Угрозы информационной безопасности

Содержание

Документы ФСТЭК России по моделированию угроз персональным данным 2008 года.

  1. Базовая модель угроз ПДн ФСТЭК, 2008 г.
  2. Методика определения актуальных угроз ПДн 2008 г.

Базовая модель угроз ПДн ФСТЭК, 2008 г.


  • с перехватом (съемом) ПДн по техническим каналам с целью их копирования или неправомерного распространения;
  • с несанкционированным, в том числе случайным, доступом в ИСПДн с целью изменения, копирования, неправомерного распространения ПДн или деструктивных воздействий на элементы ИСПДн и обрабатываемых в них ПДн с использованием программных и программно-аппаратных средств с целью уничтожения или блокирования ПДн.
  • угроза утечки по техническим каналам := <источник угрозы>, < среда распространения ПДн и воздействий / приемник информативного сигнала / передатчик воздействующего сигнала>, <носитель ПДн>
  • угроза НСД := <источник угрозы>, <уязвимость программного или аппаратного обеспечения>, <способ реализации угрозы>, <объект воздействия>, <несанкционированный доступ>.
  • угроза НСД в ИСПДн: = <источник угрозы>, <уязвимость ИСПДн>, <способ реализации угрозы>, <объект воздействия (программа, протокол, данные и др.)>, <деструктивное действие>.
  • угроза «Отказа в обслуживании»: = <источник угрозы>, <уязвимость ИСПДн>, <способ реализации угрозы>, <объект воздействия (носитель ПДн)>, <непосредственный результат реализации угрозы (переполнение буфера, блокирование процедуры обработки, «зацикливание» обработки и т.п.)>;
  • угроза ПМВ в ИСПДн: = <класс вредоносной программы (с указанием среды обитания)>, <источник угрозы (носитель вредоносной программы)>, <способ инфицирования>, <объект воздействия (загрузочный сектор, файл и т.п.)>, <описание возможных деструктивных действий>, <дополнительная информация об угрозе (резидентность, скорость распространения, полиморфичность и др.)>.

ИСПДн НСД ПМВ Методика определения актуальных угроз ПДн 2008 г.

Классификация источников угроз информационной безопасности

Носителями угроз безопасности информации являются источники угроз. В качестве источников угроз могут выступать как субъекты (личность), так и объективные проявления, например, конкуренты, преступники, коррупционеры, административно-управленческие органы. Источники угроз преследуют при этом следующие цели: ознакомление с охраняемыми сведениями, их модификация в корыстных целях и уничтожение для нанесения прямого материального ущерба.

  • Все источники угроз информационной безопасности можно разделить на три основные группы:
    • Обусловленные действиями субъекта (антропогенные источники) — субъекты, действия которых могут привести к нарушению безопасности информации, данные действия могут быть квалифицированы как умышленные или случайные преступления. Источники, действия которых могут привести к нарушению безопасности информации могут быть как внешними, так и внутренними. Данные источники можно спрогнозировать, и принять адекватные меры.
    • Обусловленные техническими средствами (техногенные источники) — эти источники угроз менее прогнозируемы, напрямую зависят от свойств техники и поэтому требуют особого внимания. Данные источники угроз информационной безопасности, также могут быть как внутренними, так и внешними.
    • Стихийные источники — данная группа объединяет обстоятельства, составляющие непреодолимую силу (стихийные бедствия или другие обстоятельства, которые невозможно предусмотреть или предотвратить или возможно предусмотреть, но невозможно предотвратить), такие обстоятельства, которые носят объективный и абсолютный характер, распространяющийся на всех. Такие источники угроз совершенно не поддаются прогнозированию и, поэтому меры против них должны применяться всегда. Стихийные источники, как правило, являются внешними по отношению к защищаемому объекту и под ними, как правило, понимаются природные катаклизмы.

Документы Банка России о рисках информационной безопасности

  1. Письмо ЦБ РФ от 7 декабря 2007 г. № 197-Т “О рисках при дистанционном банковском обслуживании”
  2. Указание Банка России от 10 декабря 2015 г. № 3889-У «Об определении угроз безопасности персональных данных, актуальных при обработке персональных данных в информационных системах персональных данных”
  3. Рекомендации в области стандартизации Банка России РС БР ИББС-2.2-2009. «Методика оценки рисков нарушения информационной безопасности»

Письмо ЦБ РФ от 7 декабря 2007 г. № 197-Т “О рисках при дистанционном банковском обслуживании”

  • Осуществление DoS/DDoS атак в отношении серверов ДБО.
  • Кража персональной информации клиентов банка за счет фишинга через электронную почту.
  • Кражи реквизитов платежных карт при помощи скиминговый атак и фальшивых банкоматов.
  • Кража реквизитов доступа клиентов к системам ДБО при помощи социальной инженерии и телефонного мошенничества.

Указание Банка России от 10 декабря 2015 г. № 3889-У „Об определении угроз безопасности персональных данных, актуальных при обработке персональных данных в информационных системах персональных данных”

  • угроза несанкционированного доступа к персональным данным лицами, обладающими полномочиями в информационной системе персональных данных, в том числе в ходе создания, эксплуатации, технического обслуживания и (или) ремонта, модернизации, снятия с эксплуатации информационной системы персональных данных;
  • угроза воздействия вредоносного кода, внешнего по отношению к информационной системе персональных данных;
  • угроза использования методов социального инжиниринга к лицам, обладающим полномочиями в информационной системе персональных данных;
  • угроза несанкционированного доступа к отчуждаемым носителям персональных данных;
  • угроза утраты (потери) носителей персональных данных, включая переносные персональные компьютеры пользователей информационной системы персональных данных;
  • угроза несанкционированного доступа к персональным данным лицами, не обладающими полномочиями в информационной системе персональных данных, с использованием уязвимостей в организации защиты персональных данных;
  • угроза несанкционированного доступа к персональным данным лицами, не обладающими полномочиями в информационной системе персональных данных, с использованием уязвимостей в программном обеспечении информационной системы персональных данных;
  • угроза несанкционированного доступа к персональным данным лицами, не обладающими полномочиями в информационной системе персональных данных, с использованием уязвимостей в обеспечении защиты сетевого взаимодействия и каналов передачи данных;
  • угроза несанкционированного доступа к персональным данным лицами, не обладающими полномочиями в информационной системе персональных данных, с использованием уязвимостей в обеспечении защиты вычислительных сетей информационной системы персональных данных;
  • угроза несанкционированного доступа к персональным данным лицами, не обладающими полномочиями в информационной системе персональных данных, с использованием уязвимостей, вызванных несоблюдением требований по эксплуатации средств криптографической защиты информации.

Рекомендации в области стандартизации Банка России РС БР ИББС-2.2-2009. «Методика оценки рисков нарушения информационной безопасности»Процедура 1.Процедура 2.Процедура 3.Процедура 4.Процедура 5.Процедура 6.Класс 1.Класс 2.Класс 3.Класс 4.Класс 5.Класс 6.Класс 7.

Классификация уязвимостей систем безопасности

Угрозы в отношении ИБ конкретной системы или сети появляются в результате взаимодействия с самыми ненадежными частями созданной защиты – через факторы уязвимости. Большая часть известных уязвимостей появляются из-за действия определенных факторов:

  • недостаточное качество используемого ПО, аппаратной платформы;
  • непростые эксплуатационные условия, неграмотное размещение информационных данных;
  • низкая точность протоколов обмена данными и интерфейса;
  • различные параметры архитектуры автоматизированных систем в инфопотоках;
  • неполноценные процессы, функционирующие в системе.

Запуск источников угроз со стороны злоумышленников происходит для получения неправомерной выгоды за счет нанесению ущербу информационным данным.


Уязвимости принято делить на три основных класса:

  • объективные (зависят от техноснащения на объекте, который нуждается в защите, от настроек и характеристик используемого оборудования);
  • случайные (возникают на фоне форс-мажорных обстоятельств, специфики инфосреды, которая окружает объект);
  • субъективные (формируются из-за неграмотных действий специалистов во время создания систем хранения/защиты данных).

Классификация

Угрозы информационной безопасности могут быть классифицированы по различным признакам:

  • По аспекту информационной безопасности, на который направлены угрозы:
    • Угрозы конфиденциальности (неправомерный доступ к информации). Угроза нарушения конфиденциальности заключается в том, что информация становится известной тому, кто не располагает полномочиями доступа к ней. Она имеет место, когда получен доступ к некоторой информации ограниченного доступа, хранящейся в вычислительной системе или передаваемой от одной системы к другой. В связи с угрозой нарушения конфиденциальности, используется термин «утечка». Подобные угрозы могут возникать вследствие «человеческого фактора» (например, случайное делегировании тому или иному пользователю привилегий другого пользователя), сбоев работе программных и аппаратных средств. К информации ограниченного доступа относится государственная тайна и конфиденциальная информация (коммерческая тайна, персональные данные, профессиональные виды тайна: врачебная, адвокатская, банковская, служебная, нотариальная, тайна страхования, следствия и судопроизводства, переписки, телефонных переговоров, почтовых отправлений, телеграфных или иных сообщений (тайна связи), сведения о сущности изобретения, полезной модели или промышленного образца до официальной публикации (ноу-хау) и др.).
    • Угрозы целостности (неправомерное изменение данных). Угрозы нарушения целостности — это угрозы, связанные с вероятностью модификации той или иной информации, хранящейся в информационной системе. Нарушение целостности может быть вызвано различными факторами — от умышленных действий персонала до выхода из строя оборудования.
    • Угрозы доступности (осуществление действий, делающих невозможным или затрудняющих доступ к ресурсам информационной системы). Нарушение доступности представляет собой создание таких условий, при которых доступ к услуге или информации будет либо заблокирован, либо возможен за время, которое не обеспечит выполнение тех или иных бизнес-целей.
  • По расположению источника угроз:
    • Внутренние (источники угроз располагаются внутри системы);
    • Внешние (источники угроз находятся вне системы).
  • По размерам наносимого ущерба:
    • Общие (нанесение ущерба объекту безопасности в целом, причинение значительного ущерба);
    • Локальные (причинение вреда отдельным частям объекта безопасности);
    • Частные (причинение вреда отдельным свойствам элементов объекта безопасности).
  • По степени воздействия на информационную систему:
    • Пассивные (структура и содержание системы не изменяются);
    • Активные (структура и содержание системы подвергается изменениям).
  • По природе возникновения:
    • Естественные (объективные) — вызванные воздействием на информационную среду объективных физических процессов или стихийных природных явлений, не зависящих от воли человека;
    • Искусственные (субъективные) — вызванные воздействием на информационную сферу человека. Среди искусственных угроз в свою очередь выделяют:
      • Непреднамеренные (случайные) угрозы — ошибки программного обеспечения, персонала, сбои в работе систем, отказы вычислительной и коммуникационной техники;
      • Преднамеренные (умышленные) угрозы — неправомерный доступ к информации, разработка специального программного обеспечения, используемого для осуществления неправомерного доступа, разработка и распространение вирусных программ и т. д. Преднамеренные угрозы обусловлены действиями людей. Основные проблемы информационной безопасности связаны прежде всего с умышленными угрозами, так как они являются главной причиной преступлений и правонарушений.

Документы ФСТЭК России по моделированию угроз в государственных информационных системах (ГИС) и банк данных угроз ФСТЭК России.

  1. Методический документ ФСТЭК России. Меры защиты информации в государственных информационных системах (утв. ФСТЭК России 11.02.2014 г.)
  2. Проект методического документа ФСТЭК России. Методика определения угроз безопасности информации в информационных системах
  3. Банк данных угроз ФСТЭК России (bdu.fstec.ru).

Методический документ ФСТЭК России. Меры защиты информации в государственных информационных системах (утв. ФСТЭК России 11.02.2014 г.)

  1. Нарушитель с базовым потенциалом.
  2. Нарушитель с базовым усиленным потенциалом
  3. Нарушитель с высоким потенциалом

проекте методического документа ФСТЭК России. Методика определения угроз безопасности информации в информационных системах

  • ГОСТ Р 56545-2015 Защита информации. Уязвимости информационных систем. Правила описания уязвимостей
  • ГОСТ Р 56546-2015 Защита информации. Уязвимости информационных систем. Классификация уязвимостей информационных систем

банке данных угроз ФСТЭК России

Несколько фактов, которые заставляют задуматься

В 2016 году в 26% банков были зафиксированы DDoS-атаки.

Одна из самых больших утечек персональных данных случилась в июле 2017 г. в бюро кредитных историй Equifax (США). Данные 143 миллионов человек и 209 тысяч номеров кредитных карт попали в руки злоумышленников.


«Кто владеет информацией – тот владеет миром». Это высказывание не утратило своей актуальности, особенно когда речь идет о конкуренции. Так, в 2010 г. была сорвана презентация iPhone 4 из-за того, что один из сотрудников забыл прототип смартфона в баре, а нашедший его студент продал прототип журналистам. В результате этого эксклюзивный обзор смартфона вышел в СМИ за несколько месяцев до его официальной презентации.

Источники, угрожающие информационной безопасности

Также требуется классифицировать источники, которые угрожают информационной безопасности объекта. Принято выделять следующие критерии:

  1. По типу намеренности осуществления вмешательства в систему защиты: случайное вмешательство со стороны сотрудников компании и намеренное вмешательство со стороны киберпреступников для получения личных выгод.
  2. По природе возникновения: угрозы, спровоцированные действиями человека (искусственные) и угрозы, которые не могут быть проконтролированы информационным системам (к примеру, ставшие следствием стихийных бедствий).
  3. По причине возникновения. В качестве виновника могут выступать:
    • люди, разглашающие конфиденциальные данные с применением подкупа ответственных лиц;
    • природные факторы, ставшие причиной аварии, катастрофы, возникновения различных нарушений в функционале оборудования;
    • интеграция вредоносного кода или использование неподходящего ПО, нарушающего работу системы;
    • непреднамеренное удаление информации, отказ в работе ОС и т. п.
  4. По активности воздействия угроз на инфоресурсы (при обработке информации, при передаче данных, вне зависимости от типа работы системы в данный момент).

В организации защиты информации, конфиденциальных данных помогают специализированные программы, программное обеспечение, приложения, инструменты. К таковым относятся: антивирусное ПО, web-фильтры, IDM, IPS, PUM, защита от DDoS-атак, систематический анализ исходного кода, анализ web-приложений, управление событиями безопасности, защита АСУ ТП, шифрование, защита мобильных устройств и мобильных приложений, резервное копирование и другие решения.

Основные принципы информационной безопасности

1. Целостность данных —  такое свойство, в соответствии с которым информация  сохраняет свое содержание и структуру в процессе  ее передачи и хранения.  Создавать, уничтожать или изменять данные  может только пользователь, имеющий право доступа.

2. Конфиденциальность  — свойство, которое указывает на необходимость ограничения доступа к конкретной информации для обозначенного круга лиц. Таким образом, конфиденциальность дает гарантию того, что в процессе передачи данных, они могут быть известны только авторизованным пользователям

3. Доступность  информации —  это свойство характеризует способность обеспечивать своевременный и беспрепятственный доступ полноправных пользователей к требуемой  информации.


4.  Достоверность – данный  принцип выражается  в строгой принадлежности информации субъекту, который является ее источником или от которого она принята.

Задача обеспечения информационной безопасности подразумевает реализацию многоплановых и комплексных мер по предотвращению и отслеживанию несанкционированного доступа неавторизованных лиц, а также действий, предупреждающих  неправомерное использование, повреждение, искажение, копирование, блокирование информации.

Вопросы информационной безопасности становятся первоочередными в тех случаях, когда выход из строя или возникновение ошибки в конкретной компьютерной системе могут привести к тяжелым последствиям.

Виды угроз информационной безопасности предприятия

Существует несколько причин, по которым становится возможным незаконный доступ до конфиденциальной информации злоумышленниками. Среди них особенно опасными являются следующие:

Халатное отношение сотрудников компании к защите цифровых данных.

Виновными могут оказаться не преступники, которые хотят украсть информацию, а рядовые сотрудники. Они совершают эти действия из-за недостатка зданий или невнимательности.

Основные причины нарушения безопасности со стороны сотрудников:

  • Переход по фишинговой ссылке с рабочего компьютера и заражение вредоносной программой корпоративной сети;
  • Хранение конфиденциальных данных на сменных носителях информации;
  • Пересылка информации с секретными данными по обычной электронной почте или через незащищенный мессенджер.

Использование нелицензионных программ

Коммерческие компании часто экономят средства на приобретении ПО и позволяют сотрудникам пользоваться пиратскими версиями офисных приложений и профессиональных программ. Однако при этом возникает опасность внедрения в сеть вирусов и других вредоносных программ.

Кроме того, использование пиратского ПО влечет за собой дополнительные минусы:

  • Отсутствие периодических обновлений, которые «латают дыры» в системе защиты;
  • Отсутствие технической поддержки со стороны разработчиков;
  • Невозможность проверки подлинности кода приложения.

Умышленные DDoS атаки на сервера компаний

Distributed-Denial-of-Service подразумевает отправку очень большого количества сетевых запросов от пользователей в сети, зараженных специальной программой. Из-за этого ресурс, на который направлена атака, блокируется по причине перегрузки канала связи. Длительная неработоспособность сервера негативно отражается на лояльности пользователей.

Часто к такому приему прибегают конкуренты потерпевшего, DDoS-атака применяется как средство шантажа и отвлечения специалистов по сетевой безопасности от реальных проблем. Например, отвлечение внимания на такую атаку может служить прикрытием для кражи денежных средств или платежной информации с сервера.

Работа вредоносных программ

Компьютерные вирусы – распространенная угроза безопасности IT-инфраструктуры компании. Ущерб, нанесенный вредоносными программами, исчисляется миллионами долларов. В последние 3-5 лет наблюдается увеличения числа вредоносных программ и атак с их стороны, а также сумм понесенных компаниями потерь.

Дополнительная опасность в том, что помимо компьютеров пользователей и серверов, сейчас заражению подвергаются и другие элементы сетевой инфраструктуры:

Наибольший ущерб причиняют вирусы, которые шифруют данные на компьютере пользователя и требуют от него денежного перевода за расшифровку. Примерами таких вредоносных утилит являются WannaCry, Petya.

Действия правоохранительных органов

В ходе расследования уголовных дел и при проведении некоторых видов проверок представители контролирующих и правоохранительных органов могут изымать компьютерную технику и документы, в том числе с конфиденциальной информацией.

Это приводит сразу к двум негативным последствиям:

Дополнительный минус этого в том, что решение об изъятии могут принимать должностные лица государственного органа, что делает практически невозможным своевременную защиту интересов компании в сфере информационной безопасности.

Что такое информационная безопасность организации

Безопасность информационной инфраструктуры компании подразумевает защиту от случайных или умышленных действий, которые могут нанести вред владельцам данных или их пользователям. Действия лиц, несущих ответственность за эту сферу, должны быть направлены на создание защиты, препятствующей утечкам данных, а не борьбу с их последствиями

Но при этом важно сохранять простой доступ к информации тем людям, которые на законных основаниях пользуются базами данных

Ущерб, причиняемый утечкой информации, невозможно спрогнозировать заранее. Он может выражаться в незначительной сумме, но в некоторых случаях приводит к полной неспособности компании заниматься хозяйственной деятельностью.

Проблема сохранности конфиденциальной информации и коммерческой тайны существовала и ранее. Но по мере развития электронных средств обработки и хранения данных повышается вероятность их утечки и незаконного копирования. Если ранее для кражи чертежей нового продукта нужно было физически вынести их с завода, сейчас достаточно получить доступ к серверу через электронные каналы связи или записать их на миниатюрную карту памяти.

В большинстве случаев краже подлежат следующие данные:

  • Информация о реальном финансовом состоянии компании;
  • Инновационные разработки научно-технических отделов;
  • Регистрационные данные для доступа к защищенным серверам;
  • Персональные данные работников.

Дополнительной сложностью является то, что кража информации может негативно отразиться на компании не сразу после ее совершения, а по прошествии определенного времени. Неважные на первый взгляд данные при их обнародовании могут нанести репутационный вред компании и уменьшить ее рыночную стоимость.

Поэтому при разработке мер по обеспечению информационной безопасности нельзя делить данные на виды. Все, что размещено в IT-инфраструктуре компании и храниться в архивах, не должно выходить за ее пределы.

Методика идентификации угроз – «дерево угроз»

ГОСТ Р 51901.13-2005 (МЭК 61025:1990) Менеджмент риска. Анализ дерева неисправностей

  • нарушение конфиденциальности защищаемых данных;
  • нарушение целостности защищаемых данных;
  • нарушение доступности защищаемых данных.
  • разглашение защищаемых данных со стороны лиц, допущенных к их обработке;
  • осуществление несанкционированного доступа к защищаемым данным со стороны не допущенных лиц;
  • утечка защищаемых данных по техническим каналам.
  • повреждение защищаемых данных вследствие действий лиц, допущенных к их обработке;
  • повреждение защищаемых данных вследствие действия вредоносного кода;
  • повреждение защищаемых данных вследствие отказов и сбоев компьютера, на котором они обрабатываются.
  • уничтожение защищаемых данных вследствие воздействия вредоносного кода (криптолокеры);
  • уничтожение защищаемых данных вследствие выхода из строя жесткого диска компьютера, на котором они хранятся;
  • нарушение условий эксплуатации объекта информатизации, делающее невозможным работу с ним персонала.

Выводы

Еще год назад исследование фиксировало, что до 18% респондентов не владели информацией о количестве и качестве ИБ-инцидентов в своих компаниях. Это свидетельствовало о том, что внедрение программных продуктов для защиты данных в бизнесе оставалось сравнительно низким. Например, DLP-системы, направленные на предотвращение утечек, использовала только четверть компаний.

В 2018 году эта цифра увеличилась до 32% и, согласно прогнозам аналитиков, продолжит расти. По нашим оценкам, у рынка защиты данных гигантский потенциал, освоено только 10-15%. На его насыщение будут влиять требования регуляторов (в частности, ФЗ-187). Но играет роль и изменение экономической ситуации. Защита информационной безопасности становится частью процесса защиты и оптимизации самого бизнеса.


С этим читают