- •Описание систем и сетей и их характеристика как объектов защиты
- •Возможные негативные последствия от реализации (возникновения) угроз безопасности информации
- •Возможные объекты воздействия угроз безопасности информации
- •Источники угроз безопасности информации
- •Способы реализации (возникновения) угроз безопасности информации
- •Актуальные угрозы безопасности информации
- •Описание базового объекта
- •Ранжирование угроз иб
- •Ранжирование групп источников угроз иб
- •Ранжирование источников угроз иб
- •Ранжирование групп методов реализации угроз иб
- •Расчет коэффициентов корреляции
Возможные объекты воздействия угроз безопасности информации
Таблица 2 – Примеры определения объектов воздействия и видов
воздействия на них
Негативные последствия |
Объекты воздействия |
Виды воздействия |
Хищение денежных средств со счета организации (У2) |
Банк-клиент |
Несанкционированная подмена данных, содержащихся в реквизитах платежного поручения |
АРМ главного бухгалтера |
Подмена данных, содержащих реквизиты платежных поручений и другой платежной информации на АРМ главного бухгалтера |
Источники угроз безопасности информации
Таблица 3 – Возможные цели реализации угроз безопасности информации нарушителями
№ вида |
Виды нарушителя |
Категории нарушителя |
Возможные цели реализации угроз безопасности информации |
1
|
Отдельные физические лица (хакеры) |
Внешний |
Получение финансовой или иной материальной выгоды. Любопытство или желание самореализации. |
2 |
Конкурирующие организации |
Внешний |
Получение конкурентных преимуществ. Получение финансовой или иной материальной выгоды. |
3 |
Разработчики |
Внутренний |
Получение финансовой или иной материальной выгоды. Непреднамеренные или неквалифицированные действия. |
4 |
Системные администраторы и администраторы безопасности |
Внутренний |
Получение финансовой или иной материальной выгоды. Непреднамеренные или неквалифицированные действия. Любопытство или желание самореализации. |
5 |
Преступные группы |
Внешний |
Получение финансовой или иной материальной выгоды. Желание самореализации. |
Таблица 4 – Пример оценки целей реализации нарушителями угроз безопасности информации в зависимости от возможных негативных последствий и видов ущерба от их реализации
Виды нарушителей |
Возможные цели реализации угроз безопасности информации |
Соответствие целей видам риска и возможным негативным последствиям |
||
Нанесение ущерба физическому лицу |
Нанесение ущерба юридическому лицу |
Нанесение ущерба государству |
||
Преступные группы |
+ (получение финансовой выгоды за счет кражи и продажи персональных данных граждан) |
+ (получение финансовой выгоды за счет кражи и коммерческой тайны) |
+ (желание самореализоваться) |
У1 (нарушение конфиденциальности персональных данных граждан) У2 (нарушение репутации) У3 (публикация недостоверной информации) |
Отдельные физические лица |
+ (желание самореализоваться) |
+ (получение финансовой выгоды за счет кражи и коммерческой тайны) |
– |
У1 (утрата чести и доброго имени) У2 (потеря доверия) |
Конкурирующие организации |
– |
– |
– |
– |
Разработчики
|
– |
+ (получение прибыли за сбыт информации о юридическом лице третьим лицам) |
+ (внедрение дополнительных возможностей в программы на этапе разработки при вступлении в сговор с иностранными государствами) |
У2 (снижение конкурентоспособности) У3 (нарушение функционирования государственного органа, дискредитация деятельности органа государственной власти) |
Поставщики программно-аппаратных средств |
– |
– |
– |
– |
Поставщики вычислительных услуг, услуг связи |
– |
– |
– |
– |
Лица для установки, настройки, испытаний, пусконаладочных работ |
– |
– |
– |
– |
Лица, обеспечивающие функционирование систем и сетей |
– |
– |
– |
– |
Авторизованные пользователи систем и сетей |
+ (непреднамеренные, или неквалифицированные действия) |
– |
– |
У1 (материальный ущерб физическим лицам) |
Системные администраторы и администраторы безопасности |
+ (месть за ранее совершенные действия) |
– |
– |
У1 (материальный ущерб)
|
Бывшие (уволенные) работники (пользователи) |
– |
– |
– |
– |
Таблица 5 – Уровни возможностей нарушителей по реализации угроз безопасности информации
№ |
Уровень возможностей нарушителей |
Возможности нарушителей по реализации угроз безопасности информации |
Виды нарушителей |
Н1 |
Нарушитель, обладающий базовыми возможностями |
Имеют возможность реализовывать только известные угрозы, направленные на известные (документированные) уязвимости, с использованием общедоступных инструментов |
Физическое лицо (хакер)
|
Н2 |
Нарушитель, обладающий базовыми повышенными возможностями |
Имеют возможность реализовывать угрозы, направленные на неизвестные (недокументированные) уязвимости, с использованием специально созданных для этого инструментов, свободно распространяемых в сети «Интернет». Не имеют возможностей реализации угроз на физически изолированные сегменты систем и сетей. |
Системные администраторы и администраторы безопасности |
Н3 |
Нарушитель, обладающий средними возможностями |
Имеют возможность реализовывать угрозы, в том числе на выявленные ими неизвестные уязвимости, с использованием самостоятельно разработанных для этого инструментов. Не имеют возможностей реализации угроз на физически изолированные сегменты систем и сетей. |
Разработчики программ |
Таблица 6 – Примеры результата определения актуальных нарушителей при реализации угроз безопасности информации и соответствующие им возможности
Виды риска (ущерба) и возможные негативные последствия |
Виды актуального нарушителя |
Категория нарушителя |
Уровень возможностей нарушителя |
У2: утечка различного рода информации; нарушение репутации |
Преступные группы |
Внешний |
Н3 |
Отдельные физические лица (хакеры) |
Внешний Внутренний |
Н2 |
|
Разработчики |
Внутренний |
Н3 |
|
Системные администраторы и администраторы безопасности |
Внутренний |
Н2 |