Методика определения угроз безопасности информации в информационных системах: различия между версиями

Материал из Information Security
Перейти к навигации Перейти к поиску
(Новая страница: «ФЕДЕРАЛЬНАЯ СЛУЖБА ПО ТЕХНИЧЕСКОМУ И ЭКСПОРТНОМУ КОНТРОЛЮ (ФСТЭК РОССИИ) МЕТОДИЧЕСКИЙ…»)
 
Строка 21: Строка 21:


=ОБЩИЕ ПОЛОЖЕНИЯ=
=ОБЩИЕ ПОЛОЖЕНИЯ=
Настоящий методический документ ФСТЭК России «Методика определе-
 
ния угроз безопасности информации в информационных системах» (далее
Настоящий методический документ ФСТЭК России «Методика определения угроз безопасности информации в информационных системах» (далее - Методика) разработан и утвержден в соответствии с подпунктом 4 пункта 8 Положения о Федеральной службе по техническому и экспортному контролю, утвержденного Указом Президента Российской Федерации от 16 августа 2004 г. № 1085.
Методика) разработан и утвержден в соответствии с подпунктом 4 пункта 8 По-
 
ложения о Федеральной службе по техническому и экспортному контролю,
Документ устанавливает единый методический подход к определению угроз безопасности информации и разработке моделей угроз безопасности информации в государственных информационных системах (далее – информационные системы), защита информации в которых обеспечивается в соответствии с Требованиями о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах, утвержденными приказом ФСТЭК России от 11 февраля 2013 г. № 17 (зарегистрирован Минюстом России 31 мая 2013 г., рег. № 28608).
утвержденного Указом Президента Российской Федерации от 16 августа 2004 г.
 
№ 1085.
По решению оператора персональных данных Методика может применяться для определения в соответствии с пунктом 1 части 2 статьи 19 Федерального закона «О персональных данных» угроз безопасности персональных данных при их обработке в информационных системах персональных данных, защита которых обеспечивается в соответствии с Составом и содержанием организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденных приказом ФСТЭК России от 18 февраля 2013 г. № 21 (зарегистрирован Минюстом России 14 мая 2013 г., рег. № 28375).
Документ устанавливает единый методический подход к определению
 
угроз безопасности информации и разработке моделей угроз безопасности ин-
Методика не распространяется на определение угроз безопасности информации, составляющей государственную тайну.
формации в государственных информационных системах (далее – информаци-
 
онные системы), защита информации в которых обеспечивается в соответствии с
Требованиями о защите информации, не составляющей государственную тайну,
содержащейся в государственных информационных системах, утвержденными
приказом ФСТЭК России от 11 февраля 2013 г. № 17 (зарегистрирован Миню-
стом России 31 мая 2013 г., рег. № 28608).
По решению оператора персональных данных Методика может приме-
няться для определения в соответствии с пунктом 1 части 2 статьи 19 Федераль-
ного закона «О персональных данных» угроз безопасности персональных дан-
ных при их обработке в информационных системах персональных данных, за-
щита которых обеспечивается в соответствии с Составом и содержанием органи-
зационных и технических мер по обеспечению безопасности персональных дан-
ных при их обработке в информационных системах персональных данных,
утвержденных приказом ФСТЭК России от 18 февраля 2013 г. № 21 (зарегистри-
рован Минюстом России 14 мая 2013 г., рег. № 28375).
Методика не распространяется на определение угроз безопасности инфор-
мации, составляющей государственную тайну.
Методика предназначена для:
Методика предназначена для:
органов государственной власти, органов местного самоуправления и ор-
*органов государственной власти, органов местного самоуправления и организаций, являющихся в соответствии с законодательством Российской Федерации обладателями информации, заказчиками и (или) операторами информационных систем;
ганизаций, являющихся в соответствии с законодательством Российской Феде-
*организаций, осуществляющих в соответствии с законодательством Российской Федерации работы по созданию (проектированию) информационных систем;
рации обладателями информации, заказчиками и (или) операторами информаци-
*организаций, осуществляющих в соответствии с законодательством Российской Федерации работы по защите информации в ходе создания (проектирования) и эксплуатации информационных систем;
онных систем;
*организаций, осуществляющих в соответствии с законодательством Российской Федерации работы по аттестации (оценке соответствия) информационных систем требованиям о защите информации.
организаций, осуществляющих в соответствии с законодательством Рос-
 
сийской Федерации работы по созданию (проектированию) информационных
Настоящая Методика применяется на этапах создания информационных систем для определения и оценки угроз безопасности информации и разработки моделей угроз, а также в ходе эксплуатации информационных систем при периодическом пересмотре (переоценке) угроз безопасности информации.
систем;
 
организаций, осуществляющих в соответствии с законодательством Рос-
Методика применяется совместно с банком данных угроз безопасности информации, сформированным ФСТЭК России (ubi.fstec.ru), а также базовыми и типовыми моделями угроз безопасности информации в информационных системах различных классов и типов, разрабатываемых ФСТЭК России в соответствии с подпунктом 4 пункта 8 Положения о Федеральной службе по техническому и экспортному контролю, утвержденного Указом Президента Российской Федерации от 16 августа 2004 г. № 1085.
сийской Федерации работы по защите информации в ходе создания (проектиро-
 
вания) и эксплуатации информационных систем;
Методика ориентирована на определение и оценку антропогенных угроз безопасности информации, возникновение которых обусловлено объективными факторами. Вместе с тем, часть приведенных в Методике подходов может также применяться для оценки техногенных угроз в случае, если они позволяют достичь целей такой оценки. Определение угроз, связанных со стихийными бедствиями и природными явлениями осуществляется в соответствии с правилами, установленными уполномоченными федеральными органами исполнительной власти, национальными стандартами и находятся за рамками настоящей Методики.
организаций, осуществляющих в соответствии с законодательством Рос-
 
сийской Федерации работы по аттестации (оценке соответствия) информацион-
В случае, если в соответствии с настоящей Методикой к числу актуальных угроз, отнесены угрозы, связанные с утечкой информации по техническим каналам, дальнейшая их оценка проводится в соответствии со специальными требованиями и рекомендациями по технической защите конфиденциальной информации и методиками оценки защищенности конфиденциальной информации.
ных систем требованиям о защите информации.
 
Настоящая Методика применяется на этапах создания информационных
систем для определения и оценки угроз безопасности информации и разработки
моделей угроз, а также в ходе эксплуатации информационных систем при пери-
одическом пересмотре (переоценке) угроз безопасности информации.
4
Методика применяется совместно с банком данных угроз безопасности
информации, сформированным ФСТЭК России (ubi.fstec.ru), а также базовыми и
типовыми моделями угроз безопасности информации в информационных систе-
мах различных классов и типов, разрабатываемых ФСТЭК России в соответ-
ствии с подпунктом 4 пункта 8 Положения о Федеральной службе по техниче-
скому и экспортному контролю, утвержденного Указом Президента Российской
Федерации от 16 августа 2004 г. № 1085.
Методика ориентирована на определение и оценку антропогенных угроз
безопасности информации, возникновение которых обусловлено объективными
факторами. Вместе с тем, часть приведенных в Методике подходов может также
применяться для оценки техногенных угроз в случае, если они позволяют до-
стичь целей такой оценки. Определение угроз, связанных со стихийными бед-
ствиями и природными явлениями осуществляется в соответствии с правилами,
установленными уполномоченными федеральными органами исполнительной
власти, национальными стандартами и находятся за рамками настоящей Мето-
дики.
В случае, если в соответствии с настоящей Методикой к числу актуальных
угроз, отнесены угрозы, связанные с утечкой информации по техническим кана-
лам, дальнейшая их оценка проводится в соответствии со специальными требо-
ваниями и рекомендациями по технической защите конфиденциальной инфор-
мации и методиками оценки защищенности конфиденциальной информации.
В Методике используются термины и их определения, установленные
В Методике используются термины и их определения, установленные
национальными стандартами в области защиты информации.
национальными стандартами в области защиты информации.
В связи с утверждением настоящего методического документа не приме-
 
няется для определения угроз безопасности информации Методика определения
В связи с утверждением настоящего методического документа не применяется для определения угроз безопасности информации Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных (ФСТЭК России, 2008 г.).
актуальных угроз безопасности персональных данных при их обработке в ин-
формационных системах персональных данных (ФСТЭК России, 2008 г.).


=ПРОЦЕСС ОПРЕДЕЛЕНИЯ УГРОЗ БЕЗОПАСНОСТИ ИНФОРМАЦИИ В ИНФОРМАЦИОННОЙ СИСТЕМЕ=
=ПРОЦЕСС ОПРЕДЕЛЕНИЯ УГРОЗ БЕЗОПАСНОСТИ ИНФОРМАЦИИ В ИНФОРМАЦИОННОЙ СИСТЕМЕ=

Версия 11:14, 2 октября 2015

ФЕДЕРАЛЬНАЯ СЛУЖБА ПО ТЕХНИЧЕСКОМУ И ЭКСПОРТНОМУ КОНТРОЛЮ (ФСТЭК РОССИИ)

МЕТОДИЧЕСКИЙ ДОКУМЕНТ МЕТОДИКА ОПРЕДЕЛЕНИЯ УГРОЗ БЕЗОПАСНОСТИ ИНФОРМАЦИИ В ИНФОРМАЦИОННЫХ СИСТЕМАХ (ПРОЕКТ) 2015


СОДЕРЖАНИЕ 1. Общие положения…………………………………………………………... 3 2. Процесс определения угроз безопасности информации в информацион- ной системе...................................................................................................... 5 3. Оценка возможностей нарушителя по реализации угроз безопасности информации (разработка модели нарушителя)…………………………… 10 4. Определение актуальных угроз безопасности информации в информа- ционной системе…………………………………………………………….. 20 Приложение № 1……………………………………………………………. Приложение № 2……………………………………………………………. Приложение № 3…………………………………………………………….

ОБЩИЕ ПОЛОЖЕНИЯ

Настоящий методический документ ФСТЭК России «Методика определения угроз безопасности информации в информационных системах» (далее - Методика) разработан и утвержден в соответствии с подпунктом 4 пункта 8 Положения о Федеральной службе по техническому и экспортному контролю, утвержденного Указом Президента Российской Федерации от 16 августа 2004 г. № 1085.

Документ устанавливает единый методический подход к определению угроз безопасности информации и разработке моделей угроз безопасности информации в государственных информационных системах (далее – информационные системы), защита информации в которых обеспечивается в соответствии с Требованиями о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах, утвержденными приказом ФСТЭК России от 11 февраля 2013 г. № 17 (зарегистрирован Минюстом России 31 мая 2013 г., рег. № 28608).

По решению оператора персональных данных Методика может применяться для определения в соответствии с пунктом 1 части 2 статьи 19 Федерального закона «О персональных данных» угроз безопасности персональных данных при их обработке в информационных системах персональных данных, защита которых обеспечивается в соответствии с Составом и содержанием организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденных приказом ФСТЭК России от 18 февраля 2013 г. № 21 (зарегистрирован Минюстом России 14 мая 2013 г., рег. № 28375).

Методика не распространяется на определение угроз безопасности информации, составляющей государственную тайну.

Методика предназначена для:

  • органов государственной власти, органов местного самоуправления и организаций, являющихся в соответствии с законодательством Российской Федерации обладателями информации, заказчиками и (или) операторами информационных систем;
  • организаций, осуществляющих в соответствии с законодательством Российской Федерации работы по созданию (проектированию) информационных систем;
  • организаций, осуществляющих в соответствии с законодательством Российской Федерации работы по защите информации в ходе создания (проектирования) и эксплуатации информационных систем;
  • организаций, осуществляющих в соответствии с законодательством Российской Федерации работы по аттестации (оценке соответствия) информационных систем требованиям о защите информации.

Настоящая Методика применяется на этапах создания информационных систем для определения и оценки угроз безопасности информации и разработки моделей угроз, а также в ходе эксплуатации информационных систем при периодическом пересмотре (переоценке) угроз безопасности информации.

Методика применяется совместно с банком данных угроз безопасности информации, сформированным ФСТЭК России (ubi.fstec.ru), а также базовыми и типовыми моделями угроз безопасности информации в информационных системах различных классов и типов, разрабатываемых ФСТЭК России в соответствии с подпунктом 4 пункта 8 Положения о Федеральной службе по техническому и экспортному контролю, утвержденного Указом Президента Российской Федерации от 16 августа 2004 г. № 1085.

Методика ориентирована на определение и оценку антропогенных угроз безопасности информации, возникновение которых обусловлено объективными факторами. Вместе с тем, часть приведенных в Методике подходов может также применяться для оценки техногенных угроз в случае, если они позволяют достичь целей такой оценки. Определение угроз, связанных со стихийными бедствиями и природными явлениями осуществляется в соответствии с правилами, установленными уполномоченными федеральными органами исполнительной власти, национальными стандартами и находятся за рамками настоящей Методики.

В случае, если в соответствии с настоящей Методикой к числу актуальных угроз, отнесены угрозы, связанные с утечкой информации по техническим каналам, дальнейшая их оценка проводится в соответствии со специальными требованиями и рекомендациями по технической защите конфиденциальной информации и методиками оценки защищенности конфиденциальной информации.

В Методике используются термины и их определения, установленные национальными стандартами в области защиты информации.

В связи с утверждением настоящего методического документа не применяется для определения угроз безопасности информации Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных (ФСТЭК России, 2008 г.).

ПРОЦЕСС ОПРЕДЕЛЕНИЯ УГРОЗ БЕЗОПАСНОСТИ ИНФОРМАЦИИ В ИНФОРМАЦИОННОЙ СИСТЕМЕ

Целью определения угроз безопасности информации является установле- ние того, существует ли возможность нарушения конфиденциальности, целост- ности или доступности информации, содержащейся в информационной системе, и приведет ли нарушение хотя бы одного из указанных свойств безопасности информации к наступлению неприемлемых негативных последствий (ущерба) для обладателя информации или оператора, а в случае обработки персональных данных и для субъектов персональных данных. Определение угроз безопасности информации должно носить системати- ческий характер и осуществляться как на этапе создания информационной си- стемы и формирования требований по ее защите, так и в ходе эксплуатации ин- формационной системы. Систематический подход к определению угроз безопас- ности информации необходим для того, чтобы определить потребности в кон- кретных требованиях к защите информации и создать адекватную эффективную систему защиты информации в информационной системе. Меры защиты инфор- мации, принимаемые обладателем информации и оператором, должны обеспечи- вать эффективное и своевременное выявление и блокирование (нейтрализацию) угроз безопасности информации, в результате реализации которых возможно наступление неприемлемых негативных последствий (ущерба). Систематический подход к определению угроз безопасности информации предусматривает реализацию непрерывного процесса, в рамках которого опре- деляется область применения процесса определения угроз, идентифицируются источники угроз и угрозы безопасности информации, оценивается возможность реализации угроз безопасности информации и степень возможного ущерба в случае такой реализации, осуществляется мониторинг (периодический пере- смотр) и переоценка угроз безопасности информации. Оценка угроз безопасности информации проводится экспертным методом. Рекомендации по формированию экспертной группы и проведению экспертной оценки при определении угроз безопасности информации приведены в приложе- нии № 1 к настоящей Методике. а) область применения процесса определения угроз безопасности ин- формации На этапах принятия решения о необходимости защиты информации в ин- формационной системе и разработки требований к защите информации должны быть определены физические и логические границы информационной системы, в которых принимаются и контролируются меры защиты информации, за которые ответственен оператор, а также определены объекты защиты и сегменты инфор- мационной системы. Процесс определения угроз безопасности информации должен охватывать все объекты защиты и сегменты в логических и физических границах информа- ционной системы, в которых оператором принимаются и контролируются меры 6 защиты информации. Процесс определения угроз безопасности информации ор- ганизуется подразделением оператора, назначенным ответственным за защиту информации в информационной системе. В случае, если информационная систе- ма имеет сегменты, эксплуатируемые разными подразделениями оператора, ко- торые могут самостоятельно принимать и контролировать меры защиты инфор- мации, должны быть определены границы ответственности этих подразделений и порядок их взаимодействия в процессе определения угроз безопасности ин- формации. Область применения процесса определения угроз безопасности информа- ции отражается в модели угроз безопасности информации наряду с областью действия модели угроз, структурно-функциональными характеристиками ин- формационной системы и особенностями ее функционирования. б) идентификация источников угроз и угроз безопасности информации В обобщенном виде угрозы безопасности информации характеризуется ис- точниками угроз, факторами, обуславливающими возможность реализации угроз, способами (методами) реализации угроз и последствиями от реализации угроз безопасности информации. Важным этапом в процессе определения угроз безопасности информации является идентификация лиц или событий (явлений), в результате действий (наступления, возникновения) которых возможно нарушение конфиденциально- сти, целостности или доступности информации, содержащейся в информацион- ной системе, и возникновение неприемлемых негативных последствий (ущерба). В качестве источников угроз безопасности информации могут выступать субъекты (физические лица, организации, государства) или явления (техноген- ные аварии, стихийные бедствия, иные природные явления). Источники угроз безопасности информации являются определяющим фактором при определении угроз безопасности информации в информационных системах. В процессе определения угроз безопасности информации подлежат оценке те угрозы, у которых есть источники и источники имеют возможности и условия для реализации угроз безопасности информации в информационной си- стеме с заданными структурно-функциональными характеристиками и особен- ностями ее функционирования. Источники угроз безопасности информации могут быть следующих типов: антропогенные источники (антропогенные угрозы); техногенные источники (техногенные угрозы); стихийные источники (угрозы стихийных бедствий, иных природных яв- лений). В качестве источников антропогенных угроз безопасности информации могут выступать: лица, осуществляющие преднамеренные действия с целью доступа к ин- формации (воздействия на информацию), содержащейся в информационной си- стеме, или нарушения функционирования информационной системы или обслу- 7 живающей ее инфраструктуры (преднамеренные угрозы безопасности информа- ции); лица, имеющие доступ к информационной системе, не преднамеренные действия которых могут привести к нарушению безопасности информации (не- преднамеренные угрозы безопасности информации). Для информационных систем, в которых целью защиты является обеспе- чение целостности и доступности обрабатываемой информации, в обязательном порядке подлежат оценке техногенные угрозы, связанные с отказами или сбоями в работе технических средств или программного обеспечения. Такие угрозы мо- гут быть обусловлены: низким качеством (надежностью) технических, программных или про- граммно-технических средств; низким качеством (надежностью) сетей связи и (или) услуг связи; отсутствием или низкой эффективностью систем резервирования или дуб- лирования программно-технических и технических средств; низким качеством (надежностью) инженерных систем (кондиционирова- ния, электроснабжения, охранных систем и т.д.); низким качеством обслуживания со стороны обслуживающих организаций и лиц. При определении угроз безопасности информации оценке подлежат угро- зы, связанные со всеми типами источников. Однако в целях создания и эксплуа- тации адекватной эффективной системы защиты информации в информационной системе следует, в первую очередь, уделять внимание оценке антропогенных угроз, связанных с несанкционированными (неправомерными) действиями субъ- ектов по нарушению безопасности (конфиденциальности, целостности, доступ- ности) информации, в том числе целенаправленными воздействиями программ- ными (программно-техническими) средствами на информационные системы, осуществляемые в целях нарушения (прекращения) их функционирования (ком- пьютерные атаки). Также при определении угроз безопасности информации наряду с угроза- ми, реализация которых может привести непосредственно к нарушению конфи- денциальности, целостности или доступности информации (прямыми угрозами), необходимо выявлять и оценивать угрозы, создающие условия для реализации прямых угроз безопасности информации (косвенные угрозы). В качестве косвен- ных угроз безопасности информации могут рассматриваться угрозы повышения привилегий, исчерпания вычислительных ресурсов, недоступности обновления программного обеспечения и иные угрозы безопасности информации. В процессе определения угроз безопасности информации на всех стадиях (этапах) жизненного цикла информационных систем необходимо регулярно про- водить идентификацию источников угроз, оценивать их возможности и опреде- лять на этой основе угрозы безопасности информации. Данные о нарушителях и их возможностях по реализации угроз безопасности информации, полученные при идентификации источников угроз, включаются в модели угроз безопасности информации. 8 Для идентификации угроз безопасности информации в информационной системе определяются: возможности (тип, вид, потенциал) нарушителей, необходимые им для ре- ализации угроз безопасности информации; уязвимости, которые могут использоваться при реализации угроз безопас- ности информации (включая специально внедренные программные закладки); способы (методы) реализации угроз безопасности информации; объекты информационной системы, на которые направлена угроза без- опасности информации (объекты воздействия); результат и последствия от реализации угроз безопасности информации. Каждая угроза безопасности информации в информационной системе опи- сывается (идентифицируется) следующим образом: УБИj = [нарушитель (источник угрозы); уязвимости; способы реализации угро- зы; объекты воздействия; последствия от реализации угрозы]. в) оценка вероятности (возможности) реализации угроз безопасности информации и степени возможного ущерба Идентифицированная угроза безопасности информации подлежит нейтра- лизации (блокированию), если она является актуальной (УБИj А ) для информаци- онной системы, то есть в информационной системе с заданными структурно- функциональными характеристиками и особенностями функционирования су- ществует вероятность (возможность) реализации рассматриваемой угрозы нару- шителем с соответствующим потенциалом и ее реализация приведет к неприем- лемым негативным последствиям (ущербу): УБИj А = [вероятность (возможность) реализации угрозы (Рj); степень ущерба (Хj)]. Актуальные угрозы безопасности информации включаются в модель угроз безопасности информации. Модель угроз безопасности информации, учитывая особенности информационной системы, используемые в ней программные, про- граммно-технические, технические средства и процессы обработки информации, дает описание угроз безопасности, которым подвержена информационная систе- ма. Структура модели угроз безопасности информации приведена в приложении № 2 к настоящей Методике. г) мониторинг и переоценка угроз безопасности информации Определение угроз безопасности информации на этапе создания информа- ционной системы позволяет обеспечить формирование требований и внедрение эффективной адекватной системы защиты информации в информационной си- стеме для угроз, актуальных к моменту ввода в эксплуатацию информационной системы. 9 В ходе эксплуатации информационной системы оператор, обеспечивая до- стижение целей и задач информационной системы, может изменять ее базовую конфигурацию, что приводит к изменению структурно-функциональных харак- теристик информационной системы и применяемых информационных техноло- гий. Также в процессе эксплуатации возможно изменение состава и значимости обрабатываемой информации и особенностей функционирования информацион- ной системы. В этих условиях процесс определения угроз безопасности информации должен носить систематический характер. В ходе эксплуатации информацион- ной системы регулярно проводится анализ изменения угроз безопасности ин- формации, а актуальные угрозы безопасности информации подлежат периодиче- ской переоценке. Периодичность переоценки определяется организацией исходя из особенностей функционирования информационной системы. Рекомендуется пересматривать угрозы безопасности информации не реже одного раза в год. По результатам анализа проводится уточнение (при необходимости) модели угроз безопасности информации. Пересмотр (переоценка) угроз безопасности информации, как минимум, осуществляется в случаях: изменения требований законодательства Российской Федерации о защите информации, нормативных правовых актов и методических документов, регла- ментирующих защиту информации; изменения конфигурации (состава основных компонентов) и особенностей функционирования информационной системы, следствием которых стало воз- никновение новых угроз безопасности информации; выявления уязвимостей, приводящих к возникновению новых угроз без- опасности информации или к повышению возможности реализации существую- щих; появления сведений и фактов о новых возможностях нарушителей. 10

ОЦЕНКА ВОЗМОЖНОСТЕЙ НАРУШИТЕЛЕЙ ПО РЕАЛИЗАЦИИ УГРОЗ БЕЗОПАСНОСТИ ИНФОРМАЦИИ (РАЗРАБОТКА МОДЕЛИ НАРУШИТЕЛЯ)

Целью оценки возможностей нарушителей по реализации угроз безопасно- сти информации является формирование предположения о типах, видах наруши- телей, которые могут реализовать угрозы безопасности информации в информа- ционной системе с заданными структурно-функциональными характеристиками и особенностями функционирования, а также потенциале этих нарушителей и возможных способах реализации угроз безопасности информации. Результаты оценки возможностей нарушителей включаются в модель нарушителя, которая является составной частью (разделом) модели угроз без- опасности информации и содержит: типы, виды и потенциал нарушителей, которые могут обеспечить реализа- цию угроз безопасности информации; цели, которые могут преследовать нарушители каждого вида при реализа- ции угроз безопасности информации; возможные способы реализации угроз безопасности информации. а) типы нарушителей Типы нарушителей определяются по результатам анализа прав доступа субъектов к информации и (или) к компонентам информационной системы, а также анализа возможностей нарушителей по доступу к компонентам информа- ционной системы исходя из структурно-функциональных характеристик и осо- бенностей функционирования информационной системы. В зависимости от имеющихся прав доступа нарушители могут иметь леги- тимный физический (непосредственный) и (или) логический доступ к компонен- там информационной системы и (или) содержащейся в них информации или не иметь такого доступа. Анализ прав доступа проводится, как минимум, в отношении следующих компонент информационной системы: устройств ввода/вывода (отображения) информации; беспроводных устройств; программных, программно-технических и технических средств обработки информации; съемных машинных носителей информации; машинных носителей информации, выведенных из эксплуатации; активного (коммутационного) и пассивного оборудования каналов связи; каналов связи, выходящих за пределы контролируемой зоны. С учетом наличия прав доступа и возможностей по доступу к информации и (или) к компонентам информационной системы нарушители подразделяются на два типа: 11 внешние нарушители (тип I) – лица, не имеющие права доступа к инфор- мационной системе, ее отдельным компонентам и реализующие угрозы безопас- ности информации из-за границ информационной системы; внутренние нарушители (тип II) – лица, имеющие право постоянного или разового доступа к информационной системе, ее отдельным компонентам. Наибольшими возможностями по реализации угроз безопасности обладают внутренние нарушители. При оценке возможностей внутренних нарушителей необходимо учитывать принимаемые оператором организационные меры по до- пуску субъектов к работе в информационной системе. Возможности внутреннего нарушителя существенным образом зависят от установленного порядка допуска физических лиц к информационной системе и ее компонентам, а также мер по контролю за доступом и работой этих лиц. Внешнего нарушителя необходимо рассматривать в качестве актуального во всех случаях, когда имеются подключения информационной системы к внеш- ним информационно-телекоммуникационным сетям и (или) имеются линии свя- зи, выходящие за пределы контролируемой зоны, используемые для иных под- ключений. б) виды и потенциал нарушителей Угрозы безопасности информации в информационной системе могут быть реализованы следующими видами нарушителей: специальные службы иностранных государств (блоков государств); террористические, экстремистские группировки; преступные группы (криминальные структуры); внешние субъекты (физические лица); конкурирующие организации; разработчики, производители, поставщики программных, технических и программно-технических средств; лица, привлекаемые для установки, наладки, монтажа, пусконаладочных и иных видов работ; лица, обеспечивающие функционирование информационных систем или обслуживающие инфраструктуру оператора (администрация, охрана, уборщики и т.д.); пользователи информационной системы; администраторы информационной системы и администраторы безопасно- сти; бывшие работники (пользователи). Виды нарушителей, характерных для информационной системы с задан- ными структурно-функциональными характеристиками и особенностями функ- ционирования, определяются на основе предположений (прогноза) о возможных целях (мотивации) при реализации угроз безопасности информации этими нару- шителями. В качестве возможных целей (мотивации) реализации нарушителями угроз безопасности информации в информационной системе могут быть: 12 нанесение ущерба государству, отдельным его сферам деятельности или секторам экономики; реализация угроз безопасности информации по идеологическим или поли- тическим мотивам; организация террористического акта; причинение имущественного ущерба путем мошенничества или иным пре- ступным путем; дискредитация или дестабилизация деятельности органов государственной власти, организаций; получение конкурентных преимуществ; внедрение дополнительных функциональных возможностей в программное обеспечение или программно-технические средства на этапе разработки; любопытство или желание самореализации; выявление уязвимостей с целью их дальнейшей продажи и получения фи- нансовой выгоды; реализация угроз безопасности информации из мести; реализация угроз безопасности информации непреднамеренно из-за не- осторожности или неквалифицированных действий. Предположения о целях (мотивации) нарушителей делаются с учетом це- лей и задач информационной системы, вида обрабатываемой информации, а также с учетом результатов оценки степени возможных последствий (ущерба) от нарушения конфиденциальности, целостности или доступности информации. Виды нарушителя и их возможные цели (мотивация) реализации угроз безопас- ности информации приведены в таблице 1. Таблица 1 № вида Виды нарушителя Типы нарушителя Возможные цели (мотивация) реализации угроз безопасности информации 1 Специальные службы иностранных государств (блоков государств) Внешний, внутренний Нанесение ущерба государству, отдельным его сферам деятель- ности или секторам экономики. Дискредитация или дестабили- зация деятельности органов государственной власти, орга- низаций 2 Террористические, экс- тремистские группиров- ки Внешний Нанесение ущерба государству, отдельным его сферам деятель- ности или секторам экономики. Совершение террористических актов. Идеологические или политиче- ские мотивы. Дестабилизация деятельности органов государственной вла- 13 сти, организаций 3 Преступные группы (криминальные структу- ры) Внешний Причинение имущественного ущерба путем мошенничества или иным преступным путем. Выявление уязвимостей с це- лью их дальнейшей продажи и получения финансовой выгоды 4 Внешние субъекты (фи- зические лица) Внешний Идеологические или политиче- ские мотивы. Причинение имущественного ущерба путем мошенничества или иным преступным путем. Любопытство или желание са- мореализации (подтверждение статуса). Выявление уязвимостей с це- лью их дальнейшей продажи и получения финансовой выгоды 5 Конкурирующие орга- низации Внешний Получение конкурентных пре- имуществ. Причинение имущественного ущерба путем обмана или зло- употребления доверием 6 Разработчики, произво- дители, поставщики про- граммных, технических и программно-технических средств Внешний Внедрение дополнительных функциональных возможностей в программное обеспечение или программно-технические сред- ства на этапе разработки. Причинение имущественного ущерба путем обмана или зло- употребления доверием. Непреднамеренные, неосто- рожные или неквалифициро- ванные действия 7 Лица, привлекаемые для установки, наладки, мон- тажа, пусконаладочных и иных видов работ Внутренний Причинение имущественного ущерба путем обмана или зло- употребления доверием. Непреднамеренные, неосто- рожные или неквалифициро- ванные действия 8 Лица, обеспечивающие функционирование ин- формационных систем или обслуживающие ин- фраструктуру оператора Внутренний Причинение имущественного ущерба путем обмана или зло- употребления доверием. Непреднамеренные, неосто- рожные или неквалифициро- 14 (администрация, охрана, уборщики и т.д.) ванные действия 9 Пользователи информа- ционной системы Внутренний Причинение имущественного ущерба путем мошенничества или иным преступным путем. Любопытство или желание са- мореализации (подтверждение статуса). Месть за ранее совершенные действия. Непреднамеренные, неосто- рожные или неквалифициро- ванные действия 10 Администраторы ин- формационной системы и администраторы без- опасности Внутренний Причинение имущественного ущерба путем мошенничества или иным преступным путем. Любопытство или желание са- мореализации (подтверждение статуса). Месть за ранее совершенные действия. Выявление уязвимостей с це- лью их дальнейшей продажи и получения финансовой выгоды. Непреднамеренные, неосто- рожные или неквалифициро- ванные действия 11 Бывшие работники (пользователи) Внешний Причинение имущественного ущерба путем мошенничества или иным преступным путем. Месть за ранее совершенные действия При оценке возможностей нарушителей необходимо исходить из условий, что для повышения своих возможностей нарушители 1 вида могут вступать в сговор с нарушителями 3, 4, 6, 7, 8, 9 и 10 видов. Нарушители 2 вида могут всту- пать в сговор с нарушителями 4, 7, 8, 9 и 10 видов. Нарушители 3 вида могут вступать в сговор с нарушителями 4, 7, 8, 9 и 10 видов. В случае принятия таких предположений цели (мотивация) и возможности нарушителей подлежат объ- единению. Возможности каждого вида нарушителя по реализации угроз безопасности информации характеризуются его потенциалом. Потенциал нарушителя опреде- ляется компетентностью, ресурсами и мотивацией, требуемыми для реализации угроз безопасности информации в информационной системе с заданными струк- 15 турно-функциональными характеристиками и особенностями функционирова- ния. В зависимости от потенциала, требуемого для реализации угроз безопас- ности информации, нарушители подразделяются на: нарушителей, обладающих базовым (низким) потенциалом нападения при реализации угроз безопасности информации в информационной системе; нарушителей, обладающих базовым повышенным (средним) потенциалом нападения при реализации угроз безопасности информации в информационной системе; нарушителей, обладающих высоким потенциалом нападения при реализа- ции угроз безопасности информации в информационной системе. Потенциал нарушителей и их возможности приведены в таблице 2. Таблица 2 № Потенциал нарушителей Виды нарушителей Возможности по реализации угроз без- опасности информации 1 Нарушители с базовым (низ- ким) потенци- алом Внешние субъ- екты (физические лица), лица, обеспечи- вающие функци- онирование ин- формационных систем или об- служивающих инфраструктуру оператора, пользователи информационной системы, бывшие работ- ники, лица, привлека- емые для уста- новки, наладки, монтажа, пуско- наладочных и иных работ Имеют возможность получить инфор- мацию об уязвимостях отдельных ком- понент информационной системы, опубликованную в общедоступных ис- точниках. Имеют возможность получить инфор- мацию о методах и средствах реализа- ции угроз безопасности информации (компьютерных атак), опубликованных в общедоступных источниках, и (или) самостоятельно осуществляет создание методов и средств реализации атак и реализацию атак на информационную систему 2 Нарушители с базовым по- вышенным (средним) по- тенциалом Террористиче- ские, экстремист- ские группиров- ки, преступные группы (крими- нальные структу- Обладают всеми возможностями нарушителей с базовым потенциалом. Имеют осведомленность о мерах за- щиты информации, применяемых в ин- формационной системе данного типа. Имеют возможность получить инфор- мацию об уязвимостях отдельных ком- 16 ры), конкурирующие организации, разработчики, производители, поставщики про- граммных, техни- ческих и про- граммно- технических средств, администраторы информационной системы и адми- нистраторы без- опасности понент информационной системы пу- тем проведения, с использованием имеющихся в свободном доступе про- граммных средств, анализа кода при- кладного программного обеспечения и отдельных программных компонент общесистемного программного обеспе- чения. Имеют доступ к сведениям о струк- турно-функциональных характеристи- ках и особенностях функционирования информационной системы 3 Нарушители с высоким по- тенциалом Специальные службы ино- странных госу- дарств (блоков государств) Обладают всеми возможностями нарушителей с базовым и базовым по- вышенным потенциалами. Имеют возможность осуществлять не- санкционированный доступ из выде- ленных (ведомственных, корпоратив- ных) сетей связи, к которым возможен физический доступ (незащищенных ор- ганизационными мерами). Имеют возможность получить доступ к программному обеспечению чипсетов (микропрограммам), системному и при- кладному программному обеспечению, телекоммуникационному оборудова- нию и другим программно-техническим средствам информационной системы для преднамеренного внесения в них уязвимостей или программных закла- док. Имеют хорошую осведомленность о мерах защиты информации, применяе- мых в информационной системе, об ал- горитмах, аппаратных и программных средствах, используемых в информаци- онной системе. Имеют возможность получить инфор- мацию об уязвимостях путем проведе- ния специальных исследований (в том числе с привлечением специализиро- 17 ванных научных организаций) и приме- нения специально разработанных средств для анализа программного обеспечения. Имеют возможность создания методов и средств реализации угроз безопасно- сти информации с привлечением специ- ализированных научных организаций и реализации угроз с применением специ- ально разработанных средств, в том числе обеспечивающих скрытное про- никновение в информационную систе- му и воздействие на нее. Имеют возможность создания и при- менения специальных технических средств для добывания информации (воздействия на информацию или тех- нические средства), распространяю- щейся в виде физических полей или яв- лений в) возможные способы реализации угроз безопасности информации Целью определения возможных способов реализации угроз безопасности информации является формирование предположений о возможных сценариях реализации угроз безопасности информации, описывающих последовательность (алгоритмы) действий отдельных видов нарушителей или групп нарушителей и применяемые ими методы и средства для реализации угроз безопасности инфор- мации. Возможные способы реализации угроз безопасности информации зависят от структурно-функциональных характеристик и особенностей функционирова- ния информационной системы. Угрозы безопасности информации могут быть реализованы нарушителями за счет: несанкционированного доступа и (или) воздействия на объекты на аппа- ратном уровне (программы (микропрограммы), «прошитые» в аппаратных ком- понентах (чипсетах)); несанкционированного доступа и (или) воздействия на объекты на обще- системном уровне (базовые системы ввода-вывода, гипервизоры, операционные системы); несанкционированного доступа и (или) воздействия на объекты на при- кладном уровне (системы управления базами данных, браузеры, web- приложения, иные прикладные программы общего и специального назначения); несанкционированного доступа и (или) воздействия на объекты на сетевом уровне (сетевое оборудование, сетевые приложения, сервисы); 18 несанкционированного физического доступа и (или) воздействия на линии, (каналы) связи, технические средства, машинные носители информации; воздействия на пользователей, администраторов безопасности, админи- страторов информационной системы или обслуживающий персонал (социальная инженерия). Действия нарушителя в зависимости от его потенциала при реализации угроз безопасности информации предусматривают идентификацию и использо- вание уязвимостей в микропрограммном, общесистемном и прикладном про- граммном обеспечении, сетевом оборудовании, применяемых в информацион- ной системе, а также в организации работ по защите информации и конфигура- ции информационной системы. При определении способа реализации угроз безопасности информации необходимо учитывать то, что угрозы безопасности информации могут быть ре- ализованы непосредственно за счет доступа к компонентам информационной си- стемы и (или) информации или опосредовано (косвенно) за счет создания усло- вий и (или) средств, обеспечивающих такой доступ, а также за счет доступа или воздействия на обслуживающую инфраструктуру, за которую оператор не отве- чает. При этом локальной целью нарушителя, не имеющего доступа (прав досту- па) к компонентам информационной системы и (или) информации, как правило, является получение доступа к информационной системе (в том числе через внешние сети связи общего пользования) и получение максимально возможных прав и привилегий при таком доступе. Нарушители могут совершать действия, следствием которых является нарушение безопасности информации, преднамеренно (преднамеренные грозы безопасности информации) или случайно (непреднамеренные грозы безопасно- сти информации). Преднамеренные действия нарушителей могут заключаться в реализации целенаправленных или нецеленаправленных угроз безопасности информации. Целенаправленная угроза безопасности информации направлена на инте- ресующую нарушителя информационную систему с заранее известными ему структурно-функциональными характеристиками и особенностями функциони- рования. Целенаправленная угроза безопасности информации адаптирована к структурно-функциональным характеристикам информационной системы. При подготовке и реализации целенаправленных угроз безопасности информации нарушитель может использовать методы социальной инженерии, которые позво- ляют ему изучить поведение пользователей и их реакцию на поступающие к ним внешние данные. Нецеленаправленная («веерная») угроза безопасности информации не ори- ентирована на конкретную информационную систему. Целями такой угрозы мо- гут являться несанкционированный доступ, перехват управления или воздей- ствие на как можно большее количество информационных систем. В данном случае нарушителю заранее не известны структурно-функциональные характе- ристики и условия функционирования информационной системы. Реализация преднамеренных угроз безопасности информации, как прави- ло, включает: 19 сбор информации об информационной системе, ее структурно- функциональных характеристиках, условиях функционирования; выбор (разработка, приобретение) методов и средств, используемых для реализации угроз безопасности информации в информационной системе с задан- ными структурно-функциональными характеристиками и условиями функцио- нирования; непосредственная реализация угроз безопасности информации в информа- ционной системе (проникновение в информационную систему, закрепление в информационной системе, реализация неправомерных действий); устранение признаков и следов неправомерных действий в информацион- ной системе. В зависимости от целей и потенциала нарушителя на каждом из этапов мо- гут эксплуатироваться одна или несколько уязвимостей информационной систе- мы. При определении возможных способов реализации угроз безопасности информации необходимо исходить из следующих условий: нарушитель может действовать один или в составе группы нарушителей; в отношении информационной системы внешний нарушитель может дей- ствовать совместно с внутренним нарушителем; угрозы могут быть реализованы в любое время и в любой точке информа- ционной системы (на любом узле или хосте); для достижения своей цели нарушитель выбирает наиболее слабое звено информационной системы. Возможные способы реализации угроз безопасности информации, опреде- ленные на основе настоящего раздела, включаются в модель угроз безопасности информации. 20

ОПРЕДЕЛЕНИЕ АКТУАЛЬНЫХ УГРОЗ БЕЗОПАСНОСТИ ИНФОРМАЦИИ В ИНФОРМАЦИОННОЙ СИСТЕМЕ

Угроза безопасности информации является актуальной (УБИj А ), если для информационной системы с заданными структурно-функциональными характе- ристиками и особенностями функционирования существует вероятность реали- зации рассматриваемой угрозы нарушителем с соответствующим потенциалом и ее реализация приведет к неприемлемым негативным последствиям (ущербу) от нарушения конфиденциальности, целостности или доступности информации. В качестве показателя актуальности угрозы безопасности информации (УБИj А ) принимается двухкомпонентный вектор, первый компонент которого характеризует вероятность реализации угрозы (Рj), а второй – степень возможно- го ущерба в случае ее реализации (Хj) УБИj А = [вероятность реализации угрозы (Рj); степень ущерба (Хj)], где Рj определятся на основе анализа статистических данных о частоте ре- ализации угроз безопасности информации (возникновении инцидентов безопас- ности) в информационной системе и (или) однотипных информационных систе- мах, а Хj определяется на основе оценок степени последствий от нарушения конфиденциальности, целостности или доступности информации. При отсутствии статистических данных о реализации угроз безопасности информации (возникновении инцидентов безопасности) в информационной си- стеме и (или) однотипных информационных системах, актуальность угрозы без- опасности информации определяется на основе оценки возможности реализации угрозы безопасности информации (Yj) УБИj А = [возможность реализации угрозы (Yj); степень ущерба (Хj)], где Yj определятся на основе оценки уровня защищенности информацион- ной системы и потенциала нарушителя, требуемого для реализации угрозы без- опасности. Хj также определяется на основе оценок степени последствий от нарушения конфиденциальности, целостности или доступности информации. Актуальность угроз безопасности информации определяется в отношении угроз, для которых экспертным методом определено, что: возможности (потенциал) нарушителя достаточны для реализации угрозы безопасности информации; в информационной системе могут иметься потенциальные уязвимости, ко- торые могут быть использованы при реализации j-ой угрозы безопасности ин- формации; структурно-функциональные характеристики и особенности функциони- рования информационной системы не исключают возможности применения спо- собов, необходимых для реализации j-ой угрозы безопасности информации (су- ществует сценарий реализации угрозы безопасности); 21 реализация угрозы безопасности информации приведет к нарушению кон- фиденциальности, целостности или доступности информации, в результате ко- торого возможно возникновение неприемлемых негативных последствий (ущер- ба). В качестве исходных данных об угрозах безопасности информации и их характеристиках используется банк данных угроз безопасности информации, сформированный и поддерживаемый ФСТЭК России, а также базовые и типовые модели угроз безопасности информации, разрабатываемые ФСТЭК России для различных классов и типов информационных систем. Для определения угроз безопасности информации могут использоваться иные источники, в том числе опубликованные в общедоступных источниках данные об уязвимостях, компьютерных атаках, вредоносном программном обеспечении, а также результаты специально проведенных исследований по вы- явлению угроз безопасности информации. В этом случае потенциал нарушителя, возможные уязвимости, способы реализации угрозы безопасности информации и последствия от ее реализации определяются для каждой угрозы безопасности информации. а) оценка вероятности (возможности) реализации угрозы безопасности информации Под вероятностью реализации угрозы безопасности информации понима- ется определяемый экспертным путем показатель, характеризующий, насколько вероятным является реализация j-ой угрозы безопасности информации в инфор- мационной системе с заданными структурно-функциональными характеристи- ками и особенностями функционирования. Вводятся три вербальные градации этого показателя: низкая вероятность – отсутствуют объективные предпосылки к реализации j-ой угрозы безопасности информации, отсутствует требуемая статистика по фактам реализации j-ой угрозы безопасности информации (возникновения инци- дентов безопасности), отсутствует мотивация для реализации j-ой угрозы, воз- можная частота реализации j-ой угрозы не превышает 1 раза в 5 лет; средняя вероятность – существуют предпосылки к реализации j-ой угрозы безопасности информации, зафиксированы случаи реализации j-ой угрозы без- опасности информации (возникновения инцидентов безопасности) или имеется иная информация, указывающая на возможность реализации j-ой угрозы без- опасности информации, существуют признаки наличия у нарушителя мотивации для реализации такой угрозы, возможная частота реализации j-ой угрозы не пре- вышает 1 раза в год; высокая вероятность – существуют объективные предпосылки к реализа- ции j-ой угрозы безопасности информации, существует достоверная статистика реализации j-ой угрозы безопасности информации (возникновения инцидентов безопасности) или имеется иная информация, указывающая на высокую возмож- ность реализации j-ой угрозы безопасности информации, у нарушителя имеются 22 мотивы для реализации j-ой угрозы, частота реализации j-ой угрозы – чаще 1 ра- за в год. В случае отсутствия требуемых данных для оценки вероятности реализа- ции угрозы безопасности информации или наличия сомнений в объективности экспертных оценок при определении вербальных градаций вероятности реализа- ции угроз безопасности информации, актуальность j-ой угрозы безопасности информации определяется на основе оценки возможности ее реализации (Yj). Возможность реализации j-ой угрозы безопасности информации (Yj) оце- нивается исходя из уровня защищенности информационной системы (Y1) и по- тенциала нарушителя (Y2), необходимого для реализации этой угрозы безопас- ности информации в информационной системе с заданными структурно- функциональными характеристиками и особенностями функционирования: Yj = [уровень защищенности (Y1); потенциал нарушителя (Y2)]. При определении угроз безопасности информации на этапе создания ин- формационной системы в случае, когда меры защиты информации не реализова- ны или не проведена оценка их достаточности и эффективности, оценка возмож- ности реализации j-ой угрозы безопасности информации (Yj) проводится относи- тельно уровня проектной защищенности информационной системы (Y1П): Yj = [уровень проектной защищенности (Y1П); потенциал нарушителя (Y2)]. Под уровнем проектной защищенности (Y1П) понимается исходная защи- щенность информационной системы, обусловленная заданными при проектиро- вании структурно-функциональными характеристиками и условиями ее функци- онирования. Уровень проектной защищенности (Y1П) определяется на основе анализа проектных структурно-функциональных характеристик, приведенных в таблице 3. Показатели, характеризующие проектную защищенность информационной системы Таблица 3 Структурно-функциональные характе- ристики информационной системы, условия ее эксплуатации Уровень проектной защищенности ин- формационной системы (Y1П) Высокий Средний Низкий 1. По структуре информационной си- стемы: автономное автоматизированное рабо- чее место; локальная информационная система; распределенная информационная си- стема + + + 2. По используемым информационным технологиям: 23 системы на основе виртуализации; системы, реализующие «облачные вычисления»; системы с мобильными устройства- ми; системы с технологиями беспровод- ного доступа; грид -системы; суперкомпьютерные системы + +++++ 3 . По архитектуре информационной системы

системы на основе «тонкого клиен- та»; системы на основе одноранговой се- ти

файл -серверные системы

центры обработки данных; системы с уд аленным доступом пользователей; использование разных типов опера- ционных систем (гетерогенность сре- ды)

использование прикладных про- грамм, независимых от операционных систем

использование выделенных каналов связи + ++++ +++ 4 . По наличию (отсутствию) взаимо- связей с иными информационными си- стемами

взаимодействующая с системами

невзаимодействующая с системами + + 5 . По наличию (отсутствию) взаимо- связей (подключений) к сетям связи общего пользования

подключенная

подключенная через выделенную инфраструктуру (gov .ru или иную); неподключенной + + + 6 . По размещению технических средств: расположенные в пределах одной контролируемой зоны; расположенные в пределах несколь- ких контролируемых зон; + + 24 расположенные вне контролируемой зоны + 7. По режимам обработки информации в информационной системе: многопользовательский; однопользовательский + + 8. По режимам разграничения прав до- ступа: без разграничения; с разграничением + + 9. По режимам разделения функций по управлению информационной системой: без разделения; выделение рабочих мест для адми- нистрирования в отдельный домен; использование различных сетевых адресов; использование выделенных каналов для администрирования + + + + 10. По подходам к сегментированию информационной системы: без сегментирования; с сегментированием + + В ходе создания информационной системы уровень ее проектной защи- щенности (Y1П) определяется следующим образом: а) информационная система имеет высокий уровень проектной защищен- ности (Y1П), если не менее 80% характеристик информационной системы соот- ветствуют уровню «высокий» (суммируются положительные решения по второ- му столбцу, соответствующему высокому уровню защищенности), а остальные - среднему уровню защищенности (положительные решения по третьему столб- цу); б) информационная система имеет средний уровень проектной защищен- ности (Y1П), если не выполняются условия по пункту а) и не менее 90% характе- ристик информационной системы соответствуют уровню не ниже «средний» (берется отношение суммы положительных решений по третьему столбцу, соот- ветствующему среднему уровню защищенности, к общему количеству решений), а остальные - низкому уровню защищенности; в) информационная система имеет низкий уровень проектной защищенно- сти (Y1П), если не выполняются условия по пунктам а) и б). В соответствии с требованиями о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных си- стемах, до ввода в эксплуатацию информационной системы должны быть реали- зованы меры защиты информации, направленные на блокирование (нейтрализа- 25 цию) актуальных угроз безопасности информации. Таким образом, ввод в экс- плуатацию информационной системы осуществляется при условии достижения высокого уровня исходной защищенности информационной системы от нару- шителя с заданным потенциалом. Вместе с тем, в ходе эксплуатации информационной системы возможно появление новых уязвимостей, повышение потенциала нарушителя, изменение структурно-функциональных характеристик, значимости обрабатываемой ин- формации, особенностей функционирования информационной системы и других условий, приводящих к возникновению новых угроз безопасности информации, которые могут существенно снизить уровень проектной защищенности инфор- мационной системы. В этом случае для поддержания уровня защищенности ин- формационной системы в ходе эксплуатации должен проводиться регулярный анализ изменения угроз безопасности информации, а актуальные угрозы без- опасности информации подлежат периодической переоценке. В ходе эксплуатации информационной системы уровень ее защищенности (Y1) определяется следующим образом: а) в информационной системе обеспечивается высокий уровень защищен- ности (Y1), если в ходе эксплуатации информационной системы не появились дополнительные угрозы безопасности информации или в отношении появив- шихся дополнительных угроз безопасности информации с высокой оперативно- стью («за минуты») могут быть приняты меры защиты информации, нейтрали- зующие эти угрозы; б) в информационной системе обеспечивается средний уровень защищен- ности (Y1), если в ходе эксплуатации информационной системы появились до- полнительные угрозы безопасности информации и в отношении них оперативно («за часы») могут быть приняты меры защиты информации, нейтрализующие эти угрозы; в) в информационной системе обеспечивается низкий уровень защищен- ности (Y1), если в ходе эксплуатации информационной системы появились до- полнительные угрозы безопасности информации и в отношении них не могут быть с высокой оперативностью или оперативно приняты меры защиты инфор- мации, нейтрализующие эти угрозы. Потенциал, требуемый нарушителю для реализации j-ой угрозы безопас- ности информации, может быть базовым (низким), базовым повышенным (сред- ним) или высоким. Значение потенциала нарушителя (Y2) для j-ой угрозы без- опасности информации определяется на основе данных, приведенных в банке данных угроз безопасности информации ФСТЭК России, а также в базовых и типовых моделях угроз безопасности информации, разрабатываемых ФСТЭК России для информационных систем различных классов и типов. В случае отсут- ствия информации о потенциале нарушителя для реализации j-ой угрозы без- опасности значение потенциала (Y2) определяется в соответствии с приложением № 3 к настоящей Методике. Возможность реализации j-ой угрозы безопасности информации (Yj) в за- висимости от уровня защищенности информационной системы (Y1/Y1П) и потен- 26 циала нарушителя (Y2) определяется как высокая, средняя или низкая в соответ- ствии с таблицей 4. Возможность реализации угрозы безопасности информации Таблица 4 Уровень защищенности (Y1/Y1П) Потенциал нарушителя (Y2) Высокий Средний Низкий Базовый (низкий) Низкая Средняя Высокая Базовый повышенный (средний) Средняя Высокая Высокая Высокий Высокая Высокая Высокая б) оценка степени возможного ущерба от реализации угрозы безопас- ности информации Для оценки степени возможного ущерба от реализации угрозы безопасно- сти информации определяются возможный результат реализации угрозы без- опасности информации в информационной системе, вид ущерба, к которому мо- жет привести реализация угрозы безопасности информации, степень послед- ствий от реализации угрозы безопасности информации для каждого вида ущер- ба. В качестве результата реализации угрозы безопасности информации рас- сматриваются непосредственное или опосредованное воздействие на конфиден- циальность, целостность, доступность информации, содержащейся в информа- ционной системе. Непосредственное воздействие на конфиденциальность, целостность, до- ступность информации возможно в результате реализации прямой угрозы без- опасности информации. В этом случае объектами воздействия угрозы являются непосредственно информация и (или) иные объекты защиты информационной системы или обеспечивающей инфраструктуры, которые обеспечивают получе- ние, обработку, хранение, передачу, уничтожение информации в информацион- ной системе, в результате доступа к которым или воздействия на которые воз- можно воздействие на конфиденциальность, целостность или доступность ин- формации. Опосредованное воздействие на конфиденциальность, целостность, до- ступность информации рассматривается в результате реализации косвенных угроз безопасности информации. Реализация косвенных угроз безопасности ин- формации не приводит непосредственно к воздействию на конфиденциальность, целостность, доступность информации, но создает условия для реализации од- ной или нескольких прямых угроз безопасности информации, позволяющих реа- лизовать такое воздействие. В этом случае в качестве результата реализации косвенной угрозы необходимо рассматривать результаты реализации всех пря- 27 мых угроз безопасности информации, которые возможно реализовать в случае реализации данной косвенной угрозы. Результат реализации угрозы безопасности информации определяется воз- действием угрозы на каждое свойство безопасности информации (конфиденци- альность, целостность, доступность) в отдельности в соответствии с таблицей 5. При обработке в информационной системе двух и более видов информации (служебная тайна, персональные данные, налоговая тайна, иные установленные законодательством Российской Федерации виды информации) воздействие на конфиденциальность, целостность, доступность определяется отдельно для каж- дого вида информации (k, …, m), содержащейся в информационной системе. Таблица 5 Свойство безопасности информации Результат реализации угрозы безопасности информации Не оказывает воздействия Оказывает воздействие Конфиденциаль- ность К Xk1 В результате реализации угрозы безопасности инфор- мации отсутствует возмож- ность неправомерного досту- па, копирования, предостав- ления или распространения информации В результате реализации угрозы безопасности ин- формации возможны не- правомерный доступ, ко- пирование, предоставле- ние или распространение информации Целостность Ц Xk1 В результате реализации угрозы безопасности инфор- мации отсутствует возмож- ность уничтожения или мо- дифицирования информации В результате реализации угрозы безопасности ин- формации возможно уни- чтожение или модифици- рование информации Доступность Д Xk1 В результате реализации угрозы безопасности инфор- мации отсутствует возмож- ность блокирования инфор- мации В результате реализации угрозы безопасности ин- формации возможно бло- кирование информации При определении степени возможного ущерба необходимо исходить из то- го, что в зависимости от целей и задач, решаемых информационной системой, видов обрабатываемой информации, воздействие на конфиденциальность, це- лостность или доступность каждого вида информации, содержащейся в инфор- мационной системе, может привести к различным видам ущерба. При этом для разных обладателей информации и операторов будут характерны разные виды ущерба. Основные виды ущерба и возможные негативные последствия, к которым может привести нарушение конфиденциальности, целостности, доступности ин- формации, приведены в таблице 6. 28 Таблица 6 Вид ущерба Возможные негативнее последствия от нарушения конфиденциальности, целост- ности, доступности информации Экономический (финансовый) Снижение, как минимум, одного экономического показа- теля. Потеря (кража) финансовых средств. Недополучение ожидаемой (прогнозируемой) прибыли. Необходимость дополнительных (незапланированных) затрат на выплаты штрафов (неустоек) или компенсаций. Необходимость дополнительных (незапланированных) затрат на закупку товаров, работ или услуг (в том числе закупка программного обеспечения, технических средств, вышедших из строя, замена, настройка, ремонт указанных средств). Необходимость дополнительных (незапланированных) затрат на восстановление деятельности. Потеря клиентов, поставщиков. Потеря конкурентного преимущества. Невозможность заключения договоров, соглашений. Другие прямые или косвенные финансовые потери Социальный Создание предпосылок для нанесения вреда здоровью граждан. Возможность нарушения функционирования объектов обеспечения жизнедеятельности граждан. Организация пикетов, забастовок, митингов и других ак- ций. Увольнения. Увеличение количества жалоб в органы государственной власти или органы местного самоуправления. Появление негативных публикаций в общедоступных ис- точниках. Невозможность (прерывание) предоставления социаль- ных услуг (сервисов). Другие последствия, приводящие к нарастанию социаль- ной напряженности в обществе Политический Создание предпосылок к обострению отношений в меж- дународных отношениях. Срыв двусторонних (многосторонних) контактов с зару- бежными партнерами. Неспособность выполнения международных (двусторон- них) договорных обязательств. 29 Невозможность заключения международных (двусторон- них) договоров, соглашений. Создание предпосылок к внутриполитическому кризису. Нарушение выборного процесса. Другие последствия во внутриполитической и внешнепо- литической областях деятельности Репутационный Нарушение законодательных и подзаконных актов. Нарушение деловой репутации. Снижение престижа. Дискредитация работников. Утрата доверия. Неспособность выполнения договорных обязательств. Другие последствия, приводящие к нарушению репута- ции Ущерб в области обороны, безопас- ности и правопо- рядка Создание предпосылок к наступлению негативных по- следствий для обороны, безопасности и правопорядка. Нарушение общественного правопорядка. Неблагоприятное влияние на обеспечение общественного правопорядка. Возможность потери или снижения уровня контроля за общественным правопорядком. Отсутствие возможности оперативного оповещения населения о чрезвычайной ситуации. Другие последствия, приводящие к ущербу в области обороны, безопасности и правопорядка Ущерб субъекту персональных дан- ных Создание угрозы личной безопасности. Финансовые или иные материальные потери физического лица. Вторжение в частную жизнь. Создание угрозы здоровью. Моральный вред. Утрата репутации. Другие последствия, приводящие к нарушению прав субъекта персональных данных Технологический Невозможность решения задач (реализации функций) или снижение эффективности решения задач (реализации функций). Необходимость изменения (перестроения) внутренних процедур для достижения целей, решения задач (реализа- ции функций). Принятие неправильных решений. Простой информационной системы или сегмента инфор- мационной системы Другие последствия, приводящие к нарушению техноло- гии обработки информации 30 Указанные виды ущерба могут дополняться другими видами в зависимо- сти от целей и задач, решаемых информационной системой, а также вида обра- батываемой в ней информации. Степень возможного ущерба от реализации угрозы безопасности инфор- мации определяется степенью негативных последствий от нарушения конфиден- циальности, целостности или доступности каждого вида информации, содержа- щейся в информационной системе. Степень негативных последствий от нарушения конфиденциальности, це- лостности или доступности информации определяется для каждого вида ущерба, зависит от целей и задач, решаемых информационной системой, и может иметь разные значения для разных обладателей информации и операторов. В качестве единой шкалы измерения степени негативных последствий принимаются значе- ния «незначительные», «умеренные» и «существенные» негативные послед- ствия. Каждым оператором определяется в указанной единой шкале измерений степень негативных последствий от нарушения конфиденциальности, целостно- сти или доступности информации применительно ко всем целям и задачам, ре- шаемым информационной системой. Степень возможного ущерба определяется экспертным методом в соответ- ствии с таблицей 7. Таблица 7 Степень ущерба Характеристика степени ущерба Высокая В результате нарушения одного из свойств безопасности информации (конфиденциальности, целостности, доступно- сти) возможны существенные негативные последствия. Информационная система и (или) оператор (обладатель информации) не могут выполнять возложенные на них функции Средняя В результате нарушения одного из свойств безопасности информации (конфиденциальности, целостности, доступно- сти) возможны умеренные негативные последствия. Информационная система и (или) оператор (обладатель информации) не могут выполнять хотя бы одну из возложен- ных на них функций Низкая В результате нарушения одного из свойств безопасности информации (конфиденциальности, целостности, доступно- сти) возможны незначительные негативные последствия. Информационная система и (или) оператор (обладатель информации) могут выполнять возложенные на них функции с недостаточной эффективностью или выполнение функций возможно только с привлечением дополнительных сил и средств 31 При обработке в информационной системе двух и более видов информа- ции (служебная тайна, персональные данные, налоговая тайна и иные установ- ленные законодательством Российской Федерации виды информации) степень возможного ущерба определяется отдельно для каждого вида информации (k, …, m), обрабатываемой в информационной системе, применительно к каждо- му виду ущерба. Итоговая степень возможного ущерба устанавливается по наивысшим значениям степени возможного ущерба, определенным для конфи- денциальности, целостности, доступности информации каждого вида информа- ции применительно к каждому виду ущерба. X max(Х ); i К,Ц, Д. i k i k   в) определение актуальности угрозы безопасности информации Решение об актуальности угрозы безопасности информации УБИj А для информационной системы с заданными структурно-функциональными характе- ристиками и условиями функционирования принимается в соответствии с таб- лицей 8. Таблица 8 Вероятность (воз- можность) реали- зации угрозы (Yj) Степень возможного ущерба (Хj) Низкая Средняя Высокая Низкая неактуальная неактуальная актуальная Средняя неактуальная актуальная актуальная Высокая актуальная актуальная актуальная 32 Приложение № 1 к Методике определения угроз безопасности информации в информационных системах Рекомендации по формированию экспертной группы и проведению экспертной оценки при определении угроз безопасности информации Качественное формирование экспертной группы способствует снижению субъективных факторов при оценке угроз безопасности информации. Занижение (ослабление) экспертами прогнозов и предположений при определении угроз может повлечь наступление непрогнозируемого (неожиданного) ущерба в ре- зультате реализации угрозы безопасности информации. Завышение экспертами прогнозов и предположений при определении угроз может повлечь за собой не- оправданные расходы на нейтрализацию угроз, являющихся неактуальными. Независимо от результата формирования экспертной группы при оценке угроз безопасности информации существуют субъективные факторы, связанные с психологией принятия решений человеком. Это также может приводить как к занижению (ослаблению), так и к завышению (усилению) экспертами прогнозов и предположений при определении угроз безопасности информации, что в свою очередь может привести к пропуску отдельных угроз безопасности информации или к неоправданным затратам на нейтрализацию неактуальных угроз. Любое решение, принимаемое экспертами при определении угроз безопас- ности информации, должно исходить из правил, при которых нарушитель нахо- дится в наилучших условиях для реализации угрозы безопасности (принципа «гарантированности»). а) формирование экспертной группы В состав экспертной группы для определения угроз безопасности инфор- мации рекомендуется включать экспертов (независимо от того, реализуются ли функции обладателя информации, заказчика и оператора в рамках одной или не- скольких организаций): от подразделений обладателей информации, содержащейся в информаци- онной системе; от подразделений оператора информационной системы; от подразделения по защите информации; от лиц, предоставляющих услуги по обработке информации; от разработчика информационной системы; от операторов взаимодействующих внешних информационных систем (по согласованию). В качестве экспертов рекомендуется привлекать специалистов, деятель- ность которых связана с обработкой информации в информационной системе, а 33 также специалистов, имеющие квалификацию и опыт работы в области приме- нения информационных технологий и (или) в области защиты информации. При привлечении в качестве экспертов специалистов от подразделений по защите информации рекомендуется привлекать лиц, имеющих высшее образова- ние или прошедших переподготовку (повышение квалификации) по направле- нию подготовки «Информационная безопасность», или имеющих не менее трех лет стажа практической работы в своей сфере деятельности. Эксперты должны обладать независимостью, основанной на отсутствии коммерческого и финансового интереса или другого давления, которое может оказать влияние на принимаемые решения. Не рекомендуется формировать экс- пертную группу из участников, находящихся в прямом подчинении, так как это может негативным образом повлиять на результат определения угроз безопасно- сти информации. Состав экспертной группы зависит от целей и задач информационной си- стемы, но не должен быть меньше трех экспертов. б) проведение экспертной оценки При проведении экспертной оценки принимаются меры, направленные на снижение уровня субъективности и неопределенности при определении каждой из угроз безопасности информации. Экспертную оценку рекомендуется проводить в отношении, как минимум, следующих параметров: цели реализации угроз безопасности информации (мотивация нарушите- лей); типы и виды нарушителей; уязвимости, которые могут быть использованы для реализации угроз без- опасности информации; способы реализации угроз безопасности информации; степень воздействия угрозы безопасности информации на каждое из свойств безопасности информации; последствия от реализации угроз безопасности информации; вероятность реализации угроз безопасности информации; уровень защищенности информационной системы; потенциал нарушителя, требуемый для реализации угрозы безопасности информации (в случае отсутствия потенциала в банке данных угроз безопасно- сти информации). Оценку параметров рекомендуется проводить опросным методом с состав- лением анкеты, в которой указываются вопросы и возможные варианты ответа в единой принятой шкале измерений («низкий», «средний», «высокий» или «да», «нет» или иные шкалы). При этом вопросы должны быть четкими и однозначно трактуемыми, предполагать однозначные ответы. Опрос экспертов включает следующие этапы: каждый эксперт проводит оценку оцениваемого параметра (рекомендуется не мене двух раундов оценки), результаты которой заносятся в таблицу 1.1; 34 после оценки каждым из экспертов отбрасываются минимальные и макси- мальные значения; определяется среднее значение оцениваемого параметра в каждом раунде; определяется итоговое среднее значение оцениваемого параметра. Пример таблицы результатов оценки параметров Таблица 1.1 Эксперты Значение оцениваемого параметра (раунд 1) Значение оцениваемого параметра (раунд 2) Эксперт 1 Эксперт 2 Эксперт n Итоговое значение 35 Приложение № 2 к Методике определения угроз безопасности информации в информационных системах Структура модели угроз безопасности информации Модель угроз безопасности информации содержит следующие разделы: 1. Общие положения. 2. Описание информационной системы и особенностей ее функционирова- ния. 2.1. Цель и задачи, решаемые информационной системой. 2.2. Описание структурно-функциональных характеристик информацион- ной системы. 2.3. Описание технологии обработки информации. 3. Возможности нарушителей (модель нарушителя). 3.1. Типы и виды нарушителей. 3.2. Возможные цели и потенциал нарушителей. 3.3. Возможные способы реализации угроз безопасности информации. 4. Актуальные угрозы безопасности информации. Приложения (при необходимости). Раздел «Общие положения» содержит назначение и область действия до- кумента, информацию о полном наименовании информационной системы, для которой разработана модель угроз безопасности информации, а также информа- цию об использованных для разработки модели угроз безопасности информации нормативных и методических документах, национальных стандартах. В данный раздел также включается информация об используемых данных и источниках, на основе которых определяются угрозы безопасности информации (документация, исходные тексты программ, опросы персонала, журналы регистрации средств защиты, отчеты об аудите и иные источники). Раздел «Описание информационной системы и особенностей ее функцио- нирования» содержит общую характеристику информационной системы, описа- ние структурно-функциональных характеристик информационной системы, опи- сание взаимосвязей между сегментами информационной системы, описание вза- имосвязей с другими информационными системами и информационно- телекоммуникационными сетями, описание технологии обработки информации. Также в данном разделе приводятся предположения, касающиеся информацион- ной системы и особенностей ее функционирования (в частности предположения об отсутствии неучтенных беспроводных каналов доступа или динамичность выделения адресов узлам информационной системы, иные предположения). В раздел включаются любые ограничения, касающиеся информационной системы и особенностей ее функционирования. Раздел «Возможности нарушителей (модель нарушителя)» содержит опи- сание типов, видов, потенциала и мотивации нарушителей, от которых необхо- димо обеспечить защиту информации в информационной системе, способов реа- 36 лизации угроз безопасности информации. В данный раздел также включаются предположения, касающиеся нарушителей (в частности предположение об от- сутствии у нарушителя возможности доступа к оборудованию, сделанному на заказ и применяемому при реализации угрозы, предположение о наличии (отсут- ствии) сговора между внешними и внутренними нарушителями или иные пред- положения). В раздел включаются любые ограничения, касающиеся определения нарушителей (в частности исключение администраторов информационной си- стемы или администраторов безопасности из числа потенциальных нарушителей или иные предположения). Раздел «Актуальные угрозы безопасности информации» содержит описа- ние актуальных угроз безопасности, включающее наименование угрозы безопас- ности информации, возможности нарушителя по реализации угрозы, используе- мые уязвимости информационной системы, описание способов реализации угро- зы безопасности информации, объекты воздействия, возможные результат и по- следствия от реализации угрозы безопасности информации. 37 Приложение № 3 к Методике определения угроз безопасности информации в информационных системах Определение потенциала нарушителя, необходимого для реализации угрозы без- опасности информации в информационной системе Настоящее приложение применяется для определения потенциала, необхо- димого для реализации угрозы безопасности информации, данные по которой отсутствуют в банке данных угроз безопасности информации, и характеристики которых определяются на основе иных источников или результатов исследова- ний. Приведенный подход к оценке потенциала нарушителя направлен на сни- жение уровня субъективности и неопределенности при оценке потенциала нарушителя, который требуется для реализации угрозы безопасности информа- ции в информационной системе с заданными структурно-функциональными ха- рактеристиками и особенностями функционирования. Исходными данными для определения потенциала нарушителя являются: данные об аппаратном, общесистемном и прикладном программном обес- печении, применяемых информационных технологиях, особенностях функцио- нирования информационной системы; данные об уязвимостях в аппаратном, общесистемном и прикладном про- граммном обеспечении, опубликованные в различных базах данных уязвимо- стей, полученные в результате исследований (тестировании) или полученные от уполномоченных федеральных органов исполнительной власти и организаций. При оценке потенциала нарушителя необходимо исходить из того, что для успешного достижения целей реализации угроз безопасности информации, нарушителю необходимо осуществить подготовку к реализации угрозы и непо- средственно реализацию угрозы безопасности информации. При этом не един- ственным, но необходимым условием на этапе подготовки к реализации угрозы безопасности информации является идентификация уязвимостей в информаци- онной системе, а на этапе реализации угрозы безопасности информации – ис- пользование уязвимостей информационной системы. Таким образом, для определения потенциала нарушителя необходимо оце- нить возможности нарушителя идентифицировать уязвимости и использовать их в информационной системе в ходе подготовки к реализации и непосредственно в ходе реализации угрозы безопасности информации. Для проведения указанной оценки делается предположение о наличии уязвимостей, которые потенциально содержатся в информационной системе и могут быть использованы для реализа- ции угрозы безопасности информации. Потенциальные уязвимости определяются для каждого класса и типа про- граммного обеспечения и для каждого узла (хоста) информационной системы исходя из условия, что для реализации угрозы безопасности информации нару- 38 шителю необходимо идентифицировать и использовать как минимум одну уяз- вимость на каждом узле и хосте. В качестве исходных данных для определения потенциальных уязвимостей используются данные по составу информационной системы и особенностям ее функционирования, а также данные об уязвимостях в этом программном обеспе- чении, опубликованные в общедоступных источниках, полученные по результа- там исследований и (или) полученные от уполномоченных органов и организа- ций. Для каждой выявленной потенциальной уязвимости проводится оценка возможностей ее идентификации и использования в информационной системе нарушителем, обладающим определенными возможностями и для каждого из возможных сценариев реализации угрозы безопасности информации. Оценка возможностей нарушителя по идентификации и использованию уязвимости в информационной системе проводится по результатам определения следующих показателей: время, затрачиваемое нарушителем на идентификацию и использование уязвимости (затрачиваемое время); техническая компетентность нарушителя; знание нарушителем проекта и информационной системы; оснащенность нарушителя; возможности нарушителя по доступу к информационной системе. Во многих случаях указанные показатели являются зависимыми и могут в различной степени заменять друг друга. В частности, показатели технической компетентности или оснащенности могут заменяться показателем затрачиваемо- го времени. а) определение показателя «затрачиваемое время» Показатель «затрачиваемое время» характеризует время, непрерывно за- трачиваемое нарушителем для идентификации и использования уязвимости для реализации угрозы безопасности информации. Показатель «затрачиваемое время» может принимать значения «за мину- ты», «за часы», «за дни» или «за месяцы». Значение «за минуты» присваивается, если для реализации угрозы без- опасности информации нарушитель затратит менее получаса на идентификацию и использование уязвимости. Значение «за часы» присваивается, если для реализации угрозы безопасно- сти информации нарушитель затратит менее чем один день на идентификацию и использование уязвимости. Значение «за дни» присваивается, если для реализации угрозы безопасно- сти информации нарушитель затратит менее чем один месяц на идентификацию и использование уязвимости. Значение «за месяцы» присваивается, если для реализации угрозы без- опасности информации нарушитель затратит, как минимум, месяц на идентифи- кацию и использование уязвимости. 39 б) определение показателя «техническая компетентность нарушителя» Показатель «техническая компетентность нарушителя» характеризует, ка- ким уровнем знаний и подготовкой в области информационных технологий и защиты информации должен обладать нарушитель, чтобы идентифицировать и использовать уязвимости для реализации угрозы безопасности информации. Показатель «техническая компетентность нарушителя» может принимать значения «специалист», «профессионал» или «непрофессионал». Значение «профессионал» присваивается, если нарушитель имеет хоро- шую осведомленность о мерах защиты информации, применяемых в информа- ционной системе, об алгоритмах, аппаратных и программных средствах, исполь- зуемых в информационной системе, а также обладает специальными знаниями о методах и средствах выявления новых уязвимостей и способах реализации угроз безопасности информации для информационных систем данного типа. Значение «специалист» присваивается, если нарушитель имеет осведом- ленность о мерах защиты информации, применяемых в информационной систе- ме данного типа. Значение «непрофессионал» присваивается, если нарушитель имеет сла- бую осведомленность (по сравнению со специалистами или профессионалами) о мерах защиты информации, применяемых в информационных системах данного типа, и не обладает специальными знаниями по реализации угроз безопасности информации. в) определение показателя «знание нарушителем проекта и информа- ционной системы» Показатель «знание нарушителем проекта и информационной системы» характеризует, какие сведения об информационной системе и условиях ее экс- плуатации доступны нарушителю, чтобы идентифицировать и использовать уяз- вимости для реализации угрозы безопасности информации. Показатель «знание нарушителем проекта и информационной системы» может принимать значения «отсутствие знаний», «ограниченные знания» или «знание чувствительной информации». Значение «отсутствие знаний» присваивается, если в результате принятия мер по защите информации нарушителю не может стать известно о структурно- функциональных характеристиках информационной системы, системе защиты информации информационной системы, а также об иной информации по разра- ботке (проектированию) и эксплуатации информационной системы, включая сведения из конструкторской, проектной и эксплуатационной документации. При этом может быть доступна информация о целях и задачах, решаемых ин- формационной системой. Данный показатель также присваивается, если сведе- ния об информационной системе отнесены к информации ограниченного досту- па и не могут быть доступны для неограниченного круга лиц. 40 Значение «ограниченные знания» присваивается, если нарушителю наряду с информацией о целях и задачах, решаемых информационной системой, может стать известна только эксплуатационная документация на информационную си- стему (в частности руководство пользователя и (или) правила эксплуатации ин- формационной системы). Значение «знание чувствительной информации» присваивается, если нарушителю может стать известны конструкторская (проектная) и эксплуатаци- онная документация на информационную систему, информация о структурно- функциональных характеристиках информационной системы, системе защиты информационной системы. г) определение показателя «возможности нарушителя по доступу к информационной системе» Показатель «возможности нарушителя по доступу к информационной си- стеме» характеризует, как долго по времени нарушитель должен иметь возмож- ность доступа к информационной системе для идентификации и использования уязвимостей для реализации угроз безопасности информации. Показатель «возможности нарушителя по доступу к информационной си- стеме» может принимать значения «за минуты», «за часы», «за дни» или «за ме- сяцы». Значение «за минуты» присваивается, если для идентификации и исполь- зования уязвимости для реализации угрозы безопасности информации наруши- телю требуется доступ менее получаса. Значение «за часы» присваивается, если для идентификации и использова- ния уязвимости для реализации угрозы безопасности информации нарушителю требуется доступ менее одного дня. Значение «за дни» присваивается, если для идентификации и использова- ния уязвимости для реализации угрозы безопасности информации нарушителю требуется доступ менее одного месяца. Значение «за месяцы» присваивается, если для идентификации и использо- вания уязвимости для реализации угрозы безопасности информации нарушите- лю требуется доступ более одного месяца. Показатель «возможности нарушителя по доступу к информационной си- стеме» взаимосвязан с показателем «затраченное время». Идентификация и ис- пользование уязвимости при реализации угрозы безопасности информации мо- гут требовать продолжительного времени по доступу к информационной систе- ме, что увеличивает возможность обнаружения уязвимости. В отдельных случа- ях продолжительный доступ к информационной системе не требуется (методы и средства реализации угроз безопасности разрабатываются автономно), но при этом требуется кратковременный доступ к информационной системе. 41 д) определение показателя «оснащенность нарушителя» Показатель «оснащенность нарушителя» характеризует, какие программ- ные и (или) программно-технические средства требуются нарушителю для иден- тификации и использования уязвимостей для реализации угроз безопасности информации. Показатель «оснащенность нарушителя» может принимать значения «стандартное оборудование», «специализированное оборудование» или «обору- дование, сделанное на заказ». Значение «стандартное оборудование» присваивается, если для идентифи- кации или использования уязвимостей при реализации угрозы безопасности ин- формации требуются программные (программно-технические) средства, легко доступные для нарушителя. К таким средствам, в первую очередь, относятся программные средства непосредственно информационной системы (отладчик в операционной системе, средства разработки и иные), программные средства, ко- торые могут быть легко получены (программы, имеющиеся в свободном доступе в сети Интернет) или имеются простые сценарии реализации угроз. Значение «специализированное оборудование» присваивается, если для идентификации или использования уязвимостей при реализации угрозы без- опасности информации требуются программные (программно-технические) средства, которые отсутствуют в свободном доступе, но могут быть приобрете- ны нарушителем без значительных усилий. К таким средствам, в первую оче- редь, относятся программные (программно-технические) средства, которые имеются в продаже (анализаторы кода, анализаторы протоколов и иные) или требуется разработка более сложных программ и сценариев реализации угрозы. Оборудование может быть закуплено, либо, например, могут быть использованы компьютеры, объединенные через сеть Интернет (бот-сети). Значение «оборудование, сделанное на заказ» присваивается, если для идентификации или использования уязвимостей при реализации угрозы без- опасности информации требуются программные (программно-технические) средства, которые недоступны широкому кругу лиц, так как требуется их специ- альная разработка с привлечением исследовательских организаций, или распро- странение этих средств контролируется в соответствии с законодательством. К такому оборудованию также относится дорогостоящие средства или средства, сведения о которых относятся к информации ограниченного доступа. С целью вычисления потенциала нарушителя определяются числовые зна- чения указанных показателей в соответствии с таблицей 3.1. 42 Таблица 3.1 Показатель возможностей нарушителя Значения при идентификации уязвимости Значения при использова- нии уязвимо- сти Затрачиваемое время < 0,5 час 0 0 < 1 день 2 3 < 1 месяц 3 5 > 1 месяц 5 8 Техническая ком- петентность нарушителя Непрофессионал 0 0 Специалист 2 3 Профессионал 5 4 Знание проекта и информационной системы Отсутствие знаний 0 0 Ограниченные знания 2 2 Знание чувствительной информации 5 4 Возможность до- ступа к информа- ционной системе < 0,5 час или не обна- руживаемый доступ 0 0 < 1 день 2 4 < 1 месяц 3 6 > 1 месяц 4 9 Не возможно Оснащенность нарушителя Отсутствует 0 0 Стандартное оборудо- вание 1 2 Специализированное оборудование 3 4 Оборудование, сделан- ное на заказ 5 6 Для конкретной потенциальной уязвимости может возникнуть необходи- мость определять показатели несколько раз для различных способов реализации угроз безопасности информации (попеременно использовать разные значения показателей компетентности в сочетании со значениями времени и оборудова- ния). При этом следует выбирать наибольшее значение, полученное при каждом расчете показателей. Полученные на основе таблицы 3.1 значения характеристик потенциала нарушителя суммируются. Полученная сумма значений характеристик соотно- сится с диапазонами значений, приведенных в таблице 3.2, в соответствии с ко- торой определяется потенциал нарушителя, необходимый для реализации угрозы безопасности информации. 43 Таблица 3.2 Диапазон значений Потенциал нарушителя <10 Потенциал недостаточен для реализации угрозы безопасности 10-17 Базовый (низкий) 18-24 Базовый повышенный (средний) >24 Высокий Мотивация нарушителя для реализации угроз безопасности информации может быть базовой или повышенной. Мотивация нарушителя характеризует уровень устремлений нарушителя к информации, содержащейся в информаци- онной системе, или информационной системе в целом. При определении потен- циала нарушителя необходимо исходить, как минимум, из его базовой мотива- ции. Потенциал нарушителя, требуемый для реализации угрозы безопасности информации, переходит на следующий уровень (от низкого к среднего или от среднего к высокому), если определено, что нарушитель имеет повышенную мо- тивацию реализации угроз безопасности по отношению к информационной си- стеме. Мотивация нарушителя определяется как повышенная, если: а) имеются сведения (в том числе опубликованные в общедоступных ис- точниках) об устремлениях нарушителей к конкретной информационной системе и (или) отдельным ее объектам защиты; например, если информация, обрабаты- ваемая в информационной системе, является высоко ценной для нарушителя или для нарушителя является крайне приоритетным нанести ущерб оператору ин- формационной системы; б) имеется информация, полученная от уполномоченных федеральных ор- ганов исполнительной власти, о намерении нарушителя осуществить неправо- мерные действия в отношении информационной системы и (или) информации, содержащейся в этой информационной системе.