Пояснительная записка (1210027), страница 3
Текст из файла (страница 3)
Таблица 1.1 – Пример УБИ, выбранных в соответствии с нарушителем, определённым для информационной системы
| Идентификатор УБИ | Название УБИ | Источник УБИ |
| УБИ.029 | Угроза использования вычислительных ресурсов суперкомпьютера «паразитными» процессами | Тип: Внешний, Потенциал: Базовый (низкий) Тип: Внутренний, Потенциал: Базовый (низкий) |
| УБИ.028 | Угроза использования альтернативных путей доступа к ресурсам | Тип: Внешний, Потенциал: Базовый (низкий) Тип: Внутренний, Потенциал: Базовый (низкий) |
| УБИ.022 | Угроза избыточного выделения оперативной памяти | Тип: Внешний, Потенциал: Базовый (низкий) Тип: Внутренний, Потенциал: Базовый (низкий) |
Описание потенциальных уязвимостей информационной системы, которые могут быть использованы при реализации угроз безопасности информации
В информационной системе Лечебного учреждения был определен перечень классов уязвимостей:
-
организационные уязвимости;
-
уязвимости, связанные с возможностью перехода по ссылкам;
-
уязвимости в общесистемном (общем) программном обеспечении (в связи с использованием Windows XP).
Из перечня угроз, составленного на основе потенциала нарушителя, были выбраны угрозы с учетом уязвимостей ИС. Пример выбора приведен в таблице 1.2.
Таблица 1.2 – Выбор угроз безопасности информации, с учетом уязвимости информационной системы
| Идентификатор УБИ | Название УБИ | Уязвимости, используемые при реализации угрозы |
| УБИ.004 | Угроза аппаратного сброса пароля BIOS | Организационные уязвимости |
| УБИ.009 | Угроза восстановления предыдущей уязвимой версии BIOS | Организационные уязвимости |
| Окончание таблицы 1.2 | ||
| Идентификатор УБИ | Название УБИ | Уязвимости, используемые при реализации угрозы |
| УБИ.012 | Угроза деструктивного изменения конфигурации/среды окружения программ | Организационные уязвимости; Уязвимости в общесистемном (общем) программном обеспечении. |
С учетом структурно-функциональных характеристик информационной системы и данных о ее возможных нарушителях были определены следующие возможные способы реализации угроз безопасности информации:
-
путем НСД и (или) воздействия на объекты на общесистемном уровне;
-
путем НСД и (или) воздействия на объекты на прикладном уровне;
-
путем НСД и (или) воздействия на линии связи, технические средства, машинные носители информации;
-
путем воздействия на пользователей, администраторов безопасности, администраторов информационной системы или обслуживающий персонал (социальная инженерия).
Таким образом, из таблицы 1.2 были отобраны угрозы, соответствующие определенным возможным способам реализации УБИ. Пример перечня УБИ приведен в таблице 1.3.
Таблица 1.3 – Пример перечня УБИ, выбранных в соответствии с возможными способами их реализации
| Идентификатор УБИ | Название УБИ | Возможные способы реализации угрозы |
| УБИ.009 | Угроза восстановления предыдущей уязвимой версии BIOS | за счет несанкционированного доступа и (или) воздействия на объекты на общесистемном уровне |
| УБИ.012 | Угроза деструктивного изменения конфигурации/среды окружения программ | за счет несанкционированного доступа и (или) воздействия на объекты на общесистемном уровне; за счет несанкционированного доступа и (или) воздействия на объекты на прикладном уровне. |
| УБИ.013 | Угроза деструктивного использования декларированного функционала BIOS | за счет несанкционированного доступа и (или) воздействия на объекты на общесистемном уровне |
Далее проводилась оценка уровня проектной защищенности информационной системы
Под уровнем проектной защищенности (Y1П) понимается исходная защищенность информационной системы, обусловленная заданными при проектировании структурно-функциональными характеристиками и условиями ее функционирования. Уровень проектной защищенности определяется на основе анализа проектных структурно-функциональных характеристик, приведенных в таблице 1.4.
Таблица 1.4 – Показатели проектной защищенности информационной системы Лечебного учреждения
| Структурно-функциональные характеристики ИС, условия ее эксплуатации | Уровень проектной защищенности ИС (Y1П) | ||
| Высокий | Средний | Низкий | |
| По структуре ИС: | |||
| |||
| |||
| + | ||
| По архитектуре информационной системы: | |||
| |||
| |||
| + | ||
| |||
| |||
| |||
| |||
| По наличию (отсутствию) взаимосвязей с иными информационными системами: | |||
| + | ||
| |||
| По наличию (отсутствию) взаимосвязей (к сетям связи общего пользования: | |||
| + | ||
| |||
| |||
| Окончание таблицы 1.4 | |||
| Структурно-функциональные характеристики ИС, условия ее эксплуатации | Уровень проектной защищенности ИС (Y1П) | ||
| Высокий | Средний | Низкий | |
| |||
| + | ||
| |||
| По режимам обработки информации в ИС: | |||
| + | ||
| |||
| |||
| + | ||
| По режимам разделения функций по управлению информационной системой: | |||
| + | ||
| |||
| |||
| |||
| |||
| + | ||
| Общее количество решений | 5 | 14 | 16 |
| Сумма положительных решений | 0 | 3 | 6 |
| Величина в % одного положительного решения | 20% | 7,14% | 6,25% |
| % характеристик, соответствующих уровню «высокий» | 0% | ||
| % характеристик, соответствующих уровню «средний» | 21,43% | ||
| % характеристик, соответствующих уровню «низкий» | 37,5% | ||
По результатам анализа структурно – функциональных характеристик из таблицы 1.4 в соответствии с Методикой определения угроз безопасности информации в информационных системах [10] на основании того, что менее 90% характеристик информационной системы соответствуют уровню не ниже «средний», а также менее 80% характеристик информационной системы соответствуют уровню «высокий», информационной системе был присвоен низкий уровень проектной защищенности.
Перечень угроз, выбранных в соответствии с определенными нарушителями, уязвимостями и возможным способам реализации, был изменен с учетом информационных технологий и структурных характеристик ИС. Пример угроз, выбранных в соответствии информационными технологиями и структурно-функциональными характеристиками, представленный в таблице 1.5.
Таблица 1.5 – Пример угроз, выбранных в соответствии информационными технологиями и структурно-функциональными характеристиками
| Идентификатор УБИ | Название УБИ | Информационные технологии, с помощью которых реализуется УБИ |
| УБИ.006 | Угроза внедрения кода или данных | распределенная ИС |
| УБИ.009 | Угроза восстановления предыдущей уязвимой версии BIOS | распределенная ИС |
| УБИ.012 | Угроза деструктивного изменения конфигурации/среды окружения программ | распределенная ИС; подключенная к сетям общего пользования. |
Далее была определена возможность реализации угроз безопасности информации в информационной системе.
Возможность реализации j – ой угрозы безопасности информации (Yj) оценивается, исходя из уровня проектной защищенности информационной системы (Y1П) и потенциала нарушителя (Y2), необходимого для реализации этой угрозы безопасности информации в информационной системе с заданными структурно-функциональными характеристиками и особенностями функционирования:
Yj = [уровень проектной защищенности (Y1П); потенциал нарушителя (Y2)].
Пример угроз выбранных на основе возможности их реализации в информационной системе Лечебного учреждения приведен в таблице 1.6.
Таблица 1.6 – Пример угроз выбранных на основе возможности их реализации в информационной системе Лечебного учреждения
| Идентификатор угрозы | Название угрозы | Источник угрозы | Уровень проектной защищенности ИС | Возможность реализации угрозы |
| УБИ.006 | Угроза внедрения кода или данных | Нарушитель: Внешний; Потенциал: Базовый (низкий). | Уровень проектной защищенности - Низкий | Высокая |
| УБИ.012 | Угроза деструктивного изменения конфигурации/среды окружения программ | Нарушитель: Внутренний; Потенциал: Базовый (низкий). | Уровень проектной защищенности - Низкий | Высокая |
| УБИ.014 | Угроза длительного удержания вычислительных ресурсов пользователями | Нарушитель: Внешний; Потенциал: Базовый (низкий) Нарушитель: Внутренний; Потенциал: Базовый (низкий). | Уровень проектной защищенности - Низкий | Высокая |
Степень возможного ущерба от реализации угрозы безопасности информации определяется степенью негативных последствий от нарушения конфиденциальности, целостности или доступности каждого вида информации, содержащейся в информационной системе.
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
