Довольно часто приходится сталкиваться с вопросами в сети о том, как построить модель угроз.
Такие вопросы возникают, как в связи с активизацией работ по приведению информационных систем в соответствие с ФЗ 152 "О персональных данных", так и проcто сами по себе.
Хочу заметить, что составление модели угроз и мер по противодействиям, это кропотливая работа, сложная и объемная, во многом опирается на экспертную оценку профессионалов, методологически и инструментально вооруженных.
Однако бывают моменты, когда требуется произвести быструю оценку текущего состояния дел и дать эту оценку для руководителя или для самого себя безотносительно к требованиям государственных органов.
Для таких случаев и только для таких случаев можно применить данный документ.
Заполняя вероятности реализации для разных групп нарушителей, можно получить усредненный коэффициент опасности.
В даннном документе использован радикально(!!!) упрощенный вариант подсчета конечной вероятности, дающий лишь обзорную картину и не учитывающий множество различных факторов.
В первую очередь, документ предназначен для начинающих системных администраторов, которые только входят в проблематику информационной безопасности и для которых Fstec.Ru: "Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных" от 15 февраля 2008 года(выписка) слишком сложна.
Документ оформлен в виде электронной таблицы пакета OpenOffice, в котором используется условное форматирование для подсветки фоном уровня опасности на основе введенной пользователем вероятности.
Еще раз отмечаю, что данный документ не является точным инструментом для оценки положения, а предназначен лишь для быстрой, наглядной и упрощенной ориентировки.
В данном документе рассмотрены следующе типы и риски:
По горизонтали описаны типы нарушителей:
- Инсайдеры-одиночки (опыт - незначительный, адаптивность - низкая, знания о системе - минимальны, обнаруживаемость - низкая, численность - средняя, цели - подвижны, организованность - нет)
- Опытные инсайдеры (опыт - большой, адаптивность - высокая, знания о системе - высокие, обнаруживаемость - низкая, численность - незначительная, цели - признание, организованность - нет)
- Организованные инсайдеры (опыт - большой, адаптивность - высокая, знания о системе - доскональные, обнаруживаемость - низкая, численность - еденичная, цели - деньги. организованность - есть)
- Хакеры-одиночки (опыт - незначительный, адаптивность - низкая, ресурсы - ограничены, обнаруживаемость - высокая, численность - множество, цели - подвижны, организованность - нет)
- Хакеры-профи (опыт - высокий, адаптивность - высокая, ресурсы - средние, обнаруживаемость - средняя, численность - средняя, цели - публичность, организованность - есть)
- ОПГ хакеры (опыт - высокий, адаптивность - высокая, ресурсы - неограничены, обнаруживаемость - низкая, численность - малая, цели - деньги, организованность - есть)
- IT администраторы (опыт - высокий, адаптивность - высокая, ресурсы - неограничены, обнаруживаемость - низкая, численность - низкая, цели - подвижны, организованность - низкая)
- Государство (опыт - высокий, адаптивность - средняя, ресурсы - неизвестны, обнаруживаемость - низкая, численность - неизвестно, цели - подвижны, организованность - есть)
По вертикали следующие риски и кратко, неисчерпывающе, описаны методики их возможной реализации, более подробно см. документ ФСТЭК: "Fstec.Ru: "Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных" от 15 февраля 2008 года(выписка)"
Угрозы утечки акустической информации
- Лазерное сканирование оконной поверхности,
- прослушивание направленным микрофоном,
- прослушивание прикладным микрофоном повышенной чувствительности
- прослушивание встроенным fm синтезаторо
Угрозы утечки видовой информации
- Просмотр информации на дисплее сотрудниками, не допущенными к обработке данных
- Бинокулярное, и другое длиннофокусное оптическое наблюдение через уличные окна
- просмотр из-за спины
- во время отсутствия на рабочем месте
- Просмотр информации на дисплее посторонними лицами, находящимися в помещении в котором ведется обработка данных
- Просмотр из-за спины,
- Просмотр во время отсутствия на рабочем месте,
- Просмотр информации на дисплее посторонними лицами, находящимися за пределами помещения в котором ведется обработка данных
- Бинокулярное, и другое длиннофокусное оптическое наблюдение через уличные окна
- Просмотр информации с помощью специальных электронных устройств внедренных в помещении в котором ведется обработка данных
- Установка специализированного ПО на рабочую станцию,
- установка web камер на соседних рабочих станциях с выходом в интернет,
- установка специализированных камер для скрытого видеонаблюдения
Угрозы утечки информации по каналам ПЭМИН
- Утечка информации по сетям электропитания
- Узкополостные сканеры для статистического анализа информационных потоков.
- Утечка за счет наводок на линии связи, технические средства расположенные в помещении и системы коммуникаций
- Активные цифровые узкополосные сканеры с цифровой обрабокой сигнала специально настроенные на конкретную модель отслеживаемого оборудования,
- узкополостные сканеры для статистического анализа информационных потоков
- Побочные излучения технический средств
- Активные цифровые узкополосные сканеры с цифровой обрабокой сигнала специально настроенные на конкретную модель отслеживаемого оборудования,
- узкополостные интеллектуальные сканеры для съема эфирной информации с радиотелефонных каналов GSM, CDMA, WiMax, канального оборудовани
- Утечки за счет, электромагнитного воздействия на технические средства
- Переизлучающие пьезодатчики при направленном воздействии ВЧ сигнала
Угрозы несанкционированного доступа к информации
Угрозы уничтожения, хищения аппаратных средств ИС носителей информации путем физического доступа к элементам ИС
- Кража ПЭВМ
- Заявка на вынос оборудования на заранее оформленном бланке,
- вынос оборудования без оформления заявки в носимой ручной таре
- сговор с охраной и вынос без оформления заявки на вынос
- вынос за периметр через открытые уличные окна коридорных проходов
- вывоз оборудования на транспортном средстве
- Кража носителей информации
- Заявка на вынос оборудования на заранее оформленном бланке,
- вынос оборудования без оформления заявки в носимой ручной таре, карманах,
- сговор с охраной и вынос без оформления заявки на вынос
- вынос и выброс за периметр через открытые уличные окна коридорных проходов
- вывоз оборудования на транспортном средстве
- Кража ключей доступа
- Использование доверительных отношений,
- считывание записанных на открытых местах ключевых данных, в том числе паролей доступа, пин кодов и другой информации
- кража, подкуп, шантаж для получения и сохранения в тайне факта получени
- Кража, модификация, уничтожение информации.
- Удаление, модификация, физическое уничтожение устройства.
- Вывод из строя узлов ПЭВМ, каналов связи
- Физическое воздействие (удары, воздействия токопроводящими, йон- катион- жидкостями),
- Электромагнитное воздействие (микроволновки, постоянные магниты)
- Электрическое воздействие (замена местами +12 и +5 вольт в системе питания компьютера, подача на низковольтную часть высокого напряжения, замена фаз, манипуляции с нулем и фазами электропитания)
- компрометация систем маршрутизации, коммутаци
- Несанкционированный доступ к информации при техническом обслуживании (ремонте, уничтожении) узлов ПЭВМ
- Замена узлов, сдача в ремонт с носителями информации, неправильная утилизация хранителей информации,
- Получение доступа третьими лицами во время обедов, кофе-брейко
- Несанкционированное отключение средств защиты
- Отключение штатными средствами,
- активное разрушающее воздействие на программный компонент (эксплоит)
Угрозы хищения, несанкционированной модификации или блокирования информации за счет несанкционированного доступа (НСД) с применением программно-аппаратных и программных средств (в том числе программно-математических воздействий);
- Компьютерные вирусы
- Заражение через браузер,
- Клиента почтовой программы
- Клиента программы обмена сообщениями
- Заражение через ранее опубликованные уязвимости в П
- Заражение через 0-day уязвимости в ПО
- Недекларированные возможности системного ПО и ПО для обработки данных
- Преднамеренные и непреднамернные ошибки в ПО,
- Удаленное обновление П
- Установка ПО не связанного с исполнением служебных обязанностей
- Установка ПО способного работать в пользовательском режиме,
- установка с целью повышения прав
- установка с целью разрушения и уничтожения информации
- установка для нецелевого использования вычислительного ресурса
- Наличие аппаратных закладок в приобретаемых ПЭВМ
- Процессоры, накопители, видеокарты, имеющие ВЧ трансформаторы, дроссели, катушки, неправильно или специально оставленные не затерминированными участки дорожек платы.
- Внедрение аппаратных закладок посторонними лицами после начала эксплуатации ИС
- Ремонт, замена, установка нового оборудования,
- Обновление прошивок, микрокода
- Внедрение аппаратных закладок сотрудниками организации
- Установка нового оборудования,
- обновление прошивок, микрокода
- дарение подарков двойного назначения
- Внедрение аппаратных закладок обслуживающим персоналом (ремонтными организациями)
- Ремонт, замена, установка нового оборудования
Угрозы не преднамеренных действий пользователей и нарушений безопасности функционирования обработки данных в ее составе из-за сбоев в программном обеспечении, а также от угроз неатропогенного (сбоев аппаратуры из-за ненадежности элементов, сбоев электропитания) и стихийного (ударов молний, пожаров, наводнений и т.п.) характера.
- Утрата ключей доступа
- Утрата ключей доступа, хранение отчуждаемых носителей за пределами связи с носителем (шнурки, цепочки и так далее)
- Непреднамеренная модификация (уничтожение) информации сотрудниками
- Неосведомленность, глупость, усталость, и другие психологические факторы снижающие самоконтроль,
- Неправильная организация хранения и отображения данных, логическая несвязанность, противоречивость областей внимания, противоестественное расположение визуальных данных.
- Непреднамеренное отключение средств защиты
- Неосведомленность, глупость, усталость, и другие психологические факторы снижающие отчетность за свои действия.
- Выход из строя аппаратно-программных средств
- Выход из строя аппаратно-программных средств
- Сбой системы электроснабжения
- Сбой системы электроснабжения
- Стихийное бедствие
- Пожары,
- наводнения,
- протечки
- землятресения
- террористические акт
Угрозы преднамеренных действий внутренних нарушителей
- Доступ к информации, модификация, уничтожение лицами не допущенными к ее обработке
- Установка ПО удаленного управления,
- подключение дисков другого пользователя
- исполнение сценариев чужого пользователя
- выход за пределы информационной среды
- физическое, термическое, химическое, электромагнитное, электрическое уничтожение информаци
- Разглашение информации, модификация, уничтожение сотрудниками допущенными к ее обработке
- Разглашение информации, модификация, уничтожение сотрудниками допущенными к ее обработке
- Проговаривание сотрудниками инфомации в слух при активном канале передачи
- физическое, термическое, химическое, электромагнитное, электрическое уничтожение информаци
Угрозы несанкционированного доступа по каналам связи
- Несанкционированный доступ через сети международного обмена
- Активизация услуг по передаче данных на основе исходящего соединения, по разрешенным каналам связи.
- Несанкционированный доступ через ЛВС организации
- Активизация услуг по передаче данных на основе входящего и исходящего соединения, по разрешенным каналам связи
- Утечка атрибутов доступа
- Считывание атрибутов доступа,
- Доверительное выяснение прав доступа путем диалог
Угрозы перехвата при передаче по проводным (кабельным) линиям связи
- Перехват за переделами с контролируемой зоны
- Передача данных по каналам по стандартным протоколам,
- Направленный узкополостный, радиомониторинг
- прослушивание через модулирующие сигналы
- Перехват в пределах контролируемой зоны внешними нарушителями
- Передача данных по каналам по стандартным протоколам
- Перехват в пределах контролируемой зоны внутренними нарушителями
- Передача данных по каналам по стандартным протоколам
(c) 2006-2012
by Foto-Workshop.
Перепечатка или цитирование свободно при
условии, указания ссылки на данный источник,
но только в случае, если не оговорены дополнительные условия.