Практика рассмотрения моделей угроз безопасности...

Практика рассмотрения моделей угроз

безопасности информации

органов государственной власти

Торбенко Елена Борисовна

[email protected]

1

В 2014 годурассмотрено более 60 моделей угроз безопасности информации

2

Модель угроз безопасности информации - это

физическое, математическое, описательное

представление свойств или характеристик угроз

безопасности информации.

ГОСТ 50922

Примечание: Видом описательного представления

свойств или характеристик угроз безопасности

информации может быть специальный

нормативный документ.

3

ФЗ«О персональных данных».

Приказ № 17

Гос. тайна

Базовая модель угроз безопасности персональных данных при их

обработке в информационных системах персональных данных

Методика определения актуальных угроз безопасности

персональных данных при их обработке в информационных

системах персональных данных

Базовая модель угроз безопасности информации в ключевых

системах информационной инфраструктуры

Методика определения актуальных угроз безопасности информации

в ключевых системах информационной инфраструктуры

Базовая модель угроз несанкционированного доступа к

информации в оборудовании с числовым программным

управлением

4

Отсутствие структурно функциональных характеристик

рассматриваемой системы

- структура ИС.

- состав ИС

- взаимосвязи между сегментами ИС

- взаимосвязи с другими ИС и ИТКС

- условия функционирования ИС

Наиболее распространенные ошибки

Отчет об обследовании

ИС

5

Рассматриваются не все угрозы, связанные с

особенностями используемых технологий

Пример: Технология виртуализации:

- гипервизор

- среда виртуализации

- etc.

• нарушение процедуры аутентификации субъектов виртуализированногоинформационного взаимодействия;

• нарушение работоспособности информационных систем, построенных на основе технологий виртуализации, за счет несанкционированного доступа к средствам виртуализации;

• атака на виртуальные каналы передачи данных;• несанкционированный доступ к образам виртуальных машин;• нарушение изоляции пользовательских данных внутри виртуальных машин;• атака на гипервизор с виртуальной машины;• атака на гипервизор из физической сети;• атака на защищаемые виртуальные машины из физической сети;• неконтролируемы рост числа виртуальных машин;• атака на сеть репликации виртуальных машин;• перехват управления в среде виртуализации;• выход процесса за пределы виртуальной среды.• ……..


6

Неверное определение объектов защиты

- носители защищаемой информации

- директории

- каталоги файлов

- защищаемая информация

- сервера

- …..


7

Угроза: Источник + уязвимость + способ реализации +

объект воздействия + деструктивное воздействие.

Не проводится анализ возможных источников угроз

- Нарушитель

- Вредоносная программа

- Аппаратная закладка


8



Не анализируются последствия от действий нарушителя

- Нарушение конфиденциальности

- Нарушение целостности

- Нарушение доступности


9



Не учитывают уязвимости, присутствующие в

информационной системе

уязвимость – это свойство информационной системы,

обусловливающее возможность реализации угроз

безопасности обрабатываемой в ней информации


10



Неверное определение способов реализации угроз

- Как может действовать нарушитель???


11

Забывают о необходимости пересмотра модели угроз


ЗИ ПРИ ВЫВОДЕ ИЗ ЭКСПЛУАТАЦИИ

ГИС

ЭКСПЛУАТАЦИЯ ГИС

АТТЕСТАЦИЯ ГИС

РЕАЛИЗАЦИЯ СИСТЕМЫ ЗИ

РАЗРАБОТКАСИСТЕМЫ ЗИ

ТРЕБОВАНИЯ К СИСТЕМЕ ЗИ

12

• использование при моделировании угроз безопасности

информации устаревшей нормативной правовой базы

• отсутствие перечней нормативных правовых актов

• отсутствие единой терминологии


13

Актуальные угрозы

Меры

Модель угроз

Тех задание

Меры

14

Типовая модель угроз

ИАС2

ИАС1

ИАС3

……….

ИАСN

Частнаямодель угроз 1



Частнаямодель угроз N

15

Спасибо за внимание!

Торбенко Елена Боорисовна

[email protected]

www.fstec.ru

16

Практика рассмотрения моделей угроз безопасности...

Technology