Порядок анализа угроз и нарушителей

Прежде, чем определить угрозы ИС и какие нарушители ИБ могут быть, необходимо получить сведения о системе.

О системе необходимо собрать следующую информацию:

• -архитектура ИС;
• -используемое аппаратное обеспечение;
• -используемое программное обеспечение;
• -системные интерфейсы (внутренняя и внешняя связность);
• -топология сети;
• -присутствующие в системе данные и информация;
• -поддерживающий персонал и пользователи;
• -миссия системы (то есть процессы, выполняемые ИС);
• -критичность системы и данных;
• -чувствительность (то есть требуемый уровень защищенности) системы и данных.

Требуется также собрать информацию об эксплуатационном окружении системы:

• -функциональные требования к ИС;
• -политики безопасности, положения которых затрагивают ИС;
• -меры защиты доступности, конфиденциальности и целостности хранимых данных;
• -потоки данных, принадлежащих системе, входные и выходные данные;
• -существующие программно-технические регуляторы безопасности (то есть встроенные или дополнительные защитные средства, поддерживающие идентификацию и аутентификацию, управление доступом, протоколирование и аудит, защиту остаточной информации, криптографические функции и т. д.);
• -существующие регуляторы безопасности административного уровня (политика и программы безопасности, меры планирования безопасности, правила поведения и т. п.);
• -существующие регуляторы безопасности процедурного уровня (кадровая безопасность, процедуры управления пользователями, управление разделением обязанностей пользователей, обеспечение бесперебойной работы, резервное копирование, хранение данных вне производственных площадей, восстановление после аварий, сопровождение системы);
• -меры физической защиты ИС (физическая защита производственных площадей, контроль доступа в центр обработки данных и т. п.);
• -защита ИС от угроз со стороны окружающей среды (средства контроля температуры, влажности, загрязнения, электропитание, водоснабжение и т. д.).

В роли внешних злоумышленников могут выступать хакеры, преступники, террористы и шпионы. У каждой из выделенных категорий свой уровень мотивации (нарастающий от хакеров к шпионам) и вооруженности ресурсами. Внутренними злоумышленниками могут быть как плохо подготовленные, так и обиженные или уволенные сотрудники. Внешний злоумышленник может стать внутренним, если ему удастся взломать систему и начать действовать от имени легального пользователя.

Угрозы первоначально разделить на 2 больших класса: со стороны внешних нарушителей и со стороны внутренних. В то же время угрозы подразделяются на угрозы конфиденциальности, доступности и целостности информации. Данный аудит рассматривает АС для процедуры аутентификации пользователей в системе онлайн банкинга. По этой причине угрозы могут быть направлены на сервер, клиент и среду передачи информации от клиента к серверу. Угрозы необходимо выделить из приложения к германскому стандарту BSI.

Содержит следующие группы угроз:

Т1. Угрозы в связи с форс-мажорными обстоятельствами.

Т2. Угрозы на организационном уровне.

Т3. Угрозы, связанные с ошибками людей.

Т4. Угрозы, связанные с техникой.

Т5. Угрозы, возникающие на предпроектном этапе.

T 1. Угрозы в связи с форс-мажорными обстоятельствами Т1.2. Отказ информационной системы.

Т1.3. Молния.

Т1.4. Пожар.

Т1.6. Возгорание кабеля.

Т1.7. Недопустимая температура и влажность.

Т1.8. Пыль, загрязнение.

Т1.9. Потеря данных из-за воздействия интенсивных магнитных полей.

Т1.10. Отказ сети на большой территории.

Т1.11. Катастрофы в окружающей среде.

Т1.12. Проблемы, вызванные неординарными общественными событиями.

Т2. Угрозы на организационном уровне Т2.1. Отсутствие или недостатки регламентирующих документов.

Т2.2. Недостаточное знание требований регламентирующих документов.

Т2.4. Недостатки контроля и измерения уровня безопасности в информационной технологии.

Т2.5. Недостатки в обслуживании.

Т2.6. Несоответствие помещений требованиям в области безопасности.

Т2.7. Превышение полномочий.

Т2.8. Нерегламентированное использование ресурсов.

Т2.9. Недостатки в процедурах отслеживания изменений в информационной технологии.

Т2.10. Несоответствие среды передачи данных предъявляемым требованиям.

Т2.12. Недостатки в документировании коммуникаций.

Т2.13. Недостаточная защищенность от действий дистрибьюторов.

Т2.14. Ухудшение использования информационных технологий из-за плохих условий на рабочих местах.

Т2.16. Несанкционированное (недокументированное) изменение пользователей портативной ЭВМ.

Т2.19. Некорректная система управления криптографическими ключами.

Т2.21. Ненадлежащая организация изменения пользователей.

Т2.22. Отсутствие должной оценки результатов аудита данных.

Т2.24. Несанкционированный доступ к конфиденциальным данным в сети.

Т2.25. Уменьшение скорости обмена, вызванное вспомогательными функциями взаимодействия одноуровневых объектов.

Т2.26. Недостаточное тестирование ПО.

Т2.27. Неправильная документация.

Т2.29. Несанкционированное тестирование программ на этапе эксплуатации ИС.

Т2.31. Некорректная защита систем под управлением ОС Windows NT.

Т2.32. Неподходящая пропускная способность телекоммуникационных линий.

Т2.34. Отсутствие или некорректная настройка механизмов безопасности Novell Netware.

Т2.36. Неправильные ограничения пользовательской среды.

Т2.37. Неконтролируемое использование коммуникационных линий.

Т2.38. Недостаточное или неправильное использование штатных механизмов защиты базы данных.

Т2.40. Сложность доступа к базам данных.

Т2.41. Неверная организация обмена данных пользователей с базой данных.

Т2.44. Несовместимые активные и пассивные сетевые компоненты.

Т2.45. Концептуальные ошибки проектирования сети.

Т2.46. Превышение максимально допустимой длины кабеля.

Т2.47. Передача данных по коммуникациям, не соответствующим требованиям безопасности.

Т2.48. Неадекватное использование информации и документов при работе в домашних условиях.

Т2.49. Недостаточное или неверное обучение телеобработке.

Т2.50. Задержки, вызванные временными сбоями при удаленной работе.

Т2.51. Плохая интеграция удаленных рабочих мест в информационную технологию.

Т2.52. Более длинные временные периоды реакции системы в случае неверного выбора архитектуры системы.

Т2.53. Неполные инструкции относительно замены аппаратно-программных средств на удаленных рабочих местах.

Т2.55. Неконтролируемое использование электронной почты.

Т2.57. Неправильное хранение носителей информации в случае аварий.

Т2.59. Работа с незарегистрированными компонентами.

Т2.60. Недостаточная детализация стратегии сети и системы управления сетевыми ресурсами.

Т2.61. Неразрешенная совокупность личных данных.

Т2.62. Неподходящая обработка инцидентов в области безопасности.

Т2.66. Недостатки или неадекватность системы управления в области безопасности.

Т2.67. Недостатки администрирования прав доступа.

Т3. Угрозы, связанные с ошибками людей Т3.1. Нарушение конфиденциальности/целостности данных в результате ошибок пользователей.

Т3.2. Разрушение оборудования или данных в результате небрежности.

Т3.3. Несоблюдение правил поддержания режима ИБ.

Т3.4. Несанкционированные подключения кабелей.

Т3.5. Повреждения кабелей из-за небрежности.

Т3.6. Опасности, связанные с увольнением или выведением персонала за штат.

Т3.8. Запрещенные действия в информационной системе.

Т3.9. Запрещенные действия системного администратора.

Т3.12. Потери носителей с данных при их перевозке (перемещении).

Т3.13. Передача неправильных или нежелательных данных.

Т3.15. Неправильное использование автоответчиков.

Т3.16. Неправильное администрирование сайта и прав доступа.

Т3.17. Смена пользователей ПК, не соответствующая внутренним правилам.

Т3.18. Совместное использование информационных ресурсов и оборудования.

Т3.20. Неумышленное предоставление доступа для чтения.

Т3.21. Использование ключей с нарушениями правил.

Т3.22. Модификация системного реестра.

Т3.24. Небрежность манипуляций с данными.

Т3.25. Небрежность при стирании (уничтожении) информации.

Т3.26. Небрежность при совместном использовании файловой системы.

Т3.28. Неправильные конфигурации активных сетевых компонентов.

Т3.29. Недостатки системы сегментации.

Т3.30. Использование удаленных рабочих станций для личных нужд.

Т3.31. Хаотичность в организации данных.

Т3.32. Нарушение законодательства в использовании криптографии.

Т3.33. Неправильное использование криптомодулей.

Т3.34. Неудачная конфигурация системы управления.

Т3.35. Отключение сервера во время работы.

Т3.37. Непродуктивные исследования.

Т3.38. Ошибки в конфигурации и операциях.

Т3.40. Несоответствие используемых процедур аутентификации требованиям, предъявляемым к удаленным рабочим местам.

Т3.41. Неправильное использование сервисов удаленного доступа.

Т3.43. Нарушение инструкций использования паролей.

Т3.44. Небрежности в обработке информации.

Т3.45. Некорректно работающая система идентификации партнеров.

Т4. Угрозы, связанные с техникой Т4.1. Разрушения системы электроснабжения.

Т4.2. Отказы внутренних сетей электроснабжения.

Т4.3. Недействительность имеющихся гарантий.

Т4.4. Ухудшение состояния линий из-за воздействия окружающей среды.

Т4.5. Перекрестные подключения.

Т4.6. Броски напряжения в системе электроснабжения.

Т4.7. Дефекты кабелей информационных сетей.

Т4.8. Обнаруженные уязвимости ПО.

Т4.9. Разрушение внутренних источников электропитания.

Т4.10. Сложности доступа к сетевым ресурсам.

Т4.12. Недостатки аутентификации между серверами и клиентами.

Т4.13. Потеря хранимых данных.

Т4.14. Отсутствие специальной бумаги для факсов.

Т4.15. Отправка сообщения по факсу неправильному получателю из-за неверной коммутации.

Т4.16. Неполучение сообщения, отправленного по факсу, из-за ошибки передачи.

Т4.17. Дефект факсимильного аппарата.

Т4.18. Разрядка аккумулятора или неправильное электропитание в автоответчиках.

Т4.19. Потери информации из-за старения (ухудшения качества) носителя данных.

Т4.20. Потери данных из-за старения (ухудшения качества) носителя данных.

Т4.21. Неправильное экранирование от транзитных потоков.

Т4.22. Уязвимости ПО или ошибки.

Т4.25. Все еще активные подключения.

Т4.26. Отказ базы данных.

Т4.28. Потери данных в базе данных.

Т4.29. Потери данных в базе данных, вызванные недостатком емкости диска.

Т4.30. Потеря целостности базы данных.

Т4.31. Отказ или сбой компонентов сети.

Т4.32. Отказ при отправке сообщений.

Т4.33. Отсутствие процедуры идентификации или ненадлежащее ее качество.

Т4.34. Отказ криптомодулей.

Т4.35. Некорректность криптоалгоритма.

Т4.36. Ошибки при кодировании данных.

Т4.37. Неполучение (несвоевременная доставка) электронной почты или квитанций.

Т4.38. Отказы компонентов системы управления сетью или информационной системой.

Т4.39. Концептуальные ошибки ПО.

Т4.43. Недокументированные возможности.

Т5. Угрозы, возникающие на предпроектном этапе Т5.1. Разрушение оборудования или вспомогательной инфраструктуры информационной системы.

Т5.2. Манипуляция данными или ПО.

Т5.3. Нарушения системы контроля доступа в помещениях.

Т5.4. Воровство.

Т5.5. Вандализм.

Т5.6. Нападения.

Т5.7. Перехват в линиях связи.

Т5.8. Манипуляции линиями связи.

Т5.9. Неавторизованное использование информационной системы.

Т5.10. Злоупотребления, связанные с удаленным доступом.

Т5.17. Угрозы, исходящие от посторонних специалистов, привлекаемых для обслуживания элементов информационной системы.

Т5.18. Подбор паролей.

Т5.19. Злоупотребления правами пользователей.

Т5.20. Злоупотребления правами администратора.

Т5.21. Вредоносное ПО. «Троянские» кони.

Т5.22. Воровство мобильных элементов информационной системы.

Т5.23. Враждебные апплеты и вирусы.

Т5.24. Закладки.

Т5.26. Подслушивание и перехват сообщений.

Т5.28. Недоступность сервисов.

Т5.29. Несанкционированное копирование носителей данных.

Т5.31. Несанкционированный просмотр поступающих по факсу сообщений.

Т5.38. Неправильные употребления отдаленного запроса.

Т5.39. Проникновение в информационную систему через системы связи.

Т5.40. Ненадлежащий контроль помещений, в которых установлены компьютеры, оборудованные микрофонами.

Т5.42. Враждебное использование методов социальной инженерии.

Т5.43. Макровирусы.

Т5.44. Злоупотребление доступом к отдаленным портам для получения чужих данных.

Т5.45. Подбор пароля в ОС Windows.

Т5.49. Злоупотребления с маршрутизацией данных.

Т5.50. Злоупотребления с протоколом ICMP.

Т5.51. Злоупотребления с протоколом маршрутизации.

Т5.52. Злоупотребления правами администратора в системах под Windows NT.

Т5.53. Неправильное использование защитных кабинетов.

Т5.54. Преднамеренные действия, приводящие к аварийному завершению.

Т5.55. Вход в обход системы аутентификации.

Т5.56. Ненадлежащий учет пользователей, имеющих свободный доступ к сетевым ресурсам.

Т5.57. Несанкционированный запуск сканеров сети.

Т5.61. Злоупотребления, связанные с удаленным управлением маршрутизатором.

Т5.62. Злоупотребления, связанные с удаленным управлением ресурсами информационной системы.

Т5.64. Манипуляции данными или программным обеспечением базы данных.

Т5.65. Отказ в обслуживании базы данных.

Т5.66. Неразрешенные подключения в ЛВС информационной системы.

Т5.67. Несанкционированное управление сетевыми ресурсами.

Т5.68. Несанкционированный доступ к активному сетевому оборудованию.

Т5.69. Риск воровства на домашнем рабочем месте.

Т5.70. Манипуляции, выполняемые родственниками или посетителями.

Т5.71. Несанкционированный доступ к конфиденциальной информации определенных категорий пользователей.

Т5.75. Перегрузка при получении письма по электронной почте.

Т5.76. Вредоносное ПО в почте.

Т, 5.77. Несанкционированное ознакомление с электронной почтой.

Т5.78. Атака DNS spoofing.

Т5.79. Несанкционированное приобретение прав администратора под Windows NT.

Т5.81. Неразрешенное использование криптомодулей.

Т5.82. Манипуляции криптомодулями.

Т5.83. Компрометация криптографических ключей.

Т5.84. Подделка удостоверений.

Т5.85. Потеря целостности информации, которая должна быть защищена.

Т5.86. Манипуляции параметрами управления.

Т5.87. Атака Web spoofing.

Т5.88. Неправильное использование активного контента.

Т5.89. Захват сетевых подключений.

Т5.90. Манипуляции списками рассылки и адресными книгами.

Т5.94. Неправильное употребление компонентов оборудования.