированию экспертной группы и проведению экспертной оценки при определении угроз безопасности информации приведены в приложении № 1 к настоящей Методике.
нии № 1 к настоящей Методике.
 
а) область применения процесса определения угроз безопасности ин-
==а) область применения процесса определения угроз безопасности информации==
формации
 
На этапах принятия решения о необходимости защиты информации в ин-
На этапах принятия решения о необходимости защиты информации в информационной системе и разработки требований к защите информации должны быть определены физические и логические границы информационной системы, в которых принимаются и контролируются меры защиты информации, за которые ответственен оператор, а также определены объекты защиты и сегменты информационной системы.
формационной системе и разработки требований к защите информации должны
 
быть определены физические и логические границы информационной системы, в
Процесс определения угроз безопасности информации должен охватывать все объекты защиты и сегменты в логических и физических границах информационной системы, в которых оператором принимаются и контролируются меры защиты информации. Процесс определения угроз безопасности информации организуется подразделением оператора, назначенным ответственным за защиту информации в информационной системе. В случае, если информационная система имеет сегменты, эксплуатируемые разными подразделениями оператора, которые могут самостоятельно принимать и контролировать меры защиты информации, должны быть определены границы ответственности этих подразделений и порядок их взаимодействия в процессе определения угроз безопасности информации.
которых принимаются и контролируются меры защиты информации, за которые
 
ответственен оператор, а также определены объекты защиты и сегменты инфор-
Область применения процесса определения угроз безопасности информации отражается в модели угроз безопасности информации наряду с областью действия модели угроз, структурно-функциональными характеристиками информационной системы и особенностями ее функционирования.
мационной системы.
 
Процесс определения угроз безопасности информации должен охватывать
==б) идентификация источников угроз и угроз безопасности информации==
все объекты защиты и сегменты в логических и физических границах информа-
 
ционной системы, в которых оператором принимаются и контролируются меры  
В обобщенном виде угрозы безопасности информации характеризуется источниками угроз, факторами, обуславливающими возможность реализации угроз, способами (методами) реализации угроз и последствиями от реализации угроз безопасности информации.
6
 
защиты информации. Процесс определения угроз безопасности информации ор-
Важным этапом в процессе определения угроз безопасности информации является идентификация лиц или событий (явлений), в результате действий (наступления, возникновения) которых возможно нарушение конфиденциальности, целостности или доступности информации, содержащейся в информационной системе, и возникновение неприемлемых негативных последствий (ущерба).
ганизуется подразделением оператора, назначенным ответственным за защиту
 
информации в информационной системе. В случае, если информационная систе-
В качестве источников угроз безопасности информации могут выступать субъекты (физические лица, организации, государства) или явления (техногенные аварии, стихийные бедствия, иные природные явления).
ма имеет сегменты, эксплуатируемые разными подразделениями оператора, ко-
 
торые могут самостоятельно принимать и контролировать меры защиты инфор-
Источники угроз безопасности информации являются определяющим фактором при определении угроз безопасности информации в информационных системах. В процессе определения угроз безопасности информации подлежат оценке те угрозы, у которых есть источники и источники имеют возможности и условия для реализации угроз безопасности информации в информационной системе с заданными структурно-функциональными характеристиками и особенностями ее функционирования.
мации, должны быть определены границы ответственности этих подразделений
 
и порядок их взаимодействия в процессе определения угроз безопасности ин-
формации.
Область применения процесса определения угроз безопасности информа-
ции отражается в модели угроз безопасности информации наряду с областью
действия модели угроз, структурно-функциональными характеристиками ин-
формационной системы и особенностями ее функционирования.
б) идентификация источников угроз и угроз безопасности информации
В обобщенном виде угрозы безопасности информации характеризуется ис-
точниками угроз, факторами, обуславливающими возможность реализации
угроз, способами (методами) реализации угроз и последствиями от реализации
угроз безопасности информации.
Важным этапом в процессе определения угроз безопасности информации
является идентификация лиц или событий (явлений), в результате действий
(наступления, возникновения) которых возможно нарушение конфиденциально-
сти, целостности или доступности информации, содержащейся в информацион-
ной системе, и возникновение неприемлемых негативных последствий (ущерба).
В качестве источников угроз безопасности информации могут выступать
субъекты (физические лица, организации, государства) или явления (техноген-
ные аварии, стихийные бедствия, иные природные явления).
Источники угроз безопасности информации являются определяющим
фактором при определении угроз безопасности информации в информационных
системах. В процессе определения угроз безопасности информации подлежат
оценке те угрозы, у которых есть источники и источники имеют возможности и
условия для реализации угроз безопасности информации в информационной си-
стеме с заданными структурно-функциональными характеристиками и особен-
ностями ее функционирования.
Источники угроз безопасности информации могут быть следующих типов:
Источники угроз безопасности информации могут быть следующих типов:
антропогенные источники (антропогенные угрозы);
*антропогенные источники (антропогенные угрозы);
техногенные источники (техногенные угрозы);
*техногенные источники (техногенные угрозы);
стихийные источники (угрозы стихийных бедствий, иных природных яв-
*стихийные источники (угрозы стихийных бедствий, иных природных явлений).
лений).
 
В качестве источников антропогенных угроз безопасности информации
В качестве источников антропогенных угроз безопасности информации могут выступать:
могут выступать:
*лица, осуществляющие преднамеренные действия с целью доступа к информации (воздействия на информацию), содержащейся в информационной системе, или нарушения функционирования информационной системы или обслуживающей ее инфраструктуры (преднамеренные угрозы безопасности информации);
лица, осуществляющие преднамеренные действия с целью доступа к ин-
*лица, имеющие доступ к информационной системе, не преднамеренные действия которых могут привести к нарушению безопасности информации (непреднамеренные угрозы безопасности информации).
формации (воздействия на информацию), содержащейся в информационной си-
 
стеме, или нарушения функционирования информационной системы или обслу-
Для информационных систем, в которых целью защиты является обеспечение целостности и доступности обрабатываемой информации, в обязательном порядке подлежат оценке техногенные угрозы, связанные с отказами или сбоями в работе технических средств или программного обеспечения. Такие угрозы могут быть обусловлены:
7
*низким качеством (надежностью) технических, программных или программно-технических средств;
живающей ее инфраструктуры (преднамеренные угрозы безопасности информа-
*низким качеством (надежностью) сетей связи и (или) услуг связи;
ции);
*отсутствием или низкой эффективностью систем резервирования или дублирования программно-технических и технических средств;
лица, имеющие доступ к информационной системе, не преднамеренные
*низким качеством (надежностью) инженерных систем (кондиционирования, электроснабжения, охранных систем и т.д.);
действия которых могут привести к нарушению безопасности информации (не-
*низким качеством обслуживания со стороны обслуживающих организаций и лиц.
преднамеренные угрозы безопасности информации).
 
Для информационных систем, в которых целью защиты является обеспе-
При определении угроз безопасности информации оценке подлежат угрозы, связанные со всеми типами источников. Однако в целях создания и эксплуатации адекватной эффективной системы защиты информации в информационной системе следует, в первую очередь, уделять внимание оценке антропогенных угроз, связанных с несанкционированными (неправомерными) действиями субъектов по нарушению безопасности (конфиденциальности, целостности, доступности) информации, в том числе целенаправленными воздействиями программными (программно-техническими) средствами на информационные системы, осуществляемые в целях нарушения (прекращения) их функционирования (компьютерные атаки).
чение целостности и доступности обрабатываемой информации, в обязательном
 
порядке подлежат оценке техногенные угрозы, связанные с отказами или сбоями
Также при определении угроз безопасности информации наряду с угрозами, реализация которых может привести непосредственно к нарушению конфиденциальности, целостности или доступности информации (прямыми угрозами), необходимо выявлять и оценивать угрозы, создающие условия для реализации прямых угроз безопасности информации (косвенные угрозы). В качестве косвенных угроз безопасности информации могут рассматриваться угрозы повышения привилегий, исчерпания вычислительных ресурсов, недоступности обновления программного обеспечения и иные угрозы безопасности информации.
в работе технических средств или программного обеспечения. Такие угрозы мо-
 
гут быть обусловлены:
В процессе определения угроз безопасности информации на всех стадиях (этапах) жизненного цикла информационных систем необходимо регулярно проводить идентификацию источников угроз, оценивать их возможности и определять на этой основе угрозы безопасности информации. Данные о нарушителях и их возможностях по реализации угроз безопасности информации, полученные при идентификации источников угроз, включаются в модели угроз безопасности информации.
низким качеством (надежностью) технических, программных или про-
 
граммно-технических средств;
Для идентификации угроз безопасности информации в информационной системе определяются:
низким качеством (надежностью) сетей связи и (или) услуг связи;
*возможности (тип, вид, потенциал) нарушителей, необходимые им для реализации угроз безопасности информации;
отсутствием или низкой эффективностью систем резервирования или дуб-
*уязвимости, которые могут использоваться при реализации угроз безопасности информации (включая специально внедренные программные закладки);
лирования программно-технических и технических средств;
*способы (методы) реализации угроз безопасности информации;
низким качеством (надежностью) инженерных систем (кондиционирова-
*объекты информационной системы, на которые направлена угроза безопасности информации (объекты воздействия);
ния, электроснабжения, охранных систем и т.д.);
*результат и последствия от реализации угроз безопасности информации.
низким качеством обслуживания со стороны обслуживающих организаций
 
и лиц.
Каждая угроза безопасности информации в информационной системе описывается (идентифицируется) следующим образом:
При определении угроз безопасности информации оценке подлежат угро-
УБИj = [нарушитель (источник угрозы); уязвимости; способы реализации угрозы; объекты воздействия; последствия от реализации угрозы].
зы, связанные со всеми типами источников. Однако в целях создания и эксплуа-
 
тации адекватной эффективной системы защиты информации в информационной
==в) оценка вероятности (возможности) реализации угроз безопасности информации и степени возможного ущерба==
системе следует, в первую очередь, уделять внимание оценке антропогенных
Идентифицированная угроза безопасности информации подлежит нейтрализации (блокированию), если она является актуальной (УБИj А ) для информационной системы, то есть в информационной системе с заданными структурно функциональными характеристиками и особенностями функционирования существует вероятность (возможность) реализации рассматриваемой угрозы нарушителем с соответствующим потенциалом и ее реализация приведет к неприемлемым негативным последствиям (ущербу):  
угроз, связанных с несанкционированными (неправомерными) действиями субъ-
УБИj А = [вероятность (возможность) реализации угрозы (Рj); степень ущерба (Хj)].
ектов по нарушению безопасности (конфиденциальности, целостности, доступ-
 
ности) информации, в том числе целенаправленными воздействиями программ-
Актуальные угрозы безопасности информации включаются в модель угроз безопасности информации. Модель угроз безопасности информации, учитывая особенности информационной системы, используемые в ней программные, программно-технические, технические средства и процессы обработки информации, дает описание угроз безопасности, которым подвержена информационная система. Структура модели угроз безопасности информации приведена в приложении № 2 к настоящей Методике.
ными (программно-техническими) средствами на информационные системы,
 
осуществляемые в целях нарушения (прекращения) их функционирования (ком-
==г) мониторинг и переоценка угроз безопасности информации==
пьютерные атаки).
 
Также при определении угроз безопасности информации наряду с угроза-
Определение угроз безопасности информации на этапе создания информационной системы позволяет обеспечить формирование требований и внедрение эффективной адекватной системы защиты информации в информационной системе для угроз, актуальных к моменту ввода в эксплуатацию информационной системы.
ми, реализация которых может привести непосредственно к нарушению конфи-
 
денциальности, целостности или доступности информации (прямыми угрозами),
В ходе эксплуатации информационной системы оператор, обеспечивая достижение целей и задач информационной системы, может изменять ее базовую конфигурацию, что приводит к изменению структурно-функциональных характеристик информационной системы и применяемых информационных технологий. Также в процессе эксплуатации возможно изменение состава и значимости обрабатываемой информации и особенностей функционирования информационной системы.
необходимо выявлять и оценивать угрозы, создающие условия для реализации
 
прямых угроз безопасности информации (косвенные угрозы). В качестве косвен-
В этих условиях процесс определения угроз безопасности информации должен носить систематический характер. В ходе эксплуатации информационной системы регулярно проводится анализ изменения угроз безопасности информации, а актуальные угрозы безопасности информации подлежат периодической переоценке. Периодичность переоценки определяется организацией исходя из особенностей функционирования информационной системы. Рекомендуется пересматривать угрозы безопасности информации не реже одного раза в год. По результатам анализа проводится уточнение (при необходимости) модели угроз
ных угроз безопасности информации могут рассматриваться угрозы повышения
привилегий, исчерпания вычислительных ресурсов, недоступности обновления
программного обеспечения и иные угрозы безопасности информации.
В процессе определения угроз безопасности информации на всех стадиях
(этапах) жизненного цикла информационных систем необходимо регулярно про-
водить идентификацию источников угроз, оценивать их возможности и опреде-
лять на этой основе угрозы безопасности информации. Данные о нарушителях и
их возможностях по реализации угроз безопасности информации, полученные
при идентификации источников угроз, включаются в модели угроз безопасности
информации.
8
Для идентификации угроз безопасности информации в информационной
системе определяются:
возможности (тип, вид, потенциал) нарушителей, необходимые им для ре-
ализации угроз безопасности информации;
уязвимости, которые могут использоваться при реализации угроз безопас-
ности информации (включая специально внедренные программные закладки);
способы (методы) реализации угроз безопасности информации;
объекты информационной системы, на которые направлена угроза без-
опасности информации (объекты воздействия);
результат и последствия от реализации угроз безопасности информации.
Каждая угроза безопасности информации в информационной системе опи-
сывается (идентифицируется) следующим образом:
УБИj = [нарушитель (источник угрозы); уязвимости; способы реализации угро-
зы; объекты воздействия; последствия от реализации угрозы].
в) оценка вероятности (возможности) реализации угроз безопасности
информации и степени возможного ущерба
Идентифицированная угроза безопасности информации подлежит нейтра-
лизации (блокированию), если она является актуальной (УБИj
А
) для информаци-
онной системы, то есть в информационной системе с заданными структурно-
функциональными характеристиками и особенностями функционирования су-
ществует вероятность (возможность) реализации рассматриваемой угрозы нару-
шителем с соответствующим потенциалом и ее реализация приведет к неприем-
лемым негативным последствиям (ущербу):
УБИj
А
= [вероятность (возможность) реализации угрозы (Рj);
степень ущерба (Хj)].
Актуальные угрозы безопасности информации включаются в модель угроз
безопасности информации. Модель угроз безопасности информации, учитывая
особенности информационной системы, используемые в ней программные, про-
граммно-технические, технические средства и процессы обработки информации,
дает описание угроз безопасности, которым подвержена информационная систе-
ма. Структура модели угроз безопасности информации приведена в приложении
№ 2 к настоящей Методике.
г) мониторинг и переоценка угроз безопасности информации
Определение угроз безопасности информации на этапе создания информа-
ционной системы позволяет обеспечить формирование требований и внедрение
эффективной адекватной системы защиты информации в информационной си-
стеме для угроз, актуальных к моменту ввода в эксплуатацию информационной
системы.
9
В ходе эксплуатации информационной системы оператор, обеспечивая до-
стижение целей и задач информационной системы, может изменять ее базовую
конфигурацию, что приводит к изменению структурно-функциональных харак-
теристик информационной системы и применяемых информационных техноло-
гий. Также в процессе эксплуатации возможно изменение состава и значимости
обрабатываемой информации и особенностей функционирования информацион-
ной системы.
В этих условиях процесс определения угроз безопасности информации
должен носить систематический характер. В ходе эксплуатации информацион-
ной системы регулярно проводится анализ изменения угроз безопасности ин-
формации, а актуальные угрозы безопасности информации подлежат периодиче-
ской переоценке. Периодичность переоценки определяется организацией исходя
из особенностей функционирования информационной системы. Рекомендуется
пересматривать угрозы безопасности информации не реже одного раза в год. По
результатам анализа проводится уточнение (при необходимости) модели угроз
безопасности информации.
безопасности информации.
Пересмотр (переоценка) угроз безопасности информации, как минимум,
 
осуществляется в случаях:
Пересмотр (переоценка) угроз безопасности информации, как минимум, осуществляется в случаях:
изменения требований законодательства Российской Федерации о защите
*изменения требований законодательства Российской Федерации о защите информации, нормативных правовых актов и методических документов, регламентирующих защиту информации;
информации, нормативных правовых актов и методических документов, регла-
*изменения конфигурации (состава основных компонентов) и особенностей функционирования информационной системы, следствием которых стало возникновение новых угроз безопасности информации;
ментирующих защиту информации;
*выявления уязвимостей, приводящих к возникновению новых угроз безопасности информации или к повышению возможности реализации существующих;
изменения конфигурации (состава основных компонентов) и особенностей
*появления сведений и фактов о новых возможностях нарушителей.
функционирования информационной системы, следствием которых стало воз-
 
никновение новых угроз безопасности информации;
выявления уязвимостей, приводящих к возникновению новых угроз без-
опасности информации или к повышению возможности реализации существую-
щих;
появления сведений и фактов о новых возможностях нарушителей.
10
= ОЦЕНКА ВОЗМОЖНОСТЕЙ НАРУШИТЕЛЕЙ ПО РЕАЛИЗАЦИИ УГРОЗ БЕЗОПАСНОСТИ ИНФОРМАЦИИ (РАЗРАБОТКА МОДЕЛИ НАРУШИТЕЛЯ) =
= ОЦЕНКА ВОЗМОЖНОСТЕЙ НАРУШИТЕЛЕЙ ПО РЕАЛИЗАЦИИ УГРОЗ БЕЗОПАСНОСТИ ИНФОРМАЦИИ (РАЗРАБОТКА МОДЕЛИ НАРУШИТЕЛЯ) =


Целью оценки возможностей нарушителей по реализации угроз безопасно-
Целью оценки возможностей нарушителей по реализации угроз безопасности информации является формирование предположения о типах, видах нарушителей, которые могут реализовать угрозы безопасности информации в информационной системе с заданными структурно-функциональными характеристиками и особенностями функционирования, а также потенциале этих нарушителей и возможных способах реализации угроз безопасности информации.
сти информации является формирование предположения о типах, видах наруши-
 
телей, которые могут реализовать угрозы безопасности информации в информа-
Результаты оценки возможностей нарушителей включаются в модель нарушителя, которая является составной частью (разделом) модели угроз безопасности информации и содержит:
ционной системе с заданными структурно-функциональными характеристиками
*типы, виды и потенциал нарушителей, которые могут обеспечить реализацию угроз безопасности информации;
и особенностями функционирования, а также потенциале этих нарушителей и
*цели, которые могут преследовать нарушители каждого вида при реализации угроз безопасности информации;
возможных способах реализации угроз безопасности информации.
*возможные способы реализации угроз безопасности информации.
Результаты оценки возможностей нарушителей включаются в модель
==а) типы нарушителей==
нарушителя, которая является составной частью (разделом) модели угроз без-
Типы нарушителей определяются по результатам анализа прав доступа субъектов к информации и (или) к компонентам информационной системы, а также анализа возможностей нарушителей по доступу к компонентам информационной системы исходя из структурно-функциональных характеристик и особенностей функционирования информационной системы.
опасности информации и содержит:
 
типы, виды и потенциал нарушителей, которые могут обеспечить реализа-
В зависимости от имеющихся прав доступа нарушители могут иметь легитимный физический (непосредственный) и (или) логический доступ к компонентам информационной системы и (или) содержащейся в них информации или не иметь такого доступа.
цию угроз безопасности информации;
 
цели, которые могут преследовать нарушители каждого вида при реализа-
Анализ прав доступа проводится, как минимум, в отношении следующих компонент информационной системы:
ции угроз безопасности информации;
*устройств ввода/вывода (отображения) информации;
возможные способы реализации угроз безопасности информации.
*беспроводных устройств;
а) типы нарушителей
*программных, программно-технических и технических средств обработки информации;
Типы нарушителей определяются по результатам анализа прав доступа
*съемных машинных носителей информации;
субъектов к информации и (или) к компонентам информационной системы, а
*машинных носителей информации, выведенных из эксплуатации;
также анализа возможностей нарушителей по доступу к компонентам информа-
*активного (коммутационного) и пассивного оборудования каналов связи;
ционной системы исходя из структурно-функциональных характеристик и осо-
*каналов связи, выходящих за пределы контролируемой зоны.
бенностей функционирования информационной системы.
 
В зависимости от имеющихся прав доступа нарушители могут иметь леги-
С учетом наличия прав доступа и возможностей по доступу к информации и (или) к компонентам информационной системы нарушители подразделяются на два типа:
тимный физический (непосредственный) и (или) логический доступ к компонен-
* внешние нарушители (тип I) – лица, не имеющие права доступа к информационной системе, ее отдельным компонентам и реализующие угрозы безопасности информации из-за границ информационной системы;
там информационной системы и (или) содержащейся в них информации или не
* внутренние нарушители (тип II) – лица, имеющие право постоянного или разового доступа к информационной системе, ее отдельным компонентам.
иметь такого доступа.
 
Анализ прав доступа проводится, как минимум, в отношении следующих
Наибольшими возможностями по реализации угроз безопасности обладают внутренние нарушители. При оценке возможностей внутренних нарушителей необходимо учитывать принимаемые оператором организационные меры по допуску субъектов к работе в информационной системе. Возможности внутреннего нарушителя существенным образом зависят от установленного порядка допуска физических лиц к информационной системе и ее компонентам, а также мер по контролю за доступом и работой этих лиц.
компонент информационной системы:
 
устройств ввода/вывода (отображения) информации;
Внешнего нарушителя необходимо рассматривать в качестве актуального во всех случаях, когда имеются подключения информационной системы к внешним информационно-телекоммуникационным сетям и (или) имеются линии связи, выходящие за пределы контролируемой зоны, используемые для иных подключений.
беспроводных устройств;
 
программных, программно-технических и технических средств обработки
==б) виды и потенциал нарушителей==
информации;
 
съемных машинных носителей информации;
Угрозы безопасности информации в информационной системе могут быть реализованы следующими видами нарушителей:
машинных носителей информации, выведенных из эксплуатации;
*специальные службы иностранных государств (блоков государств);
активного (коммутационного) и пассивного оборудования каналов связи;
*террористические, экстремистские группировки;
каналов связи, выходящих за пределы контролируемой зоны.
*преступные группы (криминальные структуры);
С учетом наличия прав доступа и возможностей по доступу к информации
*внешние субъекты (физические лица);
и (или) к компонентам информационной системы нарушители подразделяются
*конкурирующие организации;
на два типа:
*разработчики, производители, поставщики программных, технических и программно-технических средств;
11
*лица, привлекаемые для установки, наладки, монтажа, пусконаладочных и иных видов работ;
внешние нарушители (тип I) – лица, не имеющие права доступа к инфор-
*лица, обеспечивающие функционирование информационных систем или обслуживающие инфраструктуру оператора (администрация, охрана, уборщики и т.д.);
мационной системе, ее отдельным компонентам и реализующие угрозы безопас-
*пользователи информационной системы;
ности информации из-за границ информационной системы;
*администраторы информационной системы и администраторы безопасности;
внутренние нарушители (тип II) – лица, имеющие право постоянного или
*бывшие работники (пользователи).
разового доступа к информационной системе, ее отдельным компонентам.
 
Наибольшими возможностями по реализации угроз безопасности обладают
Виды нарушителей, характерных для информационной системы с заданными структурно-функциональными характеристиками и особенностями функционирования, определяются на основе предположений (прогноза) о возможных целях (мотивации) при реализации угроз безопасности информации этими нарушителями.
внутренние нарушители. При оценке возможностей внутренних нарушителей
 
необходимо учитывать принимаемые оператором организационные меры по до-
В качестве возможных целей (мотивации) реализации нарушителями угроз безопасности информации в информационной системе могут быть:
пуску субъектов к работе в информационной системе. Возможности внутреннего
* нанесение ущерба государству, отдельным его сферам деятельности или секторам экономики;
нарушителя существенным образом зависят от установленного порядка допуска
* реализация угроз безопасности информации по идеологическим или политическим мотивам;
физических лиц к информационной системе и ее компонентам, а также мер по
* организация террористического акта;
контролю за доступом и работой этих лиц.
* причинение имущественного ущерба путем мошенничества или иным преступным путем;
Внешнего нарушителя необходимо рассматривать в качестве актуального
* дискредитация или дестабилизация деятельности органов государственной власти, организаций;
во всех случаях, когда имеются подключения информационной системы к внеш-
* получение конкурентных преимуществ;
ним информационно-телекоммуникационным сетям и (или) имеются линии свя-
* внедрение дополнительных функциональных возможностей в программное обеспечение или программно-технические средства на этапе разработки;
зи, выходящие за пределы контролируемой зоны, используемые для иных под-
* любопытство или желание самореализации;
ключений.
* выявление уязвимостей с целью их дальнейшей продажи и получения финансовой выгоды;
б) виды и потенциал нарушителей
* реализация угроз безопасности информации из мести;
Угрозы безопасности информации в информационной системе могут быть
* реализация угроз безопасности информации непреднамеренно из-за неосторожности или неквалифицированных действий.
реализованы следующими видами нарушителей:
 
специальные службы иностранных государств (блоков государств);
Предположения о целях (мотивации) нарушителей делаются с учетом целей и задач информационной системы, вида обрабатываемой информации, а также с учетом результатов оценки степени возможных последствий (ущерба) от нарушения конфиденциальности, целостности или доступности информации.
террористические, экстремистские группировки;
 
преступные группы (криминальные структуры);
Виды нарушителя и их возможные цели (мотивация) реализации угроз безопасности информации приведены в таблице 1.
внешние субъекты (физические лица);
 
конкурирующие организации;
разработчики, производители, поставщики программных, технических и
программно-технических средств;
лица, привлекаемые для установки, наладки, монтажа, пусконаладочных и
иных видов работ;
лица, обеспечивающие функционирование информационных систем или
обслуживающие инфраструктуру оператора (администрация, охрана, уборщики
и т.д.);
пользователи информационной системы;
администраторы информационной системы и администраторы безопасно-
сти;
бывшие работники (пользователи).
Виды нарушителей, характерных для информационной системы с задан-
ными структурно-функциональными характеристиками и особенностями функ-
ционирования, определяются на основе предположений (прогноза) о возможных
целях (мотивации) при реализации угроз безопасности информации этими нару-
шителями.
В качестве возможных целей (мотивации) реализации нарушителями угроз
безопасности информации в информационной системе могут быть:
12
нанесение ущерба государству, отдельным его сферам деятельности или
секторам экономики;
реализация угроз безопасности информации по идеологическим или поли-
тическим мотивам;
организация террористического акта;
причинение имущественного ущерба путем мошенничества или иным пре-
ступным путем;
дискредитация или дестабилизация деятельности органов государственной
власти, организаций;
получение конкурентных преимуществ;
внедрение дополнительных функциональных возможностей в программное
обеспечение или программно-технические средства на этапе разработки;
любопытство или желание самореализации;
выявление уязвимостей с целью их дальнейшей продажи и получения фи-
нансовой выгоды;
реализация угроз безопасности информации из мести;
реализация угроз безопасности информации непреднамеренно из-за не-
осторожности или неквалифицированных действий.
Предположения о целях (мотивации) нарушителей делаются с учетом це-
лей и задач информационной системы, вида обрабатываемой информации, а
также с учетом результатов оценки степени возможных последствий (ущерба) от
нарушения конфиденциальности, целостности или доступности информации.
Виды нарушителя и их возможные цели (мотивация) реализации угроз безопас-
ности информации приведены в таблице 1.
Таблица 1
Таблица 1
Строка 546: Строка 326:
Месть за ранее совершенные
Месть за ранее совершенные
действия
действия
При оценке возможностей нарушителей необходимо исходить из условий,
 
что для повышения своих возможностей нарушители 1 вида могут вступать в
При оценке возможностей нарушителей необходимо исходить из условий, что для повышения своих возможностей нарушители 1 вида могут вступать в сговор с нарушителями 3, 4, 6, 7, 8, 9 и 10 видов. Нарушители 2 вида могут вступать в сговор с нарушителями 4, 7, 8, 9 и 10 видов. Нарушители 3 вида могут вступать в сговор с нарушителями 4, 7, 8, 9 и 10 видов. В случае принятия таких предположений цели (мотивация) и возможности нарушителей подлежат объединению.
сговор с нарушителями 3, 4, 6, 7, 8, 9 и 10 видов. Нарушители 2 вида могут всту-
 
пать в сговор с нарушителями 4, 7, 8, 9 и 10 видов. Нарушители 3 вида могут
Возможности каждого вида нарушителя по реализации угроз безопасности информации характеризуются его потенциалом. Потенциал нарушителя определяется компетентностью, ресурсами и мотивацией, требуемыми для реализации угроз безопасности информации в информационной системе с заданными структурно-функциональными характеристиками и особенностями функционирования.
вступать в сговор с нарушителями 4, 7, 8, 9 и 10 видов. В случае принятия таких
 
предположений цели (мотивация) и возможности нарушителей подлежат объ-
В зависимости от потенциала, требуемого для реализации угроз безопасности информации, нарушители подразделяются на:
единению.
*нарушителей, обладающих базовым (низким) потенциалом нападения при реализации угроз безопасности информации в информационной системе;
Возможности каждого вида нарушителя по реализации угроз безопасности
*нарушителей, обладающих базовым повышенным (средним) потенциалом нападения при реализации угроз безопасности информации в информационной системе;
информации характеризуются его потенциалом. Потенциал нарушителя опреде-
*нарушителей, обладающих высоким потенциалом нападения при реализации угроз безопасности информации в информационной системе.
ляется компетентностью, ресурсами и мотивацией, требуемыми для реализации
 
угроз безопасности информации в информационной системе с заданными струк-
15
турно-функциональными характеристиками и особенностями функционирова-
ния.
В зависимости от потенциала, требуемого для реализации угроз безопас-
ности информации, нарушители подразделяются на:
нарушителей, обладающих базовым (низким) потенциалом нападения при
реализации угроз безопасности информации в информационной системе;
нарушителей, обладающих базовым повышенным (средним) потенциалом
нападения при реализации угроз безопасности информации в информационной
системе;
нарушителей, обладающих высоким потенциалом нападения при реализа-
ции угроз безопасности информации в информационной системе.
Потенциал нарушителей и их возможности приведены в таблице 2.
Потенциал нарушителей и их возможности приведены в таблице 2.
Таблица 2
Таблица 2
№ Потенциал
№ Потенциал
Строка 723: Строка 491:
щейся в виде физических полей или яв-
щейся в виде физических полей или яв-
лений
лений
в) возможные способы реализации угроз безопасности информации
 
Целью определения возможных способов реализации угроз безопасности
==в) возможные способы реализации угроз безопасности информации==
информации является формирование предположений о возможных сценариях
 
реализации угроз безопасности информации, описывающих последовательность
Целью определения возможных способов реализации угроз безопасности информации является формирование предположений о возможных сценариях реализации угроз безопасности информации, описывающих последовательность (алгоритмы) действий отдельных видов нарушителей или групп нарушителей и применяемые ими методы и средства для реализации угроз безопасности информации.
(алгоритмы) действий отдельных видов нарушителей или групп нарушителей и
 
применяемые ими методы и средства для реализации угроз безопасности инфор-
Возможные способы реализации угроз безопасности информации зависят от структурно-функциональных характеристик и особенностей функционирования информационной системы.
мации.
 
Возможные способы реализации угроз безопасности информации зависят
Угрозы безопасности информации могут быть реализованы нарушителями за счет:
от структурно-функциональных характеристик и особенностей функционирова-
*несанкционированного доступа и (или) воздействия на объекты на аппаратном уровне (программы (микропрограммы), «прошитые» в аппаратных компонентах (чипсетах));
ния информационной системы.
*несанкционированного доступа и (или) воздействия на объекты на общесистемном уровне (базовые системы ввода-вывода, гипервизоры, операционные системы);
Угрозы безопасности информации могут быть реализованы нарушителями
*несанкционированного доступа и (или) воздействия на объекты на прикладном уровне (системы управления базами данных, браузеры, web-приложения, иные прикладные программы общего и специального назначения);
за счет:
*несанкционированного доступа и (или) воздействия на объекты на сетевом уровне (сетевое оборудование, сетевые приложения, сервисы);
несанкционированного доступа и (или) воздействия на объекты на аппа-
*несанкционированного физического доступа и (или) воздействия на линии, (каналы) связи, технические средства, машинные носители информации;
ратном уровне (программы (микропрограммы), «прошитые» в аппаратных ком-
*воздействия на пользователей, администраторов безопасности, администраторов информационной системы или обслуживающий персонал (социальная инженерия).
понентах (чипсетах));
 
несанкционированного доступа и (или) воздействия на объекты на обще-
Действия нарушителя в зависимости от его потенциала при реализации угроз безопасности информации предусматривают идентификацию и использование уязвимостей в микропрограммном, общесистемном и прикладном программном обеспечении, сетевом оборудовании, применяемых в информационной системе, а также в организации работ по защите информации и конфигурации информационной системы.
системном уровне (базовые системы ввода-вывода, гипервизоры, операционные
 
системы);
При определении способа реализации угроз безопасности информации необходимо учитывать то, что угрозы безопасности информации могут быть реализованы непосредственно за счет доступа к компонентам информационной системы и (или) информации или опосредовано (косвенно) за счет создания условий и (или) средств, обеспечивающих такой доступ, а также за счет доступа или воздействия на обслуживающую инфраструктуру, за которую оператор не отвечает. При этом локальной целью нарушителя, не имеющего доступа (прав доступа) к компонентам информационной системы и (или) информации, как правило,
несанкционированного доступа и (или) воздействия на объекты на при-
является получение доступа к информационной системе (в том числе через внешние сети связи общего пользования) и получение максимально возможных прав и привилегий при таком доступе.
кладном уровне (системы управления базами данных, браузеры, web-
 
приложения, иные прикладные программы общего и специального назначения);
Нарушители могут совершать действия, следствием которых является нарушение безопасности информации, преднамеренно (преднамеренные грозы безопасности информации) или случайно (непреднамеренные грозы безопасности информации).
несанкционированного доступа и (или) воздействия на объекты на сетевом
 
уровне (сетевое оборудование, сетевые приложения, сервисы);
Преднамеренные действия нарушителей могут заключаться в реализации целенаправленных или нецеленаправленных угроз безопасности информации.
18
 
несанкционированного физического доступа и (или) воздействия на линии,
Целенаправленная угроза безопасности информации направлена на интересующую нарушителя информационную систему с заранее известными ему структурно-функциональными характеристиками и особенностями функционирования. Целенаправленная угроза безопасности информации адаптирована к структурно-функциональным характеристикам информационной системы. При подготовке и реализации целенаправленных угроз безопасности информации нарушитель может использовать методы социальной инженерии, которые позволяют ему изучить поведение пользователей и их реакцию на поступающие к ним внешние данные.
(каналы) связи, технические средства, машинные носители информации;
 
воздействия на пользователей, администраторов безопасности, админи-
Нецеленаправленная («веерная») угроза безопасности информации не ориентирована на конкретную информационную систему. Целями такой угрозы могут являться несанкционированный доступ, перехват управления или воздействие на как можно большее количество информационных систем. В данном случае нарушителю заранее не известны структурно-функциональные характеристики и условия функционирования информационной системы.
страторов информационной системы или обслуживающий персонал (социальная
 
инженерия).
Реализация преднамеренных угроз безопасности информации, как правило, включает:
Действия нарушителя в зависимости от его потенциала при реализации
*сбор информации об информационной системе, ее структурно-функциональных характеристиках, условиях функционирования;
угроз безопасности информации предусматривают идентификацию и использо-
*выбор (разработка, приобретение) методов и средств, используемых для реализации угроз безопасности информации в информационной системе с заданными структурно-функциональными характеристиками и условиями функционирования;
вание уязвимостей в микропрограммном, общесистемном и прикладном про-
*непосредственная реализация угроз безопасности информации в информационной системе (проникновение в информационную систему, закрепление в информационной системе, реализация неправомерных действий);
граммном обеспечении, сетевом оборудовании, применяемых в информацион-
*устранение признаков и следов неправомерных действий в информационной системе.
ной системе, а также в организации работ по защите информации и конфигура-
 
ции информационной системы.
В зависимости от целей и потенциала нарушителя на каждом из этапов могут эксплуатироваться одна или несколько уязвимостей информационной системы.
При определении способа реализации угроз безопасности информации
 
необходимо учитывать то, что угрозы безопасности информации могут быть ре-
При определении возможных способов реализации угроз безопасности информации необходимо исходить из следующих условий:
ализованы непосредственно за счет доступа к компонентам информационной си-
*нарушитель может действовать один или в составе группы нарушителей;
стемы и (или) информации или опосредовано (косвенно) за счет создания усло-
*в отношении информационной системы внешний нарушитель может действовать совместно с внутренним нарушителем;
вий и (или) средств, обеспечивающих такой доступ, а также за счет доступа или
*угрозы могут быть реализованы в любое время и в любой точке информационной системы (на любом узле или хосте);
воздействия на обслуживающую инфраструктуру, за которую оператор не отве-
*для достижения своей цели нарушитель выбирает наиболее слабое звено информационной системы.
чает. При этом локальной целью нарушителя, не имеющего доступа (прав досту-
 
па) к компонентам информационной системы и (или) информации, как правило,
Возможные способы реализации угроз безопасности информации, определенные на основе настоящего раздела, включаются в модель угроз безопасности информации.
является получение доступа к информационной системе (в том числе через
 
внешние сети связи общего пользования) и получение максимально возможных
прав и привилегий при таком доступе.
Нарушители могут совершать действия, следствием которых является
нарушение безопасности информации, преднамеренно (преднамеренные грозы
безопасности информации) или случайно (непреднамеренные грозы безопасно-
сти информации).
Преднамеренные действия нарушителей могут заключаться в реализации
целенаправленных или нецеленаправленных угроз безопасности информации.
Целенаправленная угроза безопасности информации направлена на инте-
ресующую нарушителя информационную систему с заранее известными ему
структурно-функциональными характеристиками и особенностями функциони-
рования. Целенаправленная угроза безопасности информации адаптирована к
структурно-функциональным характеристикам информационной системы. При
подготовке и реализации целенаправленных угроз безопасности информации
нарушитель может использовать методы социальной инженерии, которые позво-
ляют ему изучить поведение пользователей и их реакцию на поступающие к ним
внешние данные.
Нецеленаправленная («веерная») угроза безопасности информации не ори-
ентирована на конкретную информационную систему. Целями такой угрозы мо-
гут являться несанкционированный доступ, перехват управления или воздей-
ствие на как можно большее количество информационных систем. В данном
случае нарушителю заранее не известны структурно-функциональные характе-
ристики и условия функционирования информационной системы.
Реализация преднамеренных угроз безопасности информации, как прави-
ло, включает:
19
сбор информации об информационной системе, ее структурно-
функциональных характеристиках, условиях функционирования;
выбор (разработка, приобретение) методов и средств, используемых для
реализации угроз безопасности информации в информационной системе с задан-
ными структурно-функциональными характеристиками и условиями функцио-
нирования;
непосредственная реализация угроз безопасности информации в информа-
ционной системе (проникновение в информационную систему, закрепление в
информационной системе, реализация неправомерных действий);
устранение признаков и следов неправомерных действий в информацион-
ной системе.
В зависимости от целей и потенциала нарушителя на каждом из этапов мо-
гут эксплуатироваться одна или несколько уязвимостей информационной систе-
мы.
При определении возможных способов реализации угроз безопасности
информации необходимо исходить из следующих условий:
нарушитель может действовать один или в составе группы нарушителей;
в отношении информационной системы внешний нарушитель может дей-
ствовать совместно с внутренним нарушителем;
угрозы могут быть реализованы в любое время и в любой точке информа-
ционной системы (на любом узле или хосте);
для достижения своей цели нарушитель выбирает наиболее слабое звено
информационной системы.
Возможные способы реализации угроз безопасности информации, опреде-
ленные на основе настоящего раздела, включаются в модель угроз безопасности
информации.
20
= ОПРЕДЕЛЕНИЕ АКТУАЛЬНЫХ УГРОЗ БЕЗОПАСНОСТИ ИНФОРМАЦИИ В ИНФОРМАЦИОННОЙ СИСТЕМЕ =
= ОПРЕДЕЛЕНИЕ АКТУАЛЬНЫХ УГРОЗ БЕЗОПАСНОСТИ ИНФОРМАЦИИ В ИНФОРМАЦИОННОЙ СИСТЕМЕ =
Угроза безопасности информации является актуальной (УБИj
 
А
Угроза безопасности информации является актуальной (УБИj А ), если для информационной системы с заданными структурно-функциональными характеристиками и особенностями функционирования существует вероятность реализации рассматриваемой угрозы нарушителем с соответствующим потенциалом и ее реализация приведет к неприемлемым негативным последствиям (ущербу) от нарушения конфиденциальности, целостности или доступности информации.
), если для
 
информационной системы с заданными структурно-функциональными характе-
В качестве показателя актуальности угрозы безопасности информации (УБИj А ) принимается двухкомпонентный вектор, первый компонент которого характеризует вероятность реализации угрозы (Рj), а второй – степень возможного ущерба в случае ее реализации (Хj)
ристиками и особенностями функционирования существует вероятность реали-
 
зации рассматриваемой угрозы нарушителем с соответствующим потенциалом и
УБИj А = [вероятность реализации угрозы (Рj); степень ущерба (Хj)], где Рj определятся на основе анализа статистических данных о частоте реализации угроз безопасности информации (возникновении инцидентов безопасности) в информационной системе и (или) однотипных информационных системах, а Хj определяется на основе оценок степени последствий от нарушения конфиденциальности, целостности или доступности информации.
ее реализация приведет к неприемлемым негативным последствиям (ущербу) от
 
При отсутствии статистических данных о реализации угроз безопасности информации (возникновении инцидентов безопасности) в информационной системе и (или) однотипных информационных системах, актуальность угрозы безопасности информации определяется на основе оценки возможности реализации угрозы безопасности информации (Yj) УБИj А = [возможность реализации угрозы (Yj); степень ущерба (Хj)], где Yj определятся на основе оценки уровня защищенности информационной системы и потенциала нарушителя, требуемого для реализации угрозы безопасности. Хj также определяется на основе оценок степени последствий от
нарушения конфиденциальности, целостности или доступности информации.
нарушения конфиденциальности, целостности или доступности информации.
В качестве показателя актуальности угрозы безопасности информации
 
(УБИj
Актуальность угроз безопасности информации определяется в отношении угроз, для которых экспертным методом определено, что:
А
*возможности (потенциал) нарушителя достаточны для реализации угрозы безопасности информации;
) принимается двухкомпонентный вектор, первый компонент которого
*в информационной системе могут иметься потенциальные уязвимости, которые могут быть использованы при реализации j-ой угрозы безопасности информации;
характеризует вероятность реализации угрозы (Рj), а второй – степень возможно-
*структурно-функциональные характеристики и особенности функционирования информационной системы не исключают возможности применения способов, необходимых для реализации j-ой угрозы безопасности информации (существует сценарий реализации угрозы безопасности);
го ущерба в случае ее реализации (Хj)
*реализация угрозы безопасности информации приведет к нарушению конфиденциальности, целостности или доступности информации, в результате которого возможно возникновение неприемлемых негативных последствий (ущерба).
УБИj
 
А
В качестве исходных данных об угрозах безопасности информации и их характеристиках используется банк данных угроз безопасности информации, сформированный и поддерживаемый ФСТЭК России, а также базовые и типовые модели угроз безопасности информации, разрабатываемые ФСТЭК России для различных классов и типов информационных систем.
= [вероятность реализации угрозы (Рj); степень ущерба (Хj)],
 
где Рj определятся на основе анализа статистических данных о частоте ре-
Для определения угроз безопасности информации могут использоваться иные источники, в том числе опубликованные в общедоступных источниках данные об уязвимостях, компьютерных атаках, вредоносном программном
ализации угроз безопасности информации (возникновении инцидентов безопас-
обеспечении, а также результаты специально проведенных исследований по выявлению угроз безопасности информации. В этом случае потенциал нарушителя, возможные уязвимости, способы реализации угрозы безопасности информации и последствия от ее реализации определяются для каждой угрозы безопасности информации.
ности) в информационной системе и (или) однотипных информационных систе-
==а) оценка вероятности (возможности) реализации угрозы безопасности информации==
мах, а Хj определяется на основе оценок степени последствий от нарушения
 
конфиденциальности, целостности или доступности информации.
Под вероятностью реализации угрозы безопасности информации понимается определяемый экспертным путем показатель, характеризующий, насколько вероятным является реализация j-ой угрозы безопасности информации в информационной системе с заданными структурно-функциональными характеристиками и особенностями функционирования. Вводятся три вербальные градации этого показателя:
При отсутствии статистических данных о реализации угроз безопасности
*низкая вероятность – отсутствуют объективные предпосылки к реализации j-ой угрозы безопасности информации, отсутствует требуемая статистика по фактам реализации j-ой угрозы безопасности информации (возникновения инцидентов безопасности), отсутствует мотивация для реализации j-ой угрозы, возможная частота реализации j-ой угрозы не превышает 1 раза в 5 лет;
информации (возникновении инцидентов безопасности) в информационной си-
*средняя вероятность – существуют предпосылки к реализации j-ой угрозы безопасности информации, зафиксированы случаи реализации j-ой угрозы безопасности информации (возникновения инцидентов безопасности) или имеется иная информация, указывающая на возможность реализации j-ой угрозы безопасности информации, существуют признаки наличия у нарушителя мотивации для реализации такой угрозы, возможная частота реализации j-ой угрозы не превышает 1 раза в год;
стеме и (или) однотипных информационных системах, актуальность угрозы без-
*высокая вероятность – существуют объективные предпосылки к реализации j-ой угрозы безопасности информации, существует достоверная статистика реализации j-ой угрозы безопасности информации (возникновения инцидентов безопасности) или имеется иная информация, указывающая на высокую возможность реализации j-ой угрозы безопасности информации, у нарушителя имеются мотивы для реализации j-ой угрозы, частота реализации j-ой угрозы – чаще 1 раза в год.
опасности информации определяется на основе оценки возможности реализации
 
угрозы безопасности информации (Yj)
В случае отсутствия требуемых данных для оценки вероятности реализации угрозы безопасности информации или наличия сомнений в объективности экспертных оценок при определении вербальных градаций вероятности реализации угроз безопасности информации, актуальность j-ой угрозы безопасности информации определяется на основе оценки возможности ее реализации (Yj).
УБИj
 
А
Возможность реализации j-ой угрозы безопасности информации (Yj) оценивается исходя из уровня защищенности информационной системы (Y1) и потенциала нарушителя (Y2), необходимого для реализации этой угрозы безопасности информации в информационной системе с заданными структурнофункциональными характеристиками и особенностями функционирования:
= [возможность реализации угрозы (Yj); степень ущерба (Хj)],
*Yj = [уровень защищенности (Y1); потенциал нарушителя (Y2)].
где Yj определятся на основе оценки уровня защищенности информацион-
 
ной системы и потенциала нарушителя, требуемого для реализации угрозы без-
При определении угроз безопасности информации на этапе создания информационной системы в случае, когда меры защиты информации не реализованы или не проведена оценка их достаточности и эффективности, оценка возможности реализации j-ой угрозы безопасности информации (Yj) проводится относительно уровня проектной защищенности информационной системы (Y1П):
опасности. Хj также определяется на основе оценок степени последствий от
*Yj = [уровень проектной защищенности (Y1П); потенциал нарушителя (Y2)].
нарушения конфиденциальности, целостности или доступности информации.
 
Актуальность угроз безопасности информации определяется в отношении
Под уровнем проектной защищенности (Y1П) понимается исходная защищенность информационной системы, обусловленная заданными при проектировании структурно-функциональными характеристиками и условиями ее функционирования. Уровень проектной защищенности (Y1П) определяется на основе анализа проектных структурно-функциональных характеристик, приведенных в таблице 3.
угроз, для которых экспертным методом определено, что:
 
возможности (потенциал) нарушителя достаточны для реализации угрозы
Показатели, характеризующие проектную защищенность информационной системы  
безопасности информации;
 
в информационной системе могут иметься потенциальные уязвимости, ко-
торые могут быть использованы при реализации j-ой угрозы безопасности ин-
формации;
структурно-функциональные характеристики и особенности функциони-
рования информационной системы не исключают возможности применения спо-
собов, необходимых для реализации j-ой угрозы безопасности информации (су-
ществует сценарий реализации угрозы безопасности);
21
реализация угрозы безопасности информации приведет к нарушению кон-
фиденциальности, целостности или доступности информации, в результате ко-
торого возможно возникновение неприемлемых негативных последствий (ущер-
ба).
В качестве исходных данных об угрозах безопасности информации и их
характеристиках используется банк данных угроз безопасности информации,
сформированный и поддерживаемый ФСТЭК России, а также базовые и типовые
модели угроз безопасности информации, разрабатываемые ФСТЭК России для
различных классов и типов информационных систем.
Для определения угроз безопасности информации могут использоваться
иные источники, в том числе опубликованные в общедоступных источниках
данные об уязвимостях, компьютерных атаках, вредоносном программном
обеспечении, а также результаты специально проведенных исследований по вы-
явлению угроз безопасности информации. В этом случае потенциал нарушителя,
возможные уязвимости, способы реализации угрозы безопасности информации и
последствия от ее реализации определяются для каждой угрозы безопасности
информации.
а) оценка вероятности (возможности) реализации угрозы безопасности
информации
Под вероятностью реализации угрозы безопасности информации понима-
ется определяемый экспертным путем показатель, характеризующий, насколько
вероятным является реализация j-ой угрозы безопасности информации в инфор-
мационной системе с заданными структурно-функциональными характеристи-
ками и особенностями функционирования. Вводятся три вербальные градации
этого показателя:
низкая вероятность – отсутствуют объективные предпосылки к реализации
j-ой угрозы безопасности информации, отсутствует требуемая статистика по
фактам реализации j-ой угрозы безопасности информации (возникновения инци-
дентов безопасности), отсутствует мотивация для реализации j-ой угрозы, воз-
можная частота реализации j-ой угрозы не превышает 1 раза в 5 лет;
средняя вероятность – существуют предпосылки к реализации j-ой угрозы
безопасности информации, зафиксированы случаи реализации j-ой угрозы без-
опасности информации (возникновения инцидентов безопасности) или имеется
иная информация, указывающая на возможность реализации j-ой угрозы без-
опасности информации, существуют признаки наличия у нарушителя мотивации
для реализации такой угрозы, возможная частота реализации j-ой угрозы не пре-
вышает 1 раза в год;
высокая вероятность – существуют объективные предпосылки к реализа-
ции j-ой угрозы безопасности информации, существует достоверная статистика
реализации j-ой угрозы безопасности информации (возникновения инцидентов
безопасности) или имеется иная информация, указывающая на высокую возмож-
ность реализации j-ой угрозы безопасности информации, у нарушителя имеются
22
мотивы для реализации j-ой угрозы, частота реализации j-ой угрозы – чаще 1 ра-
за в год.
В случае отсутствия требуемых данных для оценки вероятности реализа-
ции угрозы безопасности информации или наличия сомнений в объективности
экспертных оценок при определении вербальных градаций вероятности реализа-
ции угроз безопасности информации, актуальность j-ой угрозы безопасности
информации определяется на основе оценки возможности ее реализации (Yj).
Возможность реализации j-ой угрозы безопасности информации (Yj) оце-
нивается исходя из уровня защищенности информационной системы (Y1) и по-
тенциала нарушителя (Y2), необходимого для реализации этой угрозы безопас-
ности информации в информационной системе с заданными структурно-
функциональными характеристиками и особенностями функционирования:
Yj = [уровень защищенности (Y1); потенциал нарушителя (Y2)].
При определении угроз безопасности информации на этапе создания ин-
формационной системы в случае, когда меры защиты информации не реализова-
ны или не проведена оценка их достаточности и эффективности, оценка возмож-
ности реализации j-ой угрозы безопасности информации (Yj) проводится относи-
тельно уровня проектной защищенности информационной системы (Y1П):
Yj = [уровень проектной защищенности (Y1П); потенциал нарушителя (Y2)].
Под уровнем проектной защищенности (Y1П) понимается исходная защи-
щенность информационной системы, обусловленная заданными при проектиро-
вании структурно-функциональными характеристиками и условиями ее функци-
онирования. Уровень проектной защищенности (Y1П) определяется на основе
анализа проектных структурно-функциональных характеристик, приведенных в
таблице 3.
Показатели, характеризующие проектную
защищенность информационной системы
Таблица 3
Таблица 3
Структурно-функциональные характе-
Структурно-функциональные характе-
Строка 1065: Строка 703:
с сегментированием +
с сегментированием +
+
+
В ходе создания информационной системы уровень ее проектной защи-
 
щенности (Y1П) определяется следующим образом:
В ходе создания информационной системы уровень ее проектной защищенности (Y1П) определяется следующим образом:
а) информационная система имеет высокий уровень проектной защищен-
*а) информационная система имеет высокий уровень проектной защищенности (Y1П), если не менее 80% характеристик информационной системы соответствуют уровню «высокий» (суммируются положительные решения по второму столбцу, соответствующему высокому уровню защищенности), а остальные - среднему уровню защищенности (положительные решения по третьему столбцу);
ности (Y1П), если не менее 80% характеристик информационной системы соот-
*б) информационная система имеет средний уровень проектной защищенности (Y1П), если не выполняются условия по пункту а) и не менее 90% характеристик информационной системы соответствуют уровню не ниже «средний» (берется отношение суммы положительных решений по третьему столбцу, соответствующему среднему уровню защищенности, к общему количеству решений), а остальные - низкому уровню защищенности;
ветствуют уровню «высокий» (суммируются положительные решения по второ-
*в) информационная система имеет низкий уровень проектной защищенности (Y1П), если не выполняются условия по пунктам а) и б).
му столбцу, соответствующему высокому уровню защищенности), а остальные -
 
среднему уровню защищенности (положительные решения по третьему столб-
В соответствии с требованиями о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах, до ввода в эксплуатацию информационной системы должны быть реализованы меры защиты информации, направленные на блокирование (нейтрализацию) актуальных угроз безопасности информации. Таким образом, ввод в эксплуатацию информационной системы осуществляется при условии достижения высокого уровня исходной защищенности информационной системы от нарушителя с заданным потенциалом.
цу);
 
б) информационная система имеет средний уровень проектной защищен-
Вместе с тем, в ходе эксплуатации информационной системы возможно появление новых уязвимостей, повышение потенциала нарушителя, изменение структурно-функциональных характеристик, значимости обрабатываемой информации, особенностей функционирования информационной системы и других условий, приводящих к возникновению новых угроз безопасности информации, которые могут существенно снизить уровень проектной защищенности информационной системы. В этом случае для поддержания уровня защищенности информационной системы в ходе эксплуатации должен проводиться регулярный анализ изменения угроз безопасности информации, а актуальные угрозы безопасности информации подлежат периодической переоценке.
ности (Y1П), если не выполняются условия по пункту а) и не менее 90% характе-
 
ристик информационной системы соответствуют уровню не ниже «средний»
В ходе эксплуатации информационной системы уровень ее защищенности (Y1) определяется следующим образом:
(берется отношение суммы положительных решений по третьему столбцу, соот-
*а) в информационной системе обеспечивается высокий уровень защищенности (Y1), если в ходе эксплуатации информационной системы не появились дополнительные угрозы безопасности информации или в отношении появившихся дополнительных угроз безопасности информации с высокой оперативностью («за минуты») могут быть приняты меры защиты информации, нейтрализующие эти угрозы;
ветствующему среднему уровню защищенности, к общему количеству решений),
*б) в информационной системе обеспечивается средний уровень защищенности (Y1), если в ходе эксплуатации информационной системы появились дополнительные угрозы безопасности информации и в отношении них оперативно («за часы») могут быть приняты меры защиты информации, нейтрализующие эти угрозы;
а остальные - низкому уровню защищенности;
*в) в информационной системе обеспечивается низкий уровень защищенности (Y1), если в ходе эксплуатации информационной системы появились дополнительные угрозы безопасности информации и в отношении них не могут быть с высокой оперативностью или оперативно приняты меры защиты информации, нейтрализующие эти угрозы.
в) информационная система имеет низкий уровень проектной защищенно-
 
сти (Y1П), если не выполняются условия по пунктам а) и б).
Потенциал, требуемый нарушителю для реализации j-ой угрозы безопасности информации, может быть базовым (низким), базовым повышенным (средним) или высоким. Значение потенциала нарушителя (Y2) для j-ой угрозы безопасности информации определяется на основе данных, приведенных в банке данных угроз безопасности информации ФСТЭК России, а также в базовых и типовых моделях угроз безопасности информации, разрабатываемых ФСТЭК России для информационных систем различных классов и типов. В случае отсутствия информации о потенциале нарушителя для реализации j-ой угрозы безопасности значение потенциала (Y2) определяется в соответствии с приложением № 3 к настоящей Методике.
В соответствии с требованиями о защите информации, не составляющей
 
государственную тайну, содержащейся в государственных информационных си-
Возможность реализации j-ой угрозы безопасности информации (Yj) в зависимости от уровня защищенности информационной системы (Y1/Y1П) и потенциала нарушителя (Y2) определяется как высокая, средняя или низкая в соответствии с таблицей 4.
стемах, до ввода в эксплуатацию информационной системы должны быть реали-
 
зованы меры защиты информации, направленные на блокирование (нейтрализа-
===Возможность реализации угрозы безопасности информации Таблица 4===
25
цию) актуальных угроз безопасности информации. Таким образом, ввод в экс-
плуатацию информационной системы осуществляется при условии достижения
высокого уровня исходной защищенности информационной системы от нару-
шителя с заданным потенциалом.
Вместе с тем, в ходе эксплуатации информационной системы возможно
появление новых уязвимостей, повышение потенциала нарушителя, изменение
структурно-функциональных характеристик, значимости обрабатываемой ин-
формации, особенностей функционирования информационной системы и других
условий, приводящих к возникновению новых угроз безопасности информации,
которые могут существенно снизить уровень проектной защищенности инфор-
мационной системы. В этом случае для поддержания уровня защищенности ин-
формационной системы в ходе эксплуатации должен проводиться регулярный
анализ изменения угроз безопасности информации, а актуальные угрозы без-
опасности информации подлежат периодической переоценке.
В ходе эксплуатации информационной системы уровень ее защищенности
(Y1) определяется следующим образом:
а) в информационной системе обеспечивается высокий уровень защищен-
ности (Y1), если в ходе эксплуатации информационной системы не появились
дополнительные угрозы безопасности информации или в отношении появив-
шихся дополнительных угроз безопасности информации с высокой оперативно-
стью («за минуты») могут быть приняты меры защиты информации, нейтрали-
зующие эти угрозы;
б) в информационной системе обеспечивается средний уровень защищен-
ности (Y1), если в ходе эксплуатации информационной системы появились до-
полнительные угрозы безопасности информации и в отношении них оперативно
(«за часы») могут быть приняты меры защиты информации, нейтрализующие эти
угрозы;
в) в информационной системе обеспечивается низкий уровень защищен-
ности (Y1), если в ходе эксплуатации информационной системы появились до-
полнительные угрозы безопасности информации и в отношении них не могут
быть с высокой оперативностью или оперативно приняты меры защиты инфор-
мации, нейтрализующие эти угрозы.
Потенциал, требуемый нарушителю для реализации j-ой угрозы безопас-
ности информации, может быть базовым (низким), базовым повышенным (сред-
ним) или высоким. Значение потенциала нарушителя (Y2) для j-ой угрозы без-
опасности информации определяется на основе данных, приведенных в банке
данных угроз безопасности информации ФСТЭК России, а также в базовых и
типовых моделях угроз безопасности информации, разрабатываемых ФСТЭК
России для информационных систем различных классов и типов. В случае отсут-
ствия информации о потенциале нарушителя для реализации j-ой угрозы без-
опасности значение потенциала (Y2) определяется в соответствии с приложением
№ 3 к настоящей Методике.
Возможность реализации j-ой угрозы безопасности информации (Yj) в за-
висимости от уровня защищенности информационной системы (Y1/Y1П) и потен-
26
циала нарушителя (Y2) определяется как высокая, средняя или низкая в соответ-
ствии с таблицей 4.
Возможность
реализации угрозы безопасности информации
Таблица 4
Уровень защищенности (Y1/Y1П)
Уровень защищенности (Y1/Y1П)
Потенциал нарушителя (Y2)
Потенциал нарушителя (Y2)
Строка 1142: Строка 729:
Базовый повышенный (средний) Средняя Высокая Высокая
Базовый повышенный (средний) Средняя Высокая Высокая
Высокий Высокая Высокая Высокая
Высокий Высокая Высокая Высокая
б) оценка степени возможного ущерба от реализации угрозы безопас-
 
ности информации
==б) оценка степени возможного ущерба от реализации угрозы безопасности информации==
Для оценки степени возможного ущерба от реализации угрозы безопасно-
 
сти информации определяются возможный результат реализации угрозы без-
Для оценки степени возможного ущерба от реализации угрозы безопасности информации определяются возможный результат реализации угрозы безопасности информации в информационной системе, вид ущерба, к которому может привести реализация угрозы безопасности информации, степень последствий от реализации угрозы безопасности информации для каждого вида ущерба.
опасности информации в информационной системе, вид ущерба, к которому мо-
 
жет привести реализация угрозы безопасности информации, степень послед-
В качестве результата реализации угрозы безопасности информации рассматриваются непосредственное или опосредованное воздействие на конфиденциальность, целостность, доступность информации, содержащейся в информационной системе.
ствий от реализации угрозы безопасности информации для каждого вида ущер-
 
ба.
Непосредственное воздействие на конфиденциальность, целостность, доступность информации возможно в результате реализации прямой угрозы безопасности информации. В этом случае объектами воздействия угрозы являются непосредственно информация и (или) иные объекты защиты информационной системы или обеспечивающей инфраструктуры, которые обеспечивают получение, обработку, хранение, передачу, уничтожение информации в информационной системе, в результате доступа к которым или воздействия на которые возможно воздействие на конфиденциальность, целостность или доступность информации.
В качестве результата реализации угрозы безопасности информации рас-
 
сматриваются непосредственное или опосредованное воздействие на конфиден-
Опосредованное воздействие на конфиденциальность, целостность, доступность информации рассматривается в результате реализации косвенных угроз безопасности информации. Реализация косвенных угроз безопасности информации не приводит непосредственно к воздействию на конфиденциальность, целостность, доступность информации, но создает условия для реализации одной или нескольких прямых угроз безопасности информации, позволяющих реализовать такое воздействие. В этом случае в качестве результата реализации косвенной угрозы необходимо рассматривать результаты реализации всех прямых угроз безопасности информации, которые возможно реализовать в случае реализации данной косвенной угрозы.
циальность, целостность, доступность информации, содержащейся в информа-
 
ционной системе.
Результат реализации угрозы безопасности информации определяется воздействием угрозы на каждое свойство безопасности информации (конфиденциальность, целостность, доступность) в отдельности в соответствии с таблицей 5.
Непосредственное воздействие на конфиденциальность, целостность, до-
 
ступность информации возможно в результате реализации прямой угрозы без-
При обработке в информационной системе двух и более видов информации (служебная тайна, персональные данные, налоговая тайна, иные установленные законодательством Российской Федерации виды информации) воздействие на конфиденциальность, целостность, доступность определяется отдельно для каждого вида информации (k, …, m), содержащейся в информационной системе.
опасности информации. В этом случае объектами воздействия угрозы являются
 
непосредственно информация и (или) иные объекты защиты информационной
===Таблица 5===
системы или обеспечивающей инфраструктуры, которые обеспечивают получе-
ние, обработку, хранение, передачу, уничтожение информации в информацион-
ной системе, в результате доступа к которым или воздействия на которые воз-
можно воздействие на конфиденциальность, целостность или доступность ин-
формации.
Опосредованное воздействие на конфиденциальность, целостность, до-
ступность информации рассматривается в результате реализации косвенных
угроз безопасности информации. Реализация косвенных угроз безопасности ин-
формации не приводит непосредственно к воздействию на конфиденциальность,
целостность, доступность информации, но создает условия для реализации од-
ной или нескольких прямых угроз безопасности информации, позволяющих реа-
лизовать такое воздействие. В этом случае в качестве результата реализации
косвенной угрозы необходимо рассматривать результаты реализации всех пря-
27
мых угроз безопасности информации, которые возможно реализовать в случае
реализации данной косвенной угрозы.
Результат реализации угрозы безопасности информации определяется воз-
действием угрозы на каждое свойство безопасности информации (конфиденци-
альность, целостность, доступность) в отдельности в соответствии с таблицей 5.
При обработке в информационной системе двух и более видов информации
(служебная тайна, персональные данные, налоговая тайна, иные установленные
законодательством Российской Федерации виды информации) воздействие на
конфиденциальность, целостность, доступность определяется отдельно для каж-
дого вида информации (k, …, m), содержащейся в информационной системе.
Таблица 5
Свойство
Свойство
безопасности
безопасности
Строка 1229: Строка 791:
формации возможно бло-
формации возможно бло-
кирование информации
кирование информации
При определении степени возможного ущерба необходимо исходить из то-
 
го, что в зависимости от целей и задач, решаемых информационной системой,
При определении степени возможного ущерба необходимо исходить из того, что в зависимости от целей и задач, решаемых информационной системой, видов обрабатываемой информации, воздействие на конфиденциальность, целостность или доступность каждого вида информации, содержащейся в информационной системе, может привести к различным видам ущерба. При этом для разных обладателей информации и операторов будут характерны разные виды ущерба.
видов обрабатываемой информации, воздействие на конфиденциальность, це-
 
лостность или доступность каждого вида информации, содержащейся в инфор-
Основные виды ущерба и возможные негативные последствия, к которым может привести нарушение конфиденциальности, целостности, доступности информации, приведены в таблице 6.
мационной системе, может привести к различным видам ущерба. При этом для
 
разных обладателей информации и операторов будут характерны разные виды
===Таблица 6===
ущерба.
Основные виды ущерба и возможные негативные последствия, к которым
может привести нарушение конфиденциальности, целостности, доступности ин-
формации, приведены в таблице 6.
28
Таблица 6
Вид
Вид
ущерба
ущерба
Строка 1339: Строка 895:
Другие последствия, приводящие к нарушению техноло-
Другие последствия, приводящие к нарушению техноло-
гии обработки информации
гии обработки информации
30
 
Указанные виды ущерба могут дополняться другими видами в зависимо-
Указанные виды ущерба могут дополняться другими видами в зависимости от целей и задач, решаемых информационной системой, а также вида обрабатываемой в ней информации.
сти от целей и задач, решаемых информационной системой, а также вида обра-
 
батываемой в ней информации.
Степень возможного ущерба от реализации угрозы безопасности информации определяется степенью негативных последствий от нарушения конфиденциальности, целостности или доступности каждого вида информации, содержащейся в информационной системе.
Степень возможного ущерба от реализации угрозы безопасности инфор-
 
мации определяется степенью негативных последствий от нарушения конфиден-
Степень негативных последствий от нарушения конфиденциальности, целостности или доступности информации определяется для каждого вида ущерба, зависит от целей и задач, решаемых информационной системой, и может иметь разные значения для разных обладателей информации и операторов. В качестве единой шкалы измерения степени негативных последствий принимаются значения «незначительные», «умеренные» и «существенные» негативные последствия. Каждым оператором определяется в указанной единой шкале измерений степень негативных последствий от нарушения конфиденциальности, целостности или доступности информации применительно ко всем целям и задачам, решаемым информационной системой.
циальности, целостности или доступности каждого вида информации, содержа-
 
щейся в информационной системе.
Степень возможного ущерба определяется экспертным методом в соответствии с таблицей 7.
Степень негативных последствий от нарушения конфиденциальности, це-
 
лостности или доступности информации определяется для каждого вида ущерба,
===Таблица 7===
зависит от целей и задач, решаемых информационной системой, и может иметь
разные значения для разных обладателей информации и операторов. В качестве
единой шкалы измерения степени негативных последствий принимаются значе-
ния «незначительные», «умеренные» и «существенные» негативные послед-
ствия. Каждым оператором определяется в указанной единой шкале измерений
степень негативных последствий от нарушения конфиденциальности, целостно-
сти или доступности информации применительно ко всем целям и задачам, ре-
шаемым информационной системой.
Степень возможного ущерба определяется экспертным методом в соответ-
ствии с таблицей 7.
Таблица 7
Степень
Степень
ущерба
ущерба
Строка 1383: Строка 928:
возможно только с привлечением дополнительных сил и
возможно только с привлечением дополнительных сил и
средств
средств
31
 
При обработке в информационной системе двух и более видов информа-
При обработке в информационной системе двух и более видов информации (служебная тайна, персональные данные, налоговая тайна и иные установленные законодательством Российской Федерации виды информации) степень возможного ущерба определяется отдельно для каждого вида информации (k, …, m), обрабатываемой в информационной системе, применительно к каждому виду ущерба. Итоговая степень возможного ущерба устанавливается по наивысшим значениям степени возможного ущерба, определенным для конфиденциальности, целостности, доступности информации каждого вида информации применительно к каждому виду ущерба.
ции (служебная тайна, персональные данные, налоговая тайна и иные установ-
 
ленные законодательством Российской Федерации виды информации) степень
возможного ущерба определяется отдельно для каждого вида информации
(k, …, m), обрабатываемой в информационной системе, применительно к каждо-
му виду ущерба. Итоговая степень возможного ущерба устанавливается по
наивысшим значениям степени возможного ущерба, определенным для конфи-
денциальности, целостности, доступности информации каждого вида информа-
ции применительно к каждому виду ущерба.
X max(Х ); i К,Ц, Д.
X max(Х ); i К,Ц, Д.
i
i
Строка 1398: Строка 936:
i
i
k  
k  
в) определение актуальности угрозы безопасности информации
 
Решение об актуальности угрозы безопасности информации УБИj
==в) определение актуальности угрозы безопасности информации==
А
 
для
Решение об актуальности угрозы безопасности информации УБИj А для информационной системы с заданными структурно-функциональными характеристиками и условиями функционирования принимается в соответствии с таблицей 8.
информационной системы с заданными структурно-функциональными характе-
 
ристиками и условиями функционирования принимается в соответствии с таб-
===Таблица 8===
лицей 8.
Таблица 8
Вероятность (воз-
Вероятность (воз-
можность) реали-
можность) реали-
Строка 1414: Строка 950:
Средняя неактуальная актуальная актуальная
Средняя неактуальная актуальная актуальная
Высокая актуальная актуальная актуальная
Высокая актуальная актуальная актуальная
32
 
Приложение № 1 к
=Приложение № 1=
Методике определения угроз безопасности
к Методике определения угроз безопасности информации в информационных системах  
информации в информационных системах
 
Рекомендации по формированию
'''Рекомендации по формированию экспертной группы и проведению экспертной оценки при определении угроз безопасности информации'''
экспертной группы и проведению экспертной оценки при
 
определении угроз безопасности информации
Качественное формирование экспертной группы способствует снижению субъективных факторов при оценке угроз безопасности информации. Занижение (ослабление) экспертами прогнозов и предположений при определении угроз может повлечь наступление непрогнозируемого (неожиданного) ущерба в результате реализации угрозы безопасности информации. Завышение экспертами прогнозов и предположений при определении угроз может повлечь за собой неоправданные расходы на нейтрализацию угроз, являющихся неактуальными.
Качественное формирование экспертной группы способствует снижению
 
субъективных факторов при оценке угроз безопасности информации. Занижение
Независимо от результата формирования экспертной группы при оценке угроз безопасности информации существуют субъективные факторы, связанные с психологией принятия решений человеком. Это также может приводить как к занижению (ослаблению), так и к завышению (усилению) экспертами прогнозов и предположений при определении угроз безопасности информации, что в свою очередь может привести к пропуску отдельных угроз безопасности информации или к неоправданным затратам на нейтрализацию неактуальных угроз.
(ослабление) экспертами прогнозов и предположений при определении угроз
 
может повлечь наступление непрогнозируемого (неожиданного) ущерба в ре-
Любое решение, принимаемое экспертами при определении угроз безопасности информации, должно исходить из правил, при которых нарушитель находится в наилучших условиях для реализации угрозы безопасности (принципа «гарантированности»).
зультате реализации угрозы безопасности информации. Завышение экспертами
 
прогнозов и предположений при определении угроз может повлечь за собой не-
==а) формирование экспертной группы==
оправданные расходы на нейтрализацию угроз, являющихся неактуальными.
 
Независимо от результата формирования экспертной группы при оценке
В состав экспертной группы для определения угроз безопасности информации рекомендуется включать экспертов (независимо от того, реализуются ли функции обладателя информации, заказчика и оператора в рамках одной или нескольких организаций):
угроз безопасности информации существуют субъективные факторы, связанные
*от подразделений обладателей информации, содержащейся в информационной системе;
с психологией принятия решений человеком. Это также может приводить как к
*от подразделений оператора информационной системы;
занижению (ослаблению), так и к завышению (усилению) экспертами прогнозов
*от подразделения по защите информации;
и предположений при определении угроз безопасности информации, что в свою
*от лиц, предоставляющих услуги по обработке информации;
очередь может привести к пропуску отдельных угроз безопасности информации
*от разработчика информационной системы;
или к неоправданным затратам на нейтрализацию неактуальных угроз.
*от операторов взаимодействующих внешних информационных систем (по согласованию).
Любое решение, принимаемое экспертами при определении угроз безопас-
 
ности информации, должно исходить из правил, при которых нарушитель нахо-
В качестве экспертов рекомендуется привлекать специалистов, деятельность которых связана с обработкой информации в информационной системе, а также специалистов, имеющие квалификацию и опыт работы в области применения информационных технологий и (или) в области защиты информации.
дится в наилучших условиях для реализации угрозы безопасности (принципа
 
«гарантированности»).
При привлечении в качестве экспертов специалистов от подразделений по защите информации рекомендуется привлекать лиц, имеющих высшее образование или прошедших переподготовку (повышение квалификации) по направлению подготовки «Информационная безопасность», или имеющих не менее трех лет стажа практической работы в своей сфере деятельности.
а) формирование экспертной группы
 
В состав экспертной группы для определения угроз безопасности инфор-
Эксперты должны обладать независимостью, основанной на отсутствии коммерческого и финансового интереса или другого давления, которое может оказать влияние на принимаемые решения. Не рекомендуется формировать экспертную группу из участников, находящихся в прямом подчинении, так как это может негативным образом повлиять на результат определения угроз безопасности информации.
мации рекомендуется включать экспертов (независимо от того, реализуются ли
 
функции обладателя информации, заказчика и оператора в рамках одной или не-
Состав экспертной группы зависит от целей и задач информационной системы, но не должен быть меньше трех экспертов.
скольких организаций):
 
от подразделений обладателей информации, содержащейся в информаци-
==б) проведение экспертной оценки==
онной системе;
 
от подразделений оператора информационной системы;
При проведении экспертной оценки принимаются меры, направленные на снижение уровня субъективности и неопределенности при определении каждой из угроз безопасности информации.
от подразделения по защите информации;
 
от лиц, предоставляющих услуги по обработке информации;
Экспертную оценку рекомендуется проводить в отношении, как минимум, следующих параметров:
от разработчика информационной системы;
*цели реализации угроз безопасности информации (мотивация нарушителей);
от операторов взаимодействующих внешних информационных систем (по
*типы и виды нарушителей;
согласованию).
*уязвимости, которые могут быть использованы для реализации угроз безопасности информации;
В качестве экспертов рекомендуется привлекать специалистов, деятель-
*способы реализации угроз безопасности информации;
ность которых связана с обработкой информации в информационной системе, а  
*степень воздействия угрозы безопасности информации на каждое из свойств безопасности информации;
33
*последствия от реализации угроз безопасности информации;
также специалистов, имеющие квалификацию и опыт работы в области приме-
*вероятность реализации угроз безопасности информации;
нения информационных технологий и (или) в области защиты информации.
*уровень защищенности информационной системы;
При привлечении в качестве экспертов специалистов от подразделений по
*потенциал нарушителя, требуемый для реализации угрозы безопасности информации (в случае отсутствия потенциала в банке данных угроз безопасности информации).
защите информации рекомендуется привлекать лиц, имеющих высшее образова-
 
ние или прошедших переподготовку (повышение квалификации) по направле-
Оценку параметров рекомендуется проводить опросным методом с составлением анкеты, в которой указываются вопросы и возможные варианты ответа в единой принятой шкале измерений («низкий», «средний», «высокий» или «да», «нет» или иные шкалы). При этом вопросы должны быть четкими и однозначно трактуемыми, предполагать однозначные ответы.
нию подготовки «Информационная безопасность», или имеющих не менее трех
 
лет стажа практической работы в своей сфере деятельности.
Эксперты должны обладать независимостью, основанной на отсутствии
коммерческого и финансового интереса или другого давления, которое может
оказать влияние на принимаемые решения. Не рекомендуется формировать экс-
пертную группу из участников, находящихся в прямом подчинении, так как это
может негативным образом повлиять на результат определения угроз безопасно-
сти информации.
Состав экспертной группы зависит от целей и задач информационной си-
стемы, но не должен быть меньше трех экспертов.
б) проведение экспертной оценки
При проведении экспертной оценки принимаются меры, направленные на
снижение уровня субъективности и неопределенности при определении каждой
из угроз безопасности информации.
Экспертную оценку рекомендуется проводить в отношении, как минимум,
следующих параметров:
цели реализации угроз безопасности информации (мотивация нарушите-
лей);
типы и виды нарушителей;
уязвимости, которые могут быть использованы для реализации угроз без-
опасности информации;
способы реализации угроз безопасности информации;
степень воздействия угрозы безопасности информации на каждое из
свойств безопасности информации;
последствия от реализации угроз безопасности информации;
вероятность реализации угроз безопасности информации;
уровень защищенности информационной системы;
потенциал нарушителя, требуемый для реализации угрозы безопасности
информации (в случае отсутствия потенциала в банке данных угроз безопасно-
сти информации).
Оценку параметров рекомендуется проводить опросным методом с состав-
лением анкеты, в которой указываются вопросы и возможные варианты ответа в
единой принятой шкале измерений («низкий», «средний», «высокий» или «да»,
«нет» или иные шкалы). При этом вопросы должны быть четкими и однозначно
трактуемыми, предполагать однозначные ответы.
Опрос экспертов включает следующие этапы:
Опрос экспертов включает следующие этапы:
каждый эксперт проводит оценку оцениваемого параметра (рекомендуется
*каждый эксперт проводит оценку оцениваемого параметра (рекомендуется не мене двух раундов оценки), результаты которой заносятся в таблицу 1.1;
не мене двух раундов оценки), результаты которой заносятся в таблицу 1.1;
*после оценки каждым из экспертов отбрасываются минимальные и максимальные значения;
34
*определяется среднее значение оцениваемого параметра в каждом раунде;
после оценки каждым из экспертов отбрасываются минимальные и макси-
*определяется итоговое среднее значение оцениваемого параметра.
мальные значения;
 
определяется среднее значение оцениваемого параметра в каждом раунде;
===Пример таблицы результатов оценки параметров===
определяется итоговое среднее значение оцениваемого параметра.
Пример таблицы результатов оценки параметров
Таблица 1.1
Таблица 1.1
Эксперты Значение оцениваемого
Эксперты Значение оцениваемого
Строка 1513: Строка 1013:
Эксперт n
Эксперт n
Итоговое значение
Итоговое значение
35
 
Приложение № 2 к
=Приложение № 2=
Методике определения угроз безопасности
к Методике определения угроз безопасности информации в информационных системах
информации в информационных системах
 
Структура модели угроз безопасности информации
'''Структура модели угроз безопасности информации'''
 
Модель угроз безопасности информации содержит следующие разделы:
Модель угроз безопасности информации содержит следующие разделы:
1. Общие положения.
1. Общие положения.
2. Описание информационной системы и особенностей ее функционирова-
 
ния.
2. Описание информационной системы и особенностей ее функционирования.
 
2.1. Цель и задачи, решаемые информационной системой.
2.1. Цель и задачи, решаемые информационной системой.
2.2. Описание структурно-функциональных характеристик информацион-
 
ной системы.
2.2. Описание структурно-функциональных характеристик информационной системы.
 
2.3. Описание технологии обработки информации.
2.3. Описание технологии обработки информации.
3. Возможности нарушителей (модель нарушителя).
3. Возможности нарушителей (модель нарушителя).
3.1. Типы и виды нарушителей.
3.1. Типы и виды нарушителей.
3.2. Возможные цели и потенциал нарушителей.
3.2. Возможные цели и потенциал нарушителей.
3.3. Возможные способы реализации угроз безопасности информации.
3.3. Возможные способы реализации угроз безопасности информации.
4. Актуальные угрозы безопасности информации.
4. Актуальные угрозы безопасности информации.
Приложения (при необходимости).
Приложения (при необходимости).
Раздел «Общие положения» содержит назначение и область действия до-
 
кумента, информацию о полном наименовании информационной системы, для
Раздел «Общие положения» содержит назначение и область действия документа, информацию о полном наименовании информационной системы, для которой разработана модель угроз безопасности информации, а также информацию об использованных для разработки модели угроз безопасности информации нормативных и методических документах, национальных стандартах. В данный раздел также включается информация об используемых данных и источниках, на основе которых определяются угрозы безопасности информации (документация, исходные тексты программ, опросы персонала, журналы регистрации средств защиты, отчеты об аудите и иные источники).
которой разработана модель угроз безопасности информации, а также информа-
 
цию об использованных для разработки модели угроз безопасности информации
Раздел «Описание информационной системы и особенностей ее функционирования» содержит общую характеристику информационной системы, описание структурно-функциональных характеристик информационной системы, описание взаимосвязей между сегментами информационной системы, описание взаимосвязей с другими информационными системами и информационно-телекоммуникационными сетями, описание технологии обработки информации.
нормативных и методических документах, национальных стандартах. В данный
 
раздел также включается информация об используемых данных и источниках, на
Также в данном разделе приводятся предположения, касающиеся информационной системы и особенностей ее функционирования (в частности предположения об отсутствии неучтенных беспроводных каналов доступа или динамичность выделения адресов узлам информационной системы, иные предположения). В раздел включаются любые ограничения, касающиеся информационной системы и особенностей ее функционирования.
основе которых определяются угрозы безопасности информации (документация,
 
исходные тексты программ, опросы персонала, журналы регистрации средств
Раздел «Возможности нарушителей (модель нарушителя)» содержит описание типов, видов, потенциала и мотивации нарушителей, от которых необходимо обеспечить защиту информации в информационной системе, способов реализации угроз безопасности информации. В данный раздел также включаются предположения, касающиеся нарушителей (в частности предположение об отсутствии у нарушителя возможности доступа к оборудованию, сделанному на заказ и применяемому при реализации угрозы, предположение о наличии (отсутствии) сговора между внешними и внутренними нарушителями или иные предположения). В раздел включаются любые ограничения, касающиеся определения нарушителей (в частности исключение администраторов информационной системы или администраторов безопасности из числа потенциальных нарушителей или иные предположения).
защиты, отчеты об аудите и иные источники).
 
Раздел «Описание информационной системы и особенностей ее функцио-
Раздел «Актуальные угрозы безопасности информации» содержит описание актуальных угроз безопасности, включающее наименование угрозы безопасности информации, возможности нарушителя по реализации угрозы, используемые уязвимости информационной системы, описание способов реализации угрозы безопасности информации, объекты воздействия, возможные результат и последствия от реализации угрозы безопасности информации.
нирования» содержит общую характеристику информационной системы, описа-
 
ние структурно-функциональных характеристик информационной системы, опи-
=Приложение № 3=
сание взаимосвязей между сегментами информационной системы, описание вза-
к Методике определения угроз безопасности информации в информационных системах  
имосвязей с другими информационными системами и информационно-
 
телекоммуникационными сетями, описание технологии обработки информации.
'''Определение потенциала нарушителя, необходимого для реализации угрозы безопасности информации в информационной системе'''
Также в данном разделе приводятся предположения, касающиеся информацион-
 
ной системы и особенностей ее функционирования (в частности предположения
Настоящее приложение применяется для определения потенциала, необходимого для реализации угрозы безопасности информации, данные по которой отсутствуют в банке данных угроз безопасности информации, и характеристики которых определяются на основе иных источников или результатов исследований.
об отсутствии неучтенных беспроводных каналов доступа или динамичность
 
выделения адресов узлам информационной системы, иные предположения). В
Приведенный подход к оценке потенциала нарушителя направлен на снижение уровня субъективности и неопределенности при оценке потенциала нарушителя, который требуется для реализации угрозы безопасности информации в информационной системе с заданными структурно-функциональными характеристиками и особенностями функционирования.
раздел включаются любые ограничения, касающиеся информационной системы
 
и особенностей ее функционирования.
Раздел «Возможности нарушителей (модель нарушителя)» содержит опи-
сание типов, видов, потенциала и мотивации нарушителей, от которых необхо-
димо обеспечить защиту информации в информационной системе, способов реа-
36
лизации угроз безопасности информации. В данный раздел также включаются
предположения, касающиеся нарушителей (в частности предположение об от-
сутствии у нарушителя возможности доступа к оборудованию, сделанному на
заказ и применяемому при реализации угрозы, предположение о наличии (отсут-
ствии) сговора между внешними и внутренними нарушителями или иные пред-
положения). В раздел включаются любые ограничения, касающиеся определения
нарушителей (в частности исключение администраторов информационной си-
стемы или администраторов безопасности из числа потенциальных нарушителей
или иные предположения).
Раздел «Актуальные угрозы безопасности информации» содержит описа-
ние актуальных угроз безопасности, включающее наименование угрозы безопас-
ности информации, возможности нарушителя по реализации угрозы, используе-
мые уязвимости информационной системы, описание способов реализации угро-
зы безопасности информации, объекты воздействия, возможные результат и по-
следствия от реализации угрозы безопасности информации.
37
Приложение № 3 к
Методике определения угроз безопасности
информации в информационных системах
Определение
потенциала нарушителя, необходимого для реализации угрозы без-
опасности информации в информационной системе
Настоящее приложение применяется для определения потенциала, необхо-
димого для реализации угрозы безопасности информации, данные по которой
отсутствуют в банке данных угроз безопасности информации, и характеристики
которых определяются на основе иных источников или результатов исследова-
ний.
Приведенный подход к оценке потенциала нарушителя направлен на сни-
жение уровня субъективности и неопределенности при оценке потенциала
нарушителя, который требуется для реализации угрозы безопасности информа-
ции в информационной системе с заданными структурно-функциональными ха-
рактеристиками и особенностями функционирования.
Исходными данными для определения потенциала нарушителя являются:
Исходными данными для определения потенциала нарушителя являются:
данные об аппаратном, общесистемном и прикладном программном обес-
*данные об аппаратном, общесистемном и прикладном программном обеспечении, применяемых информационных технологиях, особенностях функционирования информационной системы;
печении, применяемых информационных технологиях, особенностях функцио-
*данные об уязвимостях в аппаратном, общесистемном и прикладном программном обеспечении, опубликованные в различных базах данных уязвимостей, полученные в результате исследований (тестировании) или полученные от уполномоченных федеральных органов исполнительной власти и организаций.
нирования информационной системы;
 
данные об уязвимостях в аппаратном, общесистемном и прикладном про-
При оценке потенциала нарушителя необходимо исходить из того, что для успешного достижения целей реализации угроз безопасности информации, нарушителю необходимо осуществить подготовку к реализации угрозы и непосредственно реализацию угрозы безопасности информации. При этом не единственным, но необходимым условием на этапе подготовки к реализации угрозы безопасности информации является идентификация уязвимостей в информационной системе, а на этапе реализации угрозы безопасности информации – использование уязвимостей информационной системы.
граммном обеспечении, опубликованные в различных базах данных уязвимо-
 
стей, полученные в результате исследований (тестировании) или полученные от
Таким образом, для определения потенциала нарушителя необходимо оценить возможности нарушителя идентифицировать уязвимости и использовать их в информационной системе в ходе подготовки к реализации и непосредственно в ходе реализации угрозы безопасности информации. Для проведения указанной оценки делается предположение о наличии уязвимостей, которые потенциально содержатся в информационной системе и могут быть использованы для реализации угрозы безопасности информации.
уполномоченных федеральных органов исполнительной власти и организаций.
 
При оценке потенциала нарушителя необходимо исходить из того, что для
Потенциальные уязвимости определяются для каждого класса и типа программного обеспечения и для каждого узла (хоста) информационной системы исходя из условия, что для реализации угрозы безопасности информации нарушителю необходимо идентифицировать и использовать как минимум одну уязвимость на каждом узле и хосте.
успешного достижения целей реализации угроз безопасности информации,
 
нарушителю необходимо осуществить подготовку к реализации угрозы и непо-
В качестве исходных данных для определения потенциальных уязвимостей используются данные по составу информационной системы и особенностям ее функционирования, а также данные об уязвимостях в этом программном обеспечении, опубликованные в общедоступных источниках, полученные по результатам исследований и (или) полученные от уполномоченных органов и организаций.
средственно реализацию угрозы безопасности информации. При этом не един-
 
ственным, но необходимым условием на этапе подготовки к реализации угрозы
Для каждой выявленной потенциальной уязвимости проводится оценка возможностей ее идентификации и использования в информационной системе нарушителем, обладающим определенными возможностями и для каждого из
безопасности информации является идентификация уязвимостей в информаци-
онной системе, а на этапе реализации угрозы безопасности информации – ис-
пользование уязвимостей информационной системы.
Таким образом, для определения потенциала нарушителя необходимо оце-
нить возможности нарушителя идентифицировать уязвимости и использовать их
в информационной системе в ходе подготовки к реализации и непосредственно в
ходе реализации угрозы безопасности информации. Для проведения указанной
оценки делается предположение о наличии уязвимостей, которые потенциально
содержатся в информационной системе и могут быть использованы для реализа-
ции угрозы безопасности информации.
Потенциальные уязвимости определяются для каждого класса и типа про-
граммного обеспечения и для каждого узла (хоста) информационной системы
исходя из условия, что для реализации угрозы безопасности информации нару-
38
шителю необходимо идентифицировать и использовать как минимум одну уяз-
вимость на каждом узле и хосте.
В качестве исходных данных для определения потенциальных уязвимостей
используются данные по составу информационной системы и особенностям ее
функционирования, а также данные об уязвимостях в этом программном обеспе-
чении, опубликованные в общедоступных источниках, полученные по результа-
там исследований и (или) полученные от уполномоченных органов и организа-
ций.
Для каждой выявленной потенциальной уязвимости проводится оценка
возможностей ее идентификации и использования в информационной системе
нарушителем, обладающим определенными возможностями и для каждого из
возможных сценариев реализации угрозы безопасности информации.
возможных сценариев реализации угрозы безопасности информации.
Оценка возможностей нарушителя по идентификации и использованию
 
уязвимости в информационной системе проводится по результатам определения
Оценка возможностей нарушителя по идентификации и использованию уязвимости в информационной системе проводится по результатам определения следующих показателей:
следующих показателей:
*время, затрачиваемое нарушителем на идентификацию и использование уязвимости (затрачиваемое время);
время, затрачиваемое нарушителем на идентификацию и использование
*техническая компетентность нарушителя;
уязвимости (затрачиваемое время);
*знание нарушителем проекта и информационной системы;
техническая компетентность нарушителя;
*оснащенность нарушителя;
знание нарушителем проекта и информационной системы;
*возможности нарушителя по доступу к информационной системе.
оснащенность нарушителя;
 
возможности нарушителя по доступу к информационной системе.
Во многих случаях указанные показатели являются зависимыми и могут в различной степени заменять друг друга. В частности, показатели технической
Во многих случаях указанные показатели являются зависимыми и могут в
компетентности или оснащенности могут заменяться показателем затрачиваемого времени.
различной степени заменять друг друга. В частности, показатели технической
 
компетентности или оснащенности могут заменяться показателем затрачиваемо-
==а) определение показателя «затрачиваемое время»==
го времени.
 
а) определение показателя «затрачиваемое время»
Показатель «затрачиваемое время» характеризует время, непрерывно затрачиваемое нарушителем для идентификации и использования уязвимости для реализации угрозы безопасности информации.
Показатель «затрачиваемое время» характеризует время, непрерывно за-
 
трачиваемое нарушителем для идентификации и использования уязвимости для
Показатель «затрачиваемое время» может принимать значения «за минуты», «за часы», «за дни» или «за месяцы».
реализации угрозы безопасности информации.
 
Показатель «затрачиваемое время» может принимать значения «за мину-
Значение «за минуты» присваивается, если для реализации угрозы безопасности информации нарушитель затратит менее получаса на идентификацию и использование уязвимости.
ты», «за часы», «за дни» или «за месяцы».
 
Значение «за минуты» присваивается, если для реализации угрозы без-
Значение «за часы» присваивается, если для реализации угрозы безопасности информации нарушитель затратит менее чем один день на идентификацию и использование уязвимости.
опасности информации нарушитель затратит менее получаса на идентификацию
 
и использование уязвимости.
Значение «за дни» присваивается, если для реализации угрозы безопасности информации нарушитель затратит менее чем один месяц на идентификацию и использование уязвимости.
Значение «за часы» присваивается, если для реализации угрозы безопасно-
 
сти информации нарушитель затратит менее чем один день на идентификацию и
Значение «за месяцы» присваивается, если для реализации угрозы безопасности информации нарушитель затратит, как минимум, месяц на идентификацию и использование уязвимости.
использование уязвимости.
 
Значение «за дни» присваивается, если для реализации угрозы безопасно-
==б) определение показателя «техническая компетентность нарушителя»==
сти информации нарушитель затратит менее чем один месяц на идентификацию
 
и использование уязвимости.
Показатель «техническая компетентность нарушителя» характеризует, каким уровнем знаний и подготовкой в области информационных технологий и защиты информации должен обладать нарушитель, чтобы идентифицировать и использовать уязвимости для реализации угрозы безопасности информации.
Значение «за месяцы» присваивается, если для реализации угрозы без-
 
опасности информации нарушитель затратит, как минимум, месяц на идентифи-
Показатель «техническая компетентность нарушителя» может принимать значения «специалист», «профессионал» или «непрофессионал».
кацию и использование уязвимости.
 
39
Значение «профессионал» присваивается, если нарушитель имеет хорошую осведомленность о мерах защиты информации, применяемых в информационной системе, об алгоритмах, аппаратных и программных средствах, используемых в информационной системе, а также обладает специальными знаниями о методах и средствах выявления новых уязвимостей и способах реализации угроз безопасности информации для информационных систем данного типа.
б) определение показателя «техническая компетентность нарушителя»
 
Показатель «техническая компетентность нарушителя» характеризует, ка-
Значение «специалист» присваивается, если нарушитель имеет осведомленность о мерах защиты информации, применяемых в информационной системе данного типа.
ким уровнем знаний и подготовкой в области информационных технологий и
 
защиты информации должен обладать нарушитель, чтобы идентифицировать и
Значение «непрофессионал» присваивается, если нарушитель имеет слабую осведомленность (по сравнению со специалистами или профессионалами) о мерах защиты информации, применяемых в информационных системах данного типа, и не обладает специальными знаниями по реализации угроз безопасности информации.
использовать уязвимости для реализации угрозы безопасности информации.
 
Показатель «техническая компетентность нарушителя» может принимать
==в) определение показателя «знание нарушителем проекта и информационной системы»==
значения «специалист», «профессионал» или «непрофессионал».
 
Значение «профессионал» присваивается, если нарушитель имеет хоро-
Показатель «знание нарушителем проекта и информационной системы» характеризует, какие сведения об информационной системе и условиях ее эксплуатации доступны нарушителю, чтобы идентифицировать и использовать уязвимости для реализации угрозы безопасности информации.
шую осведомленность о мерах защиты информации, применяемых в информа-
 
ционной системе, об алгоритмах, аппаратных и программных средствах, исполь-
Показатель «знание нарушителем проекта и информационной системы» может принимать значения «отсутствие знаний», «ограниченные знания» или «знание чувствительной информации».
зуемых в информационной системе, а также обладает специальными знаниями о
 
методах и средствах выявления новых уязвимостей и способах реализации угроз
Значение «отсутствие знаний» присваивается, если в результате принятия мер по защите информации нарушителю не может стать известно о структурно-функциональных характеристиках информационной системы, системе защиты информации информационной системы, а также об иной информации по разработке (проектированию) и эксплуатации информационной системы, включая сведения из конструкторской, проектной и эксплуатационной документации.
безопасности информации для информационных систем данного типа.
 
Значение «специалист» присваивается, если нарушитель имеет осведом-
При этом может быть доступна информация о целях и задачах, решаемых информационной системой. Данный показатель также присваивается, если сведения об информационной системе отнесены к информации ограниченного доступа и не могут быть доступны для неограниченного круга лиц.
ленность о мерах защиты информации, применяемых в информационной систе-
 
ме данного типа.
Значение «ограниченные знания» присваивается, если нарушителю наряду с информацией о целях и задачах, решаемых информационной системой, может стать известна только эксплуатационная документация на информационную систему (в частности руководство пользователя и (или) правила эксплуатации информационной системы).
Значение «непрофессионал» присваивается, если нарушитель имеет сла-
 
бую осведомленность (по сравнению со специалистами или профессионалами) о
Значение «знание чувствительной информации» присваивается, если нарушителю может стать известны конструкторская (проектная) и эксплуатационная документация на информационную систему, информация о структурно-функциональных характеристиках информационной системы, системе защиты информационной системы.
мерах защиты информации, применяемых в информационных системах данного
 
типа, и не обладает специальными знаниями по реализации угроз безопасности
==г) определение показателя «возможности нарушителя по доступу к информационной системе»==
информации.
 
в) определение показателя «знание нарушителем проекта и информа-
Показатель «возможности нарушителя по доступу к информационной системе» характеризует, как долго по времени нарушитель должен иметь возможность доступа к информационной системе для идентификации и использования уязвимостей для реализации угроз безопасности информации.
ционной системы»
 
Показатель «знание нарушителем проекта и информационной системы»
Показатель «возможности нарушителя по доступу к информационной системе» может принимать значения «за минуты», «за часы», «за дни» или «за месяцы».
характеризует, какие сведения об информационной системе и условиях ее экс-
 
плуатации доступны нарушителю, чтобы идентифицировать и использовать уяз-
Значение «за минуты» присваивается, если для идентификации и использования уязвимости для реализации угрозы безопасности информации нарушителю требуется доступ менее получаса.
вимости для реализации угрозы безопасности информации.
 
Показатель «знание нарушителем проекта и информационной системы»
Значение «за часы» присваивается, если для идентификации и использования уязвимости для реализации угрозы безопасности информации нарушителю требуется доступ менее одного дня.
может принимать значения «отсутствие знаний», «ограниченные знания» или
 
«знание чувствительной информации».
Значение «за дни» присваивается, если для идентификации и использования уязвимости для реализации угрозы безопасности информации нарушителю требуется доступ менее одного месяца.
Значение «отсутствие знаний» присваивается, если в результате принятия
 
мер по защите информации нарушителю не может стать известно о структурно-
Значение «за месяцы» присваивается, если для идентификации и использования уязвимости для реализации угрозы безопасности информации нарушителю требуется доступ более одного месяца.
функциональных характеристиках информационной системы, системе защиты
 
информации информационной системы, а также об иной информации по разра-
Показатель «возможности нарушителя по доступу к информационной системе» взаимосвязан с показателем «затраченное время». Идентификация и использование уязвимости при реализации угрозы безопасности информации могут требовать продолжительного времени по доступу к информационной системе, что увеличивает возможность обнаружения уязвимости. В отдельных случаях продолжительный доступ к информационной системе не требуется (методы и средства реализации угроз безопасности разрабатываются автономно), но при этом требуется кратковременный доступ к информационной системе.
ботке (проектированию) и эксплуатации информационной системы, включая
 
сведения из конструкторской, проектной и эксплуатационной документации.
==д) определение показателя «оснащенность нарушителя»==
При этом может быть доступна информация о целях и задачах, решаемых ин-
 
формационной системой. Данный показатель также присваивается, если сведе-
Показатель «оснащенность нарушителя» характеризует, какие программные и (или) программно-технические средства требуются нарушителю для идентификации и использования уязвимостей для реализации угроз безопасности информации.
ния об информационной системе отнесены к информации ограниченного досту-
 
па и не могут быть доступны для неограниченного круга лиц.
Показатель «оснащенность нарушителя» может принимать значения «стандартное оборудование», «специализированное оборудование» или «оборудование, сделанное на заказ».
40
 
Значение «ограниченные знания» присваивается, если нарушителю наряду
Значение «стандартное оборудование» присваивается, если для идентификации или использования уязвимостей при реализации угрозы безопасности информации требуются программные (программно-технические) средства, легко доступные для нарушителя. К таким средствам, в первую очередь, относятся программные средства непосредственно информационной системы (отладчик в операционной системе, средства разработки и иные), программные средства, которые могут быть легко получены (программы, имеющиеся в свободном доступе в сети Интернет) или имеются простые сценарии реализации угроз.
с информацией о целях и задачах, решаемых информационной системой, может
 
стать известна только эксплуатационная документация на информационную си-
Значение «специализированное оборудование» присваивается, если для идентификации или использования уязвимостей при реализации угрозы безопасности информации требуются программные (программно-технические)
стему (в частности руководство пользователя и (или) правила эксплуатации ин-
средства, которые отсутствуют в свободном доступе, но могут быть приобретены нарушителем без значительных усилий. К таким средствам, в первую очередь, относятся программные (программно-технические) средства, которые имеются в продаже (анализаторы кода, анализаторы протоколов и иные) или требуется разработка более сложных программ и сценариев реализации угрозы.
формационной системы).
 
Значение «знание чувствительной информации» присваивается, если
Оборудование может быть закуплено, либо, например, могут быть использованы компьютеры, объединенные через сеть Интернет (бот-сети).
нарушителю может стать известны конструкторская (проектная) и эксплуатаци-
 
онная документация на информационную систему, информация о структурно-
Значение «оборудование, сделанное на заказ» присваивается, если для идентификации или использования уязвимостей при реализации угрозы безопасности информации требуются программные (программно-технические)
функциональных характеристиках информационной системы, системе защиты
средства, которые недоступны широкому кругу лиц, так как требуется их специальная разработка с привлечением исследовательских организаций, или распространение этих средств контролируется в соответствии с законодательством. К такому оборудованию также относится дорогостоящие средства или средства, сведения о которых относятся к информации ограниченного доступа.
информационной системы.
 
г) определение показателя «возможности нарушителя по доступу к
С целью вычисления потенциала нарушителя определяются числовые значения указанных показателей в соответствии с таблицей 3.1.
информационной системе»
 
Показатель «возможности нарушителя по доступу к информационной си-
===Таблица 3.1===
стеме» характеризует, как долго по времени нарушитель должен иметь возмож-
ность доступа к информационной системе для идентификации и использования
уязвимостей для реализации угроз безопасности информации.
Показатель «возможности нарушителя по доступу к информационной си-
стеме» может принимать значения «за минуты», «за часы», «за дни» или «за ме-
сяцы».
Значение «за минуты» присваивается, если для идентификации и исполь-
зования уязвимости для реализации угрозы безопасности информации наруши-
телю требуется доступ менее получаса.
Значение «за часы» присваивается, если для идентификации и использова-
ния уязвимости для реализации угрозы безопасности информации нарушителю
требуется доступ менее одного дня.
Значение «за дни» присваивается, если для идентификации и использова-
ния уязвимости для реализации угрозы безопасности информации нарушителю
требуется доступ менее одного месяца.
Значение «за месяцы» присваивается, если для идентификации и использо-
вания уязвимости для реализации угрозы безопасности информации нарушите-
лю требуется доступ более одного месяца.
Показатель «возможности нарушителя по доступу к информационной си-
стеме» взаимосвязан с показателем «затраченное время». Идентификация и ис-
пользование уязвимости при реализации угрозы безопасности информации мо-
гут требовать продолжительного времени по доступу к информационной систе-
ме, что увеличивает возможность обнаружения уязвимости. В отдельных случа-
ях продолжительный доступ к информационной системе не требуется (методы и
средства реализации угроз безопасности разрабатываются автономно), но при
этом требуется кратковременный доступ к информационной системе.
41
д) определение показателя «оснащенность нарушителя»
Показатель «оснащенность нарушителя» характеризует, какие программ-
ные и (или) программно-технические средства требуются нарушителю для иден-
тификации и использования уязвимостей для реализации угроз безопасности
информации.
Показатель «оснащенность нарушителя» может принимать значения
«стандартное оборудование», «специализированное оборудование» или «обору-
дование, сделанное на заказ».
Значение «стандартное оборудование» присваивается, если для идентифи-
кации или использования уязвимостей при реализации угрозы безопасности ин-
формации требуются программные (программно-технические) средства, легко
доступные для нарушителя. К таким средствам, в первую очередь, относятся
программные средства непосредственно информационной системы (отладчик в
операционной системе, средства разработки и иные), программные средства, ко-
торые могут быть легко получены (программы, имеющиеся в свободном доступе
в сети Интернет) или имеются простые сценарии реализации угроз.
Значение «специализированное оборудование» присваивается, если для
идентификации или использования уязвимостей при реализации угрозы без-
опасности информации требуются программные (программно-технические)
средства, которые отсутствуют в свободном доступе, но могут быть приобрете-
ны нарушителем без значительных усилий. К таким средствам, в первую оче-
редь, относятся программные (программно-технические) средства, которые
имеются в продаже (анализаторы кода, анализаторы протоколов и иные) или
требуется разработка более сложных программ и сценариев реализации угрозы.
Оборудование может быть закуплено, либо, например, могут быть использованы
компьютеры, объединенные через сеть Интернет (бот-сети).
Значение «оборудование, сделанное на заказ» присваивается, если для
идентификации или использования уязвимостей при реализации угрозы без-
опасности информации требуются программные (программно-технические)
средства, которые недоступны широкому кругу лиц, так как требуется их специ-
альная разработка с привлечением исследовательских организаций, или распро-
странение этих средств контролируется в соответствии с законодательством. К
такому оборудованию также относится дорогостоящие средства или средства,
сведения о которых относятся к информации ограниченного доступа.
С целью вычисления потенциала нарушителя определяются числовые зна-
чения указанных показателей в соответствии с таблицей 3.1.
42
Таблица 3.1
Показатель возможностей нарушителя
Показатель возможностей нарушителя
Значения при
Значения при
Строка 1829: Строка 1212:
Оборудование, сделан-
Оборудование, сделан-
ное на заказ
ное на заказ
5
 
6
 
Для конкретной потенциальной уязвимости может возникнуть необходи-
Для конкретной потенциальной уязвимости может возникнуть необходимость определять показатели несколько раз для различных способов реализации угроз безопасности информации (попеременно использовать разные значения показателей компетентности в сочетании со значениями времени и оборудования). При этом следует выбирать наибольшее значение, полученное при каждом расчете показателей.
мость определять показатели несколько раз для различных способов реализации
 
угроз безопасности информации (попеременно использовать разные значения
Полученные на основе таблицы 3.1 значения характеристик потенциала нарушителя суммируются. Полученная сумма значений характеристик соотносится с диапазонами значений, приведенных в таблице 3.2, в соответствии с которой определяется потенциал нарушителя, необходимый для реализации угрозы безопасности информации.
показателей компетентности в сочетании со значениями времени и оборудова-
 
ния). При этом следует выбирать наибольшее значение, полученное при каждом
===Таблица 3.2===
расчете показателей.
 
Полученные на основе таблицы 3.1 значения характеристик потенциала
нарушителя суммируются. Полученная сумма значений характеристик соотно-
сится с диапазонами значений, приведенных в таблице 3.2, в соответствии с ко-
торой определяется потенциал нарушителя, необходимый для реализации угрозы
безопасности информации.
43
Таблица 3.2
Диапазон
Диапазон
значений
значений
Строка 1853: Строка 1229:
18-24 Базовый повышенный (средний)
18-24 Базовый повышенный (средний)
>24 Высокий
>24 Высокий
Мотивация нарушителя для реализации угроз безопасности информации
 
может быть базовой или повышенной. Мотивация нарушителя характеризует
Мотивация нарушителя для реализации угроз безопасности информации может быть базовой или повышенной. Мотивация нарушителя характеризует уровень устремлений нарушителя к информации, содержащейся в информационной системе, или информационной системе в целом. При определении потенциала нарушителя необходимо исходить, как минимум, из его базовой мотивации.
уровень устремлений нарушителя к информации, содержащейся в информаци-
 
онной системе, или информационной системе в целом. При определении потен-
Потенциал нарушителя, требуемый для реализации угрозы безопасности информации, переходит на следующий уровень (от низкого к среднего или от среднего к высокому), если определено, что нарушитель имеет повышенную мотивацию реализации угроз безопасности по отношению к информационной системе.
циала нарушителя необходимо исходить, как минимум, из его базовой мотива-
 
ции.
Потенциал нарушителя, требуемый для реализации угрозы безопасности
информации, переходит на следующий уровень (от низкого к среднего или от
среднего к высокому), если определено, что нарушитель имеет повышенную мо-
тивацию реализации угроз безопасности по отношению к информационной си-
стеме.
Мотивация нарушителя определяется как повышенная, если:
Мотивация нарушителя определяется как повышенная, если:
а) имеются сведения (в том числе опубликованные в общедоступных ис-
*а) имеются сведения (в том числе опубликованные в общедоступных источниках) об устремлениях нарушителей к конкретной информационной системе и (или) отдельным ее объектам защиты; например, если информация, обрабатываемая в информационной системе, является высоко ценной для нарушителя или для нарушителя является крайне приоритетным нанести ущерб оператору информационной системы;
точниках) об устремлениях нарушителей к конкретной информационной системе
*б) имеется информация, полученная от уполномоченных федеральных органов исполнительной власти, о намерении нарушителя осуществить неправомерные действия в отношении информационной системы и (или) информации, содержащейся в этой информационной системе.
и (или) отдельным ее объектам защиты; например, если информация, обрабаты-
 
ваемая в информационной системе, является высоко ценной для нарушителя или
http://fstec.ru/component/attachments/download/812
для нарушителя является крайне приоритетным нанести ущерб оператору ин-
формационной системы;
б) имеется информация, полученная от уполномоченных федеральных ор-
ганов исполнительной власти, о намерении нарушителя осуществить неправо-
мерные действия в отношении информационной системы и (или) информации,
содержащейся в этой информационной системе.

Текущая версия на 21:34, 2 октября 2015

ФЕДЕРАЛЬНАЯ СЛУЖБА ПО ТЕХНИЧЕСКОМУ И ЭКСПОРТНОМУ КОНТРОЛЮ (ФСТЭК РОССИИ)

МЕТОДИЧЕСКИЙ ДОКУМЕНТ МЕТОДИКА ОПРЕДЕЛЕНИЯ УГРОЗ БЕЗОПАСНОСТИ ИНФОРМАЦИИ В ИНФОРМАЦИОННЫХ СИСТЕМАХ (ПРОЕКТ) 2015

ОБЩИЕ ПОЛОЖЕНИЯ

Настоящий методический документ ФСТЭК России «Методика определения угроз безопасности информации в информационных системах» (далее - Методика) разработан и утвержден в соответствии с подпунктом 4 пункта 8 Положения о Федеральной службе по техническому и экспортному контролю, утвержденного Указом Президента Российской Федерации от 16 августа 2004 г. № 1085.

Документ устанавливает единый методический подход к определению угроз безопасности информации и разработке моделей угроз безопасности информации в государственных информационных системах (далее – информационные системы), защита информации в которых обеспечивается в соответствии с Требованиями о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах, утвержденными приказом ФСТЭК России от 11 февраля 2013 г. № 17 (зарегистрирован Минюстом России 31 мая 2013 г., рег. № 28608).

По решению оператора персональных данных Методика может применяться для определения в соответствии с пунктом 1 части 2 статьи 19 Федерального закона «О персональных данных» угроз безопасности персональных данных при их обработке в информационных системах персональных данных, защита которых обеспечивается в соответствии с Составом и содержанием организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденных приказом ФСТЭК России от 18 февраля 2013 г. № 21 (зарегистрирован Минюстом России 14 мая 2013 г., рег. № 28375).

Методика не распространяется на определение угроз безопасности информации, составляющей государственную тайну.

Методика предназначена для:

  • органов государственной власти, органов местного самоуправления и организаций, являющихся в соответствии с законодательством Российской Федерации обладателями информации, заказчиками и (или) операторами информационных систем;
  • организаций, осуществляющих в соответствии с законодательством Российской Федерации работы по созданию (проектированию) информационных систем;
  • организаций, осуществляющих в соответствии с законодательством Российской Федерации работы по защите информации в ходе создания (проектирования) и эксплуатации информационных систем;
  • организаций, осуществляющих в соответствии с законодательством Российской Федерации работы по аттестации (оценке соответствия) информационных систем требованиям о защите информации.

Настоящая Методика применяется на этапах создания информационных систем для определения и оценки угроз безопасности информации и разработки моделей угроз, а также в ходе эксплуатации информационных систем при периодическом пересмотре (переоценке) угроз безопасности информации.

Методика применяется совместно с банком данных угроз безопасности информации, сформированным ФСТЭК России (ubi.fstec.ru), а также базовыми и типовыми моделями угроз безопасности информации в информационных системах различных классов и типов, разрабатываемых ФСТЭК России в соответствии с подпунктом 4 пункта 8 Положения о Федеральной службе по техническому и экспортному контролю, утвержденного Указом Президента Российской Федерации от 16 августа 2004 г. № 1085.

Методика ориентирована на определение и оценку антропогенных угроз безопасности информации, возникновение которых обусловлено объективными факторами. Вместе с тем, часть приведенных в Методике подходов может также применяться для оценки техногенных угроз в случае, если они позволяют достичь целей такой оценки. Определение угроз, связанных со стихийными бедствиями и природными явлениями осуществляется в соответствии с правилами, установленными уполномоченными федеральными органами исполнительной власти, национальными стандартами и находятся за рамками настоящей Методики.

В случае, если в соответствии с настоящей Методикой к числу актуальных угроз, отнесены угрозы, связанные с утечкой информации по техническим каналам, дальнейшая их оценка проводится в соответствии со специальными требованиями и рекомендациями по технической защите конфиденциальной информации и методиками оценки защищенности конфиденциальной информации.

В Методике используются термины и их определения, установленные национальными стандартами в области защиты информации.

В связи с утверждением настоящего методического документа не применяется для определения угроз безопасности информации Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных (ФСТЭК России, 2008 г.).

ПРОЦЕСС ОПРЕДЕЛЕНИЯ УГРОЗ БЕЗОПАСНОСТИ ИНФОРМАЦИИ В ИНФОРМАЦИОННОЙ СИСТЕМЕ

Целью определения угроз безопасности информации является установление того, существует ли возможность нарушения конфиденциальности, целостности или доступности информации, содержащейся в информационной системе, и приведет ли нарушение хотя бы одного из указанных свойств безопасности информации к наступлению неприемлемых негативных последствий (ущерба) для обладателя информации или оператора, а в случае обработки персональных данных и для субъектов персональных данных.

Определение угроз безопасности информации должно носить систематический характер и осуществляться как на этапе создания информационной системы и формирования требований по ее защите, так и в ходе эксплуатации информационной системы. Систематический подход к определению угроз безопасности информации необходим для того, чтобы определить потребности в конкретных требованиях к защите информации и создать адекватную эффективную систему защиты информации в информационной системе. Меры защиты информации, принимаемые обладателем информации и оператором, должны обеспечивать эффективное и своевременное выявление и блокирование (нейтрализацию) угроз безопасности информации, в результате реализации которых возможно наступление неприемлемых негативных последствий (ущерба).

Систематический подход к определению угроз безопасности информации предусматривает реализацию непрерывного процесса, в рамках которого определяется область применения процесса определения угроз, идентифицируются источники угроз и угрозы безопасности информации, оценивается возможность реализации угроз безопасности информации и степень возможного ущерба в случае такой реализации, осуществляется мониторинг (периодический пересмотр) и переоценка угроз безопасности информации.

Оценка угроз безопасности информации проводится экспертным методом.

Рекомендации по формированию экспертной группы и проведению экспертной оценки при определении угроз безопасности информации приведены в приложении № 1 к настоящей Методике.

а) область применения процесса определения угроз безопасности информации

На этапах принятия решения о необходимости защиты информации в информационной системе и разработки требований к защите информации должны быть определены физические и логические границы информационной системы, в которых принимаются и контролируются меры защиты информации, за которые ответственен оператор, а также определены объекты защиты и сегменты информационной системы.

Процесс определения угроз безопасности информации должен охватывать все объекты защиты и сегменты в логических и физических границах информационной системы, в которых оператором принимаются и контролируются меры защиты информации. Процесс определения угроз безопасности информации организуется подразделением оператора, назначенным ответственным за защиту информации в информационной системе. В случае, если информационная система имеет сегменты, эксплуатируемые разными подразделениями оператора, которые могут самостоятельно принимать и контролировать меры защиты информации, должны быть определены границы ответственности этих подразделений и порядок их взаимодействия в процессе определения угроз безопасности информации.

Область применения процесса определения угроз безопасности информации отражается в модели угроз безопасности информации наряду с областью действия модели угроз, структурно-функциональными характеристиками информационной системы и особенностями ее функционирования.

б) идентификация источников угроз и угроз безопасности информации

В обобщенном виде угрозы безопасности информации характеризуется источниками угроз, факторами, обуславливающими возможность реализации угроз, способами (методами) реализации угроз и последствиями от реализации угроз безопасности информации.

Важным этапом в процессе определения угроз безопасности информации является идентификация лиц или событий (явлений), в результате действий (наступления, возникновения) которых возможно нарушение конфиденциальности, целостности или доступности информации, содержащейся в информационной системе, и возникновение неприемлемых негативных последствий (ущерба).

В качестве источников угроз безопасности информации могут выступать субъекты (физические лица, организации, государства) или явления (техногенные аварии, стихийные бедствия, иные природные явления).

Источники угроз безопасности информации являются определяющим фактором при определении угроз безопасности информации в информационных системах. В процессе определения угроз безопасности информации подлежат оценке те угрозы, у которых есть источники и источники имеют возможности и условия для реализации угроз безопасности информации в информационной системе с заданными структурно-функциональными характеристиками и особенностями ее функционирования.

Источники угроз безопасности информации могут быть следующих типов:

  • антропогенные источники (антропогенные угрозы);
  • техногенные источники (техногенные угрозы);
  • стихийные источники (угрозы стихийных бедствий, иных природных явлений).

В качестве источников антропогенных угроз безопасности информации могут выступать:

  • лица, осуществляющие преднамеренные действия с целью доступа к информации (воздействия на информацию), содержащейся в информационной системе, или нарушения функционирования информационной системы или обслуживающей ее инфраструктуры (преднамеренные угрозы безопасности информации);
  • лица, имеющие доступ к информационной системе, не преднамеренные действия которых могут привести к нарушению безопасности информации (непреднамеренные угрозы безопасности информации).

Для информационных систем, в которых целью защиты является обеспечение целостности и доступности обрабатываемой информации, в обязательном порядке подлежат оценке техногенные угрозы, связанные с отказами или сбоями в работе технических средств или программного обеспечения. Такие угрозы могут быть обусловлены:

  • низким качеством (надежностью) технических, программных или программно-технических средств;
  • низким качеством (надежностью) сетей связи и (или) услуг связи;
  • отсутствием или низкой эффективностью систем резервирования или дублирования программно-технических и технических средств;
  • низким качеством (надежностью) инженерных систем (кондиционирования, электроснабжения, охранных систем и т.д.);
  • низким качеством обслуживания со стороны обслуживающих организаций и лиц.

При определении угроз безопасности информации оценке подлежат угрозы, связанные со всеми типами источников. Однако в целях создания и эксплуатации адекватной эффективной системы защиты информации в информационной системе следует, в первую очередь, уделять внимание оценке антропогенных угроз, связанных с несанкционированными (неправомерными) действиями субъектов по нарушению безопасности (конфиденциальности, целостности, доступности) информации, в том числе целенаправленными воздействиями программными (программно-техническими) средствами на информационные системы, осуществляемые в целях нарушения (прекращения) их функционирования (компьютерные атаки).

Также при определении угроз безопасности информации наряду с угрозами, реализация которых может привести непосредственно к нарушению конфиденциальности, целостности или доступности информации (прямыми угрозами), необходимо выявлять и оценивать угрозы, создающие условия для реализации прямых угроз безопасности информации (косвенные угрозы). В качестве косвенных угроз безопасности информации могут рассматриваться угрозы повышения привилегий, исчерпания вычислительных ресурсов, недоступности обновления программного обеспечения и иные угрозы безопасности информации.

В процессе определения угроз безопасности информации на всех стадиях (этапах) жизненного цикла информационных систем необходимо регулярно проводить идентификацию источников угроз, оценивать их возможности и определять на этой основе угрозы безопасности информации. Данные о нарушителях и их возможностях по реализации угроз безопасности информации, полученные при идентификации источников угроз, включаются в модели угроз безопасности информации.

Для идентификации угроз безопасности информации в информационной системе определяются:

  • возможности (тип, вид, потенциал) нарушителей, необходимые им для реализации угроз безопасности информации;
  • уязвимости, которые могут использоваться при реализации угроз безопасности информации (включая специально внедренные программные закладки);
  • способы (методы) реализации угроз безопасности информации;
  • объекты информационной системы, на которые направлена угроза безопасности информации (объекты воздействия);
  • результат и последствия от реализации угроз безопасности информации.

Каждая угроза безопасности информации в информационной системе описывается (идентифицируется) следующим образом: УБИj = [нарушитель (источник угрозы); уязвимости; способы реализации угрозы; объекты воздействия; последствия от реализации угрозы].

в) оценка вероятности (возможности) реализации угроз безопасности информации и степени возможного ущерба

Идентифицированная угроза безопасности информации подлежит нейтрализации (блокированию), если она является актуальной (УБИj А ) для информационной системы, то есть в информационной системе с заданными структурно функциональными характеристиками и особенностями функционирования существует вероятность (возможность) реализации рассматриваемой угрозы нарушителем с соответствующим потенциалом и ее реализация приведет к неприемлемым негативным последствиям (ущербу): УБИj А = [вероятность (возможность) реализации угрозы (Рj); степень ущерба (Хj)].

Актуальные угрозы безопасности информации включаются в модель угроз безопасности информации. Модель угроз безопасности информации, учитывая особенности информационной системы, используемые в ней программные, программно-технические, технические средства и процессы обработки информации, дает описание угроз безопасности, которым подвержена информационная система. Структура модели угроз безопасности информации приведена в приложении № 2 к настоящей Методике.

г) мониторинг и переоценка угроз безопасности информации

Определение угроз безопасности информации на этапе создания информационной системы позволяет обеспечить формирование требований и внедрение эффективной адекватной системы защиты информации в информационной системе для угроз, актуальных к моменту ввода в эксплуатацию информационной системы.

В ходе эксплуатации информационной системы оператор, обеспечивая достижение целей и задач информационной системы, может изменять ее базовую конфигурацию, что приводит к изменению структурно-функциональных характеристик информационной системы и применяемых информационных технологий. Также в процессе эксплуатации возможно изменение состава и значимости обрабатываемой информации и особенностей функционирования информационной системы.

В этих условиях процесс определения угроз безопасности информации должен носить систематический характер. В ходе эксплуатации информационной системы регулярно проводится анализ изменения угроз безопасности информации, а актуальные угрозы безопасности информации подлежат периодической переоценке. Периодичность переоценки определяется организацией исходя из особенностей функционирования информационной системы. Рекомендуется пересматривать угрозы безопасности информации не реже одного раза в год. По результатам анализа проводится уточнение (при необходимости) модели угроз безопасности информации.

Пересмотр (переоценка) угроз безопасности информации, как минимум, осуществляется в случаях:

  • изменения требований законодательства Российской Федерации о защите информации, нормативных правовых актов и методических документов, регламентирующих защиту информации;
  • изменения конфигурации (состава основных компонентов) и особенностей функционирования информационной системы, следствием которых стало возникновение новых угроз безопасности информации;
  • выявления уязвимостей, приводящих к возникновению новых угроз безопасности информации или к повышению возможности реализации существующих;
  • появления сведений и фактов о новых возможностях нарушителей.

ОЦЕНКА ВОЗМОЖНОСТЕЙ НАРУШИТЕЛЕЙ ПО РЕАЛИЗАЦИИ УГРОЗ БЕЗОПАСНОСТИ ИНФОРМАЦИИ (РАЗРАБОТКА МОДЕЛИ НАРУШИТЕЛЯ)

Целью оценки возможностей нарушителей по реализации угроз безопасности информации является формирование предположения о типах, видах нарушителей, которые могут реализовать угрозы безопасности информации в информационной системе с заданными структурно-функциональными характеристиками и особенностями функционирования, а также потенциале этих нарушителей и возможных способах реализации угроз безопасности информации.

Результаты оценки возможностей нарушителей включаются в модель нарушителя, которая является составной частью (разделом) модели угроз безопасности информации и содержит:

  • типы, виды и потенциал нарушителей, которые могут обеспечить реализацию угроз безопасности информации;
  • цели, которые могут преследовать нарушители каждого вида при реализации угроз безопасности информации;
  • возможные способы реализации угроз безопасности информации.

а) типы нарушителей

Типы нарушителей определяются по результатам анализа прав доступа субъектов к информации и (или) к компонентам информационной системы, а также анализа возможностей нарушителей по доступу к компонентам информационной системы исходя из структурно-функциональных характеристик и особенностей функционирования информационной системы.

В зависимости от имеющихся прав доступа нарушители могут иметь легитимный физический (непосредственный) и (или) логический доступ к компонентам информационной системы и (или) содержащейся в них информации или не иметь такого доступа.

Анализ прав доступа проводится, как минимум, в отношении следующих компонент информационной системы:

  • устройств ввода/вывода (отображения) информации;
  • беспроводных устройств;
  • программных, программно-технических и технических средств обработки информации;
  • съемных машинных носителей информации;
  • машинных носителей информации, выведенных из эксплуатации;
  • активного (коммутационного) и пассивного оборудования каналов связи;
  • каналов связи, выходящих за пределы контролируемой зоны.

С учетом наличия прав доступа и возможностей по доступу к информации и (или) к компонентам информационной системы нарушители подразделяются на два типа:

  • внешние нарушители (тип I) – лица, не имеющие права доступа к информационной системе, ее отдельным компонентам и реализующие угрозы безопасности информации из-за границ информационной системы;
  • внутренние нарушители (тип II) – лица, имеющие право постоянного или разового доступа к информационной системе, ее отдельным компонентам.

Наибольшими возможностями по реализации угроз безопасности обладают внутренние нарушители. При оценке возможностей внутренних нарушителей необходимо учитывать принимаемые оператором организационные меры по допуску субъектов к работе в информационной системе. Возможности внутреннего нарушителя существенным образом зависят от установленного порядка допуска физических лиц к информационной системе и ее компонентам, а также мер по контролю за доступом и работой этих лиц.

Внешнего нарушителя необходимо рассматривать в качестве актуального во всех случаях, когда имеются подключения информационной системы к внешним информационно-телекоммуникационным сетям и (или) имеются линии связи, выходящие за пределы контролируемой зоны, используемые для иных подключений.

б) виды и потенциал нарушителей

Угрозы безопасности информации в информационной системе могут быть реализованы следующими видами нарушителей:

  • специальные службы иностранных государств (блоков государств);
  • террористические, экстремистские группировки;
  • преступные группы (криминальные структуры);
  • внешние субъекты (физические лица);
  • конкурирующие организации;
  • разработчики, производители, поставщики программных, технических и программно-технических средств;
  • лица, привлекаемые для установки, наладки, монтажа, пусконаладочных и иных видов работ;
  • лица, обеспечивающие функционирование информационных систем или обслуживающие инфраструктуру оператора (администрация, охрана, уборщики и т.д.);
  • пользователи информационной системы;
  • администраторы информационной системы и администраторы безопасности;
  • бывшие работники (пользователи).

Виды нарушителей, характерных для информационной системы с заданными структурно-функциональными характеристиками и особенностями функционирования, определяются на основе предположений (прогноза) о возможных целях (мотивации) при реализации угроз безопасности информации этими нарушителями.

В качестве возможных целей (мотивации) реализации нарушителями угроз безопасности информации в информационной системе могут быть:

  • нанесение ущерба государству, отдельным его сферам деятельности или секторам экономики;
  • реализация угроз безопасности информации по идеологическим или политическим мотивам;
  • организация террористического акта;
  • причинение имущественного ущерба путем мошенничества или иным преступным путем;
  • дискредитация или дестабилизация деятельности органов государственной власти, организаций;
  • получение конкурентных преимуществ;
  • внедрение дополнительных функциональных возможностей в программное обеспечение или программно-технические средства на этапе разработки;
  • любопытство или желание самореализации;
  • выявление уязвимостей с целью их дальнейшей продажи и получения финансовой выгоды;
  • реализация угроз безопасности информации из мести;
  • реализация угроз безопасности информации непреднамеренно из-за неосторожности или неквалифицированных действий.

Предположения о целях (мотивации) нарушителей делаются с учетом целей и задач информационной системы, вида обрабатываемой информации, а также с учетом результатов оценки степени возможных последствий (ущерба) от нарушения конфиденциальности, целостности или доступности информации.

Виды нарушителя и их возможные цели (мотивация) реализации угроз безопасности информации приведены в таблице 1.

Таблица 1 № вида Виды нарушителя Типы нарушителя Возможные цели (мотивация) реализации угроз безопасности информации 1 Специальные службы иностранных государств (блоков государств) Внешний, внутренний Нанесение ущерба государству, отдельным его сферам деятель- ности или секторам экономики. Дискредитация или дестабили- зация деятельности органов государственной власти, орга- низаций 2 Террористические, экс- тремистские группиров- ки Внешний Нанесение ущерба государству, отдельным его сферам деятель- ности или секторам экономики. Совершение террористических актов. Идеологические или политиче- ские мотивы. Дестабилизация деятельности органов государственной вла- 13 сти, организаций 3 Преступные группы (криминальные структу- ры) Внешний Причинение имущественного ущерба путем мошенничества или иным преступным путем. Выявление уязвимостей с це- лью их дальнейшей продажи и получения финансовой выгоды 4 Внешние субъекты (фи- зические лица) Внешний Идеологические или политиче- ские мотивы. Причинение имущественного ущерба путем мошенничества или иным преступным путем. Любопытство или желание са- мореализации (подтверждение статуса). Выявление уязвимостей с це- лью их дальнейшей продажи и получения финансовой выгоды 5 Конкурирующие орга- низации Внешний Получение конкурентных пре- имуществ. Причинение имущественного ущерба путем обмана или зло- употребления доверием 6 Разработчики, произво- дители, поставщики про- граммных, технических и программно-технических средств Внешний Внедрение дополнительных функциональных возможностей в программное обеспечение или программно-технические сред- ства на этапе разработки. Причинение имущественного ущерба путем обмана или зло- употребления доверием. Непреднамеренные, неосто- рожные или неквалифициро- ванные действия 7 Лица, привлекаемые для установки, наладки, мон- тажа, пусконаладочных и иных видов работ Внутренний Причинение имущественного ущерба путем обмана или зло- употребления доверием. Непреднамеренные, неосто- рожные или неквалифициро- ванные действия 8 Лица, обеспечивающие функционирование ин- формационных систем или обслуживающие ин- фраструктуру оператора Внутренний Причинение имущественного ущерба путем обмана или зло- употребления доверием. Непреднамеренные, неосто- рожные или неквалифициро- 14 (администрация, охрана, уборщики и т.д.) ванные действия 9 Пользователи информа- ционной системы Внутренний Причинение имущественного ущерба путем мошенничества или иным преступным путем. Любопытство или желание са- мореализации (подтверждение статуса). Месть за ранее совершенные действия. Непреднамеренные, неосто- рожные или неквалифициро- ванные действия 10 Администраторы ин- формационной системы и администраторы без- опасности Внутренний Причинение имущественного ущерба путем мошенничества или иным преступным путем. Любопытство или желание са- мореализации (подтверждение статуса). Месть за ранее совершенные действия. Выявление уязвимостей с це- лью их дальнейшей продажи и получения финансовой выгоды. Непреднамеренные, неосто- рожные или неквалифициро- ванные действия 11 Бывшие работники (пользователи) Внешний Причинение имущественного ущерба путем мошенничества или иным преступным путем. Месть за ранее совершенные действия

При оценке возможностей нарушителей необходимо исходить из условий, что для повышения своих возможностей нарушители 1 вида могут вступать в сговор с нарушителями 3, 4, 6, 7, 8, 9 и 10 видов. Нарушители 2 вида могут вступать в сговор с нарушителями 4, 7, 8, 9 и 10 видов. Нарушители 3 вида могут вступать в сговор с нарушителями 4, 7, 8, 9 и 10 видов. В случае принятия таких предположений цели (мотивация) и возможности нарушителей подлежат объединению.

Возможности каждого вида нарушителя по реализации угроз безопасности информации характеризуются его потенциалом. Потенциал нарушителя определяется компетентностью, ресурсами и мотивацией, требуемыми для реализации угроз безопасности информации в информационной системе с заданными структурно-функциональными характеристиками и особенностями функционирования.

В зависимости от потенциала, требуемого для реализации угроз безопасности информации, нарушители подразделяются на:

  • нарушителей, обладающих базовым (низким) потенциалом нападения при реализации угроз безопасности информации в информационной системе;
  • нарушителей, обладающих базовым повышенным (средним) потенциалом нападения при реализации угроз безопасности информации в информационной системе;
  • нарушителей, обладающих высоким потенциалом нападения при реализации угроз безопасности информации в информационной системе.

Потенциал нарушителей и их возможности приведены в таблице 2.

Таблица 2 № Потенциал нарушителей Виды нарушителей Возможности по реализации угроз без- опасности информации 1 Нарушители с базовым (низ- ким) потенци- алом Внешние субъ- екты (физические лица), лица, обеспечи- вающие функци- онирование ин- формационных систем или об- служивающих инфраструктуру оператора, пользователи информационной системы, бывшие работ- ники, лица, привлека- емые для уста- новки, наладки, монтажа, пуско- наладочных и иных работ Имеют возможность получить инфор- мацию об уязвимостях отдельных ком- понент информационной системы, опубликованную в общедоступных ис- точниках. Имеют возможность получить инфор- мацию о методах и средствах реализа- ции угроз безопасности информации (компьютерных атак), опубликованных в общедоступных источниках, и (или) самостоятельно осуществляет создание методов и средств реализации атак и реализацию атак на информационную систему 2 Нарушители с базовым по- вышенным (средним) по- тенциалом Террористиче- ские, экстремист- ские группиров- ки, преступные группы (крими- нальные структу- Обладают всеми возможностями нарушителей с базовым потенциалом. Имеют осведомленность о мерах за- щиты информации, применяемых в ин- формационной системе данного типа. Имеют возможность получить инфор- мацию об уязвимостях отдельных ком- 16 ры), конкурирующие организации, разработчики, производители, поставщики про- граммных, техни- ческих и про- граммно- технических средств, администраторы информационной системы и адми- нистраторы без- опасности понент информационной системы пу- тем проведения, с использованием имеющихся в свободном доступе про- граммных средств, анализа кода при- кладного программного обеспечения и отдельных программных компонент общесистемного программного обеспе- чения. Имеют доступ к сведениям о струк- турно-функциональных характеристи- ках и особенностях функционирования информационной системы 3 Нарушители с высоким по- тенциалом Специальные службы ино- странных госу- дарств (блоков государств) Обладают всеми возможностями нарушителей с базовым и базовым по- вышенным потенциалами. Имеют возможность осуществлять не- санкционированный доступ из выде- ленных (ведомственных, корпоратив- ных) сетей связи, к которым возможен физический доступ (незащищенных ор- ганизационными мерами). Имеют возможность получить доступ к программному обеспечению чипсетов (микропрограммам), системному и при- кладному программному обеспечению, телекоммуникационному оборудова- нию и другим программно-техническим средствам информационной системы для преднамеренного внесения в них уязвимостей или программных закла- док. Имеют хорошую осведомленность о мерах защиты информации, применяе- мых в информационной системе, об ал- горитмах, аппаратных и программных средствах, используемых в информаци- онной системе. Имеют возможность получить инфор- мацию об уязвимостях путем проведе- ния специальных исследований (в том числе с привлечением специализиро- 17 ванных научных организаций) и приме- нения специально разработанных средств для анализа программного обеспечения. Имеют возможность создания методов и средств реализации угроз безопасно- сти информации с привлечением специ- ализированных научных организаций и реализации угроз с применением специ- ально разработанных средств, в том числе обеспечивающих скрытное про- никновение в информационную систе- му и воздействие на нее. Имеют возможность создания и при- менения специальных технических средств для добывания информации (воздействия на информацию или тех- нические средства), распространяю- щейся в виде физических полей или яв- лений

в) возможные способы реализации угроз безопасности информации

Целью определения возможных способов реализации угроз безопасности информации является формирование предположений о возможных сценариях реализации угроз безопасности информации, описывающих последовательность (алгоритмы) действий отдельных видов нарушителей или групп нарушителей и применяемые ими методы и средства для реализации угроз безопасности информации.

Возможные способы реализации угроз безопасности информации зависят от структурно-функциональных характеристик и особенностей функционирования информационной системы.

Угрозы безопасности информации могут быть реализованы нарушителями за счет:

  • несанкционированного доступа и (или) воздействия на объекты на аппаратном уровне (программы (микропрограммы), «прошитые» в аппаратных компонентах (чипсетах));
  • несанкционированного доступа и (или) воздействия на объекты на общесистемном уровне (базовые системы ввода-вывода, гипервизоры, операционные системы);
  • несанкционированного доступа и (или) воздействия на объекты на прикладном уровне (системы управления базами данных, браузеры, web-приложения, иные прикладные программы общего и специального назначения);
  • несанкционированного доступа и (или) воздействия на объекты на сетевом уровне (сетевое оборудование, сетевые приложения, сервисы);
  • несанкционированного физического доступа и (или) воздействия на линии, (каналы) связи, технические средства, машинные носители информации;
  • воздействия на пользователей, администраторов безопасности, администраторов информационной системы или обслуживающий персонал (социальная инженерия).

Действия нарушителя в зависимости от его потенциала при реализации угроз безопасности информации предусматривают идентификацию и использование уязвимостей в микропрограммном, общесистемном и прикладном программном обеспечении, сетевом оборудовании, применяемых в информационной системе, а также в организации работ по защите информации и конфигурации информационной системы.

При определении способа реализации угроз безопасности информации необходимо учитывать то, что угрозы безопасности информации могут быть реализованы непосредственно за счет доступа к компонентам информационной системы и (или) информации или опосредовано (косвенно) за счет создания условий и (или) средств, обеспечивающих такой доступ, а также за счет доступа или воздействия на обслуживающую инфраструктуру, за которую оператор не отвечает. При этом локальной целью нарушителя, не имеющего доступа (прав доступа) к компонентам информационной системы и (или) информации, как правило, является получение доступа к информационной системе (в том числе через внешние сети связи общего пользования) и получение максимально возможных прав и привилегий при таком доступе.

Нарушители могут совершать действия, следствием которых является нарушение безопасности информации, преднамеренно (преднамеренные грозы безопасности информации) или случайно (непреднамеренные грозы безопасности информации).

Преднамеренные действия нарушителей могут заключаться в реализации целенаправленных или нецеленаправленных угроз безопасности информации.

Целенаправленная угроза безопасности информации направлена на интересующую нарушителя информационную систему с заранее известными ему структурно-функциональными характеристиками и особенностями функционирования. Целенаправленная угроза безопасности информации адаптирована к структурно-функциональным характеристикам информационной системы. При подготовке и реализации целенаправленных угроз безопасности информации нарушитель может использовать методы социальной инженерии, которые позволяют ему изучить поведение пользователей и их реакцию на поступающие к ним внешние данные.

Нецеленаправленная («веерная») угроза безопасности информации не ориентирована на конкретную информационную систему. Целями такой угрозы могут являться несанкционированный доступ, перехват управления или воздействие на как можно большее количество информационных систем. В данном случае нарушителю заранее не известны структурно-функциональные характеристики и условия функционирования информационной системы.

Реализация преднамеренных угроз безопасности информации, как правило, включает:

  • сбор информации об информационной системе, ее структурно-функциональных характеристиках, условиях функционирования;
  • выбор (разработка, приобретение) методов и средств, используемых для реализации угроз безопасности информации в информационной системе с заданными структурно-функциональными характеристиками и условиями функционирования;
  • непосредственная реализация угроз безопасности информации в информационной системе (проникновение в информационную систему, закрепление в информационной системе, реализация неправомерных действий);
  • устранение признаков и следов неправомерных действий в информационной системе.

В зависимости от целей и потенциала нарушителя на каждом из этапов могут эксплуатироваться одна или несколько уязвимостей информационной системы.

При определении возможных способов реализации угроз безопасности информации необходимо исходить из следующих условий:

  • нарушитель может действовать один или в составе группы нарушителей;
  • в отношении информационной системы внешний нарушитель может действовать совместно с внутренним нарушителем;
  • угрозы могут быть реализованы в любое время и в любой точке информационной системы (на любом узле или хосте);
  • для достижения своей цели нарушитель выбирает наиболее слабое звено информационной системы.

Возможные способы реализации угроз безопасности информации, определенные на основе настоящего раздела, включаются в модель угроз безопасности информации.

ОПРЕДЕЛЕНИЕ АКТУАЛЬНЫХ УГРОЗ БЕЗОПАСНОСТИ ИНФОРМАЦИИ В ИНФОРМАЦИОННОЙ СИСТЕМЕ

Угроза безопасности информации является актуальной (УБИj А ), если для информационной системы с заданными структурно-функциональными характеристиками и особенностями функционирования существует вероятность реализации рассматриваемой угрозы нарушителем с соответствующим потенциалом и ее реализация приведет к неприемлемым негативным последствиям (ущербу) от нарушения конфиденциальности, целостности или доступности информации.

В качестве показателя актуальности угрозы безопасности информации (УБИj А ) принимается двухкомпонентный вектор, первый компонент которого характеризует вероятность реализации угрозы (Рj), а второй – степень возможного ущерба в случае ее реализации (Хj)

УБИj А = [вероятность реализации угрозы (Рj); степень ущерба (Хj)], где Рj определятся на основе анализа статистических данных о частоте реализации угроз безопасности информации (возникновении инцидентов безопасности) в информационной системе и (или) однотипных информационных системах, а Хj определяется на основе оценок степени последствий от нарушения конфиденциальности, целостности или доступности информации.

При отсутствии статистических данных о реализации угроз безопасности информации (возникновении инцидентов безопасности) в информационной системе и (или) однотипных информационных системах, актуальность угрозы безопасности информации определяется на основе оценки возможности реализации угрозы безопасности информации (Yj) УБИj А = [возможность реализации угрозы (Yj); степень ущерба (Хj)], где Yj определятся на основе оценки уровня защищенности информационной системы и потенциала нарушителя, требуемого для реализации угрозы безопасности. Хj также определяется на основе оценок степени последствий от нарушения конфиденциальности, целостности или доступности информации.

Актуальность угроз безопасности информации определяется в отношении угроз, для которых экспертным методом определено, что:

  • возможности (потенциал) нарушителя достаточны для реализации угрозы безопасности информации;
  • в информационной системе могут иметься потенциальные уязвимости, которые могут быть использованы при реализации j-ой угрозы безопасности информации;
  • структурно-функциональные характеристики и особенности функционирования информационной системы не исключают возможности применения способов, необходимых для реализации j-ой угрозы безопасности информации (существует сценарий реализации угрозы безопасности);
  • реализация угрозы безопасности информации приведет к нарушению конфиденциальности, целостности или доступности информации, в результате которого возможно возникновение неприемлемых негативных последствий (ущерба).

В качестве исходных данных об угрозах безопасности информации и их характеристиках используется банк данных угроз безопасности информации, сформированный и поддерживаемый ФСТЭК России, а также базовые и типовые модели угроз безопасности информации, разрабатываемые ФСТЭК России для различных классов и типов информационных систем.

Для определения угроз безопасности информации могут использоваться иные источники, в том числе опубликованные в общедоступных источниках данные об уязвимостях, компьютерных атаках, вредоносном программном обеспечении, а также результаты специально проведенных исследований по выявлению угроз безопасности информации. В этом случае потенциал нарушителя, возможные уязвимости, способы реализации угрозы безопасности информации и последствия от ее реализации определяются для каждой угрозы безопасности информации.

а) оценка вероятности (возможности) реализации угрозы безопасности информации

Под вероятностью реализации угрозы безопасности информации понимается определяемый экспертным путем показатель, характеризующий, насколько вероятным является реализация j-ой угрозы безопасности информации в информационной системе с заданными структурно-функциональными характеристиками и особенностями функционирования. Вводятся три вербальные градации этого показателя:

  • низкая вероятность – отсутствуют объективные предпосылки к реализации j-ой угрозы безопасности информации, отсутствует требуемая статистика по фактам реализации j-ой угрозы безопасности информации (возникновения инцидентов безопасности), отсутствует мотивация для реализации j-ой угрозы, возможная частота реализации j-ой угрозы не превышает 1 раза в 5 лет;
  • средняя вероятность – существуют предпосылки к реализации j-ой угрозы безопасности информации, зафиксированы случаи реализации j-ой угрозы безопасности информации (возникновения инцидентов безопасности) или имеется иная информация, указывающая на возможность реализации j-ой угрозы безопасности информации, существуют признаки наличия у нарушителя мотивации для реализации такой угрозы, возможная частота реализации j-ой угрозы не превышает 1 раза в год;
  • высокая вероятность – существуют объективные предпосылки к реализации j-ой угрозы безопасности информации, существует достоверная статистика реализации j-ой угрозы безопасности информации (возникновения инцидентов безопасности) или имеется иная информация, указывающая на высокую возможность реализации j-ой угрозы безопасности информации, у нарушителя имеются мотивы для реализации j-ой угрозы, частота реализации j-ой угрозы – чаще 1 раза в год.

В случае отсутствия требуемых данных для оценки вероятности реализации угрозы безопасности информации или наличия сомнений в объективности экспертных оценок при определении вербальных градаций вероятности реализации угроз безопасности информации, актуальность j-ой угрозы безопасности информации определяется на основе оценки возможности ее реализации (Yj).

Возможность реализации j-ой угрозы безопасности информации (Yj) оценивается исходя из уровня защищенности информационной системы (Y1) и потенциала нарушителя (Y2), необходимого для реализации этой угрозы безопасности информации в информационной системе с заданными структурнофункциональными характеристиками и особенностями функционирования:

  • Yj = [уровень защищенности (Y1); потенциал нарушителя (Y2)].

При определении угроз безопасности информации на этапе создания информационной системы в случае, когда меры защиты информации не реализованы или не проведена оценка их достаточности и эффективности, оценка возможности реализации j-ой угрозы безопасности информации (Yj) проводится относительно уровня проектной защищенности информационной системы (Y1П):

  • Yj = [уровень проектной защищенности (Y1П); потенциал нарушителя (Y2)].

Под уровнем проектной защищенности (Y1П) понимается исходная защищенность информационной системы, обусловленная заданными при проектировании структурно-функциональными характеристиками и условиями ее функционирования. Уровень проектной защищенности (Y1П) определяется на основе анализа проектных структурно-функциональных характеристик, приведенных в таблице 3.

Показатели, характеризующие проектную защищенность информационной системы

Таблица 3 Структурно-функциональные характе- ристики информационной системы, условия ее эксплуатации Уровень проектной защищенности ин- формационной системы (Y1П) Высокий Средний Низкий 1. По структуре информационной си- стемы: автономное автоматизированное рабо- чее место; локальная информационная система; распределенная информационная си- стема + + + 2. По используемым информационным технологиям: 23 системы на основе виртуализации; системы, реализующие «облачные вычисления»; системы с мобильными устройства- ми; системы с технологиями беспровод- ного доступа; грид -системы; суперкомпьютерные системы + +++++ 3 . По архитектуре информационной системы

системы на основе «тонкого клиен- та»; системы на основе одноранговой се- ти

файл -серверные системы

центры обработки данных; системы с уд аленным доступом пользователей; использование разных типов опера- ционных систем (гетерогенность сре- ды)

использование прикладных про- грамм, независимых от операционных систем

использование выделенных каналов связи + ++++ +++ 4 . По наличию (отсутствию) взаимо- связей с иными информационными си- стемами

взаимодействующая с системами

невзаимодействующая с системами + + 5 . По наличию (отсутствию) взаимо- связей (подключений) к сетям связи общего пользования

подключенная

подключенная через выделенную инфраструктуру (gov .ru или иную); неподключенной + + + 6 . По размещению технических средств: расположенные в пределах одной контролируемой зоны; расположенные в пределах несколь- ких контролируемых зон; + + 24 расположенные вне контролируемой зоны + 7. По режимам обработки информации в информационной системе: многопользовательский; однопользовательский + + 8. По режимам разграничения прав до- ступа: без разграничения; с разграничением + + 9. По режимам разделения функций по управлению информационной системой: без разделения; выделение рабочих мест для адми- нистрирования в отдельный домен; использование различных сетевых адресов; использование выделенных каналов для администрирования + + + + 10. По подходам к сегментированию информационной системы: без сегментирования; с сегментированием + +

В ходе создания информационной системы уровень ее проектной защищенности (Y1П) определяется следующим образом:

  • а) информационная система имеет высокий уровень проектной защищенности (Y1П), если не менее 80% характеристик информационной системы соответствуют уровню «высокий» (суммируются положительные решения по второму столбцу, соответствующему высокому уровню защищенности), а остальные - среднему уровню защищенности (положительные решения по третьему столбцу);
  • б) информационная система имеет средний уровень проектной защищенности (Y1П), если не выполняются условия по пункту а) и не менее 90% характеристик информационной системы соответствуют уровню не ниже «средний» (берется отношение суммы положительных решений по третьему столбцу, соответствующему среднему уровню защищенности, к общему количеству решений), а остальные - низкому уровню защищенности;
  • в) информационная система имеет низкий уровень проектной защищенности (Y1П), если не выполняются условия по пунктам а) и б).

В соответствии с требованиями о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах, до ввода в эксплуатацию информационной системы должны быть реализованы меры защиты информации, направленные на блокирование (нейтрализацию) актуальных угроз безопасности информации. Таким образом, ввод в эксплуатацию информационной системы осуществляется при условии достижения высокого уровня исходной защищенности информационной системы от нарушителя с заданным потенциалом.

Вместе с тем, в ходе эксплуатации информационной системы возможно появление новых уязвимостей, повышение потенциала нарушителя, изменение структурно-функциональных характеристик, значимости обрабатываемой информации, особенностей функционирования информационной системы и других условий, приводящих к возникновению новых угроз безопасности информации, которые могут существенно снизить уровень проектной защищенности информационной системы. В этом случае для поддержания уровня защищенности информационной системы в ходе эксплуатации должен проводиться регулярный анализ изменения угроз безопасности информации, а актуальные угрозы безопасности информации подлежат периодической переоценке.

В ходе эксплуатации информационной системы уровень ее защищенности (Y1) определяется следующим образом:

  • а) в информационной системе обеспечивается высокий уровень защищенности (Y1), если в ходе эксплуатации информационной системы не появились дополнительные угрозы безопасности информации или в отношении появившихся дополнительных угроз безопасности информации с высокой оперативностью («за минуты») могут быть приняты меры защиты информации, нейтрализующие эти угрозы;
  • б) в информационной системе обеспечивается средний уровень защищенности (Y1), если в ходе эксплуатации информационной системы появились дополнительные угрозы безопасности информации и в отношении них оперативно («за часы») могут быть приняты меры защиты информации, нейтрализующие эти угрозы;
  • в) в информационной системе обеспечивается низкий уровень защищенности (Y1), если в ходе эксплуатации информационной системы появились дополнительные угрозы безопасности информации и в отношении них не могут быть с высокой оперативностью или оперативно приняты меры защиты информации, нейтрализующие эти угрозы.

Потенциал, требуемый нарушителю для реализации j-ой угрозы безопасности информации, может быть базовым (низким), базовым повышенным (средним) или высоким. Значение потенциала нарушителя (Y2) для j-ой угрозы безопасности информации определяется на основе данных, приведенных в банке данных угроз безопасности информации ФСТЭК России, а также в базовых и типовых моделях угроз безопасности информации, разрабатываемых ФСТЭК России для информационных систем различных классов и типов. В случае отсутствия информации о потенциале нарушителя для реализации j-ой угрозы безопасности значение потенциала (Y2) определяется в соответствии с приложением № 3 к настоящей Методике.

Возможность реализации j-ой угрозы безопасности информации (Yj) в зависимости от уровня защищенности информационной системы (Y1/Y1П) и потенциала нарушителя (Y2) определяется как высокая, средняя или низкая в соответствии с таблицей 4.

Возможность реализации угрозы безопасности информации Таблица 4

Уровень защищенности (Y1/Y1П) Потенциал нарушителя (Y2) Высокий Средний Низкий Базовый (низкий) Низкая Средняя Высокая Базовый повышенный (средний) Средняя Высокая Высокая Высокий Высокая Высокая Высокая

б) оценка степени возможного ущерба от реализации угрозы безопасности информации

Для оценки степени возможного ущерба от реализации угрозы безопасности информации определяются возможный результат реализации угрозы безопасности информации в информационной системе, вид ущерба, к которому может привести реализация угрозы безопасности информации, степень последствий от реализации угрозы безопасности информации для каждого вида ущерба.

В качестве результата реализации угрозы безопасности информации рассматриваются непосредственное или опосредованное воздействие на конфиденциальность, целостность, доступность информации, содержащейся в информационной системе.

Непосредственное воздействие на конфиденциальность, целостность, доступность информации возможно в результате реализации прямой угрозы безопасности информации. В этом случае объектами воздействия угрозы являются непосредственно информация и (или) иные объекты защиты информационной системы или обеспечивающей инфраструктуры, которые обеспечивают получение, обработку, хранение, передачу, уничтожение информации в информационной системе, в результате доступа к которым или воздействия на которые возможно воздействие на конфиденциальность, целостность или доступность информации.

Опосредованное воздействие на конфиденциальность, целостность, доступность информации рассматривается в результате реализации косвенных угроз безопасности информации. Реализация косвенных угроз безопасности информации не приводит непосредственно к воздействию на конфиденциальность, целостность, доступность информации, но создает условия для реализации одной или нескольких прямых угроз безопасности информации, позволяющих реализовать такое воздействие. В этом случае в качестве результата реализации косвенной угрозы необходимо рассматривать результаты реализации всех прямых угроз безопасности информации, которые возможно реализовать в случае реализации данной косвенной угрозы.

Результат реализации угрозы безопасности информации определяется воздействием угрозы на каждое свойство безопасности информации (конфиденциальность, целостность, доступность) в отдельности в соответствии с таблицей 5.

При обработке в информационной системе двух и более видов информации (служебная тайна, персональные данные, налоговая тайна, иные установленные законодательством Российской Федерации виды информации) воздействие на конфиденциальность, целостность, доступность определяется отдельно для каждого вида информации (k, …, m), содержащейся в информационной системе.

Таблица 5

Свойство безопасности информации Результат реализации угрозы безопасности информации Не оказывает воздействия Оказывает воздействие Конфиденциаль- ность К Xk1 В результате реализации угрозы безопасности инфор- мации отсутствует возмож- ность неправомерного досту- па, копирования, предостав- ления или распространения информации В результате реализации угрозы безопасности ин- формации возможны не- правомерный доступ, ко- пирование, предоставле- ние или распространение информации Целостность Ц Xk1 В результате реализации угрозы безопасности инфор- мации отсутствует возмож- ность уничтожения или мо- дифицирования информации В результате реализации угрозы безопасности ин- формации возможно уни- чтожение или модифици- рование информации Доступность Д Xk1 В результате реализации угрозы безопасности инфор- мации отсутствует возмож- ность блокирования инфор- мации В результате реализации угрозы безопасности ин- формации возможно бло- кирование информации

При определении степени возможного ущерба необходимо исходить из того, что в зависимости от целей и задач, решаемых информационной системой, видов обрабатываемой информации, воздействие на конфиденциальность, целостность или доступность каждого вида информации, содержащейся в информационной системе, может привести к различным видам ущерба. При этом для разных обладателей информации и операторов будут характерны разные виды ущерба.

Основные виды ущерба и возможные негативные последствия, к которым может привести нарушение конфиденциальности, целостности, доступности информации, приведены в таблице 6.

Таблица 6

Вид ущерба Возможные негативнее последствия от нарушения конфиденциальности, целост- ности, доступности информации Экономический (финансовый) Снижение, как минимум, одного экономического показа- теля. Потеря (кража) финансовых средств. Недополучение ожидаемой (прогнозируемой) прибыли. Необходимость дополнительных (незапланированных) затрат на выплаты штрафов (неустоек) или компенсаций. Необходимость дополнительных (незапланированных) затрат на закупку товаров, работ или услуг (в том числе закупка программного обеспечения, технических средств, вышедших из строя, замена, настройка, ремонт указанных средств). Необходимость дополнительных (незапланированных) затрат на восстановление деятельности. Потеря клиентов, поставщиков. Потеря конкурентного преимущества. Невозможность заключения договоров, соглашений. Другие прямые или косвенные финансовые потери Социальный Создание предпосылок для нанесения вреда здоровью граждан. Возможность нарушения функционирования объектов обеспечения жизнедеятельности граждан. Организация пикетов, забастовок, митингов и других ак- ций. Увольнения. Увеличение количества жалоб в органы государственной власти или органы местного самоуправления. Появление негативных публикаций в общедоступных ис- точниках. Невозможность (прерывание) предоставления социаль- ных услуг (сервисов). Другие последствия, приводящие к нарастанию социаль- ной напряженности в обществе Политический Создание предпосылок к обострению отношений в меж- дународных отношениях. Срыв двусторонних (многосторонних) контактов с зару- бежными партнерами. Неспособность выполнения международных (двусторон- них) договорных обязательств. 29 Невозможность заключения международных (двусторон- них) договоров, соглашений. Создание предпосылок к внутриполитическому кризису. Нарушение выборного процесса. Другие последствия во внутриполитической и внешнепо- литической областях деятельности Репутационный Нарушение законодательных и подзаконных актов. Нарушение деловой репутации. Снижение престижа. Дискредитация работников. Утрата доверия. Неспособность выполнения договорных обязательств. Другие последствия, приводящие к нарушению репута- ции Ущерб в области обороны, безопас- ности и правопо- рядка Создание предпосылок к наступлению негативных по- следствий для обороны, безопасности и правопорядка. Нарушение общественного правопорядка. Неблагоприятное влияние на обеспечение общественного правопорядка. Возможность потери или снижения уровня контроля за общественным правопорядком. Отсутствие возможности оперативного оповещения населения о чрезвычайной ситуации. Другие последствия, приводящие к ущербу в области обороны, безопасности и правопорядка Ущерб субъекту персональных дан- ных Создание угрозы личной безопасности. Финансовые или иные материальные потери физического лица. Вторжение в частную жизнь. Создание угрозы здоровью. Моральный вред. Утрата репутации. Другие последствия, приводящие к нарушению прав субъекта персональных данных Технологический Невозможность решения задач (реализации функций) или снижение эффективности решения задач (реализации функций). Необходимость изменения (перестроения) внутренних процедур для достижения целей, решения задач (реализа- ции функций). Принятие неправильных решений. Простой информационной системы или сегмента инфор- мационной системы Другие последствия, приводящие к нарушению техноло- гии обработки информации

Указанные виды ущерба могут дополняться другими видами в зависимости от целей и задач, решаемых информационной системой, а также вида обрабатываемой в ней информации.

Степень возможного ущерба от реализации угрозы безопасности информации определяется степенью негативных последствий от нарушения конфиденциальности, целостности или доступности каждого вида информации, содержащейся в информационной системе.

Степень негативных последствий от нарушения конфиденциальности, целостности или доступности информации определяется для каждого вида ущерба, зависит от целей и задач, решаемых информационной системой, и может иметь разные значения для разных обладателей информации и операторов. В качестве единой шкалы измерения степени негативных последствий принимаются значения «незначительные», «умеренные» и «существенные» негативные последствия. Каждым оператором определяется в указанной единой шкале измерений степень негативных последствий от нарушения конфиденциальности, целостности или доступности информации применительно ко всем целям и задачам, решаемым информационной системой.

Степень возможного ущерба определяется экспертным методом в соответствии с таблицей 7.

Таблица 7

Степень ущерба Характеристика степени ущерба Высокая В результате нарушения одного из свойств безопасности информации (конфиденциальности, целостности, доступно- сти) возможны существенные негативные последствия. Информационная система и (или) оператор (обладатель информации) не могут выполнять возложенные на них функции Средняя В результате нарушения одного из свойств безопасности информации (конфиденциальности, целостности, доступно- сти) возможны умеренные негативные последствия. Информационная система и (или) оператор (обладатель информации) не могут выполнять хотя бы одну из возложен- ных на них функций Низкая В результате нарушения одного из свойств безопасности информации (конфиденциальности, целостности, доступно- сти) возможны незначительные негативные последствия. Информационная система и (или) оператор (обладатель информации) могут выполнять возложенные на них функции с недостаточной эффективностью или выполнение функций возможно только с привлечением дополнительных сил и средств

При обработке в информационной системе двух и более видов информации (служебная тайна, персональные данные, налоговая тайна и иные установленные законодательством Российской Федерации виды информации) степень возможного ущерба определяется отдельно для каждого вида информации (k, …, m), обрабатываемой в информационной системе, применительно к каждому виду ущерба. Итоговая степень возможного ущерба устанавливается по наивысшим значениям степени возможного ущерба, определенным для конфиденциальности, целостности, доступности информации каждого вида информации применительно к каждому виду ущерба.

X max(Х ); i К,Ц, Д. i k i k  

в) определение актуальности угрозы безопасности информации

Решение об актуальности угрозы безопасности информации УБИj А для информационной системы с заданными структурно-функциональными характеристиками и условиями функционирования принимается в соответствии с таблицей 8.

Таблица 8

Вероятность (воз- можность) реали- зации угрозы (Yj) Степень возможного ущерба (Хj) Низкая Средняя Высокая Низкая неактуальная неактуальная актуальная Средняя неактуальная актуальная актуальная Высокая актуальная актуальная актуальная

Приложение № 1

к Методике определения угроз безопасности информации в информационных системах

Рекомендации по формированию экспертной группы и проведению экспертной оценки при определении угроз безопасности информации

Качественное формирование экспертной группы способствует снижению субъективных факторов при оценке угроз безопасности информации. Занижение (ослабление) экспертами прогнозов и предположений при определении угроз может повлечь наступление непрогнозируемого (неожиданного) ущерба в результате реализации угрозы безопасности информации. Завышение экспертами прогнозов и предположений при определении угроз может повлечь за собой неоправданные расходы на нейтрализацию угроз, являющихся неактуальными.

Независимо от результата формирования экспертной группы при оценке угроз безопасности информации существуют субъективные факторы, связанные с психологией принятия решений человеком. Это также может приводить как к занижению (ослаблению), так и к завышению (усилению) экспертами прогнозов и предположений при определении угроз безопасности информации, что в свою очередь может привести к пропуску отдельных угроз безопасности информации или к неоправданным затратам на нейтрализацию неактуальных угроз.

Любое решение, принимаемое экспертами при определении угроз безопасности информации, должно исходить из правил, при которых нарушитель находится в наилучших условиях для реализации угрозы безопасности (принципа «гарантированности»).

а) формирование экспертной группы

В состав экспертной группы для определения угроз безопасности информации рекомендуется включать экспертов (независимо от того, реализуются ли функции обладателя информации, заказчика и оператора в рамках одной или нескольких организаций):

  • от подразделений обладателей информации, содержащейся в информационной системе;
  • от подразделений оператора информационной системы;
  • от подразделения по защите информации;
  • от лиц, предоставляющих услуги по обработке информации;
  • от разработчика информационной системы;
  • от операторов взаимодействующих внешних информационных систем (по согласованию).

В качестве экспертов рекомендуется привлекать специалистов, деятельность которых связана с обработкой информации в информационной системе, а также специалистов, имеющие квалификацию и опыт работы в области применения информационных технологий и (или) в области защиты информации.

При привлечении в качестве экспертов специалистов от подразделений по защите информации рекомендуется привлекать лиц, имеющих высшее образование или прошедших переподготовку (повышение квалификации) по направлению подготовки «Информационная безопасность», или имеющих не менее трех лет стажа практической работы в своей сфере деятельности.

Эксперты должны обладать независимостью, основанной на отсутствии коммерческого и финансового интереса или другого давления, которое может оказать влияние на принимаемые решения. Не рекомендуется формировать экспертную группу из участников, находящихся в прямом подчинении, так как это может негативным образом повлиять на результат определения угроз безопасности информации.

Состав экспертной группы зависит от целей и задач информационной системы, но не должен быть меньше трех экспертов.

б) проведение экспертной оценки

При проведении экспертной оценки принимаются меры, направленные на снижение уровня субъективности и неопределенности при определении каждой из угроз безопасности информации.

Экспертную оценку рекомендуется проводить в отношении, как минимум, следующих параметров:

  • цели реализации угроз безопасности информации (мотивация нарушителей);
  • типы и виды нарушителей;
  • уязвимости, которые могут быть использованы для реализации угроз безопасности информации;
  • способы реализации угроз безопасности информации;
  • степень воздействия угрозы безопасности информации на каждое из свойств безопасности информации;
  • последствия от реализации угроз безопасности информации;
  • вероятность реализации угроз безопасности информации;
  • уровень защищенности информационной системы;
  • потенциал нарушителя, требуемый для реализации угрозы безопасности информации (в случае отсутствия потенциала в банке данных угроз безопасности информации).

Оценку параметров рекомендуется проводить опросным методом с составлением анкеты, в которой указываются вопросы и возможные варианты ответа в единой принятой шкале измерений («низкий», «средний», «высокий» или «да», «нет» или иные шкалы). При этом вопросы должны быть четкими и однозначно трактуемыми, предполагать однозначные ответы.

Опрос экспертов включает следующие этапы:

  • каждый эксперт проводит оценку оцениваемого параметра (рекомендуется не мене двух раундов оценки), результаты которой заносятся в таблицу 1.1;
  • после оценки каждым из экспертов отбрасываются минимальные и максимальные значения;
  • определяется среднее значение оцениваемого параметра в каждом раунде;
  • определяется итоговое среднее значение оцениваемого параметра.

Пример таблицы результатов оценки параметров

Таблица 1.1 Эксперты Значение оцениваемого параметра (раунд 1) Значение оцениваемого параметра (раунд 2) Эксперт 1 Эксперт 2 Эксперт n Итоговое значение

Приложение № 2

к Методике определения угроз безопасности информации в информационных системах

Структура модели угроз безопасности информации

Модель угроз безопасности информации содержит следующие разделы:

1. Общие положения.

2. Описание информационной системы и особенностей ее функционирования.

2.1. Цель и задачи, решаемые информационной системой.

2.2. Описание структурно-функциональных характеристик информационной системы.

2.3. Описание технологии обработки информации.

3. Возможности нарушителей (модель нарушителя).

3.1. Типы и виды нарушителей.

3.2. Возможные цели и потенциал нарушителей.

3.3. Возможные способы реализации угроз безопасности информации.

4. Актуальные угрозы безопасности информации.

Приложения (при необходимости).

Раздел «Общие положения» содержит назначение и область действия документа, информацию о полном наименовании информационной системы, для которой разработана модель угроз безопасности информации, а также информацию об использованных для разработки модели угроз безопасности информации нормативных и методических документах, национальных стандартах. В данный раздел также включается информация об используемых данных и источниках, на основе которых определяются угрозы безопасности информации (документация, исходные тексты программ, опросы персонала, журналы регистрации средств защиты, отчеты об аудите и иные источники).

Раздел «Описание информационной системы и особенностей ее функционирования» содержит общую характеристику информационной системы, описание структурно-функциональных характеристик информационной системы, описание взаимосвязей между сегментами информационной системы, описание взаимосвязей с другими информационными системами и информационно-телекоммуникационными сетями, описание технологии обработки информации.

Также в данном разделе приводятся предположения, касающиеся информационной системы и особенностей ее функционирования (в частности предположения об отсутствии неучтенных беспроводных каналов доступа или динамичность выделения адресов узлам информационной системы, иные предположения). В раздел включаются любые ограничения, касающиеся информационной системы и особенностей ее функционирования.

Раздел «Возможности нарушителей (модель нарушителя)» содержит описание типов, видов, потенциала и мотивации нарушителей, от которых необходимо обеспечить защиту информации в информационной системе, способов реализации угроз безопасности информации. В данный раздел также включаются предположения, касающиеся нарушителей (в частности предположение об отсутствии у нарушителя возможности доступа к оборудованию, сделанному на заказ и применяемому при реализации угрозы, предположение о наличии (отсутствии) сговора между внешними и внутренними нарушителями или иные предположения). В раздел включаются любые ограничения, касающиеся определения нарушителей (в частности исключение администраторов информационной системы или администраторов безопасности из числа потенциальных нарушителей или иные предположения).

Раздел «Актуальные угрозы безопасности информации» содержит описание актуальных угроз безопасности, включающее наименование угрозы безопасности информации, возможности нарушителя по реализации угрозы, используемые уязвимости информационной системы, описание способов реализации угрозы безопасности информации, объекты воздействия, возможные результат и последствия от реализации угрозы безопасности информации.

Приложение № 3

к Методике определения угроз безопасности информации в информационных системах

Определение потенциала нарушителя, необходимого для реализации угрозы безопасности информации в информационной системе

Настоящее приложение применяется для определения потенциала, необходимого для реализации угрозы безопасности информации, данные по которой отсутствуют в банке данных угроз безопасности информации, и характеристики которых определяются на основе иных источников или результатов исследований.

Приведенный подход к оценке потенциала нарушителя направлен на снижение уровня субъективности и неопределенности при оценке потенциала нарушителя, который требуется для реализации угрозы безопасности информации в информационной системе с заданными структурно-функциональными характеристиками и особенностями функционирования.

Исходными данными для определения потенциала нарушителя являются:

  • данные об аппаратном, общесистемном и прикладном программном обеспечении, применяемых информационных технологиях, особенностях функционирования информационной системы;
  • данные об уязвимостях в аппаратном, общесистемном и прикладном программном обеспечении, опубликованные в различных базах данных уязвимостей, полученные в результате исследований (тестировании) или полученные от уполномоченных федеральных органов исполнительной власти и организаций.

При оценке потенциала нарушителя необходимо исходить из того, что для успешного достижения целей реализации угроз безопасности информации, нарушителю необходимо осуществить подготовку к реализации угрозы и непосредственно реализацию угрозы безопасности информации. При этом не единственным, но необходимым условием на этапе подготовки к реализации угрозы безопасности информации является идентификация уязвимостей в информационной системе, а на этапе реализации угрозы безопасности информации – использование уязвимостей информационной системы.

Таким образом, для определения потенциала нарушителя необходимо оценить возможности нарушителя идентифицировать уязвимости и использовать их в информационной системе в ходе подготовки к реализации и непосредственно в ходе реализации угрозы безопасности информации. Для проведения указанной оценки делается предположение о наличии уязвимостей, которые потенциально содержатся в информационной системе и могут быть использованы для реализации угрозы безопасности информации.

Потенциальные уязвимости определяются для каждого класса и типа программного обеспечения и для каждого узла (хоста) информационной системы исходя из условия, что для реализации угрозы безопасности информации нарушителю необходимо идентифицировать и использовать как минимум одну уязвимость на каждом узле и хосте.

В качестве исходных данных для определения потенциальных уязвимостей используются данные по составу информационной системы и особенностям ее функционирования, а также данные об уязвимостях в этом программном обеспечении, опубликованные в общедоступных источниках, полученные по результатам исследований и (или) полученные от уполномоченных органов и организаций.

Для каждой выявленной потенциальной уязвимости проводится оценка возможностей ее идентификации и использования в информационной системе нарушителем, обладающим определенными возможностями и для каждого из возможных сценариев реализации угрозы безопасности информации.

Оценка возможностей нарушителя по идентификации и использованию уязвимости в информационной системе проводится по результатам определения следующих показателей:

  • время, затрачиваемое нарушителем на идентификацию и использование уязвимости (затрачиваемое время);
  • техническая компетентность нарушителя;
  • знание нарушителем проекта и информационной системы;
  • оснащенность нарушителя;
  • возможности нарушителя по доступу к информационной системе.

Во многих случаях указанные показатели являются зависимыми и могут в различной степени заменять друг друга. В частности, показатели технической компетентности или оснащенности могут заменяться показателем затрачиваемого времени.

а) определение показателя «затрачиваемое время»

Показатель «затрачиваемое время» характеризует время, непрерывно затрачиваемое нарушителем для идентификации и использования уязвимости для реализации угрозы безопасности информации.

Показатель «затрачиваемое время» может принимать значения «за минуты», «за часы», «за дни» или «за месяцы».

Значение «за минуты» присваивается, если для реализации угрозы безопасности информации нарушитель затратит менее получаса на идентификацию и использование уязвимости.

Значение «за часы» присваивается, если для реализации угрозы безопасности информации нарушитель затратит менее чем один день на идентификацию и использование уязвимости.

Значение «за дни» присваивается, если для реализации угрозы безопасности информации нарушитель затратит менее чем один месяц на идентификацию и использование уязвимости.

Значение «за месяцы» присваивается, если для реализации угрозы безопасности информации нарушитель затратит, как минимум, месяц на идентификацию и использование уязвимости.

б) определение показателя «техническая компетентность нарушителя»

Показатель «техническая компетентность нарушителя» характеризует, каким уровнем знаний и подготовкой в области информационных технологий и защиты информации должен обладать нарушитель, чтобы идентифицировать и использовать уязвимости для реализации угрозы безопасности информации.

Показатель «техническая компетентность нарушителя» может принимать значения «специалист», «профессионал» или «непрофессионал».

Значение «профессионал» присваивается, если нарушитель имеет хорошую осведомленность о мерах защиты информации, применяемых в информационной системе, об алгоритмах, аппаратных и программных средствах, используемых в информационной системе, а также обладает специальными знаниями о методах и средствах выявления новых уязвимостей и способах реализации угроз безопасности информации для информационных систем данного типа.

Значение «специалист» присваивается, если нарушитель имеет осведомленность о мерах защиты информации, применяемых в информационной системе данного типа.

Значение «непрофессионал» присваивается, если нарушитель имеет слабую осведомленность (по сравнению со специалистами или профессионалами) о мерах защиты информации, применяемых в информационных системах данного типа, и не обладает специальными знаниями по реализации угроз безопасности информации.

в) определение показателя «знание нарушителем проекта и информационной системы»

Показатель «знание нарушителем проекта и информационной системы» характеризует, какие сведения об информационной системе и условиях ее эксплуатации доступны нарушителю, чтобы идентифицировать и использовать уязвимости для реализации угрозы безопасности информации.

Показатель «знание нарушителем проекта и информационной системы» может принимать значения «отсутствие знаний», «ограниченные знания» или «знание чувствительной информации».

Значение «отсутствие знаний» присваивается, если в результате принятия мер по защите информации нарушителю не может стать известно о структурно-функциональных характеристиках информационной системы, системе защиты информации информационной системы, а также об иной информации по разработке (проектированию) и эксплуатации информационной системы, включая сведения из конструкторской, проектной и эксплуатационной документации.

При этом может быть доступна информация о целях и задачах, решаемых информационной системой. Данный показатель также присваивается, если сведения об информационной системе отнесены к информации ограниченного доступа и не могут быть доступны для неограниченного круга лиц.

Значение «ограниченные знания» присваивается, если нарушителю наряду с информацией о целях и задачах, решаемых информационной системой, может стать известна только эксплуатационная документация на информационную систему (в частности руководство пользователя и (или) правила эксплуатации информационной системы).

Значение «знание чувствительной информации» присваивается, если нарушителю может стать известны конструкторская (проектная) и эксплуатационная документация на информационную систему, информация о структурно-функциональных характеристиках информационной системы, системе защиты информационной системы.

г) определение показателя «возможности нарушителя по доступу к информационной системе»

Показатель «возможности нарушителя по доступу к информационной системе» характеризует, как долго по времени нарушитель должен иметь возможность доступа к информационной системе для идентификации и использования уязвимостей для реализации угроз безопасности информации.

Показатель «возможности нарушителя по доступу к информационной системе» может принимать значения «за минуты», «за часы», «за дни» или «за месяцы».

Значение «за минуты» присваивается, если для идентификации и использования уязвимости для реализации угрозы безопасности информации нарушителю требуется доступ менее получаса.

Значение «за часы» присваивается, если для идентификации и использования уязвимости для реализации угрозы безопасности информации нарушителю требуется доступ менее одного дня.

Значение «за дни» присваивается, если для идентификации и использования уязвимости для реализации угрозы безопасности информации нарушителю требуется доступ менее одного месяца.

Значение «за месяцы» присваивается, если для идентификации и использования уязвимости для реализации угрозы безопасности информации нарушителю требуется доступ более одного месяца.

Показатель «возможности нарушителя по доступу к информационной системе» взаимосвязан с показателем «затраченное время». Идентификация и использование уязвимости при реализации угрозы безопасности информации могут требовать продолжительного времени по доступу к информационной системе, что увеличивает возможность обнаружения уязвимости. В отдельных случаях продолжительный доступ к информационной системе не требуется (методы и средства реализации угроз безопасности разрабатываются автономно), но при этом требуется кратковременный доступ к информационной системе.

д) определение показателя «оснащенность нарушителя»

Показатель «оснащенность нарушителя» характеризует, какие программные и (или) программно-технические средства требуются нарушителю для идентификации и использования уязвимостей для реализации угроз безопасности информации.

Показатель «оснащенность нарушителя» может принимать значения «стандартное оборудование», «специализированное оборудование» или «оборудование, сделанное на заказ».

Значение «стандартное оборудование» присваивается, если для идентификации или использования уязвимостей при реализации угрозы безопасности информации требуются программные (программно-технические) средства, легко доступные для нарушителя. К таким средствам, в первую очередь, относятся программные средства непосредственно информационной системы (отладчик в операционной системе, средства разработки и иные), программные средства, которые могут быть легко получены (программы, имеющиеся в свободном доступе в сети Интернет) или имеются простые сценарии реализации угроз.

Значение «специализированное оборудование» присваивается, если для идентификации или использования уязвимостей при реализации угрозы безопасности информации требуются программные (программно-технические) средства, которые отсутствуют в свободном доступе, но могут быть приобретены нарушителем без значительных усилий. К таким средствам, в первую очередь, относятся программные (программно-технические) средства, которые имеются в продаже (анализаторы кода, анализаторы протоколов и иные) или требуется разработка более сложных программ и сценариев реализации угрозы.

Оборудование может быть закуплено, либо, например, могут быть использованы компьютеры, объединенные через сеть Интернет (бот-сети).

Значение «оборудование, сделанное на заказ» присваивается, если для идентификации или использования уязвимостей при реализации угрозы безопасности информации требуются программные (программно-технические) средства, которые недоступны широкому кругу лиц, так как требуется их специальная разработка с привлечением исследовательских организаций, или распространение этих средств контролируется в соответствии с законодательством. К такому оборудованию также относится дорогостоящие средства или средства, сведения о которых относятся к информации ограниченного доступа.

С целью вычисления потенциала нарушителя определяются числовые значения указанных показателей в соответствии с таблицей 3.1.

Таблица 3.1

Показатель возможностей нарушителя Значения при идентификации уязвимости Значения при использова- нии уязвимо- сти Затрачиваемое время < 0,5 час 0 0 < 1 день 2 3 < 1 месяц 3 5 > 1 месяц 5 8 Техническая ком- петентность нарушителя Непрофессионал 0 0 Специалист 2 3 Профессионал 5 4 Знание проекта и информационной системы Отсутствие знаний 0 0 Ограниченные знания 2 2 Знание чувствительной информации 5 4 Возможность до- ступа к информа- ционной системе < 0,5 час или не обна- руживаемый доступ 0 0 < 1 день 2 4 < 1 месяц 3 6 > 1 месяц 4 9 Не возможно Оснащенность нарушителя Отсутствует 0 0 Стандартное оборудо- вание 1 2 Специализированное оборудование 3 4 Оборудование, сделан- ное на заказ


Для конкретной потенциальной уязвимости может возникнуть необходимость определять показатели несколько раз для различных способов реализации угроз безопасности информации (попеременно использовать разные значения показателей компетентности в сочетании со значениями времени и оборудования). При этом следует выбирать наибольшее значение, полученное при каждом расчете показателей.

Полученные на основе таблицы 3.1 значения характеристик потенциала нарушителя суммируются. Полученная сумма значений характеристик соотносится с диапазонами значений, приведенных в таблице 3.2, в соответствии с которой определяется потенциал нарушителя, необходимый для реализации угрозы безопасности информации.

Таблица 3.2

Диапазон значений Потенциал нарушителя <10 Потенциал недостаточен для реализации угрозы безопасности 10-17 Базовый (низкий) 18-24 Базовый повышенный (средний) >24 Высокий

Мотивация нарушителя для реализации угроз безопасности информации может быть базовой или повышенной. Мотивация нарушителя характеризует уровень устремлений нарушителя к информации, содержащейся в информационной системе, или информационной системе в целом. При определении потенциала нарушителя необходимо исходить, как минимум, из его базовой мотивации.

Потенциал нарушителя, требуемый для реализации угрозы безопасности информации, переходит на следующий уровень (от низкого к среднего или от среднего к высокому), если определено, что нарушитель имеет повышенную мотивацию реализации угроз безопасности по отношению к информационной системе.

Мотивация нарушителя определяется как повышенная, если:

  • а) имеются сведения (в том числе опубликованные в общедоступных источниках) об устремлениях нарушителей к конкретной информационной системе и (или) отдельным ее объектам защиты; например, если информация, обрабатываемая в информационной системе, является высоко ценной для нарушителя или для нарушителя является крайне приоритетным нанести ущерб оператору информационной системы;
  • б) имеется информация, полученная от уполномоченных федеральных органов исполнительной власти, о намерении нарушителя осуществить неправомерные действия в отношении информационной системы и (или) информации, содержащейся в этой информационной системе.

http://fstec.ru/component/attachments/download/812