Модель угроз (1209874), страница 2
Текст из файла (страница 2)
В модели угроз безопасности информации содержится описание информационной системы, особенностей ее функционирования и структурно-функциональных характеристик, а также описание угроз безопасности информации, включающие описание возможностей нарушителей, возможных способов реализации угроз безопасности информации и последствий от нарушения свойств безопасности информации.
В соответствии с Требованиями о защите информации, содержащейся в информационных системах общего пользования, утвержденными приказом ФСБ, ФСТЭК от 31 августа 2010 г. № 416/489 информационные системы общего пользования должны обеспечивать целостность и доступность защищаемой информации. Таким образом, в настоящем документе не рассматриваются угрозы утечки информации по техническим каналам, так как реализация данных угроз направлена на нарушение конфиденциальности защищаемой информации.
Настоящая модель угроз разработана в соответствии со следующими методическими документами:
-
Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных, утверждена Заместителем директора ФСТЭК России 15 февраля 2008 г.;
-
Методика определения актуальных угроз безопасности информации в информационных системах, проект ФСТЭК России;
-
Методические рекомендации по разработке нормативных правовых актов, определяющих угрозы безопасности персональных данных, актуальные при обработке персональных данных в информационных системах персональных данных, эксплуатируемых при осуществлении соответствующих видов деятельности, утверждены руководством 8 Центра ФСБ России 31 марта 2015 г № 149/7/2/6-432.
-
Требования о защите информации, содержащейся в информационных системах общего пользования, утвержденными приказом ФСБ, ФСТЭК от 31 августа 2010 г. № 416/489.
Настоящая модель определяет актуальные угрозы безопасности информации при её обработке в Учебной ИСОП и используется при определении состава и содержания организационных и технических мер по обеспечению безопасности информации.
-
Описание информационной системы и особенностей ее функционирования
-
Цель и задачи, решаемые информационной системой
Целью учебной ИСОП является повышение профессионального уровня образования студентов и слушателей, приобретение ими дополнительных знаний и навыков в области информационной безопасности, что позволит им выполнять трудовые функции, определенные профессиональными стандартами.
-
Описание структурно-функциональных характеристик информационной системы
Структурно-функциональные характеристики информационной системы представлены в таблице 4.1.
Таблица 4.1 – Параметры информационной системы
| Наименование параметра | Значение |
| Структура информационной системы | Локальная |
| Архитектура информационной системы | Файл-серверная |
| Взаимодействие с иными информационными системами | Отсутствует |
| Подключение информационной системы к сетям общего пользования и (или) сетям международного информационного обмена | Имеется |
| Размещение технических средств | ТС расположены в пределах одной контролируемой зоны |
| Режим обработки информации | Многопользовательский |
| Режим разграничения прав доступа пользователей | Система с разграничением прав доступа |
| Разделение функций по управлению информационной системой | Выделение рабочих мест для администрирования в отдельный домен |
| Сегментирование информационной системы | Система без сегментирования |
| Категории обрабатываемой информации | Общедоступная |
-
Виды информации, обрабатываемой в Учебной ИСОП
В информационной системе обрабатывается общедоступная информация. Информационный ресурс включает в себя:
-
учебно-методическую документацию:
-
учебно-методические комплексы;
-
учебные пособия;
-
методические рекомендации;
-
методические указания;
-
руководства пользователей и администраторов для используемых сзи,
-
нормативно-правовую базу в области безопасности информации.
-
Топология сети Учебной ИСОП
Топология сети Учебной ИСОП приведена в приложении А. Территориальное расположение элементов Учебной ИСОП относительно границ контролируемой зоны представлено в приложении Б.
-
Структура обработки информации
Автоматизированная обработка информации учебной ИСОП осуществляется на 10 АРМ и 4 серверах. Для обработки информации используются следующие программы:
-
пакет программ «Microsoft Office профессиональный плюс 2010»
-
Adobe Reader 9.1
Информация хранится на 4 серверах и на жестких дисках АРМ пользователей и администратора.
С АРМ 1-10 пользователи и администратор осуществляют доступ к учебно-методическим материалам и имеют право сохранять их на жестких дисках своих АРМ.
Элементы учебной ИСОП расположены на пятом этаже учебного корпуса №2 Университета в одной учебной аудитории.
Аутентификация пользователей и администратора АРМ осуществляется с использованием средств аутентификации Windows XP с помощью логина и пароля. Пользователи имеют разные права доступа к сетевым ресурсам. Пользователи получают доступ к информации только после прохождения авторизации на собственных АРМ в ОС.
Антивирусная защита реализована с помощью ПО «Антивирус Касперского 6.0 для Windows». Обновление антивирусных баз происходит нерегулярно.
-
Режим обработки информации
В ходе лабораторных работ предусматриваются следующие действия пользователя с информацией: сбор, вывод, прием, отображение, использование информации. В ходе работы администратора предусматриваются следующие действия: сбор, накопление, ввод, вывод, приём, передача, запись, хранение, регистрация, уничтожение, преобразование, отображение, использование информации.
-
Возможности нарушителей
В данном разделе приводится описание типов, видов, потенциала и мотивации нарушителей, от которых необходимо обеспечить защиту информации в информационной системе.
-
Типы нарушителей
С учетом наличия прав доступа и возможностей по доступу к информации и (или) к компонентам информационной системы нарушители подразделяются на два типа:
-
внешние нарушители – лица, не имеющие права доступа к информационной системе, ее отдельным компонентам и реализующие угрозы безопасности информации из-за границ информационной системы;
-
внутренние нарушители – лица, имеющие право постоянного или разового доступа к информационной системе, ее отдельным компонентам
-
Внешние нарушители
Внешнего нарушителя необходимо рассматривать в качестве актуального во всех случаях, когда имеются подключения информационной системы к внешним информационно-телекоммуникационным сетям и (или) имеются линии связи, выходящие за пределы контролируемой зоны, используемые для иных подключений.
Для Учебной ИСОП в качестве внешнего нарушителя были определены внешние субъекты (физические лица). Наиболее вероятными целями (мотивацией) внешних субъектов (физических лиц) по реализации угроз являются:
-
причинение имущественного ущерба путем мошенничества или иным преступным путем;
-
любопытство или желание самореализации (подтверждение статуса);
-
выявление уязвимостей с целью их дальнейшей продажи и получения финансовой выгоды.
-
Внутренние нарушители
При оценке возможностей внутренних нарушителей необходимо учитывать принимаемые оператором организационные меры по допуску субъектов к работе в информационной системе. Возможности внутреннего нарушителя существенным образом зависят от установленного порядка допуска физических лиц к информационной системе и ее компонентам, а также мер по контролю за доступом и работой этих лиц.
Для Учебной ИСОП в качестве внутреннего нарушителя были определены пользователи ИС. Наиболее вероятными целями (мотивацией) пользователей ИС по реализации угроз являются:
-
причинение имущественного ущерба путем мошенничества или иным преступным путем;
-
любопытство или желание самореализации (подтверждение статуса);
-
месть за ранее совершенные действия.
-
непреднамеренные, неосторожные или неквалифицированные действия.
-
Потенциал нарушителей
В таблице 5.1 представлен потенциал нарушителей, характерных для Учебной ИСОП.
Таблица 5.1 – Потенциал нарушителей, характерных для Учебной ИСОП
| Вид нарушителя | Тип нарушителя | Потенциал нарушителя |
| Внешние субъекты (физические лица) | Внешний | Базовый (низкий) |
| Пользователи ИС | Внутренний | Базовый (низкий) |
Таким образом, было установлено, что характерными для Учебной ИСОП нарушителями будут:
-
внешний нарушитель с базовым (низким) потенциалом;
-
внутренний нарушитель с базовым (низким) потенциалом.
Результатом определения нарушителя для Учебной ИСОП становится перечень УБИ из банка данных угроз безопасности информации ФСТЭК России, выбранных в соответствие с типами и потенциалами определенных нарушителей (Таблица 5.2)
Таблица 5.2 – Перечень УБИ, выбранных в соответствии с нарушителем, определённым для информационной системы.
| № п/п | Идентификатор УБИ | Название УБИ | Источник УБИ |
| 1 | УБИ.022 | Угроза избыточного выделения оперативной памяти | Тип: Внешний, Потенциал: Базовый (низкий) Тип: Внутренний, Потенциал: Базовый (низкий) |
| 2 | УБИ.021 | Угроза злоупотребления доверием потребителей облачных услуг | Тип: Внешний, Потенциал: Базовый (низкий) |
| 3 | УБИ.019 | Угроза заражения DNS-кеша | Тип: Внешний, Потенциал: Базовый (низкий) |
| 4 | УБИ.017 | Угроза доступа/перехвата/изменения HTTP cookies | Тип: Внешний, Потенциал: Базовый (низкий) |
| 5 | УБИ.015 | Угроза доступа к защищаемым файлам с использованием обходного пути | Тип: Внешний, Потенциал: Базовый (низкий) Тип: Внутренний, Потенциал: Базовый (низкий) |
| 6 | УБИ.014 | Угроза длительного удержания вычислительных ресурсов пользователями | Тип: Внешний, Потенциал: Базовый (низкий) Тип: Внутренний, Потенциал: Базовый (низкий) |
| 7 | УБИ.011 | Угроза деавторизации санкционированного клиента беспроводной сети | Тип: Внешний, Потенциал: Базовый (низкий) Тип: Внутренний, Потенциал: Базовый (низкий) |
| 8 | УБИ.008 | Угроза восстановления аутентификационной информации | Тип: Внешний, Потенциал: Базовый (низкий) Тип: Внутренний, Потенциал: Базовый (низкий) |
| 9 | УБИ.006 | Угроза внедрения кода или данных | Тип: Внешний, Потенциал: Базовый (низкий) |
| 10 | УБИ.031 | Угроза использования механизмов авторизации для повышения привилегий | Тип: Внешний, Потенциал: Базовый (низкий) Тип: Внутренний, Потенциал: Базовый (низкий) |
| 11 | УБИ.029 | Угроза использования вычислительных ресурсов суперкомпьютера «паразитными» процессами | Тип: Внешний, Потенциал: Базовый (низкий) Тип: Внутренний, Потенциал: Базовый (низкий) |
| 12 | УБИ.028 | Угроза использования альтернативных путей доступа к ресурсам | Тип: Внешний, Потенциал: Базовый (низкий) Тип: Внутренний, Потенциал: Базовый (низкий) |
| 13 | УБИ.034 | Угроза использования слабостей протоколов сетевого/локального обмена данными | Тип: Внешний, Потенциал: Базовый (низкий) Тип: Внутренний, Потенциал: Базовый (низкий) |
| 14 | УБИ.043 | Угроза нарушения доступности облачного сервера | Тип: Внешний, Потенциал: Базовый (низкий) Тип: Внутренний, Потенциал: Базовый (низкий) |
| 15 | УБИ.041 | Угроза межсайтового скриптинга | Тип: Внешний, Потенциал: Базовый (низкий) |
| 16 | УБИ.040 | Угроза конфликта юрисдикций различных стран | Тип: Внешний, Потенциал: Базовый (низкий) |
| 17 | УБИ.062 | Угроза некорректного использования прозрачного прокси-сервера за счёт плагинов браузера | Тип: Внешний, Потенциал: Базовый (низкий) |
| 18 | УБИ.059 | Угроза неконтролируемого роста числа зарезервированных вычислительных ресурсов | Тип: Внешний, Потенциал: Базовый (низкий) Тип: Внутренний, Потенциал: Базовый (низкий) |
| 19 | УБИ.058 | Угроза неконтролируемого роста числа виртуальных машин | Тип: Внешний, Потенциал: Базовый (низкий) Тип: Внутренний, Потенциал: Базовый (низкий) |
| 20 | УБИ.056 | Угроза некачественного переноса инфраструктуры в облако | Тип: Внешний, Потенциал: Базовый (низкий) |
| 21 | УБИ.055 | Угроза незащищённого администрирования облачных услуг | Тип: Внешний, Потенциал: Базовый (низкий) Тип: Внутренний, Потенциал: Базовый (низкий) |
| 22 | УБИ.054 | Угроза недобросовестного исполнения обязательств поставщиками облачных услуг | Тип: Внешний, Потенциал: Базовый (низкий) |
| 23 | УБИ.052 | Угроза невозможности миграции образов виртуальных машин из-за несовместимости аппаратного и программного обеспечения | Тип: Внешний, Потенциал: Базовый (низкий) |
| 24 | УБИ.049 | Угроза нарушения целостности данных кеша | Тип: Внешний, Потенциал: Базовый (низкий) Тип: Внутренний, Потенциал: Базовый (низкий) |
| 25 | УБИ.046 | Угроза нарушения процедуры аутентификации субъектов виртуального информационного взаимодействия | Тип: Внешний, Потенциал: Базовый (низкий) Тип: Внутренний, Потенциал: Базовый (низкий) |
| 26 | УБИ.064 | Угроза некорректной реализации политики лицензирования в облаке | Тип: Внешний, Потенциал: Базовый (низкий) Тип: Внутренний, Потенциал: Базовый (низкий) |
| 27 | УБИ.065 | Угроза неопределённости в распределении ответственности между ролями в облаке | Тип: Внешний, Потенциал: Базовый (низкий) Тип: Внутренний, Потенциал: Базовый (низкий) |
| 28 | УБИ.066 | Угроза неопределённости ответственности за обеспечение безопасности облака | Тип: Внешний, Потенциал: Базовый (низкий) |
| 29 | УБИ.069 | Угроза неправомерных действий в каналах связи | Тип: Внешний, Потенциал: Базовый (низкий) |
| 30 | УБИ.071 | Угроза несанкционированного восстановления удалённой защищаемой информации | Тип: Внешний, Потенциал: Базовый (низкий) Тип: Внутренний, Потенциал: Базовый (низкий) |
| 31 | УБИ.074 | Угроза несанкционированного доступа к аутентификационной информации | Тип: Внешний, Потенциал: Базовый (низкий) Тип: Внутренний, Потенциал: Базовый (низкий) |
| 32 | УБИ.075 | Угроза несанкционированного доступа к виртуальным каналам передачи | Тип: Внешний, Потенциал: Базовый (низкий) Тип: Внутренний, Потенциал: Базовый (низкий) |
| 33 | УБИ.078 | Угроза несанкционированного доступа к защищаемым виртуальным машинам из виртуальной и (или) физической сети | Тип: Внешний, Потенциал: Базовый (низкий) Тип: Внутренний, Потенциал: Базовый (низкий) |
| 34 | УБИ.079 | Угроза несанкционированного доступа к защищаемым виртуальным машинам со стороны других виртуальных машин | Тип: Внешний, Потенциал: Базовый (низкий) Тип: Внутренний, Потенциал: Базовый (низкий) |
| 35 | УБИ.083 | Угроза несанкционированного доступа к системе по беспроводным каналам | Тип: Внешний, Потенциал: Базовый (низкий) |
| 36 | УБИ.084 | Угроза несанкционированного доступа к системе хранения данных из виртуальной и (или) физической сети | Тип: Внешний, Потенциал: Базовый (низкий) Тип: Внутренний, Потенциал: Базовый (низкий) |
| 37 | УБИ.086 | Угроза несанкционированного изменения аутентификационной информации | Тип: Внешний, Потенциал: Базовый (низкий) Тип: Внутренний, Потенциал: Базовый (низкий) |
| 38 | УБИ.089 | Угроза несанкционированного редактирования реестра | Тип: Внешний, Потенциал: Базовый (низкий) Тип: Внутренний, Потенциал: Базовый (низкий) |
| 39 | УБИ.090 | Угроза несанкционированного создания учётной записи пользователя | Тип: Внешний, Потенциал: Базовый (низкий) Тип: Внутренний, Потенциал: Базовый (низкий) |
| 40 | УБИ.091 | Угроза несанкционированного удаления защищаемой информации | Тип: Внешний, Потенциал: Базовый (низкий) Тип: Внутренний, Потенциал: Базовый (низкий) |
| 41 | УБИ.088 | Угроза несанкционированного копирования защищаемой информации | Тип: Внешний, Потенциал: Базовый (низкий) Тип: Внутренний, Потенциал: Базовый (низкий) |
| 42 | УБИ.093 | Угроза несанкционированного управления буфером | Тип: Внешний, Потенциал: Базовый (низкий) Тип: Внутренний, Потенциал: Базовый (низкий) |
| 43 | УБИ.159 | Угроза «форсированного веб-браузинга» | Тип: Внешний, Потенциал: Базовый (низкий) |
| 44 | УБИ.160 | Угроза хищения средств хранения, обработки и (или) ввода/вывода/передачи информации | Тип: Внешний, Потенциал: Базовый (низкий) |
| 45 | УБИ.162 | Угроза эксплуатации цифровой подписи программного кода | Тип: Внешний, Потенциал: Базовый (низкий) Тип: Внутренний, Потенциал: Базовый (низкий) |
| 46 | УБИ.096 | Угроза несогласованности политик безопасности элементов облачной инфраструктуры | Тип: Внешний, Потенциал: Базовый (низкий) Тип: Внутренний, Потенциал: Базовый (низкий) |
| 47 | УБИ.098 | Угроза обнаружения открытых портов и идентификации привязанных к нему сетевых служб | Тип: Внешний, Потенциал: Базовый (низкий) |
| 48 | УБИ.099 | Угроза обнаружения хостов | Тип: Внешний, Потенциал: Базовый (низкий) |
| 49 | УБИ.100 | Угроза обхода некорректно настроенных механизмов аутентификации | Тип: Внешний, Потенциал: Базовый (низкий) Тип: Внутренний, Потенциал: Базовый (низкий) |
| 50 | УБИ.103 | Угроза определения типов объектов защиты | Тип: Внешний, Потенциал: Базовый (низкий) |
| 51 | УБИ.104 | Угроза определения топологии вычислительной сети | Тип: Внешний, Потенциал: Базовый (низкий) |
| 52 | УБИ.113 | Угроза перезагрузки аппаратных и программно-аппаратных средств вычислительной техники | Тип: Внешний, Потенциал: Базовый (низкий) Тип: Внутренний, Потенциал: Базовый (низкий) |
| 53 | УБИ.115 | Угроза перехвата вводимой и выводимой на периферийные устройства информации | Тип: Внешний, Потенциал: Базовый (низкий) Тип: Внутренний, Потенциал: Базовый (низкий) |
| 54 | УБИ.153 | Угроза усиления воздействия на вычислительные ресурсы пользователей при помощи сторонних серверов | Тип: Внешний, Потенциал: Базовый (низкий) Тип: Внутренний, Потенциал: Базовый (низкий) |
| 55 | УБИ.155 | Угроза утраты вычислительных ресурсов | Тип: Внешний, Потенциал: Базовый (низкий) Тип: Внутренний, Потенциал: Базовый (низкий) |
| 56 | УБИ.157 | Угроза физического выведения из строя средств хранения, обработки и (или) ввода/вывода/передачи информации | Тип: Внешний, Потенциал: Базовый (низкий) |
| 57 | УБИ.158 | Угроза форматирования носителей информации | Тип: Внешний, Потенциал: Базовый (низкий) Тип: Внутренний, Потенциал: Базовый (низкий) |
| 58 | УБИ.145 | Угроза пропуска проверки целостности программного обеспечения | Тип: Внешний, Потенциал: Базовый (низкий) Тип: Внутренний, Потенциал: Базовый (низкий) |
| 59 | УБИ.151 | Угроза сканирования веб-сервисов, разработанных на основе языка описания WSDL | Тип: Внешний, Потенциал: Базовый (низкий) |
| 60 | УБИ.152 | Угроза удаления аутентификационной информации | Тип: Внешний, Потенциал: Базовый (низкий) Тип: Внутренний, Потенциал: Базовый (низкий) |
| 61 | УБИ.116 | Угроза перехвата данных, передаваемых по вычислительной сети | Тип: Внешний, Потенциал: Базовый (низкий) |
| 62 | УБИ.121 | Угроза повреждения системного реестра | Тип: Внешний, Потенциал: Базовый (низкий) Тип: Внутренний, Потенциал: Базовый (низкий) |
| 63 | УБИ.124 | Угроза подделки записей журнала регистрации событий | Тип: Внешний, Потенциал: Базовый (низкий) Тип: Внутренний, Потенциал: Базовый (низкий) |
| 64 | УБИ.125 | Угроза подключения к беспроводной сети в обход процедуры аутентификации | Тип: Внешний, Потенциал: Базовый (низкий) |
| 65 | УБИ.126 | Угроза подмены беспроводного клиента или точки доступа | Тип: Внешний, Потенциал: Базовый (низкий) |
| 66 | УБИ.128 | Угроза подмены доверенного пользователя | Тип: Внешний, Потенциал: Базовый (низкий) |
| 67 | УБИ.130 | Угроза подмены содержимого сетевых ресурсов | Тип: Внешний, Потенциал: Базовый (низкий) |
| 68 | УБИ.133 | Угроза получения сведений о владельце беспроводного устройства | Тип: Внешний, Потенциал: Базовый (низкий) |
| 69 | УБИ.140 | Угроза приведения системы в состояние «отказ в обслуживании» | Тип: Внешний, Потенциал: Базовый (низкий) Тип: Внутренний, Потенциал: Базовый (низкий) |
| 70 | УБИ.164 | Угроза распространения состояния «отказ в обслуживании» в облачной инфраструктуре | Тип: Внешний, Потенциал: Базовый (низкий) Тип: Внутренний, Потенциал: Базовый (низкий) |
| 71 | УБИ.168 | Угроза «кражи» учётной записи доступа к сетевым сервисам | Тип: Внешний, Потенциал: Базовый (низкий) |
| 72 | УБИ.170 | Угроза неправомерного шифрования информации | Тип: Внешний, Потенциал: Базовый (низкий) |
| 73 | УБИ.171 | Угроза скрытного включения вычислительного устройства в состав бот-сети | Тип: Внешний, Потенциал: Базовый (низкий) |
| 74 | УБИ.172 | Угроза распространения «почтовых червей» | Тип: Внешний, Потенциал: Базовый (низкий) |
| 75 | УБИ.173 | Угроза «спама» веб-сервера | Тип: Внешний, Потенциал: Базовый (низкий) |
| 76 | УБИ.174 | Угроза «фарминга» | Тип: Внешний, Потенциал: Базовый (низкий) |
| 77 | УБИ.175 | Угроза «фишинга» | Тип: Внешний, Потенциал: Базовый (низкий) |
| 78 | УБИ.176 | Угроза нарушения технологического/производственного процесса из-за временны́х задержек, вносимых средством защиты | Тип: Внешний, Потенциал: Базовый (низкий) |
| 79 | УБИ.178 | Угроза несанкционированного использования системных и сетевых утилит | Тип: Внешний, Потенциал: Базовый (низкий) Тип: Внутренний, Потенциал: Базовый (низкий) |
| 80 | УБИ.179 | Угроза несанкционированной модификации защищаемой информации | Тип: Внешний, Потенциал: Базовый (низкий) Тип: Внутренний, Потенциал: Базовый (низкий) |
| 81 | УБИ.185 | Угроза несанкционированного изменения параметров настройки средств защиты информации | Тип: Внешний, Потенциал: Базовый (низкий) Тип: Внутренний, Потенциал: Базовый (низкий) |
| 82 | УБИ.191 | Угроза внедрения вредоносного кода в дистрибутив программного обеспечения | Тип: Внешний, Потенциал: Базовый (низкий) Тип: Внутренний, Потенциал: Базовый (низкий) |
| 83 | УБИ.192 | Угроза использования уязвимых версий программного обеспечения | Тип: Внешний, Потенциал: Базовый (низкий) Тип: Внутренний, Потенциал: Базовый (низкий) |
| 84 | УБИ.009 | Угроза восстановления предыдущей уязвимой версии BIOS | Тип: Внутренний, Потенциал: Базовый (низкий) |
| 85 | УБИ.012 | Угроза деструктивного изменения конфигурации/среды окружения программ | Тип: Внутренний, Потенциал: Базовый (низкий) |
| 86 | УБИ.013 | Угроза деструктивного использования декларированного функционала BIOS | Тип: Внутренний, Потенциал: Базовый (низкий) |
| 87 | УБИ.018 | Угроза загрузки нештатной операционной системы | Тип: Внутренний, Потенциал: Базовый (низкий) |
| 88 | УБИ.020 | Угроза злоупотребления возможностями, предоставленными потребителям облачных услуг | Тип: Внутренний, Потенциал: Базовый (низкий) |
| 89 | УБИ.027 | Угроза искажения вводимой и выводимой на периферийные устройства информации | Тип: Внешний, Потенциал: Высокий Тип: Внутренний, Потенциал: Базовый (низкий) |
| 90 | УБИ.030 | Угроза использования информации идентификации/аутентификации, заданной по умолчанию | Тип: Внешний, Потенциал: Базовый повышенный (средний) Тип: Внутренний, Потенциал: Базовый (низкий) |
| 91 | УБИ.038 | Угроза исчерпания вычислительных ресурсов хранилища больших данных | Тип: Внутренний, Потенциал: Базовый (низкий) |
| 92 | УБИ.045 | Угроза нарушения изоляции среды исполнения BIOS | Тип: Внутренний, Потенциал: Базовый (низкий) |
| 93 | УБИ.050 | Угроза неверного определения формата входных данных, поступающих в хранилище больших данных | Тип: Внутренний, Потенциал: Базовый (низкий) |
| 94 | УБИ.051 | Угроза невозможности восстановления сессии работы на ПЭВМ при выводе из промежуточных состояний питания | Тип: Внутренний, Потенциал: Базовый (низкий) |
| 95 | УБИ.053 | Угроза невозможности управления правами пользователей BIOS | Тип: Внутренний, Потенциал: Базовый (низкий) |
| 96 | УБИ.057 | Угроза неконтролируемого копирования данных внутри хранилища больших данных | Тип: Внутренний, Потенциал: Базовый (низкий) |
| 97 | УБИ.060 | Угроза неконтролируемого уничтожения информации хранилищем больших данных | Тип: Внутренний, Потенциал: Базовый (низкий) |
| 98 | УБИ.067 | Угроза неправомерного ознакомления с защищаемой информацией | Тип: Внутренний, Потенциал: Базовый (низкий) |
| 99 | УБИ.072 | Угроза несанкционированного выключения или обхода механизма защиты от записи в BIOS | Тип: Внутренний, Потенциал: Базовый (низкий) |
| 100 | УБИ.087 | Угроза несанкционированного использования привилегированных функций BIOS | Тип: Внешний, Потенциал: Высокий Тип: Внутренний, Потенциал: Базовый (низкий) |
| 101 | УБИ.023 | Угроза изменения компонентов системы | Тип: Внутренний, Потенциал: Базовый (низкий) |
| 102 | УБИ.004 | Угроза аппаратного сброса пароля BIOS | Тип: Внутренний, Потенциал: Базовый (низкий) |
| 103 | УБИ.097 | Угроза несогласованности правил доступа к большим данным | Тип: Внутренний, Потенциал: Базовый (низкий) |
| 104 | УБИ.105 | Угроза отказа в загрузке входных данных неизвестного формата хранилищем больших данных | Тип: Внутренний, Потенциал: Базовый (низкий) |
| 105 | УБИ.106 | Угроза отказа в обслуживании системой хранения данных суперкомпьютера | Тип: Внутренний, Потенциал: Базовый (низкий) |
| 106 | УБИ.107 | Угроза отключения контрольных датчиков | Тип: Внешний, Потенциал: Высокий Тип: Внутренний, Потенциал: Базовый (низкий) |
| 107 | УБИ.108 | Угроза ошибки обновления гипервизора | Тип: Внутренний, Потенциал: Базовый (низкий) |
| 108 | УБИ.110 | Угроза перегрузки грид-системы вычислительными заданиями | Тип: Внутренний, Потенциал: Базовый (низкий) |
| 109 | УБИ.112 | Угроза передачи запрещённых команд на оборудование с числовым программным управлением | Тип: Внутренний, Потенциал: Базовый (низкий) |
| 110 | УБИ.123 | Угроза подбора пароля BIOS | Тип: Внутренний, Потенциал: Базовый (низкий) |
| 111 | УБИ.129 | Угроза подмены резервной копии программного обеспечения BIOS | Тип: Внутренний, Потенциал: Базовый (низкий) |
| 112 | УБИ.135 | Угроза потери и утечки данных, обрабатываемых в облаке | Тип: Внутренний, Потенциал: Базовый (низкий) |
| 113 | УБИ.136 | Угроза потери информации вследствие несогласованности работы узлов хранилища больших данных | Тип: Внутренний, Потенциал: Базовый (низкий) |
| 114 | УБИ.141 | Угроза привязки к поставщику облачных услуг | Тип: Внутренний, Потенциал: Базовый (низкий) |
| 115 | УБИ.144 | Угроза программного сброса пароля BIOS | Тип: Внутренний, Потенциал: Базовый (низкий) |
| 116 | УБИ.156 | Угроза утраты носителей информации | Тип: Внутренний, Потенциал: Базовый (низкий) |
| 117 | УБИ.161 | Угроза чрезмерного использования вычислительных ресурсов суперкомпьютера в ходе интенсивного обмена межпроцессорными сообщениями | Тип: Внутренний, Потенциал: Базовый (низкий) |
| 118 | УБИ.167 | Угроза заражения компьютера при посещении неблагонадёжных сайтов | Тип: Внутренний, Потенциал: Базовый (низкий) |
| 119 | УБИ.177 | Угроза неподтверждённого ввода данных оператором в систему, связанную с безопасностью | Тип: Внутренний, Потенциал: Базовый (низкий) |
| 120 | УБИ.180 | Угроза отказа подсистемы обеспечения температурного режима | Тип: Внешний, Потенциал: Базовый повышенный (средний) Тип: Внутренний, Потенциал: Базовый (низкий) |
| 121 | УБИ.182 | Угроза физического устаревания аппаратных компонентов | Тип: Внутренний, Потенциал: Базовый (низкий) |
| 122 | УБИ.186 | Угроза внедрения вредоносного кода через рекламу, сервисы и контент | Тип: Внутренний, Потенциал: Базовый (низкий) |
-
Предположения об имеющихся у нарушителя средствах реализации угроз
Предполагается, что для реализации УБИ в Учебной ИСОП внешний нарушитель может иметь следующие средства:
-
аппаратные компоненты системы ЗИ;
-
доступные в свободной продаже технические средства и программное обеспечение;
-
специально разработанные технические средства и программное обеспечение.
Предполагается, что внутренний нарушитель помимо средств, доступных внешнему нарушителю, может использовать штатные средства для реализации угроз.
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
