Главная» Нормативно-правовые акты по информационной безопасности» Нормативно-правовые акты ФСТЭК»Методика оценки угроз безопасности информации (Утверждена ФСТЭК России 5 февраля 2021 г.) - 4. Определение возможных объектов воздействия угроз безопасности информации

Методика оценки угроз безопасности информации (Утверждена ФСТЭК России 5 февраля 2021 г.) - 4. Определение возможных объектов воздействия угроз безопасности информации

4.1. В ходе оценки угроз безопасности информации должны быть определены информационные ресурсы и компоненты систем и сетей, несанкционированный доступ к которым или воздействие на которые в ходе реализации (возникновения) угроз безопасности информации может привести к негативным последствиям – объекты воздействия.
Совокупность объектов воздействия и их интерфейсов определяет границы процесса оценки угроз безопасности информации и разработки модели угроз безопасности информации (рисунок 1, 3).
4.2. Исходными данными для определения возможных объектов воздействия являются:
а) общий перечень угроз безопасности информации, содержащейся в банке данных угроз безопасности информации ФСТЭК России (bdu.fstec.ru), модели угроз безопасности информации, разрабатываемые ФСТЭК России в соответствии с подпунктом 4 пункта 8 Положения о Федеральной службе по техническому и экспортному контролю, утвержденного Указом Президента Российской Федерации от 16 августа 2004 г. № 1085, а также отраслевые (ведомственные, корпоративные) модели угроз безопасности информации;
б) описания векторов компьютерных атак, содержащиеся в базах данных и иных источниках, опубликованных в сети «Интернет» (CAPEC, ATT&CK, OWASP, STIX, WASC и др.);
в) документация на сети и системы (в части сведений о составе и архитектуре, о группах пользователей и уровне их полномочий и типах доступа, внешних и внутренних интерфейсах);
г) договоры, соглашения или иные документы, содержащие условия использования информационно-телекоммуникационной инфраструктуры центра обработки данных или облачной инфраструктуры поставщика услуг (в случае функционирования систем и сетей на базе информационно- телекоммуникационной инфраструктуры центра обработки данных или облачной инфраструктуры);
д) негативные последствия от реализации (возникновения) угроз безопасности информации, определенные в соответствии с настоящей Методикой.
Указанные исходные данные могут быть дополнены иными документами и сведениями с учетом особенностей области деятельности, в которой функционируют системы и сети.
4.3. На основе анализа исходных данных и результатов инвентаризации систем и сетей определяются следующие группы информационных ресурсов и компонентов систем и сетей, которые могут являться объектами воздействия:
а) информация (данные), содержащаяся в системах и сетях (в том числе защищаемая информация, персональные данные, информация о конфигурации систем и сетей, данные телеметрии, сведения о событиях безопасности и др.);

б) программно-аппаратные средства обработки и хранения информации (в том числе автоматизированные рабочие места, серверы, включая промышленные, средства отображения информации, программируемые логические контроллеры, производственное, технологическое оборудование (исполнительные устройства));
в) программные средства (в том числе системное и прикладное программное обеспечение, включая серверы приложений, веб-приложений, системы управления базами данных, системы виртуализации);
г) машинные носители информации, содержащие как защищаемую информацию, так и аутентификационную информацию;
д) телекоммуникационное оборудование (в том числе программное обеспечение для управления телекоммуникационным оборудованием);
е) средства защиты информации (в том числе программное обеспечение для централизованного администрирования средств защиты информации);
ж) привилегированные и непривилегированные пользователи систем и сетей, а также интерфейсы взаимодействия с ними;
з) обеспечивающие системы.

 

4.4. На этапе создания систем и сетей объекты воздействия определяются на основе предполагаемых архитектуры и условий функционирования систем и сетей, определенных на основе изучения и анализа исходных данных. В ходе эксплуатации систем и сетей, в том числе при развитии (модернизации) систем и сетей, объекты воздействия определяются для реальных архитектуры и условий функционирования систем и сетей, полученных по результатам анализа исходных данных и инвентаризации систем и сетей.
Инвентаризация систем и сетей проводится с использованием автоматизированных средств, которые позволяют определить компоненты систем и сетей, а также внешние и внутренние интерфейсы.
4.5. Для определенных информационных ресурсов и компонентов систем и сетей должны быть определены виды воздействия на них, которые могут привести к негативным последствиям. Основными видами таких воздействий являются:
а) утечка (перехват) конфиденциальной информации или отдельных данных (нарушение конфиденциальности);

б) несанкционированный доступ к компонентам, защищаемой информации, системным, конфигурационным, иным служебным данным;
в) отказ в обслуживании компонентов (нарушение доступности);
г) несанкционированная модификация, подмена, искажение защищаемой информации, системных, конфигурационных, иных служебных данных (нарушение целостности);
д) несанкционированное использование вычислительных ресурсов систем и сетей в интересах решения несвойственных им задач;
е) нарушение функционирования (работоспособности) программно- аппаратных средств обработки, передачи и хранения информации.
4.6. Объекты воздействия определяются на аппаратном, системном и прикладном уровнях, на уровне сетевой модели взаимодействия, а также на уровне пользователей (рисунок 3).

Уровни архитектуры систем и сетей, на которых определяются объекты воздействия

Рисунок 3. Уровни архитектуры систем и сетей, на которых определяются объекты воздействия

4.7. В процессе эксплуатации систем и сетей объекты воздействия и виды воздействия на них могут дополняться и изменяться относительно их состава и видов воздействия, определенных на этапе создания данных систем и сетей. В этом случае учет изменений должен проводиться в рамках реализации мероприятий по управлению конфигурацией систем и сетей и анализу угроз безопасности информации в ходе их эксплуатации.
4.8. При оценке угроз безопасности информации в системах и сетях, функционирующих на базе информационно-телекоммуникационной инфраструктуры центра обработки данных или облачной инфраструктуры, объекты воздействия определяются с учетом состава и содержания услуг,

предоставляемых поставщиком услуг (например, инфраструктура как услуга, платформа как сервис, программное обеспечение как сервис).
Арендуемые или используемые на ином законном основании программно-аппаратные средства и их интерфейсы, каналы связи, программное обеспечение (в том числе программное обеспечение виртуализации и построенных на его базе виртуальных машин, виртуальных серверов, систем управления виртуализацией, виртуальных каналов связи и т.д.) относятся к объектам воздействия, находящимся в границе оценки угроз безопасности информации оператора. В отношении остальной информационно- телекоммуникационной инфраструктуры центра обработки данных или облачной инфраструктуры угрозы безопасности информации оцениваются поставщиком услуг.
Пример распределения границ при оценке угроз безопасности информации между оператором и поставщиком услуг представлен на рисунке 4.

Пример распределения границ при оценке угроз безопасности информации в информационной инфраструктуре поставщика услуг


Рисунок 4. Пример распределения границ при оценке угроз безопасности информации в информационной инфраструктуре поставщика услуг

4.9. Объекты воздействия и виды воздействия на них должны быть конкретизированы применительно к архитектуре и условиям функционирования систем и сетей, а также областям и особенностям деятельности обладателя информации и оператора.

 

Примеры определения объектов воздействия и видов воздействия на них приведены в приложении 5 к настоящей Методике.

Комментарии к статье "Методика оценки угроз безопасности информации (Утверждена ФСТЭК России 5 февраля 2021 г.) - 4. Определение возможных объектов воздействия угроз безопасности информации"
Войдите или зарегистрируйтесь, чтобы оставлять комментарии.
Забыли пароль?