Приложение А (справочное). Основные положения базовой модели угроз и нарушителей безопасности информации

Приложение А
(справочное)

 

Основные положения базовой модели угроз и нарушителей безопасности информации

 

А.1 Основой для реализации финансовой организацией системы защиты информации являются разработанные и утвержденные модели угроз и нарушителей безопасности информации.

Степень детализации содержимого моделей угроз и нарушителей безопасности информации может быть различна и определяется реальными потребностями финансовой организации.

А.2 Модели угроз и нарушителей безопасности информации носят прогнозный характер и разрабатываются на основе опыта, знаний и практики финансовой организации. Чем точнее сделан прогноз в отношении актуальных для финансовой организации угроз безопасности информации, тем адекватнее и эффективнее будут планируемые и предпринимаемые усилия по обеспечению требуемого уровня защиты информации. При этом следует учитывать, что со временем угрозы, их источники и сопутствующие риски могут изменяться. Поэтому модели угроз и нарушителей безопасности информации следует периодически пересматривать, для чего в финансовой организации должны быть установлены и выполняться процедуры регулярного анализа необходимости их пересмотра.

А.3 В случае отсутствия у финансовой организации потенциала, необходимого для самостоятельной разработки моделей угроз и нарушителей безопасности информации, указанные модели рекомендуется составлять с привлечением сторонних организаций, обладающих необходимым опытом, знаниями и компетенцией.

При разработке моделей угроз и нарушителей безопасности информации необходимо учитывать, что из всех возможных объектов атак с наибольшей вероятностью нарушитель выберет наиболее слабо контролируемый, где его деятельность будет оставаться необнаруженной максимально долго. Поэтому все критические операции в рамках бизнес-процессов и технологических процессов финансовой организации, где осуществляется любое взаимодействие субъектов доступа с объектами информатизации, должны особенно тщательно контролироваться.

А.4 На каждом из уровней информационной инфраструктуры, определенных в 6.2 настоящего стандарта, актуальные угрозы безопасности информации и их источники являются различными.

Одной из основных целей злоумышленника является осуществление НСД к информационным ресурсам на уровне АС и приложений, эксплуатируемых в рамках бизнес-процессов или технологических процессов финансовой организации, что более эффективно для злоумышленника и опаснее для финансовой организации, чем осуществление НСД через иные уровни, требующего специфических знаний, ресурсов и времени.

Целью злоумышленника также может являться нарушение непрерывности предоставления финансовых услуг, осуществления бизнес-процессов или технологических процессов финансовой организации, например, посредством распространения вредоносного кода, целенаправленных компьютерных атак или нарушения правил эксплуатации на уровне аппаратного обеспечения.

А.5 Основными типами источников угроз безопасности информации являются:

- неблагоприятные события техногенного характера;

- сбои и отказы в работе объектов и (или) ресурсов доступа;

- зависимость процессов эксплуатации объектов информатизации от иностранных поставщиков или провайдеров услуг;

- внутренние нарушители безопасности информации - лица, в том числе работники финансовой организации и работники подрядных организаций, реализующие угрозы безопасности информации с использованием легально предоставленных им прав логического или физического доступа;

- внешние нарушители безопасности информации - лица, в том числе работники финансовой организации, реализующие угрозы безопасности информации без использования легально предоставленных прав логического или физического доступа, а также субъекты, не являющиеся работниками финансовой организации, реализующие целенаправленные компьютерные атаки, в том числе с целью личного обогащения или блокирования штатного функционирования бизнес-процессов или технологических процессов финансовой организации.

А.6 К числу наиболее актуальных источников угроз на уровне аппаратного обеспечения, уровне сетевого оборудования и уровне сетевых приложений и сервисов относятся следующие:

- сбои и отказы в работе объектов доступа;

- внутренние нарушители безопасности информации [эксплуатационный, вспомогательный (технический) персонал], осуществляющие целенаправленное деструктивное воздействие на объекты доступа;

- зависимость процессов эксплуатации объектов доступа от иностранных поставщиков или провайдеров услуг;

- внешние нарушители безопасности информации, обладающие знаниями о возможных уязвимостях защиты информации;

- внешние нарушители безопасности информации, организующие DoS, DDoS и иные виды компьютерных атак;

- комбинированные источники угроз: внешние и внутренние нарушители безопасности информации, действующие совместно и (или) согласованно.

А.7 К числу наиболее актуальных источников угроз на уровне серверных компонентов виртуализации, программных инфраструктурных сервисов, операционных систем, систем управления базами данных и серверов приложений относятся следующие:

- внутренние нарушители безопасности информации (эксплуатационный персонал), осуществляющие целенаправленные деструктивные воздействия на ресурсы доступа;

- внутренние нарушители безопасности информации (эксплуатационный персонал), реализующие угрозы безопасности информации с использованием легально предоставленных прав логического доступа;

- сбои и отказы в работе ПО;

- зависимость процессов эксплуатации ресурсов доступа, ПО от иностранных поставщиков или провайдеров услуг;

- внешние нарушители безопасности информации, обладающие знаниями о возможных уязвимостях защиты информации;

- комбинированные источники угроз: внешние и внутренние нарушители безопасности информации, действующие в сговоре.

А.8 К числу наиболее актуальных источников угроз на уровне АС и приложений, эксплуатируемых в рамках бизнес-процессов и технологических процессов финансовой организации, относятся следующие:

- внутренние нарушители безопасности информации (пользователи и эксплуатационный персонал АС и приложений), реализующие угрозы безопасности информации с использованием легально предоставленных прав логического доступа;

- внешние нарушители безопасности информации, обладающие знаниями о возможных уязвимостях защиты информации;

- зависимость процессов эксплуатации АС и приложений от иностранных поставщиков или провайдеров услуг;

- комбинированные источники угроз: внешние и внутренние нарушители безопасности информации, действующие в сговоре.

А.9 Наибольшими возможностями для нанесения ущерба финансовой организации обладают ее собственные работники. В этом случае содержанием деятельности нарушителя является прямое нецелевое использование предоставленных прав физического и (или) логического доступа. При этом он будет стремиться к сокрытию следов своей деятельности.

Внешний нарушитель безопасности информации, как правило, имеет сообщника (сообщников) внутри финансовой организации. При условии должного соблюдения требований к защите информации, в том числе требований к содержанию базового состава, составу мер защиты информации, установленных настоящим стандартом, соблюдения принципа "знать своего работника", реализация угроз внешними нарушителями безопасности информации, действующими самостоятельно, без соучастников внутри финансовой организации, значительно затруднена.

 

Откройте актуальную версию документа прямо сейчас или получите полный доступ к системе ГАРАНТ на 3 дня бесплатно!

Получить доступ к системе ГАРАНТ

Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.