Откройте актуальную версию документа прямо сейчас
Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.
Приложение 10
к Методике оценки угроз
безопасности информации
Примеры определения актуальных способов реализации угроз безопасности информации и соответствующие им виды нарушителей и их возможности (для государственной информационной системы)
Таблица 10.1
N |
Вид нарушителя |
Категория нарушителя |
Объект воздействия |
Доступные интерфейсы |
Способы реализации |
1 |
Специальные службы иностранных государств (Н4) |
Внешний |
База данных информационной системы, содержащая идентификационную информацию граждан: несанкционированный доступ к компонентам систем или сетей, защищаемой информации, системным, конфигурационным, иным служебным данным; утечка (нарушение конфиденциальности) защищаемой информации, системных, конфигурационных, иных служебных данных |
Веб-интерфейс удаленного администрирования базы данных информационной системы |
Использование недекларированных возможностей программного обеспечения телекоммуникационного оборудования |
Пользовательский веб-интерфейс доступа к базе данных информационной системы |
Использование уязвимостей конфигурации системы управления базами данных |
||||
Линия связи между сервером основного центра обработки данных и сервером резервного центра обработки данных: перехват (нарушение конфиденциальности) защищаемой информации, системных, конфигурационных, иных служебных данных |
Канал передачи данных между сервером основного центра обработки данных и сервером резервного центра обработки данных |
Установка программных закладок в телекоммуникационное оборудование |
|||
Коммутационный контроллер для управления аварийными задвижками в нефтепроводе: нарушение функционирования (работоспособности) средств обработки и хранения информации; модификация (подмена) защищаемой информации, системных, конфигурационных, иных служебных данных |
Удаленный канал управления коммутационным контроллером |
Использование уязвимостей кода коммутационного контроллера |
|||
Съемные машинные носители информации, содержащие аутентификационную информацию |
Извлечение аутентификационной информации из постоянной памяти носителя (инвазивный метод) |
||||
2 |
Отдельные физические лица (хакеры) (Н2) |
Внешний |
Удаленное автоматизированное рабочее место (АРМ) пользователя: несанкционированный доступ к операционной системе АРМ пользователя; нарушение конфиденциальности информации, содержащейся на АРМ пользователя |
Доступ через локальную вычислительную сеть организации |
Внедрение вредоносного программного обеспечения |
Съемные машинные носители информации, подключаемые к АРМ пользователя |
Использование уязвимостей конфигурации системы управления доступом к АРМ пользователя |
||||
Веб-сайт портала государственных услуг (сервисов): отказ в обслуживании веб-сайта портала государственных услуг |
Веб-интерфейс пользователя веб-сайта государственных услуг |
Использование уязвимостей кода программного обеспечения веб-сервера Внедрение вредоносного кода в веб-приложение |
|||
Сетевые интерфейсы коммутатора сети, где расположен веб-сервер |
Использование уязвимостей конфигурации системы управления доступом к АРМ пользователя |
||||
3 |
Авторизованные пользователи систем и сетей (Н1) |
Внутренний |
АРМ главного бухгалтера организации: модификация платежных поручений, хранящихся на АРМ главного бухгалтера |
Локальная вычислительная сеть организации |
Ошибочные действия в ходе настройки АРМ главного бухгалтера |
Сервер базы данных веб-сайта портала государственных услуг (сервисов): отказ в обслуживании отдельных компонентов или систем и сетей в целом |
Веб-интерфейс системы администрирования веб-сайта портала государственных услуг |
Нарушение цепочки услуг по администрированию портала государственных услуг |
Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.