Приложение А (справочное). Основные положения базовой модели угроз и нарушителей безопасности информации. Национальный стандарт РФ ГОСТ Р 57580.1-2017 "Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер" (утв. и введен в действие приказом Федерального агентства по техническому регулированию и метрологии от 08.08.2017 N 822-ст)

Приложение А
(справочное)

Основные положения базовой модели угроз и нарушителей безопасности информации

А.1 Основой для реализации финансовой организацией системы защиты информации являются разработанные и утвержденные модели угроз и нарушителей безопасности информации.

Степень детализации содержимого моделей угроз и нарушителей безопасности информации может быть различна и определяется реальными потребностями финансовой организации.

А.2 Модели угроз и нарушителей безопасности информации носят прогнозный характер и разрабатываются на основе опыта, знаний и практики финансовой организации. Чем точнее сделан прогноз в отношении актуальных для финансовой организации угроз безопасности информации, тем адекватнее и эффективнее будут планируемые и предпринимаемые усилия по обеспечению требуемого уровня защиты информации. При этом следует учитывать, что со временем угрозы, их источники и сопутствующие риски могут изменяться. Поэтому модели угроз и нарушителей безопасности информации следует периодически пересматривать, для чего в финансовой организации должны быть установлены и выполняться процедуры регулярного анализа необходимости их пересмотра.

А.3 В случае отсутствия у финансовой организации потенциала, необходимого для самостоятельной разработки моделей угроз и нарушителей безопасности информации, указанные модели рекомендуется составлять с привлечением сторонних организаций, обладающих необходимым опытом, знаниями и компетенцией.

При разработке моделей угроз и нарушителей безопасности информации необходимо учитывать, что из всех возможных объектов атак с наибольшей вероятностью нарушитель выберет наиболее слабо контролируемый, где его деятельность будет оставаться необнаруженной максимально долго. Поэтому все критические операции в рамках бизнес-процессов и технологических процессов финансовой организации, где осуществляется любое взаимодействие субъектов доступа с объектами информатизации, должны особенно тщательно контролироваться.

А.4 На каждом из уровней информационной инфраструктуры, определенных в 6.2 настоящего стандарта, актуальные угрозы безопасности информации и их источники являются различными.

Одной из основных целей злоумышленника является осуществление НСД к информационным ресурсам на уровне АС и приложений, эксплуатируемых в рамках бизнес-процессов или технологических процессов финансовой организации, что более эффективно для злоумышленника и опаснее для финансовой организации, чем осуществление НСД через иные уровни, требующего специфических знаний, ресурсов и времени.

Целью злоумышленника также может являться нарушение непрерывности предоставления финансовых услуг, осуществления бизнес-процессов или технологических процессов финансовой организации, например, посредством распространения вредоносного кода, целенаправленных компьютерных атак или нарушения правил эксплуатации на уровне аппаратного обеспечения.

А.5 Основными типами источников угроз безопасности информации являются:

- неблагоприятные события техногенного характера;

- сбои и отказы в работе объектов и (или) ресурсов доступа;

- зависимость процессов эксплуатации объектов информатизации от иностранных поставщиков или провайдеров услуг;

- внутренние нарушители безопасности информации - лица, в том числе работники финансовой организации и работники подрядных организаций, реализующие угрозы безопасности информации с использованием легально предоставленных им прав логического или физического доступа;

- внешние нарушители безопасности информации - лица, в том числе работники финансовой организации, реализующие угрозы безопасности информации без использования легально предоставленных прав логического или физического доступа, а также субъекты, не являющиеся работниками финансовой организации, реализующие целенаправленные компьютерные атаки, в том числе с целью личного обогащения или блокирования штатного функционирования бизнес-процессов или технологических процессов финансовой организации.

А.6 К числу наиболее актуальных источников угроз на уровне аппаратного обеспечения, уровне сетевого оборудования и уровне сетевых приложений и сервисов относятся следующие:

- сбои и отказы в работе объектов доступа;

- внутренние нарушители безопасности информации [эксплуатационный, вспомогательный (технический) персонал], осуществляющие целенаправленное деструктивное воздействие на объекты доступа;

- зависимость процессов эксплуатации объектов доступа от иностранных поставщиков или провайдеров услуг;

- внешние нарушители безопасности информации, обладающие знаниями о возможных уязвимостях защиты информации;

- внешние нарушители безопасности информации, организующие DoS, DDoS и иные виды компьютерных атак;

- комбинированные источники угроз: внешние и внутренние нарушители безопасности информации, действующие совместно и (или) согласованно.

А.7 К числу наиболее актуальных источников угроз на уровне серверных компонентов виртуализации, программных инфраструктурных сервисов, операционных систем, систем управления базами данных и серверов приложений относятся следующие:

- внутренние нарушители безопасности информации (эксплуатационный персонал), осуществляющие целенаправленные деструктивные воздействия на ресурсы доступа;

- внутренние нарушители безопасности информации (эксплуатационный персонал), реализующие угрозы безопасности информации с использованием легально предоставленных прав логического доступа;

- сбои и отказы в работе ПО;

- зависимость процессов эксплуатации ресурсов доступа, ПО от иностранных поставщиков или провайдеров услуг;

- внешние нарушители безопасности информации, обладающие знаниями о возможных уязвимостях защиты информации;

- комбинированные источники угроз: внешние и внутренние нарушители безопасности информации, действующие в сговоре.

А.8 К числу наиболее актуальных источников угроз на уровне АС и приложений, эксплуатируемых в рамках бизнес-процессов и технологических процессов финансовой организации, относятся следующие:

- внутренние нарушители безопасности информации (пользователи и эксплуатационный персонал АС и приложений), реализующие угрозы безопасности информации с использованием легально предоставленных прав логического доступа;

- внешние нарушители безопасности информации, обладающие знаниями о возможных уязвимостях защиты информации;

- зависимость процессов эксплуатации АС и приложений от иностранных поставщиков или провайдеров услуг;

- комбинированные источники угроз: внешние и внутренние нарушители безопасности информации, действующие в сговоре.

А.9 Наибольшими возможностями для нанесения ущерба финансовой организации обладают ее собственные работники. В этом случае содержанием деятельности нарушителя является прямое нецелевое использование предоставленных прав физического и (или) логического доступа. При этом он будет стремиться к сокрытию следов своей деятельности.

Внешний нарушитель безопасности информации, как правило, имеет сообщника (сообщников) внутри финансовой организации. При условии должного соблюдения требований к защите информации, в том числе требований к содержанию базового состава, составу мер защиты информации, установленных настоящим стандартом, соблюдения принципа "знать своего работника", реализация угроз внешними нарушителями безопасности информации, действующими самостоятельно, без соучастников внутри финансовой организации, значительно затруднена.