Практика рассмотрения моделей угроз безопасности...
-
Upload
journalrubezh -
Category
Technology
-
view
413 -
download
0
Transcript of Практика рассмотрения моделей угроз безопасности...
Практика рассмотрения моделей угроз
безопасности информации
органов государственной власти
Торбенко Елена Борисовна
1
В 2014 годурассмотрено более 60 моделей угроз безопасности информации
2
Модель угроз безопасности информации - это
физическое, математическое, описательное
представление свойств или характеристик угроз
безопасности информации.
ГОСТ 50922
Примечание: Видом описательного представления
свойств или характеристик угроз безопасности
информации может быть специальный
нормативный документ.
3
ФЗ«О персональных данных».
Приказ № 17
Гос. тайна
Базовая модель угроз безопасности персональных данных при их
обработке в информационных системах персональных данных
Методика определения актуальных угроз безопасности
персональных данных при их обработке в информационных
системах персональных данных
Базовая модель угроз безопасности информации в ключевых
системах информационной инфраструктуры
Методика определения актуальных угроз безопасности информации
в ключевых системах информационной инфраструктуры
Базовая модель угроз несанкционированного доступа к
информации в оборудовании с числовым программным
управлением
4
Отсутствие структурно функциональных характеристик
рассматриваемой системы
- структура ИС.
- состав ИС
- взаимосвязи между сегментами ИС
- взаимосвязи с другими ИС и ИТКС
- условия функционирования ИС
Наиболее распространенные ошибки
Отчет об обследовании
ИС
5
Рассматриваются не все угрозы, связанные с
особенностями используемых технологий
Пример: Технология виртуализации:
- гипервизор
- среда виртуализации
- etc.
• нарушение процедуры аутентификации субъектов виртуализированногоинформационного взаимодействия;
• нарушение работоспособности информационных систем, построенных на основе технологий виртуализации, за счет несанкционированного доступа к средствам виртуализации;
• атака на виртуальные каналы передачи данных;• несанкционированный доступ к образам виртуальных машин;• нарушение изоляции пользовательских данных внутри виртуальных машин;• атака на гипервизор с виртуальной машины;• атака на гипервизор из физической сети;• атака на защищаемые виртуальные машины из физической сети;• неконтролируемы рост числа виртуальных машин;• атака на сеть репликации виртуальных машин;• перехват управления в среде виртуализации;• выход процесса за пределы виртуальной среды.• ……..
Наиболее распространенные ошибки
6
Неверное определение объектов защиты
- носители защищаемой информации
- директории
- каталоги файлов
- защищаемая информация
- сервера
- …..
Наиболее распространенные ошибки
7
Угроза: Источник + уязвимость + способ реализации +
объект воздействия + деструктивное воздействие.
Не проводится анализ возможных источников угроз
- Нарушитель
- Вредоносная программа
- Аппаратная закладка
Наиболее распространенные ошибки
8
Угроза: Источник + уязвимость + способ реализации +
объект воздействия + деструктивное воздействие.
Не анализируются последствия от действий нарушителя
- Нарушение конфиденциальности
- Нарушение целостности
- Нарушение доступности
Наиболее распространенные ошибки
9
Угроза: Источник + уязвимость + способ реализации +
объект воздействия + деструктивное воздействие.
Не учитывают уязвимости, присутствующие в
информационной системе
уязвимость – это свойство информационной системы,
обусловливающее возможность реализации угроз
безопасности обрабатываемой в ней информации
Наиболее распространенные ошибки
10
Угроза: Источник + уязвимость + способ реализации +
объект воздействия + деструктивное воздействие.
Неверное определение способов реализации угроз
- Как может действовать нарушитель???
Наиболее распространенные ошибки
11
Забывают о необходимости пересмотра модели угроз
Наиболее распространенные ошибки
ЗИ ПРИ ВЫВОДЕ ИЗ ЭКСПЛУАТАЦИИ
ГИС
ЭКСПЛУАТАЦИЯ ГИС
АТТЕСТАЦИЯ ГИС
РЕАЛИЗАЦИЯ СИСТЕМЫ ЗИ
РАЗРАБОТКАСИСТЕМЫ ЗИ
ТРЕБОВАНИЯ К СИСТЕМЕ ЗИ
12
• использование при моделировании угроз безопасности
информации устаревшей нормативной правовой базы
• отсутствие перечней нормативных правовых актов
• отсутствие единой терминологии
Наиболее распространенные ошибки
13
Актуальные угрозы
Меры
Модель угроз
Тех задание
Меры
14
Типовая модель угроз
ИАС2
ИАС1
ИАС3
……….
ИАСN
Частнаямодель угроз 1
Частнаямодель угроз 2
Частнаямодель угроз 3
Частнаямодель угроз N
15