Практика рассмотрения моделей угроз безопасности...
TRANSCRIPT
![Page 1: Практика рассмотрения моделей угроз безопасности информации органов государственной власти](https://reader033.vdocuments.pub/reader033/viewer/2022052405/5875c39b1a28ab33128b5aef/html5/thumbnails/1.jpg)
Практика рассмотрения моделей угроз
безопасности информации
органов государственной власти
Торбенко Елена Борисовна
1
![Page 2: Практика рассмотрения моделей угроз безопасности информации органов государственной власти](https://reader033.vdocuments.pub/reader033/viewer/2022052405/5875c39b1a28ab33128b5aef/html5/thumbnails/2.jpg)
В 2014 годурассмотрено более 60 моделей угроз безопасности информации
2
![Page 3: Практика рассмотрения моделей угроз безопасности информации органов государственной власти](https://reader033.vdocuments.pub/reader033/viewer/2022052405/5875c39b1a28ab33128b5aef/html5/thumbnails/3.jpg)
Модель угроз безопасности информации - это
физическое, математическое, описательное
представление свойств или характеристик угроз
безопасности информации.
ГОСТ 50922
Примечание: Видом описательного представления
свойств или характеристик угроз безопасности
информации может быть специальный
нормативный документ.
3
![Page 4: Практика рассмотрения моделей угроз безопасности информации органов государственной власти](https://reader033.vdocuments.pub/reader033/viewer/2022052405/5875c39b1a28ab33128b5aef/html5/thumbnails/4.jpg)
ФЗ«О персональных данных».
Приказ № 17
Гос. тайна
Базовая модель угроз безопасности персональных данных при их
обработке в информационных системах персональных данных
Методика определения актуальных угроз безопасности
персональных данных при их обработке в информационных
системах персональных данных
Базовая модель угроз безопасности информации в ключевых
системах информационной инфраструктуры
Методика определения актуальных угроз безопасности информации
в ключевых системах информационной инфраструктуры
Базовая модель угроз несанкционированного доступа к
информации в оборудовании с числовым программным
управлением
4
![Page 5: Практика рассмотрения моделей угроз безопасности информации органов государственной власти](https://reader033.vdocuments.pub/reader033/viewer/2022052405/5875c39b1a28ab33128b5aef/html5/thumbnails/5.jpg)
Отсутствие структурно функциональных характеристик
рассматриваемой системы
- структура ИС.
- состав ИС
- взаимосвязи между сегментами ИС
- взаимосвязи с другими ИС и ИТКС
- условия функционирования ИС
Наиболее распространенные ошибки
Отчет об обследовании
ИС
5
![Page 6: Практика рассмотрения моделей угроз безопасности информации органов государственной власти](https://reader033.vdocuments.pub/reader033/viewer/2022052405/5875c39b1a28ab33128b5aef/html5/thumbnails/6.jpg)
Рассматриваются не все угрозы, связанные с
особенностями используемых технологий
Пример: Технология виртуализации:
- гипервизор
- среда виртуализации
- etc.
• нарушение процедуры аутентификации субъектов виртуализированногоинформационного взаимодействия;
• нарушение работоспособности информационных систем, построенных на основе технологий виртуализации, за счет несанкционированного доступа к средствам виртуализации;
• атака на виртуальные каналы передачи данных;• несанкционированный доступ к образам виртуальных машин;• нарушение изоляции пользовательских данных внутри виртуальных машин;• атака на гипервизор с виртуальной машины;• атака на гипервизор из физической сети;• атака на защищаемые виртуальные машины из физической сети;• неконтролируемы рост числа виртуальных машин;• атака на сеть репликации виртуальных машин;• перехват управления в среде виртуализации;• выход процесса за пределы виртуальной среды.• ……..
Наиболее распространенные ошибки
6
![Page 7: Практика рассмотрения моделей угроз безопасности информации органов государственной власти](https://reader033.vdocuments.pub/reader033/viewer/2022052405/5875c39b1a28ab33128b5aef/html5/thumbnails/7.jpg)
Неверное определение объектов защиты
- носители защищаемой информации
- директории
- каталоги файлов
- защищаемая информация
- сервера
- …..
Наиболее распространенные ошибки
7
![Page 8: Практика рассмотрения моделей угроз безопасности информации органов государственной власти](https://reader033.vdocuments.pub/reader033/viewer/2022052405/5875c39b1a28ab33128b5aef/html5/thumbnails/8.jpg)
Угроза: Источник + уязвимость + способ реализации +
объект воздействия + деструктивное воздействие.
Не проводится анализ возможных источников угроз
- Нарушитель
- Вредоносная программа
- Аппаратная закладка
Наиболее распространенные ошибки
8
![Page 9: Практика рассмотрения моделей угроз безопасности информации органов государственной власти](https://reader033.vdocuments.pub/reader033/viewer/2022052405/5875c39b1a28ab33128b5aef/html5/thumbnails/9.jpg)
Угроза: Источник + уязвимость + способ реализации +
объект воздействия + деструктивное воздействие.
Не анализируются последствия от действий нарушителя
- Нарушение конфиденциальности
- Нарушение целостности
- Нарушение доступности
Наиболее распространенные ошибки
9
![Page 10: Практика рассмотрения моделей угроз безопасности информации органов государственной власти](https://reader033.vdocuments.pub/reader033/viewer/2022052405/5875c39b1a28ab33128b5aef/html5/thumbnails/10.jpg)
Угроза: Источник + уязвимость + способ реализации +
объект воздействия + деструктивное воздействие.
Не учитывают уязвимости, присутствующие в
информационной системе
уязвимость – это свойство информационной системы,
обусловливающее возможность реализации угроз
безопасности обрабатываемой в ней информации
Наиболее распространенные ошибки
10
![Page 11: Практика рассмотрения моделей угроз безопасности информации органов государственной власти](https://reader033.vdocuments.pub/reader033/viewer/2022052405/5875c39b1a28ab33128b5aef/html5/thumbnails/11.jpg)
Угроза: Источник + уязвимость + способ реализации +
объект воздействия + деструктивное воздействие.
Неверное определение способов реализации угроз
- Как может действовать нарушитель???
Наиболее распространенные ошибки
11
![Page 12: Практика рассмотрения моделей угроз безопасности информации органов государственной власти](https://reader033.vdocuments.pub/reader033/viewer/2022052405/5875c39b1a28ab33128b5aef/html5/thumbnails/12.jpg)
Забывают о необходимости пересмотра модели угроз
Наиболее распространенные ошибки
ЗИ ПРИ ВЫВОДЕ ИЗ ЭКСПЛУАТАЦИИ
ГИС
ЭКСПЛУАТАЦИЯ ГИС
АТТЕСТАЦИЯ ГИС
РЕАЛИЗАЦИЯ СИСТЕМЫ ЗИ
РАЗРАБОТКАСИСТЕМЫ ЗИ
ТРЕБОВАНИЯ К СИСТЕМЕ ЗИ
12
![Page 13: Практика рассмотрения моделей угроз безопасности информации органов государственной власти](https://reader033.vdocuments.pub/reader033/viewer/2022052405/5875c39b1a28ab33128b5aef/html5/thumbnails/13.jpg)
• использование при моделировании угроз безопасности
информации устаревшей нормативной правовой базы
• отсутствие перечней нормативных правовых актов
• отсутствие единой терминологии
Наиболее распространенные ошибки
13
![Page 14: Практика рассмотрения моделей угроз безопасности информации органов государственной власти](https://reader033.vdocuments.pub/reader033/viewer/2022052405/5875c39b1a28ab33128b5aef/html5/thumbnails/14.jpg)
Актуальные угрозы
Меры
Модель угроз
Тех задание
Меры
14
![Page 15: Практика рассмотрения моделей угроз безопасности информации органов государственной власти](https://reader033.vdocuments.pub/reader033/viewer/2022052405/5875c39b1a28ab33128b5aef/html5/thumbnails/15.jpg)
Типовая модель угроз
ИАС2
ИАС1
ИАС3
……….
ИАСN
Частнаямодель угроз 1
Частнаямодель угроз 2
Частнаямодель угроз 3
Частнаямодель угроз N
15