Определение угроз безопасности информации ограниченного доступа


Виды защищаемой информации


В соответствии с Федеральным законом от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации» информация делится на общедоступную и информацию ограниченного доступа, которая в свою очередь делится на конфиденциальную информацию и государственную тайну.

Общедоступная информация - общеизвестные сведения, информация, доступ к которой в соответствии с законодательством Российской Федерации не может быть ограничен.

Информация ограниченного доступа (конфиденциального характера) - сведения, для которых установлен специальный режим сбора, хранения, обработки, предоставления и использования, доступ к которым ограничен в соответствии с федеральными законами.

Сведения, составляющие государственную тайну – защищаемые государством сведения в области его военной, внешнеполитической, экономической, разведывательной, контрразведывательной и оперативно-розыскной деятельности, распространение которых может нанести ущерб безопасности Российской Федерации.

Информация, к которой не может быть ограничен доступ (п. 4 ст. 8 закона №149-ФЗ):

  1. Нормативным правовым актам, затрагивающим права, свободы и обязанности человека и гражданина, а также устанавливающим правовое положение организаций и полномочия государственных органов, органов местного самоуправления.
  2. Информация о состоянии окружающей среды.
  3. Информация о деятельности государственных органов и органов местного самоуправления, а также об использовании бюджетных средств (за исключением сведений, составляющих государственную или служебную тайну);
  4. Информация, накапливаемой в открытых фондах библиотек, музеев и архивов, а также в государственных, муниципальных и иных информационных системах, созданных или предназначенных для обеспечения граждан (физических лиц) и организаций такой информацией;
  5. Иная информация, недопустимость ограничения доступа к которой установлена федеральными законами.

Порядок обращения с информацией ограниченного доступа для организаций госуправления определяется на основе Постановления Правительства Российской Федерации от 03.11.94 № 1233 «Об утверждении Положения о порядке обращения со служебной информацией ограниченного распространения в федеральных органах исполнительной власти и уполномоченном органе управления использованием атомной энергии».

Необходимость определения угроз безопасности информации определена следующими нормативными документами:

  1. Указ Президента РФ от 05.12.2016 №646 «Об утверждении Доктрины информационной безопасности Российской Федерации».
  2. Федеральный закон от 27.07.2006 №149 -ФЗ «Об информации, информационных технологиях и о защите информации» (ст. 16).
  3. Федеральный закон от 27.07.2006 №152 -ФЗ «О персональных данных» (ст. 19).

Подход к анализу угроз

Основой для анализа риска реализации угроз и формулирования требований к разрабатываемой системе защиты ИС предполагает их обязательную идентификацию, а именно:

Кроме выявления возможных угроз должен быть проведен анализ этих угроз на основе их классификации по ряду признаков.

Каждый из признаков классификации отражает одно из обобщенных требований к системе защиты. При этом угрозы, соответствующие каждому признаку классификации, позволяют детализировать отражаемое этим признаком требование.

Необходимость классификации угроз информационной безопасности ИС обусловлена тем, что:

такие, что накапливаемая, хранимая и обрабатываемая информация подвержена случайным влияниям чрезвычайно большого числа факторов. В силу этого становится невозможным формализовать задачу описания полного множества угроз.

Как следствие, для защищаемой системы определяют не полный перечень угроз, а перечень классов угроз.


Реализация угрозы безопасности информации


Угроза безопасности информации реализуется в результате образования канала реализации угрозы между источником угрозы и носителем (источником) информации, что создает условия для нарушения безопасности информации (несанкционированный или случайный доступ).



Источником информации может быть:

К физической среде распространения относятся элементы помещений – двери, окна, радиаторы отопления, воздушная вентиляция, полости и каналы для кабелей и другие.

Классификация угроз безопасности информации

По виду нарушаемого свойства информации:

  1. Угрозы конфиденциальности (утечки, перехвата, съема, копирования, хищения, разглашения) информации.
  2. Угрозы целостности (утраты, уничтожения, модификации) информации.
  3. Угрозы доступности (блокирования) информации.

По видам возможных источников угроз

  1. Физическое лицо - внутренние нарушители и внешние нарушители.
  2. Аппаратные закладки - встроенные закладки и автономные закладки.
  3. Вредоносные программы - троянские программы, вирусы, сетевые черви, другие (подбор паролей, удаленный доступ).
  4. Явления - техногенные аварии, стихийные бедствия, природные явления.

По размерам наносимого ущерба

  1. Частный ущерб.
  2. Локальный ущерб.
  3. Общий ущерб.

По степени воздействия на информационную систему

  1. Пассивное (структура и содержание системы не изменяются).
  2. Активное (структура и содержание системы подвергается изменениям).

По природе возникновения

  1. Естественные (объективные) — вызванные воздействием на информационную среду объективных физических процессов или стихийных природных явлений, не зависящих от воли человека.
  2. Искусственные (субъективные) — вызванные воздействием на информационную сферу человека. Среди искусственных угроз в свою очередь выделяют:

Непреднамеренные (случайные) угрозы — ошибки программного обеспечения, персонала, сбои в работе систем, отказы вычислительной и коммуникационной техники;

Преднамеренные (умышленные) угрозы — неправомерный доступ к информации, разработка специального программного обеспечения, используемого для осуществления неправомерного доступа, разработка и распространение вирусных программ и т.д. Преднамеренные угрозы обусловлены действиями людей.

Основные проблемы информационной безопасности связаны прежде всего с умышленными угрозами, так как они являются главной причиной преступлений и правонарушений.

Обусловленные действиями субъекта (антропогенные источники) – субъекты, действия которых могут привести к нарушению безопасности информации, данные действия могут быть квалифицированы как умышленные или случайные преступления. Источники, действия которых могут привести к нарушению безопасности информации могут быть как внешними так и внутренними. Данные источники можно спрогнозировать, и принять адекватные меры.

Обусловленные техническими средствами (техногенные источники) – эти источники угроз менее прогнозируемы, напрямую зависят от свойств техники и поэтому требуют особого внимания. Данные источники угроз информационной безопасности, также могут быть как внутренними, так и внешними.

Стихийные источники – данная группа объединяет обстоятельства, составляющие непреодолимую силу (стихийные бедствия или другие обстоятельства, которые невозможно предусмотреть или предотвратить или возможно предусмотреть, но невозможно предотвратить), такие обстоятельства, которые носят объективный и абсолютный характер, распространяющийся на всех. Такие источники угроз совершенно не поддаются прогнозированию и, поэтому меры против них должны применяться всегда. Стихийные источники, как правило, являются внешними по отношению к защищаемому объекту и под ними, как правило, понимаются природные катаклизмы.

Угрозы НСД к информации:

Описание угроз доступа (проникновения) в операционную среду компьютера:

угроза НСД = <источник угрозы>, < уязвимость >, <способ реализации угрозы>, < объект воздействия (программа, протокол, данные и др.)>, <деструктивное действие>.

Источниками угроз НСД могут быть: нарушитель, носитель вредоносной программы или аппаратная закладка.

Носителем вредоносной программы может быть аппаратный элемент компьютера или программный контейнер. Например:

Уязвимости информационных систем

Уязвимость информационной системы - недостаток или слабое место в системном или прикладном программном (программно-аппаратном) обеспечении автоматизированной информационной системы, которые могут быть использованы для реализации угрозы безопасности информации. Причинами возникновения уязвимостей являются:

Рассмотрим классификацию уязвимостей программного обеспечения:

  1. Системное ПО.
  2. Прикладное ПО.
  1. На этапе проектирования ПО.
  2. На этапе реализации ПО.
  3. На этапе инсталляции и настройки ПО.
  1. Недостатки механизмов аутентификации.
  2. Недостатки защиты учетных записей.
  3. Наличие функций, позволяющих выполнять деструктивные воздействия.
  4. Отсутствие проверки корректности входных данных.
  1. Уязвимости, используемые для переполнения буфера.
  2. Уязвимости, используемые для подбора пароля или идентификатора.
  3. Уязвимости, используемые для изменения прав доступа.
  4. Уязвимости, используемые для реализации атаки «Отказ в обслуживании».

Классификация технических каналов утечки по источнику информации

  1. Акустический канал.
  2. Виброакустический канал.
  3. Непреднамеренное прослушивание речи.
  4. Электрические сигналы в линиях, возникающие за счет микрофонного эффекта в ВТСС.
  5. ПЭМИН от ВТС.;
  6. Паразитная генерация.
  7. Радиоизлучения генераторов, входящих в состав технических средств (ОТСС и ВТСС), модулированные акустическим информативным сигналом.
  1. ПЭМИН от технических средств вычислительной техники.
  2. Паразитная генерация.
  3. Радиоизлучения генераторов, входящих в состав ОТСС или ВТСС, модулированные информативным сигналом.
  1. Применение закладочных устройств.
  2. Прослушивание телефонных и радиопереговоров.
  3. Просмотр информации с экранов мониторов и других средств ее отображения.

ПЭМИН от технических средств вычислительной техники:



Паразитные генерации:



Электромагнитная наводка – передача (индуцирование) электрических сигналов из одного устройства (цепи) в другое, непредусмотренная схемными или конструктивными решениями и возникающая за счет паразитных электромагнитных связей. Электромагнитные наводки могут приводить к утечке информации по токопроводящим коммуникациям, имеющим выход за пределы контролируемой зоны.

Акустический и виброакустический канал утечки информации – способность ограждающих конструкций помещения либо инженерно-техническая коммуникаций, например, труб отопления проводить (распространять) звуковые волны за пределы контролируемой зоны.

Канал утечки информации, возникающий за счет микрофонного эффекта в ВТСС – способность микрофона телефонного аппарата принимать звуковые сигналы и распространять их за пределы контролируемой зоны.


Видовой канал утечки информации

Угрозы утечки видовой информации реализуются за счет просмотра информации с помощью оптических (оптикоэлектронных) средств с экранов дисплеев и других средств отображения средств вычислительной техники, информационно-вычислительных комплексов, технических средств обработки графической, видео- и буквенно-цифровой информации, входящих в состав ИС.

Перехват перехват может вестись:

Перехват (просмотр) информации может осуществляться посторонними лицами путем их непосредственного наблюдения в служебных помещениях либо с расстояния прямой видимости из-за пределов ИС с использованием оптических (оптикоэлектронных) средств.

Идентификация угроз безопасности информации

Для идентификации угроз безопасности информации в информационной системе определяются:

Определение актуальных угроз безопасности информации

Угроза безопасности информации является актуальной, если для информационной системы с заданными структурно-функциональными характеристиками и особенностями функционирования существует вероятность реализации рассматриваемой угрозы нарушителем с соответствующим потенциалом и ее реализация приведет к неприемлемым негативным последствиям (ущербу) от нарушения конфиденциальности, целостности или доступности информации.

УБИ = [вероятность реализации угрозы или возможность реализации угрозы; степень ущерба].

Вероятность реализации угрозы определяется на основе анализа статистических данных о частоте реализации угроз безопасности информации (возникновении инцидентов безопасности) в информационной системе и (или) однотипных информационных системах.

При отсутствии статистических данных о реализации угроз безопасности информации (возникновении инцидентов безопасности) актуальность угроз определяется экспертным методом.

Возможность реализации угрозы определятся на основе оценки уровня защищенности информационной системы и потенциала нарушителя, требуемого для реализации угрозы безопасности.

Степень ущерба определяется на основе оценок степени последствий от нарушения конфиденциальности, целостности или доступности информации.

Порядок определения актуальных угроз безопасности

Актуальность угроз безопасности информации определяется в отношении угроз, для которых экспертным методом определено, что:


Оценка вероятности реализации угрозы безопасности информации


Низкая вероятность – отсутствуют объективные предпосылки к реализации угрозы безопасности информации, отсутствует требуемая статистика по фактам реализации угрозы безопасности информации (возникновения инцидентов безопасности), отсутствует мотивация для реализации угрозы, возможная частота реализации угрозы не превышает 1 раза в 5 лет.

Средняя вероятность – существуют предпосылки к реализации угрозы безопасности информации, зафиксированы случаи реализации угрозы безопасности информации (возникновения инцидентов безопасности) или имеется иная информация, указывающая на возможность реализации угрозы безопасности информации, существуют признаки наличия у нарушителя мотивации для реализации такой угрозы, возможная частота реализации угрозы не превышает 1 раза в год;

Высокая вероятность – существуют объективные предпосылки к реализации угрозы безопасности информации, существует достоверная статистика реализации угрозы безопасности информации (возникновения инцидентов безопасности) или имеется иная информация, указывающая на высокую возможность реализации угрозы безопасности информации, у нарушителя имеются мотивы для реализации угрозы, частота реализации угрозы – чаще 1 раза в год.

Оценка возможности реализации угрозы безопасности информации

Y = [уровень проектной защищенности; потенциал нарушителя]

Показатели, характеризующие проектную защищенность информационной системы:

  1. автономное автоматизированное рабочее место (в)
  2. локальная информационная система (с)
  3. распределенная информационная система (н)
  1. системы на основе виртуализации (н)
  2. системы, реализующие «облачные вычисления» (н)
  3. системы с мобильными устройствами (н)
  4. системы с технологиями беспроводного доступа (н)
  5. грид-системы (н)
  6. суперкомпьютерные системы (с)
  1. системы на основе «тонкого клиента» (в)
  2. системы на основе одноранговой сети (с)
  3. файл-серверные системы (н)
  4. центры обработки данных (н)
  5. системы с удаленным доступом пользователей (н)
  6. использование разных типов операционных систем (с)
  7. использование прикладных программ, независимых от операционных систем (с)
  8. использование выделенных каналов связи (с)
  1. взаимодействующая с системами (н)
  2. невзаимодействующая с системами (с)
  1. подключенная (н)
  2. подключенная через выделенную инфраструктуру (gov.ru или иную) (с)
  3. неподключенной (в)
  1. расположенные в пределах одной контролируемой зоны (в)
  2. расположенные в пределах нескольких контролируемых зон (с)
  3. расположенные вне контролируемой зоны (н)
  1. многопользовательский (н)
  2. однопользовательский (в)
  1. без разграничения (н)
  2. с разграничением (с)
  1. без разделения (н)
  2. выделение рабочих мест для администрирования в отдельный домен (с)
  3. использование различных сетевых адресов (с)
  4. использование выделенных каналов для администрирования (с)
  1. без сегментирования (н)
  2. с сегментированием (с)

Потенциал, требуемый нарушителю для реализации угрозы безопасности информации, может быть базовым (низким), базовым повышенным (средним) или высоким. Значение потенциала нарушителя для угрозы безопасности информации определяется на основе данных, приведенных в банке данных угроз безопасности информации ФСТЭК России, а также в базовых и типовых моделях угроз безопасности информации, разрабатываемых ФСТЭК России для информационных систем различных классов и типов.

Возможность реализации угрозы безопасности информации:

Потенциал нарушителя Уровень защищенности
Высокий Средний Низкий
базовый (низкий) Низкая Средняя Высокая
базовый повышенный (средний) Средняя Высокая Высокая
высокий Высокая Высокая Высокая

Результат реализации угрозы безопасности информации:


Свойство безопасности информации Результат реализации угрозы безопасности информации
Не оказывает воздействия Оказывает воздействие
Конфиденциальность В результате реализации угрозы безопасности информации отсутствует возможность неправомерного доступа, копирования, предоставления или распространения информации В результате реализации угрозы безопасности информации возможны неправомерный доступ, копирование, предоставление или распространение информации
Целостность В результате реализации угрозы безопасности информации отсутствует возможность уничтожения или модифицирования информации В результате реализации угрозы безопасности информации возможно уничтожение или модифицирование информации
Доступность В результате реализации угрозы безопасности информации отсутствует возможность блокирования информации В результате реализации угрозы безопасности информации возможно блокирование информации

Возможные негативнее последствия от нарушения конфиденциальности, целостности, доступности информации

Вид ущерба – экономический (финансовый)

Вид ущерба – социальный

Вид ущерба – политический

Вид ущерба – репутационный

Вид ущерба – ущерб в области обороны, безопасности и правопорядка

Вид ущерба – ущерб субъекту персональных данных

Вид ущерба – технологический

Степень ущерба

Высокая - в результате нарушения одного из свойств безопасности информации (конфиденциальности, целостности, доступности) возможны существенные негативные последствия. Информационная система и (или) оператор (обладатель информации) не могут выполнять возложенные на них функции.

Средняя - в результате нарушения одного из свойств безопасности информации (конфиденциальности, целостности, доступности) возможны умеренные негативные последствия. Информационная система и (или) оператор (обладатель информации) не могут выполнять хотя бы одну из возложенных на них функций.

Низкая - в результате нарушения одного из свойств безопасности информации (конфиденциальности, целостности, доступности) возможны незначительные негативные последствия. Информационная система и (или) оператор (обладатель информации) могут выполнять возложенные на них функции с недостаточной эффективностью или выполнение функций возможно только с привлечением дополнительных сил и средств.


Определение актуальности угрозы безопасности информации:


Вероятность реализации угрозы Yj Степень возможного ущерба Хj
Низкая Средняя Высокая
Низкая Неактуальная Неактуальная Актуальная
Средняя Неактуальная Актуальная Актуальная
Высокая Актуальная Актуальная Актуальная

Модель нарушителя. Типы нарушителей


Типы нарушителей определяются по результатам анализа прав доступа субъектов к информации и (или) к компонентам информационной системы, а также анализа возможностей нарушителей по доступу к компонентам информационной системы исходя из структурно-функциональных характеристик и особенностей функционирования информационной системы.

Анализ прав доступа проводится в отношении следующих компонент информационной системы:

Виды и потенциал нарушителей:

  1. Специальные службы иностранных государств (блоков государств).
  2. Террористические, экстремистские группировки.
  3. Преступные группы (криминальные структуры).
  4. Внешние субъекты (физические лица).
  5. Конкурирующие организации.
  6. Разработчики, производители, поставщики программных, технических и программно-технических средств.
  7. Лица, привлекаемые для установки, наладки, монтажа, пусконаладочных и иных видов работ.
  8. Лица, обеспечивающие функционирование информационных систем или обслуживающие инфраструктуру оператора (администрация, охрана, уборщики и т.д.).
  9. Пользователи информационной системы.
  10. Администраторы информационной системы и администраторы безопасности.
  11. Бывшие работники (пользователи).

Возможные цели (мотивации) реализации нарушителями угроз безопасности информации:

Возможные способы реализации угроз безопасности информации: