Главная» Нормативно-правовые акты по информационной безопасности» Нормативно-правовые акты ФСТЭК»Методика оценки угроз безопасности информации (Утверждена ФСТЭК России 5 февраля 2021 г.) - Приложение 10

Методика оценки угроз безопасности информации (Утверждена ФСТЭК России 5 февраля 2021 г.) - Приложение 10

Приложение 10 к Методике оценки угроз безопасности информации

 

Примеры определения актуальных способов реализации угроз безопасности информации и соответствующие им виды нарушителей и их возможности

(для государственной информационной системы)

 

 

п/п

Вид нарушителя

Категория

нарушителя

Объект воздействия

Доступные

интерфейсы

Способы реализации

1

Специальные службы иностранных государств (Н4)

Внешний

База данных информационной системы,                                    содержащая идентификационную информацию граждан: несанкционированный доступ к компонентам систем или сетей, защищаемой                 информации, системным, конфигурационным,иным служебнымданным;

утечка                                          (нарушение конфиденциальности) защищаемой                 информации, системных, конфигурационных, иных служебныхданных

Веб-интерфейс удаленного администрирования базы                     данных

информационной системы

Использование недекларированных возможностей программного обеспечения телекоммуникационного оборудования

Пользовательский

веб-интерфейс доступа к          базе          данных информационной системы

Использование уязвимостей конфигурации системы управления базами данных

Линия связи между сервером основного                      центра                        обработки данных и сервером резервного центра обработки данных: перехват                           (нарушение

конфиденциальности) защищаемой информации, системных, конфигурационных,

иных служебных данных

Канал передачи данных между                          сервером основного             центра обработки данных и серверомрезервного

центра             обработки данных

Установка       программных закладок                               в

телекоммуникационное оборудование

Коммутационный             контроллер для          управления          аварийными задвижками в нефтепроводе: нарушение      функционирования (работоспособности)    средств обработки          и                хранения информации;

модификация                                (подмена) защищаемой                 информации, системных, конфигурационных, иных служебныхданных

Удаленный          канал управления коммутационным контроллером

Использование уязвимостей                   кода коммутационного контроллера

Съемные     машинные носители                   информации, содержащие аутентификационную информацию

Извлечение аутентификационной информации из постоянной памяти                     носителя (инвазивныйметод)

2

Отдельные физические                       лица (хакеры)(Н2)

Внешний

Удаленное автоматизированное рабочее           место(АРМ) пользователя: несанкционированный доступ к операционной                        системе       АРМ пользователя;

нарушение конфиденциальности информации, содержащейся на АРМпользователя

Доступ                  через локальную вычислительную     сеть организации

Внедрение      вредоносного программногообеспечения

Съемные машинные носители информации, подключаемые к АРМ пользователя

Использование уязвимостей конфигурации системы              управления

доступом           к           АРМ пользователя

Веб-сайт                   портала государственных            услуг (сервисов):

отказ в обслуживании веб-сайта портала государственных услуг

Веб-интерфейс пользователя веб-сайта государственных услуг

Использование уязвимостей                   кода программного обеспечения веб-сервера

Внедрение      вредоносного

кода в веб-приложение

3

Авторизованные пользователи систем и сетей (Н1)

Внутренний

АРМ главного бухгалтера организации:

модификация                     платежных поручений, хранящихся на АРМ главногобухгалтера

Локальная вычислительная       сеть организации

Ошибочные действия в ходе настройки АРМ главногобухгалтера

Сервер базы данных веб-сайта портала государственных услуг (сервисов):

отказ в обслуживании отдельных компонентов или систем и сетей в целом

Веб-интерфейс системы администрирования

веб-сайта            портала государственныхуслуг

Нарушение цепочки услуг по администрированию портала государственных услуг

Комментарии к статье "Методика оценки угроз безопасности информации (Утверждена ФСТЭК России 5 февраля 2021 г.) - Приложение 10"
Войдите или зарегистрируйтесь, чтобы оставлять комментарии.
Забыли пароль?