2. Модель угроз (1209907), страница 5
Текст из файла (страница 5)
С учетом структурно-функциональных характеристик, особенностей функционирования ГИС «МИРС 49» и данных о её возможных нарушителях группой экспертов были определены следующие возможные способы реализации УБИ в ГИС:
-
за счет несанкционированного доступа и (или) воздействия на объекты на сетевом уровне (сетевое оборудование, сетевые приложения, сервисы);
-
за счет несанкционированного физического доступа и (или) воздействия на линии, (каналы) связи, технические средства, машинные носители информации.
Также предполагается, что при возможных способах реализации угроз безопасности в «МИРС 49» нарушитель может действовать один или в составе группы нарушителей и в отношении информационной системы.
Таким образом, из таблицы 3.3.1 были отобраны угрозы, соответствующие определенным возможным способам реализации УБИ (Таблица 3.4.1).
Таблица 3.4.1 – Перечень УБИ, выбранных в соответствии с возможными способами их реализации
| № п/п | Название угрозы | Возможные способы реализации |
| | УБИ.004 Угроза аппаратного сброса пароля BIOS | за счет несанкционированного доступа и (или) воздействия на объекты на аппаратном уровне; за счет несанкционированного физического доступа и (или) воздействия на линии, (каналы) связи, технические средства, машинные носители информации; |
| | УБИ.006 Угроза внедрения кода или данных | за счет несанкционированного доступа и (или) воздействия на объекты на общесистемном уровне; за счет несанкционированного доступа и (или) воздействия на объекты на сетевом уровне; за счет несанкционированного физического доступа и (или) воздействия на линии, (каналы) связи, технические средства, машинные носители информации; |
| | УБИ.009. Угроза восстановления предыдущей уязвимой версии BIOS | за счет несанкционированного доступа и (или) воздействия на объекты на аппаратном уровне; за счет несанкционированного физического доступа и (или) воздействия на линии, (каналы) связи, технические средства, машинные носители информации; |
| | УБИ.011. Угроза деавторизации санкционированного клиента беспроводной сети | за счет несанкционированного доступа и (или) воздействия на объекты на сетевом уровне; |
| | УБИ.013. Угроза деструктивного использования декларированного функционала BIOS | за счет несанкционированного доступа и (или) воздействия на объекты на аппаратном уровне; за счет несанкционированного физического доступа и (или) воздействия на линии, (каналы) связи, технические средства, машинные носители информации; |
| | УБИ.018 Угроза загрузки нештатной операционной системы | за счет несанкционированного доступа и (или) воздействия на объекты на аппаратном уровне; за счет несанкционированного физического доступа и (или) воздействия на линии, (каналы) связи, технические средства, машинны носители информации; |
| | УБИ.019 Угроза заражения DNS-кеша | за счет несанкционированного доступа и (или) воздействия на объекты на сетевом уровне; за счет воздействия на пользователей, администраторов безопасности, администраторов информационной системы или обслуживающий персонал (социальная инженерия). |
| | УБИ.021 Угроза злоупотребления доверием потребителей облачных услуг | за счет несанкционированного доступа и (или) воздействия на объекты на прикладном уровне; за счет несанкционированного доступа и (или) воздействия на объекты на сетевом уровне; |
| | УБИ.023 Угроза изменения компонентов системы | за счет несанкционированного доступа и (или) воздействия на объекты на аппаратном; за счет несанкционированного физического доступа и (или) воздействия на линии, (каналы) связи, технические средства, машинные носители информации; за счет несанкционированного доступа и (или) воздействия на объекты на прикладном уровне; за счет несанкционированного физического доступа и (или) воздействия на линии, (каналы) связи, технические средства, машинные носители информации; |
| | УБИ.027. Угроза искажения вводимой и выводимой на периферийные устройства информации | за счет несанкционированного доступа и (или) воздействия на объекты на аппаратном; за счет несанкционированного физического доступа и (или) воздействия на линии, (каналы) связи, технические средства, машинные носители информации; за счет несанкционированного доступа и (или) воздействия на объекты на прикладном уровне; за счет несанкционированного доступа и (или) воздействия на объекты на сетевом уровне; |
| | УБИ.028 Угроза использования альтернативных путей доступа к ресурсам | за счет несанкционированного доступа и (или) воздействия на объекты на общесистемном уровне; за счет несанкционированного доступа и (или) воздействия на объекты на сетевом уровне; за счет несанкционированного доступа и (или) воздействия на объекты на прикладном уровне; |
| | УБИ.029. Угроза использования вычислительных ресурсов суперкомпьютера «паразитными» процессами | за счет несанкционированного доступа и (или) воздействия на объекты на аппаратном уровне; за счет несанкционированного доступа и (или) воздействия на объекты на общесистемном уровне; за счет несанкционированного физического доступа и (или) воздействия на линии, (каналы) связи, технические средства, машинные носители информации; |
| | УБИ.031 Угроза использования механизмов авторизации для повышения привилегий | за счет несанкционированного доступа и (или) воздействия на объекты на общесистемном уровне; за счет несанкционированного доступа и (или) воздействия на объекты на сетевом уровне; за счет несанкционированного доступа и (или) воздействия на объекты на прикладном уровне; за счет воздействия на пользователей, администраторов безопасности, администраторов информационной системы или обслуживающий персонал (социальная инженерия) |
| | УБИ.034. Угроза использования слабостей протоколов сетевого/локального обмена данными | за счет несанкционированного доступа и (или) воздействия на объекты на общесистемном уровне; за счет несанкционированного доступа и (или) воздействия на объекты на сетевом уровне; |
| | УБИ.045 Угроза нарушения изоляции среды исполнения BIOS | за счет несанкционированного доступа и (или) воздействия на объекты на аппаратном уровне; за счет несанкционированного доступа и (или) воздействия на объекты на сетевом уровне; |
| | УБИ.053 Угроза невозможности управления правами пользователей BIOS | за счет несанкционированного доступа и (или) воздействия на объекты на аппаратном уровне; за счет несанкционированного физического доступа и (или) воздействия на линии, (каналы) связи, технические средства, машинные носители информации; |
| | УБИ.054 Угроза недобросовестного исполнения обязательств поставщиками облачных услуг | за счет несанкционированного доступа и (или) воздействия на объекты на общесистемном уровне; за несанкционированного физического доступа и (или) воздействия на линии, (каналы) связи, технические средства, машинные носители информации; за счет воздействия на пользователей, администраторов безопасности, администраторов информационной системы или обслуживающий персонал (социальная инженерия); |
| | УБИ.055. Угроза незащищённого администрирования облачных услуг | за счет несанкционированного доступа и (или) воздействия на объекты на сетевом уровне; за счет несанкционированного физического доступа и (или) воздействия на линии, (каналы) связи, технические средства, машинные носители информации; |
| | УБИ.056 Угроза некачественного переноса инфраструктуры в облако | за счет несанкционированного доступа и (или) воздействия на объекты на сетевом уровне; за счет несанкционированного физического доступа и (или) воздействия на линии, (каналы) связи, технические средства, машинные носители информации; |
| | УБИ.058 Угроза неконтролируемого роста числа виртуальных машин | за счет несанкционированного доступа и (или) воздействия на объекты на сетевом уровне; несанкционированного доступа и (или) воздействия на объекты на общесистемном уровне; |
| | УБИ.064 Угроза некорректной реализации политики лицензирования в облаке | за счет несанкционированного доступа и (или) воздействия на объекты на общесистемном уровне; за счет несанкционированного доступа и (или) воздействия на объекты на прикладном уровне; за счет несанкционированного доступа и (или) воздействия на объекты на сетевом уровне; |
| | УБИ.065 Угроза неопределённости в распределении ответственности между ролями в облаке | за счет несанкционированного доступа и (или) воздействия на объекты на сетевом уровне; несанкционированного доступа и (или) воздействия на объекты на общесистемном уровне |
| | УБИ.066 Угроза неопределённости ответственности за обеспечение безопасности облака | за счет несанкционированного доступа и (или) воздействия на объекты на сетевом уровне; за счет воздействия на пользователей, администраторов безопасности, администраторов информационной системы или обслуживающий персонал (социальная инженерия). |
| | УБИ.067 Угроза неправомерного ознакомления с защищаемой информацией | за счет несанкционированного физического доступа и (или) воздействия на линии, (каналы) связи, технические средства, машинные носители информации; |
| | УБИ.071. Угроза несанкционированного восстановления удалённой защищаемой информации | за счет несанкционированного физического доступа и (или) воздействия на линии, (каналы) связи, технические средства, машинные носители информации; |
| | УБИ.074 Угроза несанкционированного доступа к аутентификационной информации | за счет несанкционированного доступа и (или) воздействия на объекты на общесистемном уровне; за счет несанкционированного физического доступа и (или) воздействия на линии, (каналы) связи, технические средства, машинные носители информации; |
| | УБИ.075 Угроза несанкционированного доступа к виртуальным каналам передачи | за счет несанкционированного доступа и (или) воздействия на объекты на сетевом уровне; |
| | УБИ.078. Угроза несанкционированного доступа к защищаемым виртуальным машинам из виртуальной и (или) физической сети | за счет несанкционированного доступа и (или) воздействия на объекты на сетевом уровне; |
| | УБИ.079 Угроза несанкционированного доступа к защищаемым виртуальным машинам со стороны других виртуальных машин | за счет несанкционированного доступа и (или) воздействия на объекты на сетевом уровне; |
| | УБИ.083 Угроза несанкционированного доступа к системе по беспроводным каналам | за счет несанкционированного доступа и (или) воздействия на объекты на аппаратном уровне; за счет несанкционированного доступа и (или) воздействия на объекты на сетевом уровне; |
| | УБИ.084. Угроза несанкционированного доступа к системе хранения данных из виртуальной и (или) физической сети | за счет несанкционированного доступа и (или) воздействия на объекты на прикладном уровне; за счет несанкционированного доступа и (или) воздействия на объекты на сетевом уровне; |
| | УБИ.088 Угроза несанкционированного копирования защищаемой информации | за счет несанкционированного доступа и (или) воздействия на объекты на общесистемном уровне; за счет несанкционированного доступа и (или) воздействия на объекты на прикладном уровне; за счет несанкционированного физического доступа и (или) воздействия на линии, (каналы) связи, технические средства, машинные носители информации; |
| | УБИ.091 Угроза несанкционированного удаления защищаемой информации | за счет несанкционированного доступа и (или) воздействия на объекты на общесистемном уровне; за счет несанкционированного доступа и (или) воздействия на объекты на прикладном уровне; за счет несанкционированного физического доступа и (или) воздействия на линии, (каналы) связи, технические средства, машинные носители информации; |
| | УБИ.093 Угроза несанкционированного управления буфером | за счет несанкционированного доступа и (или) воздействия на объекты на общесистемном уровне; за счет несанкционированного доступа и (или) воздействия на объекты на прикладном уровне; за счет несанкционированного доступа и (или) воздействия на объекты на сетевом уровне; |
| | УБИ.096 Угроза несогласованности политик безопасности элементов облачной инфраструктуры | несанкционированного доступа и (или) воздействия на объекты на общесистемном уровне; за счет несанкционированного доступа и (или) воздействия на объекты на прикладном уровне; за счет несанкционированного доступа и (или) воздействия на объекты на сетевом уровне; |
| | УБИ.104. Угроза определения топологии вычислительной сети | за счет несанкционированного доступа и (или) воздействия на объекты на сетевом уровне; |
| | УБИ.107 Угроза отключения контрольных датчиков | за счет несанкционированного физического доступа и (или) воздействия на линии, (каналы) связи, технические средства, машинные носители информации; |
| | УБИ.110 Угроза перегрузки грид-системы вычислительными заданиями | за счет несанкционированного физического доступа и (или) воздействия на линии, (каналы) связи, технические средства, машинные носители информации; |
| | УБИ.113 Угроза перезагрузки аппаратных и программно-аппаратных средств вычислительной техники | за счет несанкционированного физического доступа и (или) воздействия на линии, (каналы) связи, технические средства, машинные носители информации; за счет несанкционированного доступа и (или) воздействия на объекты на общесистемном уровне; |
| | УБИ.115 Угроза перехвата вводимой и выводимой на периферийные устройства информации | за счет несанкционированного доступа и (или) воздействия на объекты на общесистемном уровне; за счет несанкционированного доступа и (или) воздействия на объекты на прикладном уровне; за счет несанкционированного физического доступа и (или) воздействия на линии, (каналы) связи, технические средства, машинные носители информации; |
| | УБИ.116. Угроза перехвата данных, передаваемых по вычислительной сети | за счет несанкционированного доступа и (или) воздействия на объекты на сетевом уровне; |
| | УБИ.122. Угроза повышения привилегий | за счет несанкционированного доступа и (или) воздействия на объекты на общесистемном уровне; за счет несанкционированного доступа и (или) воздействия на объекты на прикладном уровне; за счет несанкционированного физического доступа и (или) воздействия на линии, (каналы) связи, технические средства, машинные носители информации; |
| | УБИ.123 Угроза подбора пароля BIOS | за счет несанкционированного доступа и (или) воздействия на объекты на аппаратном уровне; за счет несанкционированного физического доступа и (или) воздействия на линии, (каналы) связи, технические средства, машинные носители информации; |
| | УБИ.130 Угроза подмены содержимого сетевых ресурсов | за счет несанкционированного доступа и (или) воздействия на объекты на прикладном уровне; за счет несанкционированного доступа и (или) воздействия на объекты на сетевом уровне; |
| | УБИ.135 Угроза потери и утечки данных, обрабатываемых в облаке | за счет несанкционированного доступа и (или) воздействия на объекты на общесистемном уровне; за счет несанкционированного доступа и (или) воздействия на объекты на сетевом уровне; |
| | УБИ.145. Угроза пропуска проверки целостности программного обеспечения | за счет несанкционированного доступа и (или) воздействия на объекты на общесистемном уровне; за счет несанкционированного доступа и (или) воздействия на объекты на прикладном уровне; за счет несанкционированного доступа и (или) воздействия на объекты на сетевом уровне; |
| | УБИ.153. Угроза усиления воздействия на вычислительные ресурсы пользователей при помощи сторонних серверов | за счет несанкционированного доступа и (или) воздействия на объекты на сетевом уровне; |
| | УБИ.155 Угроза утраты вычислительных ресурсов | за счет несанкционированного доступа и (или) воздействия на объекты на общесистемном уровне; за счет несанкционированного доступа и (или) воздействия на объекты на сетевом уровне; за счет несанкционированного физического доступа и (или) воздействия на линии, (каналы) связи, технические средства, машинные носители информации; |
| | УБИ.156 Угроза утраты носителей информации | за счет несанкционированного физического доступа и (или) воздействия на линии, (каналы) связи, технические средства, машинные носители информации; |
| | УБИ.157 Угроза физического выведения из строя средств хранения, обработки и (или) ввода/вывода/передачи информации | за счет несанкционированного доступа и (или) воздействия на объекты на общесистемном уровне; за счет несанкционированного физического доступа и (или) воздействия на линии, (каналы) связи, технические средства, машинные носители информации; |
| | УБИ.158. Угроза форматирования носителей информации | за счет несанкционированного доступа и (или) воздействия на объекты на общесистемном уровне; за счет несанкционированного физического доступа и (или) воздействия на линии, (каналы) связи, технические средства, машинные носители информации |
| | УБИ.160 Угроза хищения средств хранения, обработки и (или) ввода/вывода/передачи информации | за счет несанкционированного физического доступа и (или) воздействия на линии, (каналы) связи, технические средства, машинные носители информации |
| | УБИ.167. Угроза заражения компьютера при посещении неблагонадёжных сайтов | за счет несанкционированного доступа и (или) воздействия на объекты на прикладном уровне; за счет несанкционированного доступа и (или) воздействия на объекты на сетевом уровне; |
| | УБИ.168. Угроза «кражи» учётной записи доступа к сетевым сервисам | за счет несанкционированного доступа и (или) воздействия на объекты на сетевом уровне; |
| | УБИ.170. Угроза неправомерного шифрования информации | за счет несанкционированного доступа и (или) воздействия на объекты на общесистемном уровне; за счет несанкционированного доступа и (или) воздействия на объекты на прикладном уровне; за счет несанкционированного физического доступа и (или) воздействия на линии, (каналы) связи, технические средства, машинные носители информации; |
| | УБИ.171. Угроза скрытного включения вычислительного устройства в состав бот-сети | за счет несанкционированного доступа и (или) воздействия на объекты на общесистемном уровне; за счет несанкционированного доступа и (или) воздействия на объекты на сетевом уровне |
| | УБИ.172. Угроза распространения «почтовых червей» | за счет несанкционированного доступа и (или) воздействия на объекты на сетевом уровне |
| | УБИ.175 Угроза «фишинга» | за счет несанкционированного доступа и (или) воздействия на объекты на сетевом уровне; за счет несанкционированного физического доступа и (или) воздействия на линии, (каналы) связи, технические средства, машинные носители информации; |
| | УБИ.179 Угроза несанкционированной модификации защищаемой информации | за счет несанкционированного доступа и (или) воздействия на объекты на общесистемном уровне; за счет несанкционированного физического доступа и (или) воздействия на линии, (каналы) связи, технические средства, машинные носители информации; |
| | УБИ. 185 Угроза несанкционированного изменения параметров настройки средств защиты информации | за счет несанкционированного физического доступа и (или) воздействия на линии, (каналы) связи, технические средства, машинные носители информации; |
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
