3. Модель угроз безопасности информации - это
физическое, математическое, описательное
представление свойств или характеристик угроз
безопасности информации.
ГОСТ 50922
Примечание: Видом описательного представления
свойств или характеристик угроз безопасности
информации может быть специальный
нормативный документ.
3
4. ФЗ«О персональных
данных».
Приказ № 17
Гос. тайна
Базовая модель угроз безопасности персональных данных при их
обработке в информационных системах персональных данных
Методика определения актуальных угроз безопасности
персональных данных при их обработке в информационных
системах персональных данных
Базовая модель угроз безопасности информации в ключевых
системах информационной инфраструктуры
Методика определения актуальных угроз безопасности информации
в ключевых системах информационной инфраструктуры
Базовая модель угроз несанкционированного доступа к
информации в оборудовании с числовым программным
управлением
4
5. Отсутствие структурно функциональных характеристик
рассматриваемой системы
- структура ИС.
- состав ИС
- взаимосвязи между сегментами ИС
- взаимосвязи с другими ИС и ИТКС
- условия функционирования ИС
Наиболее распространенные ошибки
Отчет об
обследовании
ИС
5
6. Рассматриваются не все угрозы, связанные с
особенностями используемых технологий
Пример: Технология виртуализации:
- гипервизор
- среда виртуализации
- etc.
• нарушение процедуры аутентификации субъектов виртуализированного
информационного взаимодействия;
• нарушение работоспособности информационных систем, построенных на основе
технологий виртуализации, за счет несанкционированного доступа к средствам
виртуализации;
• атака на виртуальные каналы передачи данных;
• несанкционированный доступ к образам виртуальных машин;
• нарушение изоляции пользовательских данных внутри виртуальных машин;
• атака на гипервизор с виртуальной машины;
• атака на гипервизор из физической сети;
• атака на защищаемые виртуальные машины из физической сети;
• неконтролируемы рост числа виртуальных машин;
• атака на сеть репликации виртуальных машин;
• перехват управления в среде виртуализации;
• выход процесса за пределы виртуальной среды.
• ……..
Наиболее распространенные ошибки
6
7. Неверное определение объектов защиты
- носители защищаемой информации
- директории
- каталоги файлов
- защищаемая информация
- сервера
- …..
Наиболее распространенные ошибки
7
8. Угроза: Источник + уязвимость + способ реализации +
объект воздействия + деструктивное воздействие.
Не проводится анализ возможных источников угроз
- Нарушитель
- Вредоносная программа
- Аппаратная закладка
Наиболее распространенные ошибки
8
9. Угроза: Источник + уязвимость + способ реализации +
объект воздействия + деструктивное воздействие.
Не анализируются последствия от действий нарушителя
- Нарушение конфиденциальности
- Нарушение целостности
- Нарушение доступности
Наиболее распространенные ошибки
9
10. Угроза: Источник + уязвимость + способ реализации +
объект воздействия + деструктивное воздействие.
Не учитывают уязвимости, присутствующие в
информационной системе
уязвимость – это свойство информационной системы,
обусловливающее возможность реализации угроз
безопасности обрабатываемой в ней информации
Наиболее распространенные ошибки
10
11. Угроза: Источник + уязвимость + способ реализации +
объект воздействия + деструктивное воздействие.
Неверное определение способов реализации угроз
- Как может действовать нарушитель???
Наиболее распространенные ошибки
11
12. Забывают о необходимости пересмотра модели угроз
Наиболее распространенные ошибки
ЗИ ПРИ ВЫВОДЕ ИЗ
ЭКСПЛУАТАЦИИ
ГИС
ЭКСПЛУАТАЦИЯ
ГИС
АТТЕСТАЦИЯ ГИС
РЕАЛИЗАЦИЯ
СИСТЕМЫ ЗИ
РАЗРАБОТКА
СИСТЕМЫ ЗИ
ТРЕБОВАНИЯ К
СИСТЕМЕ ЗИ
12
13. • использование при моделировании угроз безопасности
информации устаревшей нормативной правовой базы
• отсутствие перечней нормативных правовых актов
• отсутствие единой терминологии
Наиболее распространенные ошибки
13