Файл: Методический документ методика оценки угроз безопасности информации.pdf
ВУЗ: Не указан
Категория: Не указан
Дисциплина: Не указана
Добавлен: 11.04.2024
Просмотров: 73
Скачиваний: 0
ВНИМАНИЕ! Если данный файл нарушает Ваши авторские права, то обязательно сообщите нам.
характеристику нарушителей, которые могут являться источниками угроз безопасности информации, и возможные цели реализации ими угроз безопасности информации;
категории актуальных нарушителей, которые могут являться источниками угроз безопасности информации;
описание возможностей нарушителей по реализации ими угроз безопасности применительно к назначению, составу и архитектуре систем и сетей.
К модели угроз безопасности информации могут прилагаться рисунки, иллюстрирующие возможности нарушителей, и другие поясняющие материалы.
6. Способы реализации (возникновения) угроз безопасности информации
Раздел "Способы реализации (возникновения) угроз безопасности информации" включает:
описание способов реализации (возникновения) угроз безопасности информации, которые могут быть использованы нарушителями разных видов и категорий;
описание интерфейсов объектов воздействия, доступных для использования нарушителями способов реализации угроз безопасности информации.
К модели угроз безопасности информации может прилагаться схема с отображением типов логических, физических интерфейсов объектов воздействия, в том числе требующих физического доступа к ним, а также соответствующие им способы реализации угроз безопасности информации.
7. Актуальные угрозы безопасности информации
Раздел "Актуальные угрозы безопасности информации" включает:
перечень возможных (вероятных) угроз безопасности информации для соответствующих способов их реализации и уровней возможностей нарушителей;
описание возможных сценариев реализации угроз безопасности информации;
выводы об актуальности угроз безопасности информации.
К модели угроз безопасности информации может прилагаться схема с отображением сценариев реализации угроз безопасности информации.
Приложение 4
к Методике оценки угроз безопасности информации
ВИДЫ
КонсультантПлюс
надежная правовая поддержка
www.consultant.ru
Страница 34 из 84
Документ предоставлен
КонсультантПлюс
Дата сохранения: 06.04.2022
"Методический документ. Методика оценки угроз безопасности информации"
(утв. ФСТЭК России 05.02.2021)
категории актуальных нарушителей, которые могут являться источниками угроз безопасности информации;
описание возможностей нарушителей по реализации ими угроз безопасности применительно к назначению, составу и архитектуре систем и сетей.
К модели угроз безопасности информации могут прилагаться рисунки, иллюстрирующие возможности нарушителей, и другие поясняющие материалы.
6. Способы реализации (возникновения) угроз безопасности информации
Раздел "Способы реализации (возникновения) угроз безопасности информации" включает:
описание способов реализации (возникновения) угроз безопасности информации, которые могут быть использованы нарушителями разных видов и категорий;
описание интерфейсов объектов воздействия, доступных для использования нарушителями способов реализации угроз безопасности информации.
К модели угроз безопасности информации может прилагаться схема с отображением типов логических, физических интерфейсов объектов воздействия, в том числе требующих физического доступа к ним, а также соответствующие им способы реализации угроз безопасности информации.
7. Актуальные угрозы безопасности информации
Раздел "Актуальные угрозы безопасности информации" включает:
перечень возможных (вероятных) угроз безопасности информации для соответствующих способов их реализации и уровней возможностей нарушителей;
описание возможных сценариев реализации угроз безопасности информации;
выводы об актуальности угроз безопасности информации.
К модели угроз безопасности информации может прилагаться схема с отображением сценариев реализации угроз безопасности информации.
Приложение 4
к Методике оценки угроз безопасности информации
ВИДЫ
КонсультантПлюс
надежная правовая поддержка
www.consultant.ru
Страница 34 из 84
Документ предоставлен
КонсультантПлюс
Дата сохранения: 06.04.2022
"Методический документ. Методика оценки угроз безопасности информации"
(утв. ФСТЭК России 05.02.2021)
РИСКОВ (УЩЕРБА) И ТИПОВЫЕ НЕГАТИВНЫЕ ПОСЛЕДСТВИЯ
ОТ РЕАЛИЗАЦИИ УГРОЗ БЕЗОПАСНОСТИ ИНФОРМАЦИИ
Таблица 4.1
N
Виды риска (ущерба)
Возможные типовые негативные последствия
У1
Ущерб физическому лицу
Угроза жизни или здоровью.
Унижение достоинства личности.
Нарушение свободы, личной неприкосновенности.
Нарушение неприкосновенности частной жизни.
Нарушение личной, семейной тайны, утрата чести и доброго имени.
Нарушение тайны переписки, телефонных переговоров, иных сообщений.
Нарушение иных прав и свобод гражданина,
закрепленных в
Конституции
Российской
Федерации и федеральных законах.
Финансовый, иной материальный ущерб физическому лицу.
Нарушение конфиденциальности (утечка)
персональных данных.
"Травля" гражданина в сети "Интернет".
Разглашение персональных данных граждан
У2
Риски юридическому лицу, индивидуальному предпринимателю,
связанные с хозяйственной деятельностью
Нарушение законодательства Российской
Федерации.
Потеря (хищение) денежных средств.
Недополучение ожидаемой (прогнозируемой)
прибыли.
Необходимость дополнительных
(незапланированных) затрат на выплаты штрафов
(неустоек) или компенсаций.
Необходимость дополнительных
(незапланированных) затрат на закупку товаров,
работ или услуг (в том числе закупка программного обеспечения, технических средств, вышедших из строя, замена, настройка, ремонт указанных средств).
Нарушение штатного режима функционирования автоматизированной системы управления и управляемого объекта и/или процесса.
Срыв запланированной сделки с партнером.
Необходимость дополнительных
(незапланированных) затрат на восстановление деятельности.
Продолжение таблицы 4.1
КонсультантПлюс
надежная правовая поддержка
www.consultant.ru
Страница 35 из 84
Документ предоставлен
КонсультантПлюс
Дата сохранения: 06.04.2022
"Методический документ. Методика оценки угроз безопасности информации"
(утв. ФСТЭК России 05.02.2021)
N
Виды риска (ущерба)
Возможные типовые негативные последствия
Потеря клиентов, поставщиков.
Потеря конкурентного преимущества.
Невозможность заключения договоров,
соглашений.
Нарушение деловой репутации.
Снижение престижа.
Дискредитация работников.
Утрата доверия.
Причинение имущественного ущерба.
Неспособность выполнения договорных обязательств.
Невозможность решения задач (реализации функций) или снижение эффективности решения задач (реализации функций).
Необходимость изменения (перестроения)
внутренних процедур для достижения целей,
решения задач (реализации функций).
Принятие неправильных решений.
Простой информационной системы или сети.
Публикация недостоверной информации на веб-ресурсах организации.
Использование веб-ресурсов для распространения и управления вредоносным программным обеспечением.
Рассылка информационных сообщений с использованием вычислительных мощностей оператора и (или) от его имени.
Утечка конфиденциальной информации
(коммерческой тайны, секретов производства
(ноу-хау) и др.)
У3
Ущерб государству в области обеспечения обороны страны,
безопасности государства и правопорядка, а также в социальной,
экономической,
политической,
экологической сферах деятельности
Причинение ущерба жизни и здоровью людей.
Прекращение или нарушение функционирования объектов обеспечения жизнедеятельности населения.
Прекращение или нарушение функционирования объектов транспортной инфраструктуры.
Прекращение или нарушение функционирования государственного органа в части невыполнения возложенной на него функции (полномочия).
Прекращение или нарушение функционирования сети связи.
Отсутствие доступа к государственной услуге.
Нарушение условий международного договора
Российской Федерации, срыв переговоров или подписания планируемого к заключению
КонсультантПлюс_надежная_правовая_поддержка_www.consultant.ru_Страница_36_из_84Документ_предоставленКонсультантПлюс'>КонсультантПлюс
надежная правовая поддержка
www.consultant.ru
Страница 36 из 84
Документ предоставлен
КонсультантПлюс
Дата сохранения: 06.04.2022
"Методический документ. Методика оценки угроз безопасности информации"
(утв. ФСТЭК России 05.02.2021)
международного договора Российской Федерации.
Продолжение таблицы 4.1
N
Виды риска (ущерба)
Возможные типовые негативные последствия
Снижение уровня дохода государственной корпорации, государственной организации или организации с государственным участием.
Возникновение ущерба бюджетам Российской
Федерации.
Прекращение или нарушение проведения клиентами операций по банковским счетам и (или)
без открытия банковского счета или операций в системно значимой кредитной организации,
оператором услуг платежной инфраструктуры системно и (или) социально значимых платежных систем, системно значимой инфраструктурной организацией финансового рынка.
Вредные воздействия на окружающую среду.
Прекращение или нарушение функционирования пункта управления (ситуационного центра).
Снижение показателей государственного оборонного заказа.
Прекращение или нарушение функционирования информационной системы в области обеспечения обороны страны, безопасности государства и правопорядка.
Нарушение законодательства Российской
Федерации.
Публикация недостоверной социально значимой информации на веб-ресурсах, которая может привести к социальной напряженности, панике среди населения и др.
Нарушение штатного режима функционирования автоматизированной системы управления и управляемого объекта и/или процесса, если это ведет к выводу из строя технологических объектов,
их компонентов.
Нарушение общественного правопорядка,
возможность потери или снижения уровня контроля за общественным правопорядком.
Нарушение выборного процесса.
Отсутствие возможности оперативного оповещения населения о чрезвычайной ситуации.
Организация пикетов, забастовок, митингов и других акций.
Массовые увольнения.
Увеличение количества жалоб в органы
КонсультантПлюс
надежная правовая поддержка
www.consultant.ru
Страница 37 из 84
Документ предоставлен
КонсультантПлюс
Дата сохранения: 06.04.2022
"Методический документ. Методика оценки угроз безопасности информации"
(утв. ФСТЭК России 05.02.2021)
Продолжение таблицы 4.1
N
Виды риска (ущерба)
Возможные типовые негативные последствия
Снижение уровня дохода государственной корпорации, государственной организации или организации с государственным участием.
Возникновение ущерба бюджетам Российской
Федерации.
Прекращение или нарушение проведения клиентами операций по банковским счетам и (или)
без открытия банковского счета или операций в системно значимой кредитной организации,
оператором услуг платежной инфраструктуры системно и (или) социально значимых платежных систем, системно значимой инфраструктурной организацией финансового рынка.
Вредные воздействия на окружающую среду.
Прекращение или нарушение функционирования пункта управления (ситуационного центра).
Снижение показателей государственного оборонного заказа.
Прекращение или нарушение функционирования информационной системы в области обеспечения обороны страны, безопасности государства и правопорядка.
Нарушение законодательства Российской
Федерации.
Публикация недостоверной социально значимой информации на веб-ресурсах, которая может привести к социальной напряженности, панике среди населения и др.
Нарушение штатного режима функционирования автоматизированной системы управления и управляемого объекта и/или процесса, если это ведет к выводу из строя технологических объектов,
их компонентов.
Нарушение общественного правопорядка,
возможность потери или снижения уровня контроля за общественным правопорядком.
Нарушение выборного процесса.
Отсутствие возможности оперативного оповещения населения о чрезвычайной ситуации.
Организация пикетов, забастовок, митингов и других акций.
Массовые увольнения.
Увеличение количества жалоб в органы
КонсультантПлюс
надежная правовая поддержка
www.consultant.ru
Страница 37 из 84
Документ предоставлен
КонсультантПлюс
Дата сохранения: 06.04.2022
"Методический документ. Методика оценки угроз безопасности информации"
(утв. ФСТЭК России 05.02.2021)
государственной власти или органы местного самоуправления.
Появление негативных публикаций в общедоступных источниках.
Продолжение таблицы 4.1
N
Виды риска (ущерба)
Возможные типовые негативные последствия
Создание предпосылок к внутриполитическому кризису.
Окончание таблицы 4.1
N
Виды риска (ущерба)
Возможные типовые негативные последствия
Доступ к персональным данным сотрудников органов государственной власти, уполномоченных в области обеспечения обороны, безопасности и правопорядка, высших должностных лиц государственных органов и других лиц государственных органов.
Доступ к системам и сетям с целью незаконного использования вычислительных мощностей.
Использование веб-ресурсов государственных органов для распространения и управления вредоносным программным обеспечением.
Утечка информации ограниченного доступа.
Непредоставление государственных услуг
Указанные типовые негативные последствия от реализации угроз безопасности информации подлежат конкретизации и могут дополняться другими негативными последствиями в зависимости от особенностей области деятельности, в которой функционирует система и сеть.
Приложение 5
к Методике оценки угроз безопасности информации
КонсультантПлюс_надежная_правовая_поддержка_www.consultant.ru'>ПРИМЕРЫ
ОПРЕДЕЛЕНИЯ ОБЪЕКТОВ ВОЗДЕЙСТВИЯ И ВИДОВ ВОЗДЕЙСТВИЯ НА НИХ
Таблица 5.1
КонсультантПлюс
надежная правовая поддержка
www.consultant.ru
Страница 38 из 84
Документ предоставлен
КонсультантПлюс
Дата сохранения: 06.04.2022
"Методический документ. Методика оценки угроз безопасности информации"
(утв. ФСТЭК России 05.02.2021)
Появление негативных публикаций в общедоступных источниках.
Продолжение таблицы 4.1
N
Виды риска (ущерба)
Возможные типовые негативные последствия
Создание предпосылок к внутриполитическому кризису.
Окончание таблицы 4.1
N
Виды риска (ущерба)
Возможные типовые негативные последствия
Доступ к персональным данным сотрудников органов государственной власти, уполномоченных в области обеспечения обороны, безопасности и правопорядка, высших должностных лиц государственных органов и других лиц государственных органов.
Доступ к системам и сетям с целью незаконного использования вычислительных мощностей.
Использование веб-ресурсов государственных органов для распространения и управления вредоносным программным обеспечением.
Утечка информации ограниченного доступа.
Непредоставление государственных услуг
Указанные типовые негативные последствия от реализации угроз безопасности информации подлежат конкретизации и могут дополняться другими негативными последствиями в зависимости от особенностей области деятельности, в которой функционирует система и сеть.
Приложение 5
к Методике оценки угроз безопасности информации
КонсультантПлюс_надежная_правовая_поддержка_www.consultant.ru'>ПРИМЕРЫ
ОПРЕДЕЛЕНИЯ ОБЪЕКТОВ ВОЗДЕЙСТВИЯ И ВИДОВ ВОЗДЕЙСТВИЯ НА НИХ
Таблица 5.1
КонсультантПлюс
надежная правовая поддержка
www.consultant.ru
Страница 38 из 84
Документ предоставлен
КонсультантПлюс
Дата сохранения: 06.04.2022
"Методический документ. Методика оценки угроз безопасности информации"
(утв. ФСТЭК России 05.02.2021)
Негативные последствия
Объекты воздействия
Виды воздействия
Разглашение персональных данных граждан
(У1)
База данных информационной системы,
содержащая идентификационную информацию граждан
Утечка идентификационной информации граждан из базы данных
Удаленное автоматизированное рабочее место (АРМ) пользователя
Утечка идентификационной информации граждан с АРМ
пользователя
Линия связи между сервером основного центра обработки данных и сервером резервного центра обработки данных
Перехват информации,
содержащей идентификационную информацию граждан,
передаваемой по линиям связи
Веб-приложение информационной системы,
обрабатывающей идентификационную информацию граждан
Несанкционированный доступ к идентификационной информации граждан, содержащейся в веб-приложении информационной системы
Хищение денежных средств со счета организации (У2)
Банк-клиент
Несанкционированная подмена данных, содержащихся в реквизитах платежного поручения
АРМ финансового директора Несанкционированная модификация информации в платежных распоряжениях и отправка недостоверных распоряжений от имени финансового директора
Электронный почтовый ящик финансового директора
Модификация информации в платежных распоряжениях и отправка недостоверных распоряжений от имени финансового директора
АРМ главного бухгалтера
Подмена данных, содержащих реквизиты платежных поручений и другой платежной информации на АРМ главного бухгалтера
Окончание таблицы 5.1
КонсультантПлюс
надежная правовая поддержка
www.consultant.ru
Страница 39 из 84
Документ предоставлен
КонсультантПлюс
Дата сохранения: 06.04.2022
"Методический документ. Методика оценки угроз безопасности информации"
(утв. ФСТЭК России 05.02.2021)
Негативные последствия
Объекты воздействия
Виды воздействия
Срыв запланированной сделки с партнером
(У2)
АРМ руководителя организации
Модификация информации и отправка электронных писем с недостоверной информацией от имени руководителя организации
Электронный почтовый ящик руководителя организации
Модификация информации и отправка электронных писем с недостоверной информацией от имени руководителя организации
Загрязнения окружающей среды и водоемов в результате разлива нефти из нефтепровода (У3)
Коммутационный контроллер для управления аварийными задвижками в нефтепроводе
Несанкционированная модификация (изменение) логики работы или уставок коммутационного контроллера,
которая приводит к открытию
(или не закрытию) аварийной задвижки при нарушении герметичности нефтепровода
Программируемый логический контроллер
(ПЛК) для управления насосными станциями
Несанкционированная модификация (изменение) логики работы или уставок ПЛК, которая приводит к включению (или не отключению) насосной станции при закрытой аварийной задвижке в нефтепроводе
АРМ оператора
Несанкционированная отправка команд, приводящая к несрабатыванию средств аварийной защиты и (или) к изменению логики ПЛК
Непредоставление государственных услуг (У3)
Веб-приложение портала государственных услуг
Отказ в обслуживании веб-приложения
Система управления содержимым веб-приложения (сайта)
портала государственных услуг
Подмена информации на страницах портала на недостоверную
Сервер балансировки нагрузки на веб-приложение
(сайт) портала государственных услуг
Отказ в обслуживании веб-приложения
КонсультантПлюс
надежная правовая поддержка
www.consultant.ru
Страница 40 из 84
Документ предоставлен
КонсультантПлюс
Дата сохранения: 06.04.2022
"Методический документ. Методика оценки угроз безопасности информации"
(утв. ФСТЭК России 05.02.2021)
Сервер веб-приложения
(сайта) портала государственных услуг
Отказ в обслуживании веб-приложения
Сервер баз данных портала государственных услуг
Отказ в обслуживании сервера управления базами данных
Подмена информации в базах данных на недостоверную
Утечка персональных данных граждан
Приложение 6
к Методике оценки угроз безопасности информации
ВОЗМОЖНЫЕ ЦЕЛИ
РЕАЛИЗАЦИИ УГРОЗ БЕЗОПАСНОСТИ ИНФОРМАЦИИ НАРУШИТЕЛЯМИ
Таблица 6.1
N
вида
Виды нарушителя
Категории нарушителя
Возможные цели реализации угроз безопасности информации
1
Специальные службы иностранных государств
Внешний
Нанесение ущерба государству в области обеспечения обороны, безопасности и правопорядка, а также в иных отдельных областях его деятельности или секторах экономики, в том числе дискредитация или дестабилизация деятельности отдельных органов государственной власти, организаций, получение конкурентных преимуществ на уровне государства, срыв заключения международных договоров, создание внутриполитического кризиса
2
Террористические,
экстремистские группировки
Внешний
Совершение террористических актов,
угроза жизни граждан.
Нанесение ущерба отдельным сферам деятельности или секторам экономики государства.
Дестабилизация общества.
Дестабилизация деятельности органов
1 2 3 4 5 6 7 8 9 10
КонсультантПлюс
надежная правовая поддержка
www.consultant.ru
Страница 41 из 84
Документ предоставлен
КонсультантПлюс
Дата сохранения: 06.04.2022
"Методический документ. Методика оценки угроз безопасности информации"
(утв. ФСТЭК России 05.02.2021)
государственной власти, организаций
3
Преступные группы
(криминальные структуры)
Внешний
Получение финансовой или иной материальной выгоды.
Желание самореализации (подтверждение статуса)
4
Отдельные физические лица
(хакеры)
Внешний
Получение финансовой или иной материальной выгоды.
Любопытство или желание самореализации (подтверждение статуса)
5
Конкурирующие организации
Внешний
Получение конкурентных преимуществ.
Получение финансовой или иной материальной выгоды
6
Разработчики программных,
программно-аппара тных средств
Внутренний Внедрение дополнительных функциональных возможностей в программные или программно-аппаратные средства на этапе разработки.
Получение конкурентных преимуществ.
Получение финансовой или иной материальной выгоды.
Непреднамеренные, неосторожные или неквалифицированные действия
Окончание таблицы 6.1
N
вида
Виды нарушителя
Категории нарушителя
Возможные цели реализации угроз безопасности информации
7
Лица,
обеспечивающие поставку программных,
программно-аппара тных средств,
обеспечивающих систем
Внешний
Получение финансовой или иной материальной выгоды.
Непреднамеренные, неосторожные или неквалифицированные действия.
Получение конкурентных преимуществ
8
Поставщики вычислительных услуг, услуг связи
Внутренний Получение финансовой или иной материальной выгоды.
Непреднамеренные, неосторожные или неквалифицированные действия.
Получение конкурентных преимуществ
9
Лица, привлекаемые для установки,
настройки,
Внутренний Получение финансовой или иной материальной выгоды.
Непреднамеренные, неосторожные или
КонсультантПлюс
надежная правовая поддержка
www.consultant.ru
Страница 42 из 84
Документ предоставлен
КонсультантПлюс
Дата сохранения: 06.04.2022
"Методический документ. Методика оценки угроз безопасности информации"
(утв. ФСТЭК России 05.02.2021)
3
Преступные группы
(криминальные структуры)
Внешний
Получение финансовой или иной материальной выгоды.
Желание самореализации (подтверждение статуса)
4
Отдельные физические лица
(хакеры)
Внешний
Получение финансовой или иной материальной выгоды.
Любопытство или желание самореализации (подтверждение статуса)
5
Конкурирующие организации
Внешний
Получение конкурентных преимуществ.
Получение финансовой или иной материальной выгоды
6
Разработчики программных,
программно-аппара тных средств
Внутренний Внедрение дополнительных функциональных возможностей в программные или программно-аппаратные средства на этапе разработки.
Получение конкурентных преимуществ.
Получение финансовой или иной материальной выгоды.
Непреднамеренные, неосторожные или неквалифицированные действия
Окончание таблицы 6.1
N
вида
Виды нарушителя
Категории нарушителя
Возможные цели реализации угроз безопасности информации
7
Лица,
обеспечивающие поставку программных,
программно-аппара тных средств,
обеспечивающих систем
Внешний
Получение финансовой или иной материальной выгоды.
Непреднамеренные, неосторожные или неквалифицированные действия.
Получение конкурентных преимуществ
8
Поставщики вычислительных услуг, услуг связи
Внутренний Получение финансовой или иной материальной выгоды.
Непреднамеренные, неосторожные или неквалифицированные действия.
Получение конкурентных преимуществ
9
Лица, привлекаемые для установки,
настройки,
Внутренний Получение финансовой или иной материальной выгоды.
Непреднамеренные, неосторожные или
КонсультантПлюс
надежная правовая поддержка
www.consultant.ru
Страница 42 из 84
Документ предоставлен
КонсультантПлюс
Дата сохранения: 06.04.2022
"Методический документ. Методика оценки угроз безопасности информации"
(утв. ФСТЭК России 05.02.2021)
