Студопедия

Главная страница Случайная страница

Разделы сайта

АвтомобилиАстрономияБиологияГеографияДом и садДругие языкиДругоеИнформатикаИсторияКультураЛитератураЛогикаМатематикаМедицинаМеталлургияМеханикаОбразованиеОхрана трудаПедагогикаПолитикаПравоПсихологияРелигияРиторикаСоциологияСпортСтроительствоТехнологияТуризмФизикаФилософияФинансыХимияЧерчениеЭкологияЭкономикаЭлектроника






Моделирование угроз безопасности информации






Моделирование угроз безопасности информации предусматривает анализ способов хищения, изменения или уничтожения защищаемой информации с целью оценки наносимого этими действиями ущерба.

Моделирование угроз включает в себя:

· Анализ возможных угроз с целью из выявления и оценки возможного ущерба от них

· Анализ типажей злоумышленника, их квалификацию, возможную техническую оснащенность и местонахождение при добывании информации и естественную мотивацию своей деятельности.

Формирование перечня источников угроз и моделей угроз проводилось с учетом положений СТО БР ИББС­1.0

3.1. Анализ возможных угроз с целью из выявления и оценки возможного ущерба от них

 

Перечень классов, основных источников угроз ИБ и их описание

Источник угрозы ИБ Описание
Источники угроз ИБ, связанные с деятельностью внутренних нарушителей ИБ
Хищение Совершенное с корыстной целью противоправное безвозмездное изъятие и/или обращение имущества организации БС РФ, причинившие ущерб собственнику или иному владельцу этого имущества
Выполнение вредоносных программ Внедрение в систему и выполнение вредоносных программ: программных закладок, “троянских коней”, программных “вирусов” и “червей” и т.п. Возможные причины: беспечность, халатность, низкая квалификация персонала (пользователей), наличие уязвимостей используемых программных средств. Возможные последствия: несанкционированный доступ к информационным активам, нарушение их свойств, сбои, отказы и уничтожение программных средств, нарушение непрерывности выполнения процессов, снижение качества информационных услуг (сервисов)
Использование информационных активов не по назначению Умышленное использование информационных активов организации в целях, отличных от целей организации. Возможные причины: отсутствие контроля персонала. Возможные последствия: нехватка вычислительных, сетевых или людских ресурсов, прямой ущерб организации
Источники угроз ИБ, связанные с деятельностью внешних нарушителей ИБ
Действия неавторизованного субъекта Умышленные действия со стороны субъекта из внешней по отношению к области обеспечения ИБ среды. Возможные последствия: разрушение и уничтожение технических программных средств, внедрение и выполнение вредоносных программ, нарушение свойств, утрата информационных активов и сервисов
Несанкционированный логический доступ Несанкционированный логический доступ неавторизованных субъектов к компонентам подразделения и информационным активам. Возможные причины: компрометация пароля, предоставление пользователям/администраторам избыточных прав доступа, недостатки (отсутствие) механизмов аутентификации пользователей и администраторов, ошибки администрирования, оставление без присмотра программно­технических средств. Одним из путей получения несанкционированного доступа к системе является умышленное внедрение вредоносных программ с целью хищения пароля для входа в систему или получения прав доступа. Возможные последствия: нарушение свойств информационных активов, сбои, отказы и аварии программных и технических средств, нарушение непрерывности процессов и/или снижение качества информационных услуг (сервисов)
Несанкционированный физический доступ Физический несанкционированный доступ неавторизованных лиц в контролируемую зону расположения технических средств и/или информационных активов. Возможные причины: может осуществляться путем обхода средств контроля физического доступа или использования утраченных/похищенных средств обеспечения доступа. Возможные последствия: разрушение и уничтожение технических и программных средств, нарушение конфиденциальности, целостности, доступности информационных активов, нарушение непрерывности процессов и/или снижение качества информационных услуг (сервисов)
Промышленный шпионаж Передача, собирание, похищение или хранение информационных активов организации БС РФ для использования их в ущерб организации БС РФ
Запугивание и шантаж Принуждение персонала организации БС РФ к осуществлению несанкционированных действий, заключающееся в угрозе разоблачения, физической расправы или расправы с близкими
Социальный инжиниринг Умышленные действия сторонних лиц, преследующих мошеннические цели, реализуемые посредством обмана, введения в заблуждение работников организации БС РФ. Возможные последствия: ошибки работников, нарушение свойств, утрата информационных активов, нарушение непрерывности процессов, снижение качества информационных услуг (сервисов)
     

Для выполнения оценки степени возможности реализации угроз ИБ (далее - СВР угроз ИБ) проводится анализ возможности потери каж­дого из свойств ИБ для каждого из типов информационных активов в результате воздействия на соответствующие им типы объектов среды выделенных источников угроз.

Основными факторами для оценки СВР угроз ИБ являются информация соответствующих моделей угроз, в частности:

— данные о расположении источника угрозы относительно соответствующих типов объектов среды;

— информация о мотивации источника угрозы (для источников угроз антропогенного характера);

— предположения о квалификации и (или) ресурсах источника угрозы;

— статистические данные о частоте реализации угрозы ее источником в прошлом;

— информация о способах реализации угроз ИБ;

— информация о сложности обнаружения реализации угрозы рассматриваемым источником;

— данные о наличии у рассматриваемых типов объектов среды организационных, технических и прочих априорных защитных мер.

Для оценки СВР угроз ИБ используется следующая качественная шкала степеней:

— нереализуемая;

— минимальная;

— средняя;

— высокая;

— критическая.

 

Для выполнения оценки степени тяжести последствий от потери свойств ИБ (далее - СТП нарушения ИБ) проводится анализ последствий потери каждого из свойств ИБ для каждого из типов информационных активов в результате воздействия на соответствующие им типы объектов среды выделенных источников угроз.

Основными факторами для оценки СТП нарушения ИБ являются:

— степень влияния на непрерывность деятельности организации БС РФ;

— степень влияния на деловую репутацию;

— объем финансовых и материальных потерь;

— объем финансовых и материальных затрат, необходимых для восстановления свойств ИБ для информационных активов рассматриваемого типа и ликвидации последствий нарушения ИБ;

— объем людских ресурсов, необходимых для восстановления свойств ИБ для информационных активов рассматриваемого типа и ликвидации последствий нарушения ИБ;

— объем временных затрат, необходимых для восстановления свойств ИБ для информационных активов рассматриваемого типа и ликвидации последствий нарушения ИБ;

— степень нарушения законодательных требований и (или) договорных обязательств организации БС РФ;

— степень нарушения требований регулирующих и контролирующих (надзорных) органов в области ИБ, а также требований нормативных актов Банка России;

— объем хранимой, передаваемой, обрабатываемой, уничтожаемой информации, соответствующей рассматриваемому типу объекта среды;

— данные о наличии у рассматриваемых типов объектов среды организационных, технических и прочих апостериорных защитных мер.

Для оценки СТП нарушения ИБ вследствие реализации угроз ИБ используется следующая качественная шкала степеней:

— минимальная;

— средняя;

— высокая;

— критическая.

 

Оценка рисков нарушения ИБ проводится на основании сопоставления оценок СВР угроз ИБ и оценок СТП нарушения ИБ вследствие реализации соответствующих угроз.

Оценка рисков проводится для всех свойств ИБ выделенных типов информационных активов и всех соответствующих им комбинаций типов объектов среды и воздействующих на них источников угроз.

Для оценки рисков нарушения ИБ используется следующая качественная шкала:

— допустимый;

— недопустимый.

Для сопоставления оценок СВР угроз ИБ и оценок СТП нарушения ИБ заполняется таблица допустимых/недопустимых рисков нарушения ИБ. Рекомендуемый пример ее заполнения приведен в таблице. Оценка рисков нарушения ИБ проводится с учетом данных указанной таблицы.

 

 

СВР угроз ИБ СТП нарушения ИБ
минимальная средняя высокая критическая
нереализуемая допустимый допустимый допустимый допустимый
минимальная допустимый допустимый допустимый недопустимый
средняя допустимый допустимый недопустимый недопустимый
высокая допустимый недопустимый недопустимый недопустимый
критическая недопустимый недопустимый недопустимый недопустимый

 

Таблица оценки рисков нарушения ИБ

Тип объекта среды Источник угрозы ИБ Оценка СВР кол угроз ИБ Оценка СТП нарушения ИБ Оценка рисков нарушения ИБ
Файлы данных Внутренний нарушитель высокая высокая Недопустимый
Внешний нарушитель средняя высокая Недопустимый
Линии связи, аппаратные и технические средства, физические носители информации Внутренний нарушитель высокая высокая Недопустимый
Внешний нарушитель средняя высокая Недопустимый
Маршрутизаторы, коммутаторы, концентраторы Внутренний нарушитель высокая высокая Недопустимый
Внешний нарушитель средняя высокая Недопустимый
Программные компоненты передачи данных по компьютерным сетям (сетевые сервисы) Внутренний нарушитель высокая высокая Недопустимый
Внешний нарушитель средняя высокая Недопустимый
Базы данных Внутренний нарушитель высокая высокая Недопустимый
Внешний нарушитель средняя высокая Недопустимый
Прикладные программы доступа и обработки, бумажные носители Внутренний нарушитель высокая высокая Недопустимый
Внешний нарушитель средняя высокая Недопустимый

 

3.2. Анализ типажей злоумышленника, их квалификация, возможная техническая оснащенность и местонахождение при добывании информации и естественную мотивацию своей деятельности

 

1. Внешние нарушители информационной безопасности.

1. 1. Внешние нарушители информационной безопасности в ИТС Банка России - это субъекты, не являющиеся сотрудниками Банка России, а также сотрудники Банка России, которым не предоставлены права доступа к ресурсам ИТС, но осуществляющие попытки несанкционированного доступа к ресурсам ИТС Банка России.

1. 2. Со стороны внешнего нарушителя наиболее вероятны угрозы на следующих уровнях информационной инфраструктуры:

- физический и канальный (линии связи, аппаратные средства и пр.);

- транспортный и сетевой (сетевые аппаратные средства, маршрутизато­ры, коммутаторы, концентраторы и пр.);

- сетевые приложения и сервисы (электронная почта, корпоративный портал и т.п.);

- операционные системы, прикладное ПО и СУБД.

На других уровнях реализация угроз со стороны внешнего нарушителя труднореализуема.

1. 3. Признаки классификации внешнего нарушителя.
По мотиву атаки на информационную систему:

- материальное обеспечение;

- морально-психологические мотивы (месть, обида, зависть, психическое расстройство, " спортивный интерес" и т.д.);

- идеологические причины (нанесение ущерба Банку России, банковской ^системе России, России в целом).

По уровню информированности и квалификации нарушителя:

- обладает высоким уровнем знаний в области программирования и вы­числительной техники, проектирования и эксплуатации автоматизированных информационных систем (в том числе эксплуатируемых в Банке России);

- обладает достаточными знаниями для сбора информации, применения известного и написания собственного программного обеспечения для осущест­вления атаки.

1.4. Внешние нарушители могут быть из числа следующих категорий:

- террористы;

- криминальные элементы;

- компьютерные злоумышленники;

- представители сторонних организаций (поставщики программно-технических средств, расходных материалов, услуг, подрядчики, осуществ­ляющие монтаж, пуско-наладочные работы оборудования и его ремонт и т.п.);

- представители организаций, взаимодействующих по вопросам обеспе­чения жизнедеятельности ИТС Банка России (энергоснабжение, водоснабже­ние, теплоснабжение);

- технический персонал, обслуживающий здания и не являющийся со­трудниками Банка России;

- недобросовестные сотрудники организации - клиента Банка России;

- сотрудники Банка России, случайно или умышленно нарушившие про­пускной режим и/или режим доступа к информационным ресурсам Банка Рос­сии.

2. Внутренние нарушители информационной безопасности.

2.1. Внутренние нарушители информационной безопасности в ИТС Банка России - это сотрудники Банка России, осуществляющие в соответствии с предоставленными им правами и полномочиями деятельность по реализации функций и задач Банка России (бизнес - процессов), в том числе, обеспечения расчетов Банка России и его клиентов, надзора, инспектирования и пр., а также персонал, обслуживающий банковские аппаратно-программные комплексы ИТС или допущенный к ним в соответствии со своими служебными обязанно­стями. Внутренние нарушители являются наиболее значимыми источниками угроз информационной безопасности.

2.2. Главной целью, которую себе ставит внутренний нарушитель, яв­ляется получение контроля над электронными информационными ресурсами Банка России, включая средства их обработки, хранения и предоставления, на самом высоком, доступном для него уровне информационной инфраструктуры.

2.3. Со стороны внутреннего нарушителя наиболее опасны угрозы на следующих уровнях информационной инфраструктуры:

- бизнес-процессов;

- банковских технологических процессов и приложений;

- систем управления базами данных (СУБД);

- операционных систем.

2.4. Внутренние нарушители на уровне бизнес-процессов - это сотрудники из числа авторизированных пользователей информационных систем, представители менеджмента Главного управления, реализующие угрозы путем нарушения регламентов работы с информацией, к которой они допущены в рамках их служебной деятельности. Наибольшая угроза при этом - инсайдерская деятельность и хищение денежных средств с использованием системы расчетов.

Внутренние нарушители на уровнях банковских технологических процес­сов (специализированных программных приложений), систем управления база­ми данных и операционных систем - это персонал, имеющий права доступа к оборудованию и программным средствам: администраторы приложений, СУБД и ОС, внутренние (банковские) разработчики автоматизированных систем, ад­министраторы информационной безопасности, реализующие угрозы в рамках своих полномочий (легальный доступ), технический и обслуживающий персо­нал. Наибольшая угроза при этом - неконтролируемое копирование баз данных.

Внутренние нарушители на уровне сетевых приложений, сетевом и физи­ческом уровне - это персонал, имеющий права доступа к оборудованию, в том числе, сетевому; администраторы сетевых приложений; внутренние (банков­ские) разработчики автоматизированных систем, и т.п., реализующие угрозы в рамках своих полномочий (легальный доступ).

2.5. Вероятность нанесения ущерба тем выше, чем более высокой квалификацией обладает сотрудник, чем на более высоком уровне иерархии информационной инфраструктуры он находится и чем к большему объему электронных информационных ресурсов он имеет доступ.

Признаки классификации внутреннего нарушителя:

- специализированное образование (внутренний нарушитель не имеет специализированных знаний в области криптографии), высокая квалификация, опыт и знания в профессиональной сфере (экономической, бухгалтерской, сфе­ре информационных технологий);

- доступные ресурсы, необходимые для выполнения служебных задач;

- сфера функциональной деятельности;

- наличие мотивации действий.

Внутренние нарушители информационной безопасности в ИТС Банка России в соответствии с указанными признаками классифицируются следую­щим образом (по уровням, в зависимости от потенциальных возможностей):

- уровень руководящего и управленческого персонала Главного управ­ления;

- уровень пользователя электронной информационной системы Банка России (сотрудников, допущенных к информационным ресурсам с соответст­вии со своими должностными обязанностями и являющихся потребителями сервисов автоматизированных информационных систем);

- уровень специалиста по эксплуатации электронной информационной системы ИТС Банка России (в соответствии с правами доступа к ресурсам):

• администраторы автоматизированных систем;

• администраторы операционных систем и СУБД;

• администраторы сетевых приложений;

• администраторы информационной безопасности автоматизиро­ванных систем, технологических участков.

- уровень внутреннего (банковского) разработчика автоматизированной системы.

2.6. При отсутствии мотивации могут совершаться только непреднамеренные действия, ущерб от которых носит как правило разовый, не системный характер. С учетом мотивации действия внутренних нарушителей носят системный характер и могут привести к крайне тяжелым последствиям. Мотивацией действий внутренних нарушителей является:

- материальное обогащение;

- морально-психологические мотивы (месть, обида, зависть, психическое расстройство и т.д.);

- идеологические причины (нанесение ущерба Банку России или банков­ской системе в целом).

Ошибки, допускаемые персоналом, не являются мотивированными дейст­виями.

 






© 2023 :: MyLektsii.ru :: Мои Лекции
Все материалы представленные на сайте исключительно с целью ознакомления читателями и не преследуют коммерческих целей или нарушение авторских прав.
Копирование текстов разрешено только с указанием индексируемой ссылки на источник.