Методика аудита информационной безопасности

  • автор:

Как определить степень защищенности системы (объекта информатизации)?
Сегодня существует два наиболее распространенных типа аудита ИБ: первый – оценка соответствия требованиям стандартов (compliance) и второй – моделирование угроз и оценка рисков.
Оба типа имеют недостатки, результатом которых может стать некорректная оценка. В первом случае мы проверяем соответствие нашей системы требованиям, предъявляемым к широкому кругу систем. Эти требования не могут учитывать специфику конкретной системы, и поэтому существует вероятность наличия излишних требований или недостатка необходимых. Во втором случае результат зависит только от квалификации и осведомленности аудитора.
Под катом описана методика аудита ИБ, минимизирующая эти недостатки.
В основе предлагаемой методики лежит построение деревьев отказов и причин (из теории графов). Ниже действия аудитора приведены поэтапно.
1. Подготовительные мероприятия

  • выбираем стандарт ИБ (российский, международный, отраслевой);
  • выписываем требования, предъявляемые выбранным стандартом к нашей системе;
  • для каждого требования составляем нарушение (событие, в результате которого требование не будет выполняться).

2. Построение деревьев отказов

  • для каждого нарушения, составленного на этапе подготовительных мероприятий, строим дерево отказов (таким образом описываем события, тянущиеся за нарушением);
  • выявляем события, не приводящие к нарушениям свойств информационной безопасности, и удаляем их из дальнейшего рассмотрения.

3. Построение деревьев причин

  • для всех узлов деревьев отказов, не являющихся листьями или корнями (в нашем случае листья – это события, непосредственно приводящие к нарушениям свойств информационной безопасности, корни – первоначальные нарушения), строим деревья причин (таким образом описываем события, способные привести к конкретному нарушению);
  • если при построении деревьев причин появились нарушения, отсутствующие в деревьях отказов, то для таких нарушений строим требования, приводящие к их устранению.

4. Оценка выполнения требований

  • проводим оценку выполнения требований (требований стандарта минус требования, удаленные на этипе построения деревьев отказов плюс требования, построенные на этапе построения деревьев причин).

Иллюстрация этапов 2 и 3 представлена на рисунках ниже.
Пример построения деревьев отказов:

Пример построения деревьев причин:

Список литературы диссертационного исследования кандидат наук Кураленко Алексей Игоревич, 2015 год

СПИСОК ИСПОЛЬЗОВАННОЙ ЛИТЕРАТУРЫ

11. Вентцель Е.С. Теория вероятностей: Учеб. для вузов. — 6-е изд. стер. — М.: Высш. шк..- 1999. — 576 с.

12. Виханский О.С. Стратегическое управление: Учебник. — 2-е изд -М.: Гадарики. — 2000. — 296с.

13. Вихорев С.В. Классификация угроз информационной безопасности. ..М: ОАО «ЭЛВИС-ПЛЮС».- 2001г. — 12 с.

17. Герасименко В.А. Основы защиты информации. — М.: Изд-во МИФИ, 1997. — 537с.

18. Горбатов B.C., Полянская О.Ю. Основы технологии PKI. — М.: Горячая линия — Телеком. — 2004. -248 с.

19. ГОСТ Р 50922-2006 «Защита информации. Термины и определения». -2006. — 18 с.

20. ГОСТ Р 51275 — 2006 Защита информации. Объект информатизации. Факторы воздействующие на информацию. Госстандарт России. — 2006. — 7с.

21. ГОСТ Р ИСО/МЭК 15408-2-2002. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий.- 2004.- 35 с.

23. ГОСТ Р ИСО\МЭК 27001 — 2005. «Системы менеджмента информационной безопасности. Требования».- 2006. — 26 с.

25. Грушо А.А., Тимонина Е.Е. Теоретические основы защиты информации. — М.: Издательство Агентства «Яхтсмен». — 1996.

27. Домарев В.В. Безопасность информационных технологий. Системный подход: — К.: ООО «ТИД ДС». — 2004. — 992 с.

30. ЖТЯИ.00067 02 90 01 КриптоПро УЦ Общее описание. Формуляр на программно-аппаратный комплекс. — 62 с.

32. Загоскин В.В., Бацула А.П.. Организационная защита информации: Учеб. пособие.-Томск: В-Спектр. — 2005.-146с.

33. Заде Л. Понятие лингвистической переменной и его применение к принятию приближённых решений. — М.: Мир. — 1976. — 163 с.

35. Кирсанов С.В. Метод оценки угроз информационной безопасности АСУ ТП газовой отрасли// Доклады ТУСУР. -2013. -№2 (28) С.115-118.

37. Кофман А. Введение в теорию нечётких множеств. — М. Радио и связь. — 1982. — 432 с.

39. Кураленко А.И. Алгоритм аудита информационной безопасности объекта информатизации// Материалы докладов «Электронные средства и системы управления» VIII Международной научно-практической конференции посвященной 50-летию ТУСУРа 8-10 ноября 2012. -Томск: В-Спектр,2012.-Ч.2. -С. 38-41.

41. Кураленко А.И. Метод оценки вероятности реализации угроз безопасности информационно-телекоммуникационной системы// «Проблемы

информационной безопасности. Компьютерные системы». № 3, 2014г. С.38-42.

43. Кураленко А.И. Оценка защищенности системы обеспечения безопасности информации удостоверяющего центра// Системы высокой доступности.- 2013. — №3. — С.128-130

44. Кураленко А.И. Оценка эффективности систем обеспечения безопасности информации на основе нечеткой логики// Системы высокой доступности. — 2014. — №2. — С.61-64.

45. Кураленко А.И. Процесс аудита информационной безопасности в организации// Материалы Всероссийской научно-технической конференции студентов, аспирантов и молодых ученых «Научная сессия ТУСУР—2012», посвященной 50-летию ТУСУРа 16—18 мая 2012 г.- Томск: «В-Спектр, 2012. —Ч.3.- С.46-50.

47. Кураленко А.И., Бацула А.П.. Построение системы обеспечения безопасности информации методом стратегического планирования// Труды Северо-Кавказского филиала Московского технического университета связи и информатики. — Ростов-на-Дону: ПЦ «Университет» СКФ МТУСИ. — 2013. — С. 319-321.

48. Кураленко А.И., Бацула А.П. Использование категорирования в обеспечении безопасности распределенных удостоверяющих центров// Труды Северо-Кавказского филиала Московского технического университета

связи и информатики, часть I. — Ростов-на-Дону.: ПЦ «Университет» СКФ МТУСИ, — 2014. — Ч.1.- С. 451-453.

54. Кураленко А.И., Яценко А.С. Метод оценки уязвимостей в системе обеспечения безопасности информации АСУ ТП// Безопасность информационного пространства: материалы XII Всероссийской научно-практической конференции студентов, аспирантов и молодых ученых, Екате-ринбург,2-4 декабря 2013г, Екатеринбург: Изд-во Урал. ун-та, 2014.-С. 214216.

55. Курило А.П. Аудит информационной безопасности, БДЦ-пресс. -2006 г.- 304 с.

56. Леоненков А.В. Нечеткое моделирование в среде MATLAB и fuzzyTECH / А. Леоненков. — СПб: БХВ-Петербург. — 2003. — 736 с.

58. Малюк А.А. Информационная безопасность: концептуальные и методологические основы защиты информации. Учеб. пособие для вузов. М: Горячая линия- Телеком, 2004.-280 с.

60. Методика определения актуальных угроз безопасности информации в ключевых системах информационной инфраструктуры, (утверждена заместителем директора ФСТЭК России 18 мая 2007 года). — 2008г.

61. Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных ФСТЭК от 14 февраля 2008 г.- 2008. — 12 с.

62. Орлов А.И. Экспертные оценки. Учебное пособие. М.- 2011. —

486 с.

63. Павлов А.Н., Соколов Б.В.. Методы обработки экспертной информации: учебно-метод. пособие. ГУАП. СПб. — 2005. -42с.

64. Перегудов Ф.И., Тарасенко Ф.П. Основы системного анализа: Учеб. 2-е изд., доп.-Томск: НТЛ. — 1997.-396 с.

65. Перегудов Ф.И., Тарасенко Ф.П. Основы системного анализа: Учеб. 2-е изд., доп.-Томск: Изд-во НТЛ. — 1997.-396 с

66. Петренко А.А. Аудит безопасности Intranet. — М.: ДМК Пресс, 2002. — 416с.

68. Половко А.М. Теория надежности. — СПб.: БХВ-Петербург, 2006.

704с

69. Приказ ФСТЭК России от 18 февраля 2013 г. N 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных». . — Режим доступа: http ://fstec.ru/normotvorcheskaya/ akty/53-normotvorcheskaya/ akty/prikazy/691 -prikaz-fstek-rossii-ot- 18-fevralya-2013- g-n-21 (дата обращения 08.02.2014)

72. Росенко А.П. Внутренние угрозы безопасности конфиденциальной информации. Методология и теоритические исследования. — 2010.-153с.

73. Руководящий документ. Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации. Гостехкомиссия РФ 1997.

75. Специальные требования и рекомендации по технической защите конфиденциальной информации. Гостехкомиссия РФ 2002. — 2002. — 80 с.

76. СТО БР ИББС-1.0-2014. Общие положения. — 2014. -44 с.

77. СТО БР ИББС-1.1-2007. «Аудит информационной безопасности». — 2007. — 14 с.

78. СТО БР ИББС-1.2-2014. Методика оценки соответствия информационной безопасности организаций банковской системы Российской Федерации требованиям СТО БР ИББС-1.0-2014. — 2014. — 111 с.

79. Тарасенко Ф.П. Прикладной системный анализ: — Томск: Изд-во Том. ун-та, 2004. — 186с.

82. Федеральный закон Российской Федерации от 6 апреля 2011 г. N 63-ФЗ «Об электронной подписи».

83. Федеральный закон Российской Федерации от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации».

84. Штовба С.Д. Проектирование нечетких систем средствами MATLAB / С. Д. Штовба. — М: Горячая линия-Телеком, 2007. — 288 с.

85. Штовба С.Д., «Введение в теорию нечетких множеств и нечеткую логику», Горячая Линия — Телеком, 2007. — 288 с.

88. CobiT: Control Objectives. ISACA, 5 Edition, 2013. — 94 p.

91. Moeller R. IT Audit, Control, and Security, John Wiley & Sons, Inc. 2010. — 696 pages.

93. Pfleeger S.L. and Cunningham R.K., «Why Measuring Security Is Hard,» IEEE Security & Privacy, vol. 8, no. 4, 2010, pp. 46-54.

95. Shermer М., «None So Blind,» Scientific Am., Mar.2004, p. 42.

ПРИЛОЖЕНИЕ А

Таблица А. 1 Перечень угроз безопасности информации

Индекс угрозы Описание угрозы

УБИ. 001 Угроза автоматического распространения вредоносного кода в грид-системе

УБИ. 002 Угроза агрегирования данных, передаваемых в грид-системе

УБИ. 003 Угроза анализа криптографических алгоритмов и их реализации

УБИ. 004 Угроза аппаратного сброса пароля BIOS

УБИ. 005 Угроза внедрения вредоносного кода в BIOS

УБИ. 006 Угроза внедрения кода или данных

УБИ. 007 Угроза воздействия на программы с высокими привилегиями

УБИ. 008 Угроза восстановления аутентификационной информации

УБИ. 009 Угроза восстановления предыдущей уязвимой версии BIOS

УБИ. 010 Угроза выхода процесса за пределы виртуальной машины

УБИ. 011 Угроза деавторизации санкционированного клиента беспроводной сети

УБИ. 012 Угроза деструктивного изменения конфигурации/среды окружения программ

УБИ. 013 Угроза деструктивного использования декларированного функционала BIOS

УБИ. 014 Угроза длительного удержания вычислительных ресурсов пользователями

УБИ. 015 Угроза доступа к защищаемым файлам с использованием обходного пути

УБИ. 016 Угроза доступа к локальным файлам сервера при помощи URL

УБИ. 017 Угроза доступа/перехвата/изменения HTTP cookies

УБИ. 018 Угроза загрузки нештатной операционной системы

УБИ. 019 Угроза заражения DNS-кеша

УБИ. 020 Угроза злоупотребления возможностями, предоставленными потребителям облачных услуг

УБИ. 021 Угроза злоупотребления доверием потребителей облачных услуг

УБИ. 022 Угроза избыточного выделения оперативной памяти

УБИ. 023 Угроза изменения компонентов системы

УБИ. 024 Угроза изменения режимов работы аппаратных элементов компьютера

УБИ. 025 Угроза изменения системных и глобальных переменных

УБИ. 026 Угроза искажения XML-схемы

УБИ. 027 Угроза искажения вводимой и выводимой на периферийные устройства информации

УБИ. 028 Угроза использования альтернативных путей доступа к ресурсам

УБИ. 029 Угроза использования вычислительных ресурсов суперкомпьютера «паразитными» процессами

УБИ. 030 Угроза использования информации идентификации/аутентификации, заданной по умолчанию

УБИ. 031 Угроза использования механизмов авторизации для повышения привилегий

УБИ. 032 Угроза использования поддельных цифровых подписей BIOS

УБИ. 033 Угроза использования слабостей кодирования входных данных

УБИ. 034 Угроза использования слабостей протоколов сетевого/локального обмена данными

УБИ. 035 Угроза использования слабых криптографических алгоритмов BIOS

УБИ. 036 Угроза исследования механизмов работы программы

УБИ. 037 Угроза исследования приложения через отчёты об ошибках

УБИ. 038 Угроза исчерпания вычислительных ресурсов хранилища больших данных

УБИ. 039 Угроза исчерпания запаса ключей, необходимых для обновления BIOS

УБИ. 040 Угроза конфликта юрисдикций различных стран

УБИ. 041 Угроза межсайтового скриптинга

УБИ. 042 Угроза межсайтовой подделки запроса

УБИ. 043 Угроза нарушения доступности облачного сервера

УБИ. 044 Угроза нарушения изоляции пользовательских данных внутри виртуальной машины

УБИ. 045 Угроза нарушения изоляции среды исполнения BIOS

УБИ. 046 Угроза нарушения процедуры аутентификации субъектов виртуального информационного взаимодействия

УБИ. 047 Угроза нарушения работоспособности грид-системы при нетипичной сетевой

нагрузке

УБИ. 048 Угроза нарушения технологии обработки информации путём несанкционированного внесения изменений в образы виртуальных машин

УБИ. 049 Угроза нарушения целостности данных кеша

УБИ. 050 Угроза неверного определения формата входных данных, поступающих в хранилище больших данных

УБИ. 051 Угроза невозможности восстановления сессии работы на ПЭВМ при выводе из промежуточных состояний питания

УБИ. 052 Угроза невозможности миграции образов виртуальных машин из-за несовместимости аппаратного и программного обеспечения

УБИ. 053 Угроза невозможности управления правами пользователей BIOS

УБИ. 054 Угроза недобросовестного исполнения обязательств поставщиками облачных услуг

УБИ. 055 Угроза незащищённого администрирования облачных услуг

УБИ. 056 Угроза некачественного переноса инфраструктуры в облако

УБИ. 057 Угроза неконтролируемого копирования данных внутри хранилища больших данных

УБИ. 058 Угроза неконтролируемого роста числа виртуальных машин

УБИ. 059 Угроза неконтролируемого роста числа зарезервированных вычислительных ресурсов

УБИ. 060 Угроза неконтролируемого уничтожения информации хранилищем больших данных

УБИ. 061 Угроза некорректного задания структуры данных транзакции

УБИ. 062 Угроза некорректного использования прозрачного прокси-сервера за счёт плагинов браузера

УБИ. 063 Угроза некорректного использования функционала программного обеспечения

УБИ. 064 Угроза некорректной реализации политики лицензирования в облаке

УБИ. 065 Угроза неопределённости в распределении ответственности между ролями в облаке

УБИ. 066 Угроза неопределённости ответственности за обеспечение безопасности облака

УБИ. 067 Угроза неправомерного ознакомления с защищаемой

информацией

УБИ. 068 Угроза неправомерного/некорректного использования интерфейса взаимодействия с приложением

УБИ. 069 Угроза неправомерных действий в каналах связи

УБИ. 070 Угроза непрерывной модернизации облачной инфраструктуры

УБИ. 071 Угроза несанкционированного восстановления удалённой защищаемой информации

УБИ. 072 Угроза несанкционированного выключения или обхода механизма защиты от записи в BIOS

УБИ. 073 Угроза несанкционированного доступа к активному и (или) пассивному виртуальному и (или) физическому сетевому оборудованию из физической и (или) виртуальной сети

УБИ. 074 Угроза несанкционированного доступа к аутентификационной информации

УБИ. 075 Угроза несанкционированного доступа к виртуальным каналам передачи

УБИ. 076 Угроза несанкционированного доступа к гипервизору из виртуальной машины и (или) физической сети

УБИ. 077 Угроза несанкционированного доступа к данным за пределами зарезервированного адресного пространства, в том числе выделенного под виртуальное аппаратное обеспечение

УБИ. 078 Угроза несанкционированного доступа к защищаемым виртуальным машинам из виртуальной и (или) физической сети

УБИ. 079 Угроза несанкционированного доступа к защищаемым виртуальным машинам со стороны других виртуальных машин

УБИ. 080 Угроза несанкционированного доступа к защищаемым виртуальным устройствам из виртуальной и (или) физической сети

УБИ. 081 Угроза несанкционированного доступа к локальному компьютеру через клиента грид-системы

УБИ. 082 Угроза несанкционированного доступа к сегментам вычислительного поля

УБИ. 083 Угроза несанкционированного доступа к системе по беспроводным каналам

УБИ. 084 Угроза несанкционированного доступа к системе хранения данных из виртуальной и (или) физической сети

УБИ. 085 Угроза несанкционированного доступа к хранимой в виртуальном пространстве защищаемой информации

УБИ. 086 Угроза несанкционированного изменения аутентификационной информации

УБИ. 087 Угроза несанкционированного использования привилегированных функций BIOS

УБИ. 088 Угроза несанкционированного копирования защищаемой информации

УБИ. 089 Угроза несанкционированного редактирования реестра

УБИ. 090 Угроза несанкционированного создания учётной записи пользователя

УБИ. 091 Угроза несанкционированного удаления защищаемой информации

УБИ. 092 Угроза несанкционированного удалённого внеполосного доступа к аппаратным средствам

УБИ. 093 Угроза несанкционированного управления буфером

УБИ. 094 Угроза несанкционированного управления синхронизацией и состоянием

УБИ. 095 Угроза несанкционированного управления указателями

УБИ. 096 Угроза несогласованности политик безопасности элементов облачной инфраструктуры

УБИ. 097 Угроза несогласованности правил доступа к большим данным

УБИ. 098 Угроза обнаружения открытых портов и идентификации привязанных к нему сетевых служб

УБИ. 099 Угроза обнаружения хостов

УБИ. 100 Угроза обхода некорректно настроенных механизмов аутентификации

УБИ. 101 Угроза общедоступности облачной инфраструктуры

УБИ. 102 Угроза опосредованного управления группой программ через совместно используемые данные

УБИ. 103 Угроза определения типов объектов защиты

УБИ. 104 Угроза определения топологии вычислительной сети

УБИ. 105 Угроза отказа в загрузке входных данных неизвестного формата хранилищем больших данных

УБИ. 106 Угроза отказа в обслуживании системой хранения данных суперкомпьютера

УБИ. 107 Угроза отключения контрольных датчиков

УБИ. 108 Угроза ошибки обновления гипервизора

УБИ. 109 Угроза перебора всех настроек и параметров приложения

УБИ. 110 Угроза перегрузки грид-системы вычислительными заданиями

УБИ. 111 Угроза передачи данных по скрытым каналам

УБИ. 112 Угроза передачи запрещённых команд на оборудование с числовым программным управлением

УБИ. 113 Угроза перезагрузки аппаратных и программно-аппаратных средств вычислительной техники

УБИ. 114 Угроза переполнения целочисленных переменных

УБИ. 115 Угроза перехвата вводимой и выводимой на периферийные устройства информации

УБИ. 116 Угроза перехвата данных, передаваемых по вычислительной сети

УБИ. 117 Угроза перехвата привилегированного потока

УБИ. 118 Угроза перехвата привилегированного процесса

УБИ. 119 Угроза перехвата управления гипервизором

УБИ. 120 Угроза перехвата управления средой виртуализации

УБИ. 121 Угроза повреждения системного реестра

УБИ. 122 Угроза повышения привилегий

УБИ. 123 Угроза подбора пароля BIOS

УБИ. 124 Угроза подделки записей журнала регистрации событий

УБИ. 125 Угроза подключения к беспроводной сети в обход процедуры аутентификации

УБИ. 126 Угроза подмены беспроводного клиента или точки доступа

УБИ. 127 Угроза подмены действия пользователя путём обмана

УБИ. 128 Угроза подмены доверенного пользователя

УБИ. 129 Угроза подмены резервной копии программного обеспечения BIOS

УБИ. 130 Угроза подмены содержимого сетевых ресурсов

УБИ. 131 Угроза подмены субъекта сетевого доступа

УБИ. 132 Угроза получения предварительной информации об объекте защиты

УБИ. 133 Угроза получения сведений о владельце беспроводного устройства

УБИ. 134 Угроза потери доверия к поставщику облачных услуг

УБИ. 135 Угроза потери и утечки данных, обрабатываемых в облаке

УБИ. 136 Угроза потери информации вследствие несогласованности работы узлов хранилища больших данных

УБИ. 137 Угроза потери управления облачными ресурсами

УБИ. 138 Угроза потери управления собственной инфраструктурой при переносе её в облако

УБИ. 139 Угроза преодоления физической защиты

УБИ. 140 Угроза приведения системы в состояние «отказ в обслуживании»

УБИ. 141 Угроза привязки к поставщику облачных услуг

УБИ. 142 Угроза приостановки оказания облачных услуг вследствие технических сбоев

УБИ. 143 Угроза программного выведения из строя средств хранения, обработки и (или) ввода/вывода/передачи информации

УБИ. 144 Угроза программного сброса пароля BIOS

УБИ. 145 Угроза пропуска проверки целостности программного обеспечения

УБИ. 146 Угроза прямого обращения к памяти вычислительного поля суперкомпьютера

УБИ. 147 Угроза распространения несанкционированно повышенных прав на всю грид-систему

УБИ. 148 Угроза сбоя автоматического управления системой разграничения доступа хранилища больших данных

УБИ. 149 Угроза сбоя обработки специальным образом изменённых файлов

УБИ. 150 Угроза сбоя процесса обновления BIOS

УБИ. 151 Угроза сканирования веб-сервисов, разработанных на основе языка описания WSDL

УБИ. 152 Угроза удаления аутентификационной информации

УБИ. 153 Угроза усиления воздействия на вычислительные ресурсы пользователей при помощи сторонних серверов

УБИ. 154 Угроза установки уязвимых версий обновления программного обеспечения BIOS

УБИ. 155 Угроза утраты вычислительных ресурсов

УБИ. 156 Угроза утраты носителей информации

УБИ. 157 Угроза физического выведения из строя средств хранения, обработки и (или) ввода/вывода/ передачи информации

УБИ. 158 Угроза форматирования носителей информации

УБИ. 159 Угроза «форсированного веб-браузинга»

УБИ. 160 Угроза хищения средств хранения, обработки и (или) ввода/вывода/передачи информации

УБИ. 161 Угроза чрезмерного использования вычислительных ресурсов суперкомпьютера в ходе интенсивного обмена межпроцессорными сообщениями

УБИ. 162 Угроза эксплуатации цифровой подписи программного кода

УБИ. 163 Угроза перехвата исключения/сигнала из привилегированного блока функций

УБИ. 164 Угроза распространения состояния «отказ в обслуживании» в облачной инфраструктуре

УБИ. 165 Угроза включения в проект не достоверно испытанных компонентов

УБИ. 166 Угроза внедрения системной избыточности

УБИ. 167 Угроза заражения компьютера при посещении неблагонадёжных сайтов

УБИ. 168 Угроза «кражи» учётной записи доступа к сетевым сервисам

УБИ. 169 Угроза наличия механизмов разработчика

УБИ. 170 Угроза неправомерного шифрования информации

УБИ. 171 Угроза скрытного включения вычислительного устройства в состав бот-сети

УБИ. 172 Угроза распространения «почтовых червей»

УБИ. 173 Угроза «спама» веб-сервера

УБИ. 174 Угроза «фарминга»

УБИ. 175 Угроза «фишинга»

УБИ. 176 Угроза нарушения технологического/производственного процесса из-за временных задержек, вносимых средством защиты

УБИ. 177 Угроза неподтверждённого ввода данных оператором в систему, связанную с безопасностью

УБИ. 178 Угроза несанкционированного использования системных и сетевых утилит

УБИ. 179 Угроза несанкционированной модификации защищаемой информации

УБИ. 180 Угроза отказа подсистемы обеспечения температурного режима

УБИ. 181 Угроза перехвата одноразовых паролей в режиме реального времени

УБИ. 182 Угроза физического устаревания аппаратных компонентов

УБИ.183 Явления не техногенного и антропогенного характера

ПРИЛОЖЕНИЕ Б

Таблица Б.1 Анкета по определению уязвимых звеньев

Вопрос Ответ Наименование уязвимого звена Индекс уязвимого звена

Используется ли в ИТКС Да Средства ввода информации УЗ 1.2

компьютеры с периферийными устройствами? Средства отображения информации УЗ 1.4

Средства обработки информации УЗ 1.5

Микросхемы базовой системы ввода\вывода УЗ 2.1

Некачественные программные УЗ 2.7

продукты

Нет

Используются ли на Да Гибкие магнитные диски УЗ 1.1

компьютерах дисководы Накопители для гибких магнит- УЗ 1.2

для флоппи-дисков ных дисков

Нет

Используются ли персо- Да Отчуждаемые носители УЗ 1.1

налом отчуждаемые

жесткие диски, стриме-

Нет

ры, магнитные ленты,

флэш-карты?

Используется ли в ИТКС Да Принтеры УЗ 1.3

множительная техника

подключаемая к компь- Нет

ютерам?

Используются ли персо- Да Дисководы CD, DVD дисков УЗ 1.3

налом ИТКС дисководы

и программные средства записи? Нет

Установлены ли серверы Да

сети в отдельных помещениях?

Нет Серверы, к которым открыт физический доступ УЗ 3.5

Установлены ли основ- Да

ные коммутационные

элементы в отдельном помещении? Нет Коммутационные элементы сети, к которым имеется физический доступ УЗ 1.6

Проложены ли кабели Да

компьютерной сети в специальных коробах? Нет Кабели компьютерной сети на участках, где имеется к ним физический доступ УЗ 1.6

Сертифицировано ли си- Да

стемное ПО? Нет Несертифицированная ОС УЗ 2.2

Сертифицировано ли се- Да

тевое по? Нет Сетевая ОС, сетевые драйверы УЗ 2.2

Сетевое прикладное ПО УЗ 2.4

Сертифицированы ли применяемые средства защиты? Да

Нет Программные и программно-аппаратные средства защиты УЗ 2.2

Сертифицированы ли применяемые программы общего пользования? Да

Нет Прикладное ПО УЗ 2.4

Имеются ли на компьютерах пользователей базы данных собственной разработки? Да Незащищенная информация пользователя УЗ 2.5

Нет

Какой стек протоколов используется для сетевого взаимодействия? TCP/IP Уязвимости TCP/IP УЗ 2.3

IPX/SPX Уязвимости IPX/SPX УЗ 2.3

NetBEUE Уязвимости NetBEUE УЗ 2.3

IBM SNA Уязвимости IBM SNA УЗ 2.3

Специальный защищенный

Подключена ли локальная сеть к сети общего пользования? Да Шлюз выхода в сеть общего пользования УЗ 2.2

Уязвимости протоколов межсетевого взаимодействия УЗ 2.3

Недокументированные точки входа через прикладной сервис УЗ 2.4

Нет

Имеется ли на объекте система бесперебойного питания? Да

Нет Система электропитания УЗ 1.7

Установлены ли в сети администратором общие сетевые ресурсы? Да Открытые общие сетевые ресурсы УЗ 2.2

Затрудняюсь ответить Открытые общие сетевые ресурсы УЗ 2.2

Нет

Используются ли сотрудниками или администратором нештатное ПО? Да Нештатное ПО УЗ 2.2

Нет

Затрудняюсь ответить Нештатное ПО УЗ 2.2

Установлен ли пропускной режим? Да

Нет Неконтролируемый вход УЗ 3.4

Закрываются ли помещения с компьютерной техникой? Да

Нет Неконтролируемый вход УЗ 3.4

Контролируются ли ежедневно правила и режимы эксплуатации техники на предприятии? Да

Нет Нерегламентированные режимы эксплуатации компьютерной техники УЗ 3.1, 3.2, 3.3

Проложены ли коммуникации компьютерной сети за пределами охраняемой территории? Да Некатегорированные помещения УЗ 3.4

Нет

Используются ли основные прикладные программы Internet? Да Прикладные программы и сетевые службы Internet УЗ 2.5

Нет

Используются ли на сервере исполняемые программы пользователей? Да Прикладное ПО сервера УЗ 2.4

Нет

Разрабатываются ли сотрудниками прикладные программы? Да Разрабатываются УЗ 2.4

Нет

Таблица Б.2 Анкета по определению уязвимых звеньев

Запрос эксперта Варианты ответа

Возможно

По помещениям, где расположены компоненты ИТКС

Находится ли помещения на УЗ 3.5

охраняемой территории?

Имеются ли помещения трубы УЗ 4.1, 4.2

отопления, водоснабжения?

Имеется ли радиосеть? УЗ 4.1, 4.2 УЗ 4.1, 4.2

Имеются ли металлоконструкции? УЗ 4.1, 4.2

Имеется ли охранно-пожарная сигнализация? УЗ 4.1, 4.2 УЗ 4.1, 4.2

Имеется ли бытовая техника? УЗ 4.1, 4.2 УЗ 4.1, 4.2

Имеются ли щели у стояков? УЗ 4.2 УЗ 4.2

Имеются ли форточки, окна? УЗ 4.2

Возможно ли нахождение радио- УЗ 4.1, 4.2 УЗ 4.1, 4.2

закладок?

Выходят ли за пределы кабели УЗ 4.1, 4.2

электропитания?

Имеется ли сеть электрочасов? УЗ 4.1, 4.2

Имеются ли вентиляционные си- УЗ 4.1, 4.2

стемы?

Имеются ли трансляционная сеть УЗ 4.1, 4.2

и громкоговорящая связь?

Имеется ли внешняя телефонная УЗ 4.1, 4.2

связь?

Проходят ли через помещения линии связи? УЗ 4.1, 4.2

Имеются ли работающие техни- УЗ 4.1, 4.2

ческие средства обработки и передачи информации?

Имеются ли работающие ВТСС?

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *