2. Модель угроз (1209977), страница 9
Текст из файла (страница 9)
В качестве результата реализации угрозы безопасности информации рассматриваются непосредственное или опосредованное воздействие на конфиденциальность, целостность, доступность информации, содержащейся в информационной системе.
Результат реализации угрозы безопасности информации определяется воздействием угрозы на каждое свойство безопасности информации (конфиденциальность, целостность, доступность) в отдельности в соответствии с таблицей Приложения № ____.
При обработке в информационной системе двух и более видов информации воздействие на конфиденциальность, целостность, доступность определяется отдельно для каждого вида информации (k, …, m), содержащейся в МИС экспертной группой в соответствии с таблицами_____ Приложения №____.
Степень возможного ущерба от реализации угрозы безопасности информации определяется степенью негативных последствий от нарушения конфиденциальности, целостности или доступности каждого вида информации, содержащейся в информационной системе.
Степень негативных последствий от нарушения конфиденциальности, целостности или доступности информации определяется для каждого вида ущерба, зависит от целей и задач, решаемых информационной системой, и может иметь разные значения для разных обладателей информации и операторов. В качестве единой шкалы измерения степени негативных последствий принимаются значения «незначительные», «умеренные» и «существенные» негативные последствия, в свою очередь степень ущерба определяется как «высокая», «средняя» или «низкая» в зависимости от показателей степени негативных последствий.
Результат определения степени возможного ущерба от реализации угроз безопасности информации в «Комитет» представлены в таблице 6.1.2.1.
Таблица 6.1.2.1 – Степень возможного ущерба от реализации угроз безопасности информации в «Комитет»
| Название угрозы | ПДн (Сведения о фактах, событиях и обстоятельствах частной жизни гражданина, позволяющие идентифицировать его личность) | Служебная тайна | Итоговая степень ущерба |
| УБИ.004Угроза аппаратного сброса пароля BIOS | Высокая | Высокая | Высокая |
| УБИ.006Угроза внедрения кода или данных | Высокая | Высокая | Высокая |
| УБИ.012Угроза деструктивного изменения конфигурации/среды окружения программ | Высокая | Высокая | Высокая |
| УБИ.014Угроза длительного удержания вычислительных ресурсов пользователями | Высокая | Высокая | Высокая |
| УБИ.017Угроза доступа/перехвата/изменения HTTP cookies | Высокая | Высокая | Высокая |
| УБИ.018Угроза загрузки нештатной операционной системы | Высокая | Высокая | Высокая |
| УБИ.019Угроза заражения DNS-кеша | Высокая | Высокая | Высокая |
| УБИ.022Угроза избыточного выделения оперативной памяти | Высокая | Высокая | Высокая |
| УБИ.023Угроза изменения компонентов системы | Высокая | Высокая | Высокая |
| УБИ.027Угроза искажения вводимой и выводимой на периферийные устройства информации | Высокая | Высокая | Высокая |
| УБИ.028Угроза использования альтернативных путей доступа к ресурсам | Высокая | Высокая | Высокая |
| УБИ.030Угроза использования информации идентификации/аутентификации, заданной по умолчанию | Высокая | Высокая | Высокая |
| УБИ.031Угроза использования механизмов авторизации для повышения привилегий | Высокая | Высокая | Высокая |
| УБИ.034Угроза использования слабостей протоколов сетевого/локального обмена данными | Высокая | Высокая | Высокая |
| УБИ.041Угроза межсайтового скриптинга | Высокая | Высокая | Высокая |
| УБИ.046Угроза нарушения процедуры аутентификации субъектов виртуального информационного взаимодействия | Высокая | Высокая | Высокая |
| УБИ.049Угроза нарушения целостности данных кеша | Высокая | Высокая | Высокая |
| УБИ.053Угроза невозможности управления правами пользователей BIOS | Высокая | Высокая | Высокая |
| УБИ.055Угроза незащищённого администрирования облачных услуг | Высокая | Высокая | Высокая |
| УБИ.062Угроза некорректного использования прозрачного прокси-сервера за счёт плагинов браузера | Высокая | Высокая | Высокая |
| УБИ.067Угроза неправомерного ознакомления с защищаемой информацией | Высокая | Высокая | Высокая |
| УБИ.069Угроза неправомерных действий в каналах связи | Высокая | Высокая | Высокая |
| УБИ.071Угроза несанкционированного восстановления удалённой защищаемой информации | Высокая | Высокая | Высокая |
| УБИ.074Угроза несанкционированного доступа к аутентификационной информации | Высокая | Высокая | Высокая |
| УБИ.075Угроза несанкционированного доступа к виртуальным каналам передачи | Высокая | Высокая | Высокая |
| УБИ.078Угроза несанкционированного доступа к защищаемым виртуальным машинам из виртуальной и (или) физической сети | Высокая | Высокая | Высокая |
| УБИ.079Угроза несанкционированного доступа к защищаемым виртуальным машинам со стороны других виртуальных машин | Высокая | Высокая | Высокая |
| УБИ.083Угроза несанкционированного доступа к системе по беспроводным каналам | Высокая | Высокая | Высокая |
| УБИ.086Угроза несанкционированного изменения аутентификационной информации | Высокая | Высокая | Высокая |
| УБИ.088Угроза несанкционированного копирования защищаемой информации | Высокая | Высокая | Высокая |
| УБИ.090Угроза несанкционированного создания учётной записи пользователя | Высокая | Высокая | Высокая |
| УБИ.093Угроза несанкционированного управления буфером | Высокая | Высокая | Высокая |
| УБИ.098Угроза обнаружения открытых портов и идентификации привязанных к нему сетевых служб | Высокая | Высокая | Высокая |
| УБИ.103Угроза определения типов объектов защиты | Высокая | Высокая | Высокая |
| УБИ.104Угроза определения топологии вычислительной сети | Высокая | Высокая | Высокая |
| УБИ.112Угроза передачи запрещённых команд на оборудование с числовым программным управлением | Высокая | Высокая | Высокая |
| УБИ.113Угроза перезагрузки аппаратных и программно-аппаратных средств вычислительной техники | Высокая | Высокая | Высокая |
| УБИ.115Угроза перехвата вводимой и выводимой на периферийные устройства информации | Высокая | Высокая | Высокая |
| УБИ.116Угроза перехвата данных, передаваемых по вычислительной сети | Высокая | Высокая | Высокая |
| УБИ.126Угроза подмены беспроводного клиента или точки доступа | Высокая | Высокая | Высокая |
| УБИ.128Угроза подмены доверенного пользователя | Высокая | Высокая | Высокая |
| УБИ.130Угроза подмены содержимого сетевых ресурсов | Высокая | Высокая | Высокая |
| УБИ.133Угроза получения сведений о владельце беспроводного устройства | Высокая | Высокая | Высокая |
| УБИ.136Угроза потери информации вследствие несогласованности работы узлов хранилища больших данных | Высокая | Высокая | Высокая |
| УБИ.140Угроза приведения системы в состояние «отказ в обслуживании» | Высокая | Высокая | Высокая |
| УБИ.145Угроза пропуска проверки целостности программного обеспечения | Высокая | Высокая | Высокая |
| УБИ.151Угроза сканирования веб-сервисов, разработанных на основе языка описания WSDL | Высокая | Высокая | Высокая |
| УБИ.152Угроза удаления аутентификационной информации | Высокая | Высокая | Высокая |
| УБИ.153Угроза усиления воздействия на вычислительные ресурсы пользователей при помощи сторонних серверов | Высокая | Высокая | Высокая |
| УБИ.155Угроза утраты вычислительных ресурсов | Высокая | Высокая | Высокая |
| УБИ.156Угроза утраты носителей информации | Высокая | Высокая | Высокая |
| УБИ.157Угроза физического выведения из строя средств хранения, обработки и (или) ввода/вывода/передачи информации | Высокая | Высокая | Высокая |
| УБИ.158Угроза форматирования носителей информации | Высокая | Высокая | Высокая |
| УБИ.160Угроза хищения средств хранения, обработки и (или) ввода/вывода/передачи информации | Высокая | Высокая | Высокая |
| УБИ.162Угроза эксплуатации цифровой подписи программного кода | Высокая | Высокая | Высокая |
| УБИ.167Угроза заражения компьютера при посещении неблагонадёжных сайтов | Высокая | Высокая | Высокая |
| УБИ.168Угроза «кражи» учётной записи доступа к сетевым сервисам | Высокая | Высокая | Высокая |
| УБИ.171Угроза скрытного включения вычислительного устройства в состав бот-сети | Высокая | Высокая | Высокая |
| УБИ.172Угроза распространения «почтовых червей» | Высокая | Высокая | Высокая |
| УБИ.173Угроза «спама» веб-сервера | Высокая | Высокая | Высокая |
| УБИ.174Угроза «фарминга» | Высокая | Высокая | Высокая |
| УБИ.175Угроза «фишинга» | Высокая | Высокая | Высокая |
| УБИ.176Угроза нарушения технологического/производственного процесса из-за временны́х задержек, вносимых средством защиты | Высокая | Высокая | Высокая |
| УБИ.177Угроза неподтверждённого ввода данных оператором в систему, связанную с безопасностью | Высокая | Высокая | Высокая |
| УБИ.179Угроза несанкционированной модификации защищаемой информации | Высокая | Высокая | Высокая |
| УБИ.182Угроза физического устаревания аппаратных компонентов | Высокая | Высокая | Высокая |
| УБИ.185Угроза несанкционированного изменения параметров настройки средств защиты информации | Высокая | Высокая | Высокая |
| УБИ.186Угроза внедрения вредоносного кода через рекламу, сервисы и контент | Высокая | Высокая | Высокая |
| УБИ.191Угроза внедрения вредоносного кода в дистрибутив программного обеспечения | Высокая | Высокая | Высокая |
| УБИ.192Угроза использования уязвимых версий программного обеспечения | Высокая | Высокая | Высокая |
6.1.3 Актуальность угроз безопасности информации, реализуемых за счет НСД к информации, обрабатываемой в «Комитет»
Решение об актуальности угрозы безопасности информации относительно информационной системы с заданными структурно-функциональными характеристиками и условиями функционирования принимается в соответствии с таблицей 6.1.3.1.
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
