2. Модель угроз (1209907), страница 4
Текст из файла (страница 4)
В процессе анализа и определения возможных эксплуатационных уязвимостей в ГИС «МИРС 49» установлено:
-
применение поддерживаемой производителем, лицензионной версии операционной системы Microsoft Windows 7 и Microsoft Windows 8.1 профессиональная, а также лицензионного прикладного программного обеспечения, ввиду чего исключена возможность реализации уязвимостей, которые могут привести к отказу в обслуживании, выполнению произвольного кода и/или раскрытию защищаемой информации;
-
отсутствие в ИС установленных веб-серверов, что также не позволяет нарушителю провести атаку на отказ в обслуживании или выполнить произвольный код в информационной системе;
-
использование только безопасных протоколов передачи данных (SSL, TCP), что затрудняет перехват злоумышленником передаваемой аутентификационой информацию и получение доступа к уязвимому хосту информационной системы;
-
обращение пользователей ГИС к веб-ресурсам осуществляется через прокси-сервер, запрещающий доступ к определённым веб-сайтам, ограничивающий использование интернета локальным пользователям и фильтрующий рекламу и вирус, тем самым обеспечивается защита информационной системы от некоторых сетевых атак и сохраняется анонимность пользователей;
-
оператором ГИС не осуществляется обработка данных с использованием информационно-телекоммуникационных систем, ввиду чего исключена возможность воздействия на информационную систему уязвимостей, связанных с межсайтовым скриптингом.
В процессе алализа и определения организационных уязвимостей в ГИС «МИРС 49» установлено:
-
остутствие организационно-распорядительных документов по защите информации;
-
недостаток организационных мер по защите информации.
В процессе алализа и определения технологических уязвимостей в ГИС «МИРС 49» установлено:
-
использование и подключение к информационной системе неучтенных внешних запоминающих устройств, ввиду чего создаются неконтролируемые информационные потоки, повышается риск заражения вредоносным программным обеспечением;
-
отсутствие средств управления доступом, средств идентификации и аутентификации, средств контроля целостности, средств межсетевого экранирования и других обязательных средств защиты информации, что влечет за собой недостатки, приводящие к утечке/раскрытию информации ограниченного доступа,недостатки, связанные с управлениемразрешениями, привилегиями и доступом, а также недостатки, связанные с аутентификацией.
В результате анализа возможных уязвимостей с учетом классификации, данной в ГОСТ P 56546 – 2015 «Защита информации. Уязвимости информационных систем. Классификация уязвимостей информационных систем» были выявлены следующие виды уязвимостей, характерных для «МИРС 49»:
-
организационные уязвимости;
-
недостатки, приводящие к утечке/раскрытию информации ограниченного доступа;
-
недостатки, связанные с управлением разрешениями, привилегиями и доступом;
-
недостатки, связанные с управлением полномочиями;
-
недостатки, связанные с аутентификацией;
-
уязвимости в средствах защиты информации;
-
уязвимости в технических средствах.
В соответствии с исходным перечнем возможных уязвимостей из таблицы 3.2 были выбраны угрозы, при реализации которых они могут быть использованы (таблица 3.3).
Таблица 3.3 – Перечень угроз безопасности информации, выбранных в соответствии с возможными уязвимостями, существующими в ГИС «МИРС 49»
| № п/п | Название угрозы | Возможные уязвимости |
| | УБИ.004 Угроза аппаратного сброса пароля BIOS | организационные уязвимости; уязвимости в технических средствах; уязвимости конфигурации |
| | УБИ.006 Угроза внедрения кода или данных | недостатки, связанные с внедрением произвольного кода; уязвимости в общесистемном ПО; уязвимости в прикладном ПО; уязвимости в специальном ПО; недостатки, связанные с управлением разрешениями, привилегиями и доступом; недостатки, связанные с возможностью обхода, отключения, преодоления функций безопасности (уязвимости в средствах защиты информации) |
| | УБИ.008 Угроза восстановления аутентификационной информации | недостатки, связанные с аутентификацией |
| | УБИ.009. Угроза восстановления предыдущей уязвимой версии BIOS | организационные уязвимости; недостатки, связанные с управлением полномочиями; уязвимости в технических средствах |
| | УБИ.011. Угроза деавторизации санкционированного клиента беспроводной сети | многофакторные уязвимости; недостатки, связанные с аутентификацией; уязвимости в сетевом (коммуникационном, телекоммуникационном) оборудовании |
| | УБИ.013. Угроза деструктивного использования декларированного функционала BIOS | уязвимости кода; организационные уязвимости; недостатки, связанные с управлением полномочиями; недостатки, связанные с аутентификацией; уязвимости в технических средствах; |
| | УБИ.018 Угроза загрузки нештатной операционной системы | недостатки, связанные с управлением разрешениями, привилегиями и доступом; недостатки, связанные с управлением полномочиями; уязвимости конфигурации |
| | УБИ.019 Угроза заражения DNS-кеша | недостатки, связанные с управлением разрешениями, привилегиями и доступом; уязвимости DNS-сервера (уязвимости в сетевом (коммуникационном, телекоммуникационном) оборудовании) |
| | УБИ.021 Угроза злоупотребления доверием потребителей облачных услуг | организационные уязвимости |
| | УБИ.023 Угроза изменения компонентов системы | организационные уязвимости; уязвимости конфигурации; недостатки, связанные с управлением полномочиями |
| | УБИ.027. Угроза искажения вводимой и выводимой на периферийные устройства информации | уязвимости кода; организационные уязвимости; недостатки, связанные с внедрением произвольного кода; уязвимости в общесистемном (общем) программном обеспечении; уязвимости в прикладном программном обеспечении; уязвимости в специальном программном обеспечении; уязвимости в средствах защиты информации; |
| | УБИ.028 Угроза использования альтернативных путей доступа к ресурсам | недостатки, связанные с управлением разрешениями, привилегиями и доступом |
| | УБИ.029. Угроза использования вычислительных ресурсов суперкомпьютера «паразитными» процессами | недостатки, связанные с внедрением произвольного кода; уязвимости в общесистемном (общем) программном обеспечении; уязвимости в прикладном программном обеспечении; уязвимости в специальном программном обеспечении; уязвимости в технических средствах; уязвимости в средствах защиты информации; |
| | УБИ.031 Угроза использования механизмов авторизации для повышения привилегий | недостатки, связанные с управлением полномочиями (учётными данными); недостатки, связанные с управлением разрешениями, привилегиями и доступом |
| | УБИ.034. Угроза использования слабостей протоколов сетевого/локального обмена данными | уязвимости кода; недостатки, связанные с управлением разрешениями, привилегиями и доступом; уязвимости в сетевом оборудовании; уязвимости в средствах защиты информации |
| | УБИ.040. Угроза конфликта юрисдикций различных стран | организационные уязвимости; иные типы недостатков; уязвимости в средствах защиты информации; |
| | УБИ.045 Угроза нарушения изоляции среды исполнения BIOS | уязвимости в технических средствах; недостатки, связанные с управлением полномочиями (учётными данными); недостатки, связанные с управлением разрешениями, привилегиями и доступом |
| | УБИ.053 Угроза невозможности управления правами пользователей BIOS | недостатки, связанные с управлением полномочиями; недостатки, связанные с управлением разрешениями, привилегиями и доступом |
| | УБИ.054 Угроза недобросовестного исполнения обязательств поставщиками облачных услуг | организационные уязвимости; уязвимости в специальном программном обеспечении; |
| | УБИ.055. Угроза незащищённого администрирования облачных услуг | организационные уязвимости; недостатки, связанные с аутентификацией; уязвимости в специальном программном обеспечении; уязвимости в портативных технических средствах; уязвимости в сетевом оборудовании; уязвимости в средствах защиты информации; |
| | УБИ.056 Угроза некачественного переноса инфраструктуры в облако | уязвимости конфигурации; уязвимости в средствах защиты информации; |
| | УБИ.057. Угроза неконтролируемого копирования данных внутри хранилища больших данных | организационные уязвимости; недостатки, приводящие к «состоянию гонки»; уязвимости в средствах защиты информации; |
| | УБИ.058 Угроза неконтролируемого роста числа виртуальных машин | недостатки, связанные с управлением разрешениями, привилегиями и доступом; слабости технологий контроля процесса создания виртуальных машин |
| | УБИ.060. Угроза неконтролируемого уничтожения информации хранилищем больших данных | уязвимости конфигурации; организационные уязвимости; недостатки, связанные с неправильной настройкой параметров ПО; уязвимости в специальном программном обеспечении; уязвимости в средствах защиты информации; |
| | УБИ.064 Угроза некорректной реализации политики лицензирования в облаке | организационные уязвимости |
| | УБИ.065 Угроза неопределённости в распределении ответственности между ролями в облаке | организационные уязвимости |
| | УБИ.066 Угроза неопределённости ответственности за обеспечение безопасности облака | организационные уязвимости |
| | УБИ.067 Угроза неправомерного ознакомления с защищаемой информацией | уязвимости средств контроля доступа (уязвимости в средствах защиты информации); уязвимости конфигурации; недостатки, приводящие к утечке/раскрытию информации ограниченного доступа |
| | УБИ.071. Угроза несанкционированного восстановления удалённой защищаемой информации | уязвимости конфигурации; организационные уязвимости; недостатки, связанные с криптографическими преобразованиями; уязвимости в средствах защиты информации; уязвимости в специальном программном обеспечении; |
| | УБИ.072 Угроза несанкционированного выключения или обхода механизма защиты от записи в BIOS | недостатки, связанные с внедрением произвольного кода; недостатки, связанные с управлением разрешениями, привилегиями и доступом; уязвимости механизма обновления BIOS/UEFI (уязвимости в технических средствах); уязвимости конфигурации |
| | УБИ.074 Угроза несанкционированного доступа к аутентификационной информации | недостатки, связанные с управлением разрешениями, привилегиями и доступом; недостатки, связанные с управлением полномочиями |
| | УБИ.075 Угроза несанкционированного доступа к виртуальным каналам передачи | недостатки, связанные с управлением разрешениями, привилегиями и доступом; недостатки механизмов управления потоками информации (уязвимости в сетевом (коммуникационном, телекоммуникационном) оборудовании); отсутствие средств межсетевого экранирования |
| | УБИ.078. Угроза несанкционированного доступа к защищаемым виртуальным машинам из виртуальной и (или) физической сети | организационные уязвимости; недостатки, связанные с управлением разрешениями, привилегиями и доступом; уязвимости в сетевом оборудовании; уязвимости в средствах защиты информации; |
| | УБИ.079 Угроза несанкционированного доступа к защищаемым виртуальным машинам со стороны других виртуальных машин | уязвимости механизма обмена данными между виртуальными машинами; недостатки, связанные с управлением разрешениями, привилегиями и доступом |
| | УБИ.083 Угроза несанкционированного доступа к системе по беспроводным каналам | недостатки, связанные с аутентификацией; уязвимости протоколов идентификации/аутентификации беспроводных сетей |
| | УБИ.084. Угроза несанкционированного доступа к системе хранения данных из виртуальной и (или) физической сети | уязвимости архитектуры; недостатки, связанные с управлением разрешениями, привилегиями и доступом; уязвимости в специальном программном обеспечении; уязвимости в сетевом оборудовании; |
| | УБИ.086 Угроза несанкционированного изменения аутентификационной информации | недостатки, связанные с управлением разрешениями, привилегиями и доступом; недостатки, связанные с управлением полномочиями |
| | УБИ.088 Угроза несанкционированного копирования защищаемой информации | недостатки, связанные с управлением разрешениями, привилегиями и доступом; недостатки, связанные с управлением полномочиями; организационные уязвимости; недостатки, связанные с криптографическими преобразованиями (недостатки шифрования) |
| | УБИ.089 Угроза несанкционированного редактирования реестра | недостатки, связанные с управлением разрешениями, привилегиями и доступом |
| | УБИ.090 Угроза несанкционированного создания учётной записи пользователя | недостатки, связанные с управлением разрешениями, привилегиями и доступом |
| | УБИ.091 Угроза несанкционированного удаления защищаемой информации | уязвимости в программном обеспечении, реализующим меры по обеспечению доступности защищаемой информации; недостатки, связанные с управлением разрешениями, привилегиями и доступом; организационные уязвимости |
| | УБИ.093 Угроза несанкционированного управления буфером | недостатки, связанные с переполнением буфера памяти; недостатки, связанные с внедрением произвольного кода; недостатки, связанные с управлением разрешениями, привилегиями и доступом |
| | УБИ.096 Угроза несогласованности политик безопасности элементов облачной инфраструктуры | организационные уязвимости |
| | УБИ.097 Угроза несогласованности правил доступа к большим данным | недостатки, связанные с управлением разрешениями, привилегиями и доступом; недостатки, связанные с управлением полномочиями; уязвимости конфигурации |
| | УБИ.104. Угроза определения топологии вычислительной сети | уязвимости конфигурации; уязвимости архитектуры; уязвимости в технических средствах; уязвимости в средствах защиты информации; |
| | УБИ.107 Угроза отключения контрольных датчиков | организационные уязвимости; уязвимости в программном обеспечении, реализующие меры защиты информации в автоматизированных системах управления технологическими процессами (уязвимости в средствах защиты информации) |
| | УБИ.110 Угроза перегрузки грид-системы вычислительными заданиями | недостатки, связанные с управлением разрешениями, привилегиями и доступом; слабости мер по контролю за количеством вычислительных заданий |
| | УБИ.112 Угроза передачи запрещённых команд на оборудование с числовым программным управлением | недостатки, связанные с управлением разрешениями, привилегиями и доступом; организационные уязвимости |
| | УБИ.113 Угроза перезагрузки аппаратных и программно-аппаратных средств вычислительной техники | недостатки, связанные с управлением разрешениями, привилегиями и доступом; организационные уязвимости |
| | УБИ.115 Угроза перехвата вводимой и выводимой на периферийные устройства информации | недостатки, приводящие к утечке/раскрытию информации ограниченного доступа; недостатки механизмов управления потоками информации (уязвимости в сетевом (коммуникационном, телекоммуникационном) оборудовании) |
| | УБИ.116. Угроза перехвата данных, передаваемых по вычислительной сети | уязвимости кода; уязвимости конфигурации; недостатки, связанные с управлением полномочиями; уязвимости в технических средствах; |
| | УБИ.121 Угроза повреждения системного реестра | недостатки, приводящие к утеч-ке/раскрытию информации ограниченного доступа; слабости мер контроля доступа (уязвимости в средствах защиты информации) |
| | УБИ.122. Угроза повышения привилегий | уязвимости кода; уязвимости конфигурации; недостатки, связанные с управлением полномочиями; недостатки, связанные с управлением разрешениями, привилегиями и доступом; уязвимости в общесистемном (общем) программном обеспечении; уязвимости в технических средствах; |
| | УБИ.123 Угроза подбора пароля BIOS | слабости механизма аутентификации, реализуемого в консолях BIOS/UEFI (недостатки, связанные с аутентификацией); недостатки, приводящие к утеч-ке/раскрытию информации ограниченного доступа |
| | УБИ.124 Угроза подделки записей журнала реГИСнтрации событий | недостатки, приводящие к утеч-ке/раскрытию информации ограниченного доступа |
| | УБИ.130 Угроза подмены содержимого сетевых ресурсов | слабости технологий сетевого взаимодействия; недостатки, связанные с управлением разрешениями, привилегиями и доступом |
| | УБИ.135 Угроза потери и утечки данных, обрабатываемых в облаке | слабости мер защиты информации, обрабатываемой в облачной системе (уязвимости в средствах защиты информации); организационные уязвимости |
| | УБИ.141 Угроза привязки к поставщику облачных услуг | организационные уязвимости |
| | УБИ.145. Угроза пропуска проверки целостности программного обеспечения | недостатки, связанные с возможностью перехода по ссылкам; уязвимости в общесистемном (общем) программном обеспечении; уязвимости в прикладном программном обеспечении; уязвимости в сетевом оборудовании; уязвимости в средствах защиты информации; |
| | УБИ.152 Угроза удаления аутентификационной информации | недостатки, связанные с управлением разрешениями, привилегиями и доступом; недостатки, связанные с управлением полномочиями; слабости политики разграничения доступа к аутентификационной информации и средствам работы с учётными записями пользователей |
| | УБИ.153. Угроза усиления воздействия на вычислительные ресурсы пользователей при помощи сторонних серверов | уязвимости в общесистемном программном обеспечении; уязвимости в сетевом оборудовании; уязвимости в средствах защиты информации; |
| | УБИ.155 Угроза утраты вычислительных ресурсов | слабости мер межсетевого экранирования (уязвимости в средствах защиты информации); недостатки, связанные с управлением ресурсами; недостатки, связанные с управлением разрешениями, привилегиями и доступом |
| | УБИ.156 Угроза утраты носителей информации | организационные уязвимости; слабости мер реГИСнтрации и учёта носителей информации; слабости мер резервирования защищаемых данных |
| | УБИ.157 Угроза физического выведения из строя средств хранения, обработки и (или) ввода/вывода/передачи информации | слабости мер контроля физического доступа к средствам хранения, обработки и (или) ввода/вывода/передачи информации; организационные уязвимости |
| | УБИ.158. Угроза форматирования носителей информации | уязвимости в средствах защиты информации; |
| | УБИ.160 Угроза хищения средств хранения, обработки и (или) ввода/вывода/передачи информации | организационные уязвимости |
| | УБИ.162 Угроза эксплуатации цифровой подписи программного кода | недостатки, связанные с управлением разрешениями, привилегиями и доступом; уязвимости в средствах защиты информации; недостатки, связанные с внедрением произвольного кода |
| | УБИ.167. Угроза заражения компьютера при посещении неблагонадёжных сайтов | уязвимости в сетевом оборудовании; уязвимости в средствах защиты информации; |
| | УБИ.168. Угроза «кражи» учётной записи доступа к сетевым сервисам | организационные уязвимости; недостатки, связанные с управлением полномочиями; |
| | УБИ.170. Угроза неправомерного шифрования информации | недостатки, связанные с криптографическими преобразованиями (недостатки шифрования); уязвимости в средствах защиты информации; |
| | УБИ.171. Угроза скрытного включения вычислительного устройства в состав бот-сети | уязвимости в специальном программном обеспечении; уязвимости в сетевом оборудовании; уязвимости в средствах защиты информации; |
| | УБИ.172. Угроза распространения «почтовых червей» | уязвимости в сетевом оборудовании; уязвимости в средствах защиты информации; |
| | УБИ.175 Угроза «фишинга» | организационные уязвимости; уязвимости в средствах защиты информации; |
| | УБИ.176. Угроза нарушения технологического/ производственного процесса из-за временных задержек, вносимых средством защиты | уязвимости в средствах защиты информации; |
| | УБИ.178 Угроза несанкционированного использования системных и сетевых утилит | недостатки, связанные с управлением разрешениями, привилегиями и доступом |
| | УБИ.179 Угроза несанкционированной модификации защищаемой информации | недостатки, связанные с управлением разрешениями, привилегиями и доступом; организационные уязвимости |
| | УБИ.182 Угроза физического устаревания аппаратных компонентов | организационные уязвимости |
| | УБИ. 185 Угроза несанкционированного изменения параметров настройки средств защиты информации | недостатки, связанные с управлением разрешениями, привилегиями и доступом; недостатки, связанные с управлением полномочиями |
3.4 Предположения о возможных способах реализации угроз безопасности информации нарушителем в ГИС «МИРС 49»
Целью определения возможных способов реализации угроз безопасности информации является формирование предположений о возможных сценариях реализации угроз безопасности информации, описывающих последовательность (алгоритмы) действий отдельных видов нарушителей или групп нарушителей и применяемые ими методы и средства для реализации угроз безопасности информации.
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
