2.Модель угроз (1208533), страница 14
Текст из файла (страница 14)
Таблица 9.5.2. – Перечень актуальных угроз безопасности информации, реализуемых в информационных системах с использованием СКЗИ
| № п/п | Название угрозы безопасности информации |
| 1 | 1.1 Проведение атаки при нахождении в пределах контролируемой зоны |
| 2 | 1.4 Использование штатных средств ИС, ограниченное мерами, реализованными в информационной системе, в которой используется СКЗИ, и направленными на предотвращение и пресечение несанкционированных действий |
10. Актуальные угрозы безопасности информации
В соответствии с пунктами 4-7 настоящей модели угроз безопасности информации для «ИСПДн отдела бухгалтерского учета и отчетности» был составлен перечень актуальных угроз безопасности информации (Таблица 10.1).
Таблица 10.1- Актуальные угрозы безопасности информации «ИСПДн отдела бухгалтерского учета и отчётности»
| № | Название угрозы | Актуальность угрозы |
| Угрозы безопасности информации, реализуемые за счет НСД к информационной системе | ||
| 1 | УБИ.004 Угроза аппаратного сброса пароля BIOS | Актуальная |
| 2 | УБИ.011 Угроза деавторизации санкционированного клиента беспроводной сети | Актуальная |
| 3 | УБИ.028 Угроза использования альтернативных путей доступа к ресурсам | Актуальная |
| 4 | УБИ.034 Угроза использования слабостей протоколов сетевого/локального обмена данными | Актуальная |
| 5 | УБИ.067 Угроза неправомерного ознакомления с защищаемой информацией | Актуальная |
| 6 | УБИ.069 Угроза неправомерных действий в каналах связи | Актуальная |
| 7 | УБИ.083 Угроза несанкционированного доступа к системе по беспроводным каналам | Актуальная |
| 8 | УБИ.125 Угроза подключения к беспроводной сети в обход процедуры аутентификации | Актуальная |
| 9 | УБИ.126 Угроза подмены беспроводного клиента или точки доступа | Актуальная |
| 10 | УБИ.140 Угроза приведения системы в состояние «отказ в обслуживании» | Актуальная |
| 11 | УБИ.155 Угроза утраты вычислительных ресурсов | Актуальная |
| 12 | УБИ.023. Угроза изменения компонентов системы | Актуальная |
| 13 | УБИ.014. Угроза длительного удержания вычислительных ресурсов пользователями | Актуальная |
| 14 | УБИ.015. Угроза доступа к защищаемым файлам с использованием обходного пути | Актуальная |
| 15 | УБИ.022. Угроза избыточного выделения оперативной памяти | Актуальная |
| 16 | УБИ.049. Угроза нарушения целостности данных кеша | Актуальная |
| 17 | УБИ.072. Угроза несанкционированного выключения или обхода механизма защиты от записи в BIOS | Актуальная |
| 18 | УБИ.074. Угроза несанкционированного доступа к аутентификационной информации | Актуальная |
| 19 | УБИ.086. Угроза несанкционированного изменения аутентификационной информации | Актуальная |
| 20 | УБИ.089. Угроза несанкционированного редактирования реестра | Актуальная |
| 21 | УБИ.090. Угроза несанкционированного создания учётной записи пользователя | Актуальная |
| 22 | УБИ.091. Угроза несанкционированного удаления защищаемой информации | Актуальная |
| 23 | УБИ.093. Угроза несанкционированного управления буфером | Актуальная |
| 24 | УБИ.100. Угроза обхода некорректно настроенных механизмов аутентификации | Актуальная |
| 25 | УБИ.113. Угроза перезагрузки аппаратных и программно-аппаратных средств вычислительной техники | Актуальная |
| 26 | УБИ.121. Угроза повреждения системного реестра | Актуальная |
| 27 | УБИ.123. Угроза подбора пароля BIOS | Актуальная |
| 28 | УБИ.124. Угроза подделки записей журнала регистрации событий | Актуальная |
| 29 | УБИ.152. Угроза удаления аутентификационной информации | Актуальная |
| 30 | УБИ.158. Угроза форматирования носителей информации | Актуальная |
| 31 | УБИ.170. Угроза неправомерного шифрования информации | Актуальная |
| 32 | УБИ.178. Угроза несанкционированного использования системных и сетевых утилит | Актуальная |
| 33 | УБИ.185 Угроза несанкционированного изменения параметров настройки средств защиты информации | Актуальная |
| 34 | УБИ.191 Угроза внедрения вредоносного кода в дистрибутив программного обеспечения | Актуальная |
| 35 | УБИ.192 Угроза использования уязвимых версий программного обеспечения | Актуальная |
| 36 | УБИ.027. Угроза искажения вводимой и выводимой на периферийные устройства информации | Актуальная |
| 37 | УБИ.017. Угроза доступа/перехвата/изменения HTTP cookies | Актуальная |
| 38 | УБИ.012. Угроза деструктивного изменения конфигурации/среды окружения программ | Актуальная |
| 39 | УБИ.030. Угроза использования информации идентификации/аутентификации, заданной по умолчанию | Актуальная |
| 40 | УБИ.167. Угроза заражения компьютера при посещении неблагонадёжных сайтов | Актуальная |
| 41 | УБИ.171. Угроза скрытного включения вычислительного устройства в состав бот-сети | Актуальная |
| Угрозы утечки информации по техническим каналам | ||
| 42 | ТС.001 Угроза утечки информации по электромагнитному каналу с использованием портативных средств радиоразведки | Актуальная |
| Техногенные угрозы безопасности информации | ||
| 43 | ТУ.001 Угроза отказа и неисправности технических средств, обрабатывающих информацию | Актуальная |
| 44 | ТУ.002 Угроза отказа и неисправности технических средств, обеспечивающих работоспособность средств обработки информации (вспомогательных технических средств) | Актуальная |
| 45 | ТУ.003 Угроза отказа и неисправности технических средств, обеспечивающих охрану и контроль доступа | Актуальная |
| 46 | 1.1 Проведение атаки при нахождении в пределах контролируемой зоны | Актуальная |
| 47 | 1.4 Использование штатных средств ИС, ограниченное мерами, реализованными в информационной системе, в которой используется СКЗИ, и направленными на предотвращение и пресечение несанкционированных действий | Актуальная |
Для «ИСПДн отдела бухгалтерского учета и отчетности» не характерны угрозы, связанные с наличием недокументированных (недекларированных) возможностей в системном и прикладном программном обеспечении ввиду того, что в ИСПДн используется лицензионное общесистемное и прикладное программное обеспечение, рекомендованное ФСТЭК, а также исключена возможность доработки прикладного ПО. Таким образом, в соответствии с «Требованиями к защите персональных данных при их обработке в информационных системах персональных данных», утвержденными постановлением Правительства Российской Федерации № 1119 от 01.11.2012 г, актуальные угрозы безопасности персональных данных являются угрозами 3-го типа.
11.Приложение А. Топология локальной вычислительной сети отдела.
.
Рис А1-Топология локальной вычислительной сети отдела.
12. Приложение Б. Размещение элементов относительно границ контролируемой зоны
Рис Б-Размещение элементов ИСПДн относительно границ контролируемой зоны здания компании.
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
