Вредоносные программы могут быть внесены (внедрены) как преднамеренно, так и случайно в программное обеспечение, используемое в ИСПДн, в процессе его разработки, сопровождения, модификации и настройки. Кроме этого, вредоносные программы могут быть внесены в процессе эксплуатации ИСПДн с внешних носителей информации или посредством сетевого взаимодействия как в результате НСД, так и случайно пользователями ИСПДн.
Современные вредоносные программы основаны на использовании уязвимостей различного рода программного обеспечения (системного, общего, прикладного) и разнообразных сетевых технологий, обладают широким спектром деструктивных возможностей (от несанкционированного исследования параметров ИСПДн без вмешательства в функционирование ИСПДн, до уничтожения ПДн и программного обеспечения ИСПДн) и могут действовать во всех видах программного обеспечения (системного, прикладного, в драйверах аппаратного обеспечения и т.д.).
Наличие в ИСПДн вредоносных программ может способствовать возникновению скрытых, в том числе нетрадиционных каналов доступа к информации, позволяющих вскрывать, обходить или блокировать защитные механизмы, предусмотренные в системе, в том числе парольную и криптографическую защиту.
Основными видами вредоносных программ являются:
· программные закладки;
· классические программные (компьютерные) вирусы;
· вредоносные программы, распространяющиеся по сети (сетевые черви);
· другие вредоносные программы, предназначенные для осуществления НСД.
К программным закладкам относятся программы, фрагменты кода, инструкции, формирующие недекларированные возможности программного обеспечения. Вредоносные программы могут переходить из одного вида в другой, например, программная закладка может сгенерировать программный вирус, который, в свою очередь, попав в условия сети, может сформировать сетевого червя или другую вредоносную программу, предназначенную для осуществления НСД.
Краткая характеристика основных вредоносных программ сводится к следующему. Загрузочные вирусы записывают себя либо в загрузочный сектор диска (boot-сектор), либо в сектор, содержащий системный загрузчик винчестера (Master Boot Record), либо меняют указатель на активный boot-сектор. Они внедряются в память компьютера при загрузке с инфицированного диска. При этом системный загрузчик считывает содержимое первого сектора диска, с которого производится загрузка, помещает считанную информацию в память и передает на нее (т.е. на вирус) управление. После этого начинают выполняться инструкции вируса, который, как правило, уменьшает объем свободной памяти, копирует в освободившееся место свой код и считывает с диска свое продолжение (если оно есть), перехватывает необходимые вектора прерываний (обычно – INT 13H), считывает в память оригинальный boot-сектор и передает на него управление.
В дальнейшем загрузочный вирус ведет себя так же, как файловый: перехватывает обращения операционной системы к дискам и инфицирует их, в зависимости от некоторых условий совершает деструктивные действия, вызывает звуковые эффекты или видеоэффекты.
Основными деструктивными действиями, выполняемыми этими вирусами, являются:
· уничтожение информации в секторах дискет и винчестера;
· исключение возможности загрузки операционной системы (компьютер «зависает»);
· искажение кода загрузчика;
· форматирование дискет или логических дисков винчестера;
· закрытие доступа к COM- и LPT-портам;
· замена символов при печати текстов;
· подергивания экрана;
· изменение метки диска или дискеты;
· создание псевдосбойных кластеров;
· создание звуковых и(или) визуальных эффектов (например, падение
букв на экране);
· порча файлов данных;
· вывод на экран разнообразных сообщений;
· отключение периферийных устройств (например, клавиатуры);
· изменение палитры экрана;
· заполнение экрана посторонними символами или изображениями;
· погашение экрана и перевод в режим ожидания ввода с клавиатуры;
· шифрование секторов винчестера;
· выборочное уничтожение символов, выводимых на экран при наборе с клавиатуры;
· уменьшение объема оперативной памяти;
· вызов печати содержимого экрана;
· блокирование записи на диск;
· уничтожение таблицы разбиения (Disk Partition Table), после этого компьютер можно загрузить только с флоппи-диска;
· блокирование запуска исполняемых файлов;
· блокирование доступа к винчестеру.
|
Рисунок 3. Классификация программных вирусов и сетевых червей
Большинство загрузочных вирусов перезаписывают себя на флоппи-диски.
Метод заражения «overwriting» является наиболее простым: вирус записывает свой код вместо кода заражаемого файла, уничтожая его содержимое. Естественно, что при этом файл перестает работать и не восстанавливается. Такие вирусы очень быстро обнаруживают себя, так как операционная система и приложения довольно быстро перестают работать.
К категории «компаньон» относятся вирусы, не изменяющие заражаемые файлы. Алгоритм работы этих вирусов состоит в том, что для заражаемого файла создается файл-двойник, причем при запуске зараженного файла управление получает именно этот двойник, то есть вирус. Наиболее распространены компаньон-вирусы, использующие особенность DOS первым выполнять файлы с расширением.COM, если в одном каталоге присутствуют два файла с одним и тем же именем, но различными расширениями имени – .COM и.EXE. Такие вирусы создают для EXE-файлов файлы-спутники, имеющие то же самое имя, но с расширением.COM, например, для файла XCOPY.EXE создается файл XCOPY.COM. Вирус записывается в COM-файл и никак не изменяет EXE-файл. При запуске такого файла DOS первым обнаружит и выполнит COM-файл, то есть вирус, который затем запустит и EXE-файл. Вторую группу составляют вирусы, которые при заражении переименовывают файл в какое-либо другое имя, запоминают его (для последующего запуска файла-хозяина) и записывают свой код на диск под именем заражаемого файла. Например, файл XCOPY.EXE переименовывается в XCOPY.EXD, а вирус записывается под именем XCOPY.EXE. При запуске управление получает код вируса, который затем запускает оригинальный XCOPY, хранящийся под именем XCOPY.EXD. Интересен тот факт, что данный метод работает, по-видимому, во всех операционных системах. В третью группу входят так называемые «Path-companion» вирусы. Они либо записывают свой код под именем заражаемого файла, но «выше» на один уровень в прописываемых путях (DOS, таким образом, первым обнаружит и запустит файл-вирус), либо переносят файл-жертву на один подкаталог выше и т.д.
Возможно существование и других типов компаньон-вирусов, использующих иные оригинальные идеи или особенности других операционных систем.
Файловые черви (worms) являются, в некотором смысле, разновидностью компаньон-вирусов, но при этом никоим образом не связывают свое присутствие с каким-либо выполняемым файлом. При размножении они всего лишь копируют свой код в какие-либо каталоги дисков в надежде, что эти новые копии будут когда-либо запущены пользователем. Иногда эти вирусы дают своим копиям «специальные» имена, чтобы подтолкнуть пользователя на запуск своей копии – например, INSTALL.EXE или WINSTART.BAT. Существуют вирусы-черви, использующие довольно необычные приемы, например, записывающие свои копии в архивы (ARJ, ZIP и прочие). Некоторые вирусы записывают команду запуска зараженного файла в BAT-файлы. Не следует путать файловые вирусы-черви с сетевыми червями. Первые используют только файловые функции какой-либо операционной системы, вторые же при своем размножении пользуются сетевыми протоколами.
Link-вирусы, как и компаньон-вирусы, не изменяют физического содержимого файлов, однако при запуске зараженного файла «заставляют» ОС выполнить свой код. Этой цели они достигают модификацией необходимых полей файловой системы.
Вирусы, заражающие библиотеки компиляторов, объектные модули и исходные тексты программ, достаточно экзотичны и практически не распространены. Вирусы, заражающие OBJ- и LIB-файлы, записывают в них свой код в формате объектного модуля или библиотеки. Зараженный файл, таким образом, не является выполняемым и не способен на дальнейшее распространение вируса в своем текущем состоянии. Носителем же «живого» вируса становится COM- или EXE-файл.
Получив управление, файловый вирус совершает следующие общие действия:
· проверяет оперативную память на наличие своей копии и инфицирует
память компьютера, если копия вируса не найдена (в случае, если вирус является резидентным), ищет незараженные файлы в текущем и (или) корневом каталоге путем сканирования дерева каталогов логических дисков, а затем заражает обнаруженные файлы;
· выполняет дополнительные (если они есть) функции: деструктивные
действия, графические или звуковые эффекты и т.д. (дополнительные функции резидентного вируса могут вызываться спустя некоторое время после активизации в зависимости от текущего времени, конфигурации системы, внутренних счетчиков вируса или других условий, в этом случае вирус при активизации обрабатывает состояние системных часов, устанавливает свои счетчики и т.д.);
· возвращает управление основной программе (если она есть).
Необходимо отметить, что чем быстрее распространяется вирус, тем вероятнее возникновение эпидемии этого вируса, чем медленнее распространяется вирус, тем сложнее его обнаружить (если, конечно же, этот вирус неизвестен). Нерезидентные вирусы часто являются «медленными» – большинство из них при запуске заражает один или два-три файла и не успевает заполонить компьютер до запуска антивирусной программы (или появления новой версии антивируса, настроенной на данный вирус). Существуют, конечно же, нерезидентные «быстрые» вирусы, которые при запуске ищут и заражают все выполняемые файлы, однако такие вирусы очень заметны: при запуске каждого зараженного файла компьютер некоторое (иногда достаточно долгое) время активно работает с винчестером, что демаскирует вирус. Скорость распространения (инфицирования) у резидентных вирусов обычно выше, чем у нерезидентных ‑ они заражают файлы при каких-либо обращениях к ним. В результате на диске оказываются зараженными все или почти все файлы, которые постоянно используются в работе. Скорость распространения (инфицирования) резидентных файловых вирусов, заражающих файлы только при их запуске на выполнение, будет ниже, чем у вирусов, заражающих файлы и при их открытии, переименовании, изменении атрибутов файла и т.д.
Таким образом, основные деструктивные действия, выполняемые файловыми вирусами, связаны с поражением файлов (чаще исполняемых или файлов данных), несанкционированным запуском различных команд (в том числе, команд форматирования, уничтожения, копирования и т.п.), изменением таблицы векторов прерываний и др. Вместе с тем, могут выполняться и многие деструктивные действия, сходные с теми, которые указывались для загрузочных вирусов.
Макровирусы (macro viruses) являются программами на языках (макроязыках), встроенных в некоторые системы обработки данных (текстовые редакторы, электронные таблицы и т.д.). Для своего размножения такие вирусы используют возможности макроязыков и при их помощи переносят себя из одного зараженного файла (документа или таблицы) в другие. Наибольшее распространение получили макровирусы для пакета прикладных программ Microsoft Office.
Для существования вирусов в конкретной системе (редакторе) необходимо наличие встроенного в систему макроязыка с возможностями:
1) привязки программы на макроязыке к конкретному файлу;
2) копирования макропрограмм из одного файла в другой;
3) получения управления макропрограммой без вмешательства пользователя (автоматические или стандартные макросы).
Данным условиям удовлетворяют прикладные программы Microsoft Word, Excel и Microsoft Access. Они содержат в себе макроязыки: Word Basic, Visual Basic for Applications. При этом:
1) макропрограммы привязаны к конкретному файлу или находятся внутри файла;
2) макроязык позволяет копировать файлы или перемещать макропрограммы в служебные файлы системы и редактируемые файлы;
3) при работе с файлом при определенных условиях (открытие, закрытие и т.д.) вызываются макропрограммы (если таковые есть), которые определены специальным образом или имеют стандартные имена.
Данная особенность макроязыков предназначена для автоматической обработки данных в больших организациях или в глобальных сетях и позволяет организовать так называемый «автоматизированный документооборот». С другой стороны, возможности макроязыков таких систем позволяют вирусу переносить свой код в другие файлы и таким образом заражать их.
Большинство макровирусов активны не только в момент открытия (закрытия) файла, но до тех пор, пока активен сам редактор. Они содержат все свои функции в виде стандартных макросов Word/Excel/Office. Существуют, однако, вирусы, использующие приемы скрытия своего кода и хранящие свой код в виде не макросов. Известно три подобных приема, все они используют возможность макросов создавать, редактировать и исполнять другие макросы. Как правило, подобные вирусы имеют небольшой (иногда – полиморфный) макрос-загрузчик вируса, который вызывает встроенный редактор макросов, создает новый макрос, заполняет его основным кодом вируса, выполняет и затем, как правило, уничтожает (чтобы скрыть следы присутствия вируса). Основной код таких вирусов присутствует либо в самом макросе вируса в виде текстовых строк (иногда – зашифрованных), либо хранится в области переменных документа.
К сетевым относятся вирусы, которые для своего распространения активно используют протоколы и возможности локальных и глобальных сетей. Основным принципом работы сетевого вируса является возможность самостоятельно передать свой код на удаленный сервер или рабочую станцию. «Полноценные» сетевые вирусы при этом обладают еще и возможностью запустить на выполнение свой код на удаленном компьютере или, по крайней мере, «подтолкнуть» пользователя к запуску зараженного файла.
Вредоносными программами, обеспечивающими осуществление НСД, могут быть:
· программы подбора и вскрытия паролей;
· программы, реализующие угрозы;
· программы, демонстрирующие использование недекларированных возможностей программного и программно-аппаратного обеспечения ИСПДн;
· программы-генераторы компьютерных вирусов;
· программы, демонстрирующие уязвимости средств защиты
информации и др.
В связи с усложнением и возрастанием разнообразия программного обеспечения число вредоносных программ быстро возрастает. Сегодня известно более 120 тысяч сигнатур компьютерных вирусов. Вместе с тем, далеко не все из них представляют реальную угрозу. Во многих случаях устранение уязвимостей в системном или прикладном программном обеспечении привело к тому, что ряд вредоносных программ уже не способен внедриться в них. Часто основную опасность представляют новые вредоносные программы.
Классификация нарушителей
По признаку принадлежности к ИСПДн все нарушители делятся на две группы:
Внешние нарушители – физические лица, не имеющие права пребывания на территории контролируемой зоны, в пределах которой размещается оборудование ИСПДн;
Внутренние нарушители – физические лица, имеющие право пребывания на территории контролируемой зоны, в пределах которой размещается оборудование ИСПДн.
Внешний нарушитель
В качестве внешнего нарушителя информационной безопасности, рассматривается нарушитель, который не имеет непосредственного доступа к техническим средствам и ресурсам системы, находящимся в пределах контролируемой зоны.
Предполагается, что внешний нарушитель не может воздействовать на защищаемую информацию по техническим каналам утечки, так как объем информации, хранимой и обрабатываемой в ИСПДн, является недостаточным для возможной мотивации внешнего нарушителя к осуществлению действий, направленных утечку информации по техническим каналам утечки.
Предполагается, что внешний нарушитель может воздействовать на защищаемую информацию только во время ее передачи по каналам связи.
Внутренний нарушитель
Возможности внутреннего нарушителя существенным образом зависят от действующих в пределах контролируемой зоны ограничительных факторов, из которых основным является реализация комплекса организационно-технических мер, в том числе по подбору, расстановке и обеспечению высокой профессиональной подготовки кадров, допуску физических лиц внутрь контролируемой зоны и контролю за порядком проведения работ, направленных на предотвращение и пресечение несанкционированного доступа.
Система разграничения доступа ИСПДн ИСПДн обеспечивает разграничение прав пользователей на доступ к информационным, программным, аппаратным и другим ресурсам ИСПДн в соответствии с принятой политикой информационной безопасности (правилами). К внутренним нарушителям могут относиться (таблица):
Администраторы конкретных подсистем или баз данных ИСПДн (категория II);
Пользователи, являющиеся внешними по отношению к конкретной АС (категория IV);
Лица, обладающие возможностью доступа к системе передачи данных (категория V);
Сотрудники ЛПУ, имеющие санкционированный доступ в служебных целях в помещения, в которых размещаются элементам ИСПДн, но не имеющие права доступа к ним (категория VI);
Обслуживающий персонал (охрана, работники инженерно–технических служб и т.д.) (категория VII);
Уполномоченный персонал разработчиков ИСПДн, который на договорной основе имеет право на техническое обслуживание и модификацию компонентов ИСПДн (категория VIII).
На лиц категорий I и II возложены задачи по администрированию программно-аппаратных средств и баз данных ИСПДн для интеграции и обеспечения взаимодействия различных подсистем, входящих в состав ИСПДн. Администраторы потенциально могут реализовывать угрозы ИБ, используя возможности по непосредственному доступу к защищаемой информации, обрабатываемой и хранимой в ИСПДн, а также к техническим и программным средствам ИСПДн, включая средства защиты, используемые в конкретных АС, в соответствии с установленными для них административными полномочиями.
Эти лица хорошо знакомы с основными алгоритмами, протоколами, реализуемыми и используемыми в конкретных подсистемах и ИСПДн в целом, а также с применяемыми принципами и концепциями безопасности.
Предполагается, что они могли бы использовать стандартное оборудование либо для идентификации уязвимостей, либо для реализации угроз ИБ. Данное оборудование может быть как частью штатных средств, так и может относиться к легко получаемому (например, программное обеспечение, полученное из общедоступных внешних источников).
Кроме того, предполагается, что эти лица могли бы располагать специализированным оборудованием .
К лицам категорий I и II ввиду их исключительной роли в ИСПДн должен применяться комплекс особых организационно-режимных мер по их подбору, принятию на работу, назначению на должность и контролю выполнения функциональных обязанностей.
Предполагается, что в число лиц категорий I и II будут включаться только доверенные лица и поэтому указанные лица исключаются из числа вероятных нарушителей.
Предполагается, что лица категорий III-VIII относятся к вероятным нарушителям.
Возможности внутреннего нарушителя существенным образом зависят
от действующих в пределах контролируемой зоны режимных
и организационно-технических мер защиты, в том числе по допуску физических лиц к ПДн и контролю порядка проведения работ.
Внутренние потенциальные нарушители подразделяются на восемь категорий в зависимости от способа доступа и полномочий доступа к ПДн.
Необходимой для вирусописателей и кибер-преступников задачей является внедрение вируса, червя или троянской программы в компьютер-жертву или мобильный телефон. Достигается эта цель различными способами, которые делятся на две основные категории:
- социальная инженерия (также употребляется термин «социальный инжиниринг» - калька с английского «social engineering»);
- технические приёмы внедрения вредоносного кода в заражаемую систему без ведома пользователя.
Часто эти способы используются одновременно. При этом так же часто используются специальные меры по противодействию антивирусным программам.
Социальная инженерия
Методы социальной инженерии тем или иным способом заставляют пользователя запустить заражённый файл или открыть ссылку на заражённый веб-сайт. Эти методы применяются не только многочисленными почтовыми червями, но и другими видами вредоносного программного обеспечения.
Задача хакеров и вирусописателей - привлечь внимание пользователя к заражённому файлу (или HTTP-ссылке на заражённый файл), заинтересовать пользователя, заставить его кликнуть по файлу (или по ссылке на файл). «Классикой жанра» является нашумевший в мае 2000 года почтовый червь LoveLetter, до сих пор сохраняющий лидерство по масштабу нанесённого финансового ущерба, согласно данным от Computer Economics. Сообщение, которое червь выводил на экран, выглядело следующим образом:
На признание «I LOVE YOU» среагировали очень многие, и в результате почтовые сервера больших компаний не выдержали нагрузки - червь рассылал свои копии по всем контактам из адресной книги при каждом открытии вложенного VBS-файла.
Почтовый червь Mydoom, «рванувший» в интернете в январе 2004 г., использовал тексты, имитирующие технические сообщения почтового сервера.
Стоит также упомянуть червь Swen, который выдавал себя за сообщение от компании Microsoft и маскировался под патч, устраняющий ряд новых уязвимостей в Windows (неудивительно, что многие пользователи поддались на призыв установить «очередную заплатку от Microsoft»).
Случаются и казусы, один из которых произошел в ноябре 2005. В одной из версий червя Sober сообщалось, что немецкая криминальная полиция расследует случаи посещения нелегальных веб-сайтов. Это письмо попало к любителю детской порнографии, который принял его за официальное письмо, - и послушно сдался властям.
В последнее время особую популярность приобрели не файлы, вложенные в письмо, а ссылки на файлы, расположенные на заражённом сайте. Потенциальной жертве отправляется сообщение - почтовое, через ICQ или другой пейджер, реже - через интернет-чаты IRC (в случае мобильных вирусов обычным способом доставки служит SMS-сообщение). Сообщение содержит какой-либо привлекательный текст, заставляющий ничего не подозревающего пользователя кликнуть на ссылку. Данный способ проникновения в компьютеры-жертвы на сегодняшний день является самым популярным и действенным, поскольку позволяет обходить бдительные антивирусные фильтры на почтовых серверах.
Используются также возможности файлообменных сетей (P2P-сети). Червь или троянская программа выкладывается в P2P-сеть под разнообразными «вкусными» названиями, например:
- AIM & AOL Password Hacker.exe
- Microsoft CD Key Generator.exe
- PornStar3D.exe
- play station emulator crack.exe
В поиске новых программ пользователи P2P-сетей натыкаются на эти имена, скачивают файлы и запускают их на выполнение.
Также достаточно популярны «разводки», когда жертве подсовывают бесплатную утилиту или инструкцию по взлому различных платёжных систем. Например, предлагают получить бесплатный доступ к интернету или сотовому оператору, скачать генератор номеров кредитных карт, увеличить сумму денег в персональном интернет-кошельке и т.п. Естественно, что пострадавшие от подобного мошенничества вряд ли будут обращаться в правоохранительные органы (ведь, по сути, они сами пытались заработать мошенническим способом), и интернет-преступники вовсю этим пользуются.
Необычный способ «разводки» использовал неизвестный злоумышленник из России в 2005-2006 годах. Троянская программа рассылалась на адреса, обнаруженные на веб-сайте job.ru, специализирующемся на трудоустройстве и поиске персонала. Некоторые из тех, кто публиковал там свои резюме, получали якобы предложение о работе с вложенным в письмо файлом, который предлагалось открыть и ознакомиться с его содержимым. Файл был, естественно, троянской программой. Интересно также то, что атака производилась в основном на корпоративные почтовые адреса. Расчёт, видимо, строился на том, что сотрудники компаний вряд ли будут сообщать об источнике заражения. Так оно и произошло - специалисты «Лаборатории Касперского» более полугода не могли получить внятной информации о методе проникновения троянской программы в компьютеры пользователей.
Бывают и довольно экзотические случаи, например, письмо с вложенным документом, в котором клиента банка просят подтвердить (вернее - сообщить) свои коды доступа - распечатать документ, заполнить прилагаемую форму и затем отправить её по факсу на указанный в письме телефонный номер.
Другой необычный случай доставки шпионской программы «на дом» произошел в Японии осенью 2005. Некие злоумышленники разослали заражённые троянским шпионом CD-диски на домашние адреса (город, улица, дом) клиентов одного из японских банков. При этом использовалась информация из заранее украденной клиентской базы этого самого банка.
Технологии внедрения
Эти технологии используются злоумышленниками для внедрения в систему вредоносного кода скрытно, не привлекая внимания владельца компьютера. Осуществляется это через уязвимости в системе безопасности операционных систем и в программном обеспечении. Наличие уязвимостей позволяет изготовленному злоумышленником сетевому червю или троянской программе проникнуть в компьютер-жертву и самостоятельно запустить себя на исполнение.
Уязвимости являются, по сути, ошибками в коде или в логике работы различных программ. Современные операционные системы и приложения имеют сложную структуру и обширный функционал, и избежать ошибок при их проектировании и разработке просто невозможно. Этим и пользуются вирусописатели и компьютерные злоумышленники.
Уязвимостями в почтовых клиентах Outlook пользовались почтовые черви Nimda и Aliz. Для того чтобы запустить файл червя, достаточно было открыть заражённое письмо или просто навести на него курсор в окне предварительного просмотра.
Также вредоносные программы активно использовали уязвимости в сетевых компонентах операционных систем. Для своего распространения такими уязвимостями пользовались черви CodeRed, Sasser, Slammer, Lovesan (Blaster) и многие другие черви, работающие под ОС Windows. Под удар попали и Linux-системы - черви Ramen и Slapper проникали на компьютеры через уязвимости в этой операционной среде и приложениях для неё.
В последние годы одним из наиболее популярных способов заражения стало внедрение вредоносного кода через веб-страницы. При этом часто используются уязвимости в интернет-браузерах. На веб-страницу помещается заражённый файл и скрипт-программа, которая использует уязвимость в браузере. При заходе пользователя на заражённую страницу срабатывает скрипт-программа, которая через уязвимость закачивает заражённый файл на компьютер и запускает его там на выполнение. В результате для заражения большого числа компьютеров достаточно заманить как можно большее число пользователей на такую веб-страницу. Это достигается различными способами, например, рассылкой спама с указанием адреса страницы, рассылкой аналогичных сообщений через интернет-пейджеры, иногда для этого используют даже поисковые машины. На заражённой странице размещается разнообразный текст, который рано или поздно обсчитывается поисковыми машинами - и ссылка на эту страницу оказывается в списке других страниц в результатах поиска.
Отдельным классом стоят троянские программы, которые предназначены для скачивания и запуска других троянских программ. Обычно эти троянцы, которые имеют очень небольшой размер, тем или иным образом (например, используя очередную уязвимость в системе) «подсовываются» на компьютер-жертву, а затем уже самостоятельно выкачивают из интернета и устанавливают в систему другие вредоносные компоненты. Часто такие троянские программы меняют настройки браузера на самые небезопасные, чтобы «облегчить дорогу» другим троянцам.
Уязвимости, о которых становятся известно, достаточно оперативно исправляются компаниями-разработчиками, однако постоянно появляется информация о новых уязвимостях, которые тут же начинают использоваться многочисленными хакерами и вирусописателями. Многие троянские «боты» используют новые уязвимости для увеличения своей численности, а новые ошибки в Microsoft Office тут же начинают применяться для внедрения в компьютеры очередных троянских программ. При этом, к сожалению, имеет место тенденция сокращения временного промежутка между появлением информации об очередной уязвимости и началом её использования червями и троянцами. В результате компании-производители уязвимого программного обеспечения и разработчики антивирусных программ оказываются в ситуации цейтнота. Первым необходимо максимально быстро исправить ошибку, протестировать результат (обычно называемый «заплаткой», «патчем») и разослать его пользователям, а вторым - немедленно выпустить средство детектирования и блокирования объектов (файлов, сетевых пакетов), использующих уязвимость.
Одновременное использование технологий внедрения и методов социальной инженерии
Достаточно часто компьютерными злоумышленниками используются сразу оба метода. Метод социальной инженерии - для привлечения внимания потенциальной жертвы, а технический - для увеличения вероятности проникновения заражённого объекта в систему.
Например, почтовый червь Mimail распространялся как вложение в электронное письмо. Для того чтобы пользователь обратил внимание на письмо, в него вставлялся специально оформленный текст, а для запуска копии червя из вложенного в письмо ZIP-архива - уязвимость в браузере Internet Explorer. В результате при открытии файла из архива червь создавал на диске свою копию и запускал её на исполнение без каких либо системных предупреждений или дополнительных действий пользователя. Кстати, этот червь был одним из первых, предназначенных для воровства персональной информации пользователей интернет-кошельков системы e-gold.
Другим примером является рассылка спама с темой «Привет» и текстом «Посмотри, что про тебя пишут». За текстом следовала ссылка на некую веб-страницу. При анализе выяснилось, что данная веб-страница содержит скрипт-программу, которая, пользуясь еще одной уязвимостью в Internet Explorer, загружает на компьютер пользователя троянскую программу LdPinch, предназначенную для воровства различных паролей.
Противодействие антивирусным программам
Поскольку цель компьютерных злоумышленников - внедрить вредоносный код в компьютеры-жертвы, то для этого им необходимо не только вынудить пользователя запустить заражённый файл или проникнуть в систему через какую-либо уязвимость, но и незаметно проскочить мимо установленного антивирусного фильтра. Поэтому не удивительно, что злоумышленники целенаправленно борются с антивирусными программами. Используемые ими технические приёмы весьма разнообразны, но чаще всего встречаются следующие:
Упаковка и шифрование кода. Значительная часть (если не большинство) современных компьютерных червей и троянских программ упакованы или зашифрованы тем или иным способом. Более того, компьютерным андеграундом создаются специально для этого предназначенные утилиты упаковки и шифровки. Например, вредоносными оказались абсолютно все встретившиеся в интернете файлы, обработанные утилитами CryptExe, Exeref, PolyCrypt и некоторыми другими.
Для детектирования подобных червей и троянцев антивирусным программам приходится либо добавлять новые методы распаковки и расшифровки, либо добавлять сигнатуры на каждый образец вредоносной программы, что снижает качество детектирования, поскольку не всегда все возможные образцы модифицированного кода оказываются в руках антивирусной компании.
Мутация кода. Разбавление троянского кода «мусорными» инструкциями. В результате функционал троянской программы сохраняется, но значительно меняется её «внешний вид». Периодически встречаются случаи, когда мутация кода происходит в режиме реального времени - при каждом скачивании троянской программы с заражённого веб-сайта. Т.е. все или значительная часть попадающих с такого сайта на компьютеры образцы троянца - разные. Примером применения этой технологии является почтовый червь Warezov, несколько версий которого вызвали значительные эпидемии во второй половине 2006 г.
Скрытие своего присутствия. Так называемые «руткит-технологии» (от англ. «rootkit»), обычно используемые в троянских программах. Осуществляется перехват и подмена системных функций, благодаря которым зараженный файл не виден ни штатными средствами операционной системы, ни антивирусными программами. Иногда также скрываются ветки реестра, в которых регистрируется копия троянца, и другие системные области компьютера. Данные технологии активно используются, например, троянцем-бэкдором HacDef.
Остановка работы антивируса и системы получения обновлений антивирусных баз (апдейтов). Многие троянские программы и сетевые черви предпринимают специальные действия против антивирусных программ - ищут их в списке активных приложений и пытаются остановить их работу, портят антивирусные базы данных, блокируют получение обновлений и т.п. Антивирусным программам приходится защищать себя адекватными способами - следить за целостностью баз данных, прятать от троянцев свои процессы и т.п.
Скрытие своего кода на веб-сайтах. Адреса веб-страниц, на которых присутствуют троянские файлы, рано или поздно становятся известны антивирусным компаниям. Естественно, что подобные страницы попадают под пристальное внимание антивирусных аналитиков - содержимое страницы периодически скачивается, новые версии троянских программ заносятся в антивирусные обновления. Для противодействия этому веб-страница модифицируется специальным образом - если запрос идёт с адреса антивирусной компании, то скачивается какой-нибудь нетроянский файл вместо троянского.
Атака количеством. Генерация и распространение в интернете большого количества новых версий троянских программ за короткий промежуток времени. В результате антивирусные компании оказываются «завалены» новыми образцами, на анализ которых требуется время, что даёт злоумышленному коду дополнительный шанс для успешного внедрения в компьютеры.
Эти и другие методы используются компьютерным андеграундом для противодействия антивирусным программам. При этом активность киберпреступников растёт год за годом, и сейчас можно говорить о настоящей «гонке технологий», которая развернулась между антивирусной индустрией и индустрией вирусной. Одновременно растёт количество хакеров-индивидуалов и преступных групп, а также их профессионализм. Всё это вместе значительно увеличивает сложность и объём работы, необходимой антивирусным компаниям для разработки средств защиты достаточного уровня.
К вредоносным программам, внедряемым по сети, относятся вирусы, которые для своего распространения активно используют протоколы и возможности локальных и глобальных сетей. Основным принципом работы сетевого вируса является возможность самостоятельно передать свой код на удаленный сервер или рабочую станцию. «Полноценные» сетевые вирусы при этом обладают еще и возможностью запустить на выполнение свой код на удаленном компьютере или, по крайней мере, «подтолкнуть» пользователя к запуску зараженного файла.
Вредоносными программами, обеспечивающими осуществление НСД, могут быть:
программы подбора и вскрытия паролей;
программы, реализующие угрозы;
программы, демонстрирующие использование недекларированных возможностей программного и программно-аппаратного обеспечения ИСПДн;
программы-генераторы компьютерных вирусов;
программы, демонстрирующие уязвимости средств защиты информации и др.
Если в Учреждении обрабатываемые ПДн не пересылаются по сетям общего пользования и международного обмена, установлена антивирусная защита, то вероятность реализации угрозы – является маловероятной .
Во всех других случаях должна быть оценена вероятность реализации угрозы.
Обобщенный список вероятности реализации угроз для разных типов ИСПДн представлен в таблице 13.
Таблица 13
|
Тип ИСПДн |
Вероятность реализации угрозы |
Коэфф. вероятности реализации угрозы нарушителем |
|
Автономная ИС Iтипа |
маловероятная | |
|
Автономная ИС IIтипа | ||
|
Автономная ИС IIIтипа |
маловероятная | |
|
Автономная ИС IVтипа | ||
|
Автономная ИС Vтипа |
маловероятная | |
|
Автономная ИС VIтипа | ||
|
ЛИС Iтипа |
маловероятная | |
|
ЛИС IIтипа | ||
|
Распределенная ИС Iтипа |
маловероятная | |
|
Распределенная ИС IIтипа |
Реализуемость угроз
По итогам оценки уровня защищенности (Y 1) (раздел 7) и вероятности реализации угрозы (Y 2) (раздел 9), рассчитывается коэффициент реализуемости угрозы (Y) и определяется возможность реализации угрозы (таблица 4). Коэффициент реализуемости угрозы Y будет определяться соотношениемY= (Y 1 +Y 2)/20
Обобщенный список оценки реализуемости УБПДн для разных типов ИСПДн представлен в таблицах 14-23.
Таблица 14 – Автономная ИС Iтипа
|
Тип угроз безопасности ПДн |
Возможность реализации |
|
|
2.1.1. Кража ПЭВМ | ||
|
2.3.6. Стихийное бедствие | ||
Таблица 15 – Автономная ИС IIтипа
|
Тип угроз безопасности ПДн |
Коэффициент реализуемости угрозы (Y) |
Возможность реализации |
|
1. Угрозы от утечки по техническим каналам. |
||
|
1.1. Угрозы утечки акустической информации | ||
|
1.2. Угрозы утечки видовой информации | ||
|
1.3. Угрозы утечки информации по каналам ПЭМИН | ||
|
2. Угрозы несанкционированного доступа к информации. |
||
|
2.1. Угрозы уничтожения, хищения аппаратных средств ИСПДн носителей информации путем физического доступа к элементам ИСПДн |
||
|
2.1.1. Кража ПЭВМ | ||
|
2.1.2. Кража носителей информации | ||
|
2.1.3. Кража ключей и атрибутов доступа | ||
|
2.1.4. Кражи, модификации, уничтожения информации | ||
|
2.1.5. Вывод из строя узлов ПЭВМ, каналов связи | ||
|
2.1.6. Несанкционированный доступ к информации при техническом обслуживании (ремонте, уничтожении) узлов ПЭВМ | ||
|
2.1.7. Несанкционированное отключение средств защиты | ||
|
2.2. Угрозы хищения, несанкционированной модификации или блокирования информации за счет несанкционированного доступа (НСД) с применением программно-аппаратных и программных средств (в том числе программно-математических воздействий). |
||
|
2.2.1. Действия вредоносных программ (вирусов) | ||
|
2.2.3. Установка ПО не связанного с исполнением служебных обязанностей | ||
|
2.3. Угрозы не преднамеренных действий пользователей и нарушений безопасности функционирования ИСПДн и СЗПДн в ее составе из-за сбоев в программном обеспечении, а также от угроз неантропогенного (сбоев аппаратуры из-за ненадежности элементов, сбоев электропитания) и стихийного (ударов молний, пожаров, наводнений и т.п.) характера. |
||
|
2.3.1. Утрата ключей и атрибутов доступа | ||
|
2.3.2. Непреднамеренная модификация (уничтожение) информации сотрудниками | ||
|
2.3.3. Непреднамеренное отключение средств защиты | ||
|
2.3.4. Выход из строя аппаратно-программных средств | ||
|
2.3.5. Сбой системы электроснабжения | ||
|
2.3.6. Стихийное бедствие | ||
|
2.4. Угрозы преднамеренных действий внутренних нарушителей |
||
|
2.4.1. Доступ к информации, модификация, уничтожение лиц не допущенных к ее обработке | ||
|
2.4.2. Разглашение информации, модификация, уничтожение сотрудниками допущенными к ее обработке | ||
|
2.5.Угрозы несанкционированного доступа по каналам связи. |
||
|
2.5.1.Угроза «Анализ сетевого трафика» с перехватом передаваемой из ИСПДн и принимаемой из внешних сетей информации: | ||
|
2.5.1.1. Перехват за переделами с контролируемой зоны | ||
|
2.5.1.2. Перехват в пределах контролируемой зоны внешними нарушителями | ||
|
2.5.1.3.Перехват в пределах контролируемой зоны внутренними нарушителями. | ||
|
2.5.2.Угрозы сканирования, направленные на выявление типа или типов используемых операционных систем, сетевых адресов рабочих станций ИСПДн, топологии сети, открытых портов и служб, открытых соединений и др. | ||
|
2.5.3.Угрозы выявления паролей по сети | ||
|
2.5.4.Угрозы навязывание ложного маршрута сети | ||
|
2.5.5.Угрозы подмены доверенного объекта в сети | ||
|
2.5.6.Угрозы внедрения ложного объекта как в ИСПДн, так и во внешних сетях | ||
|
2.5.7.Угрозы типа «Отказ в обслуживании» | ||
|
2.5.8.Угрозы удаленного запуска приложений | ||
|
2.5.9.Угрозы внедрения по сети вредоносных программ | ||
Таблица 16 – Автономная ИС IIIтипа
|
Тип угроз безопасности ПДн |
Коэффициент реализуемости угрозы (Y) |
Возможность реализации |
|
1. Угрозы от утечки по техническим каналам. |
||
|
1.1. Угрозы утечки акустической информации | ||
|
1.2. Угрозы утечки видовой информации | ||
|
1.3. Угрозы утечки информации по каналам ПЭМИН | ||
|
2. Угрозы несанкционированного доступа к информации. |
||
|
2.1. Угрозы уничтожения, хищения аппаратных средств ИСПДн носителей информации путем физического доступа к элементам ИСПДн |
||
|
2.1.1. Кража ПЭВМ | ||
|
2.1.2. Кража носителей информации | ||
|
2.1.3. Кража ключей и атрибутов доступа | ||
|
2.1.4. Кражи, модификации, уничтожения информации | ||
|
2.1.5. Вывод из строя узлов ПЭВМ, каналов связи | ||
|
2.1.6. Несанкционированный доступ к информации при техническом обслуживании (ремонте, уничтожении) узлов ПЭВМ | ||
|
2.1.7. Несанкционированное отключение средств защиты | ||
|
2.2. Угрозы хищения, несанкционированной модификации или блокирования информации за счет несанкционированного доступа (НСД) с применением программно-аппаратных и программных средств (в том числе программно-математических воздействий). |
||
|
2.2.1. Действия вредоносных программ (вирусов) | ||
|
2.2.3. Установка ПО не связанного с исполнением служебных обязанностей | ||
|
2.3. Угрозы не преднамеренных действий пользователей и нарушений безопасности функционирования ИСПДн и СЗПДн в ее составе из-за сбоев в программном обеспечении, а также от угроз неантропогенного (сбоев аппаратуры из-за ненадежности элементов, сбоев электропитания) и стихийного (ударов молний, пожаров, наводнений и т.п.) характера. |
||
|
2.3.1. Утрата ключей и атрибутов доступа | ||
|
2.3.2. Непреднамеренная модификация (уничтожение) информации сотрудниками | ||
|
2.3.3. Непреднамеренное отключение средств защиты | ||
|
2.3.4. Выход из строя аппаратно-программных средств | ||
|
2.3.5. Сбой системы электроснабжения | ||
|
2.3.6. Стихийное бедствие | ||
|
2.4. Угрозы преднамеренных действий внутренних нарушителей |
||
|
2.4.1. Доступ к информации, модификация, уничтожение лиц не допущенных к ее обработке | ||
|
2.4.2. Разглашение информации, модификация, уничтожение сотрудниками допущенными к ее обработке | ||
|
2.5.Угрозы несанкционированного доступа по каналам связи. |
||
|
2.5.1.Угроза «Анализ сетевого трафика» с перехватом передаваемой из ИСПДн и принимаемой из внешних сетей информации: | ||
|
2.5.1.1. Перехват за переделами с контролируемой зоны | ||
|
2.5.1.2. Перехват в пределах контролируемой зоны внешними нарушителями | ||
|
2.5.1.3.Перехват в пределах контролируемой зоны внутренними нарушителями. | ||
|
2.5.2.Угрозы сканирования, направленные на выявление типа или типов используемых операционных систем, сетевых адресов рабочих станций ИСПДн, топологии сети, открытых портов и служб, открытых соединений и др. | ||
|
2.5.3.Угрозы выявления паролей по сети | ||
|
2.5.4.Угрозы навязывание ложного маршрута сети | ||
|
2.5.5.Угрозы подмены доверенного объекта в сети | ||
|
2.5.6.Угрозы внедрения ложного объекта как в ИСПДн, так и во внешних сетях | ||
|
2.5.7.Угрозы типа «Отказ в обслуживании» | ||
|
2.5.8.Угрозы удаленного запуска приложений | ||
|
2.5.9.Угрозы внедрения по сети вредоносных программ | ||
Таблица 17 – Автономная ИС IVтипа
|
Тип угроз безопасности ПДн |
Коэффициент реализуемости угрозы (Y) |
Возможность реализации |
|
1. Угрозы от утечки по техническим каналам. |
||
|
1.1. Угрозы утечки акустической информации | ||
|
1.2. Угрозы утечки видовой информации | ||
|
1.3. Угрозы утечки информации по каналам ПЭМИН | ||
|
2. Угрозы несанкционированного доступа к информации. |
||
|
2.1. Угрозы уничтожения, хищения аппаратных средств ИСПДн носителей информации путем физического доступа к элементам ИСПДн |
||
|
2.1.1. Кража ПЭВМ | ||
|
2.1.2. Кража носителей информации | ||
|
2.1.3. Кража ключей и атрибутов доступа | ||
|
2.1.4. Кражи, модификации, уничтожения информации | ||
|
2.1.5. Вывод из строя узлов ПЭВМ, каналов связи | ||
|
2.1.6. Несанкционированный доступ к информации при техническом обслуживании (ремонте, уничтожении) узлов ПЭВМ | ||
|
2.1.7. Несанкционированное отключение средств защиты | ||
|
2.2. Угрозы хищения, несанкционированной модификации или блокирования информации за счет несанкционированного доступа (НСД) с применением программно-аппаратных и программных средств (в том числе программно-математических воздействий). |
||
|
2.2.1. Действия вредоносных программ (вирусов) | ||
|
2.2.3. Установка ПО не связанного с исполнением служебных обязанностей | ||
|
2.3. Угрозы не преднамеренных действий пользователей и нарушений безопасности функционирования ИСПДн и СЗПДн в ее составе из-за сбоев в программном обеспечении, а также от угроз неантропогенного (сбоев аппаратуры из-за ненадежности элементов, сбоев электропитания) и стихийного (ударов молний, пожаров, наводнений и т.п.) характера. |
||
|
2.3.1. Утрата ключей и атрибутов доступа | ||
|
2.3.2. Непреднамеренная модификация (уничтожение) информации сотрудниками | ||
|
2.3.3. Непреднамеренное отключение средств защиты | ||
|
2.3.4. Выход из строя аппаратно-программных средств | ||
|
2.3.5. Сбой системы электроснабжения | ||
|
2.3.6. Стихийное бедствие | ||
|
2.4. Угрозы преднамеренных действий внутренних нарушителей |
||
|
2.4.1. Доступ к информации, модификация, уничтожение лиц не допущенных к ее обработке | ||
|
2.4.2. Разглашение информации, модификация, уничтожение сотрудниками допущенными к ее обработке | ||
|
2.5.Угрозы несанкционированного доступа по каналам связи. |
||
|
2.5.1.Угроза «Анализ сетевого трафика» с перехватом передаваемой из ИСПДн и принимаемой из внешних сетей информации: | ||
|
2.5.1.1. Перехват за переделами с контролируемой зоны | ||
|
2.5.1.2. Перехват в пределах контролируемой зоны внешними нарушителями | ||
|
2.5.1.3.Перехват в пределах контролируемой зоны внутренними нарушителями. | ||
|
2.5.2.Угрозы сканирования, направленные на выявление типа или типов используемых операционных систем, сетевых адресов рабочих станций ИСПДн, топологии сети, открытых портов и служб, открытых соединений и др. | ||
|
2.5.3.Угрозы выявления паролей по сети | ||
|
2.5.4.Угрозы навязывание ложного маршрута сети | ||
|
2.5.5.Угрозы подмены доверенного объекта в сети | ||
|
2.5.6.Угрозы внедрения ложного объекта как в ИСПДн, так и во внешних сетях | ||
|
2.5.7.Угрозы типа «Отказ в обслуживании» | ||
|
2.5.8.Угрозы удаленного запуска приложений | ||
|
2.5.9.Угрозы внедрения по сети вредоносных программ | ||
Таблица 18 – Автономная ИС Vтипа
|
Тип угроз безопасности ПДн |
Коэффициент реализуемости угрозы (Y) |
Возможность реализации |
|
1. Угрозы от утечки по техническим каналам. |
||
|
1.1. Угрозы утечки акустической информации | ||
|
1.2. Угрозы утечки видовой информации | ||
|
1.3. Угрозы утечки информации по каналам ПЭМИН | ||
|
2. Угрозы несанкционированного доступа к информации. |
||
|
2.1. Угрозы уничтожения, хищения аппаратных средств ИСПДн носителей информации путем физического доступа к элементам ИСПДн |
||
|
2.1.1. Кража ПЭВМ | ||
|
2.1.2. Кража носителей информации | ||
|
2.1.3. Кража ключей и атрибутов доступа | ||
|
2.1.4. Кражи, модификации, уничтожения информации | ||
|
2.1.5. Вывод из строя узлов ПЭВМ, каналов связи | ||
|
2.1.6. Несанкционированный доступ к информации при техническом обслуживании (ремонте, уничтожении) узлов ПЭВМ | ||
|
2.1.7. Несанкционированное отключение средств защиты | ||
|
2.2. Угрозы хищения, несанкционированной модификации или блокирования информации за счет несанкционированного доступа (НСД) с применением программно-аппаратных и программных средств (в том числе программно-математических воздействий). |
||
|
2.2.1. Действия вредоносных программ (вирусов) | ||
|
2.2.3. Установка ПО не связанного с исполнением служебных обязанностей | ||
|
2.3. Угрозы не преднамеренных действий пользователей и нарушений безопасности функционирования ИСПДн и СЗПДн в ее составе из-за сбоев в программном обеспечении, а также от угроз неантропогенного (сбоев аппаратуры из-за ненадежности элементов, сбоев электропитания) и стихийного (ударов молний, пожаров, наводнений и т.п.) характера. |
||
|
2.3.1. Утрата ключей и атрибутов доступа | ||
|
2.3.2. Непреднамеренная модификация (уничтожение) информации сотрудниками | ||
|
2.3.3. Непреднамеренное отключение средств защиты | ||
|
2.3.4. Выход из строя аппаратно-программных средств | ||
|
2.3.5. Сбой системы электроснабжения | ||
|
2.3.6. Стихийное бедствие | ||
|
2.4. Угрозы преднамеренных действий внутренних нарушителей |
||
|
2.4.1. Доступ к информации, модификация, уничтожение лиц не допущенных к ее обработке | ||
|
2.4.2. Разглашение информации, модификация, уничтожение сотрудниками допущенными к ее обработке | ||
|
2.5.Угрозы несанкционированного доступа по каналам связи. |
||
|
2.5.1.Угроза «Анализ сетевого трафика» с перехватом передаваемой из ИСПДн и принимаемой из внешних сетей информации: | ||
|
2.5.1.1. Перехват за переделами с контролируемой зоны | ||
|
2.5.1.2. Перехват в пределах контролируемой зоны внешними нарушителями | ||
|
2.5.1.3.Перехват в пределах контролируемой зоны внутренними нарушителями. | ||
|
2.5.2.Угрозы сканирования, направленные на выявление типа или типов используемых операционных систем, сетевых адресов рабочих станций ИСПДн, топологии сети, открытых портов и служб, открытых соединений и др. | ||
|
2.5.3.Угрозы выявления паролей по сети | ||
|
2.5.4.Угрозы навязывание ложного маршрута сети | ||
|
2.5.5.Угрозы подмены доверенного объекта в сети | ||
|
2.5.6.Угрозы внедрения ложного объекта как в ИСПДн, так и во внешних сетях | ||
|
2.5.7.Угрозы типа «Отказ в обслуживании» | ||
|
2.5.8.Угрозы удаленного запуска приложений | ||
|
2.5.9.Угрозы внедрения по сети вредоносных программ | ||
Таблица 19 – Автономная ИС VIтипа
|
Тип угроз безопасности ПДн |
Коэффициент реализуемости угрозы (Y) |
Возможность реализации |
|
1. Угрозы от утечки по техническим каналам. |
||
|
1.1. Угрозы утечки акустической информации | ||
|
1.2. Угрозы утечки видовой информации | ||
|
1.3. Угрозы утечки информации по каналам ПЭМИН | ||
|
2. Угрозы несанкционированного доступа к информации. |
||
|
2.1. Угрозы уничтожения, хищения аппаратных средств ИСПДн носителей информации путем физического доступа к элементам ИСПДн |
||
|
2.1.1. Кража ПЭВМ | ||
|
2.1.2. Кража носителей информации | ||
|
2.1.3. Кража ключей и атрибутов доступа | ||
|
2.1.4. Кражи, модификации, уничтожения информации | ||
|
2.1.5. Вывод из строя узлов ПЭВМ, каналов связи | ||
|
2.1.6. Несанкционированный доступ к информации при техническом обслуживании (ремонте, уничтожении) узлов ПЭВМ | ||
|
2.1.7. Несанкционированное отключение средств защиты | ||
|
2.2. Угрозы хищения, несанкционированной модификации или блокирования информации за счет несанкционированного доступа (НСД) с применением программно-аппаратных и программных средств (в том числе программно-математических воздействий). |
||
|
2.2.1. Действия вредоносных программ (вирусов) | ||
|
2.2.3. Установка ПО не связанного с исполнением служебных обязанностей | ||
|
2.3. Угрозы не преднамеренных действий пользователей и нарушений безопасности функционирования ИСПДн и СЗПДн в ее составе из-за сбоев в программном обеспечении, а также от угроз неантропогенного (сбоев аппаратуры из-за ненадежности элементов, сбоев электропитания) и стихийного (ударов молний, пожаров, наводнений и т.п.) характера. |
||
|
2.3.1. Утрата ключей и атрибутов доступа | ||
|
2.3.2. Непреднамеренная модификация (уничтожение) информации сотрудниками | ||
|
2.3.3. Непреднамеренное отключение средств защиты | ||
|
2.3.4. Выход из строя аппаратно-программных средств | ||
|
2.3.5. Сбой системы электроснабжения | ||
|
2.3.6. Стихийное бедствие | ||
|
2.4. Угрозы преднамеренных действий внутренних нарушителей |
||
|
2.4.1. Доступ к информации, модификация, уничтожение лиц не допущенных к ее обработке | ||
|
2.4.2. Разглашение информации, модификация, уничтожение сотрудниками допущенными к ее обработке | ||
|
2.5.Угрозы несанкционированного доступа по каналам связи. |
||
|
2.5.1.Угроза «Анализ сетевого трафика» с перехватом передаваемой из ИСПДн и принимаемой из внешних сетей информации: | ||
|
2.5.1.1. Перехват за переделами с контролируемой зоны | ||
|
2.5.1.2. Перехват в пределах контролируемой зоны внешними нарушителями | ||
|
2.5.1.3.Перехват в пределах контролируемой зоны внутренними нарушителями. | ||
|
2.5.2.Угрозы сканирования, направленные на выявление типа или типов используемых операционных систем, сетевых адресов рабочих станций ИСПДн, топологии сети, открытых портов и служб, открытых соединений и др. | ||
|
2.5.3.Угрозы выявления паролей по сети | ||
|
2.5.4.Угрозы навязывание ложного маршрута сети | ||
|
2.5.5.Угрозы подмены доверенного объекта в сети | ||
|
2.5.6.Угрозы внедрения ложного объекта как в ИСПДн, так и во внешних сетях | ||
|
2.5.7.Угрозы типа «Отказ в обслуживании» | ||
|
2.5.8.Угрозы удаленного запуска приложений | ||
|
2.5.9.Угрозы внедрения по сети вредоносных программ | ||
Таблица 20 – ЛИС Iтипа
|
Тип угроз безопасности ПДн |
Коэффициент реализуемости угрозы (Y) |
Возможность реализации |
|
1. Угрозы от утечки по техническим каналам. |
||
|
1.1. Угрозы утечки акустической информации | ||
|
1.2. Угрозы утечки видовой информации | ||
|
1.3. Угрозы утечки информации по каналам ПЭМИН | ||
|
2. Угрозы несанкционированного доступа к информации. |
||
|
2.1. Угрозы уничтожения, хищения аппаратных средств ИСПДн носителей информации путем физического доступа к элементам ИСПДн |
||
|
2.1.1. Кража ПЭВМ | ||
|
2.1.2. Кража носителей информации | ||
|
2.1.3. Кража ключей и атрибутов доступа | ||
|
2.1.4. Кражи, модификации, уничтожения информации | ||
|
2.1.5. Вывод из строя узлов ПЭВМ, каналов связи | ||
|
2.1.6. Несанкционированный доступ к информации при техническом обслуживании (ремонте, уничтожении) узлов ПЭВМ | ||
|
2.1.7. Несанкционированное отключение средств защиты | ||
|
2.2. Угрозы хищения, несанкционированной модификации или блокирования информации за счет несанкционированного доступа (НСД) с применением программно-аппаратных и программных средств (в том числе программно-математических воздействий). |
||
|
2.2.1. Действия вредоносных программ (вирусов) | ||
|
2.2.3. Установка ПО не связанного с исполнением служебных обязанностей | ||
|
2.3. Угрозы не преднамеренных действий пользователей и нарушений безопасности функционирования ИСПДн и СЗПДн в ее составе из-за сбоев в программном обеспечении, а также от угроз неантропогенного (сбоев аппаратуры из-за ненадежности элементов, сбоев электропитания) и стихийного (ударов молний, пожаров, наводнений и т.п.) характера. |
||
|
2.3.1. Утрата ключей и атрибутов доступа | ||
|
2.3.2. Непреднамеренная модификация (уничтожение) информации сотрудниками | ||
|
2.3.3. Непреднамеренное отключение средств защиты | ||
|
2.3.4. Выход из строя аппаратно-программных средств | ||
|
2.3.5. Сбой системы электроснабжения | ||
|
2.3.6. Стихийное бедствие | ||
|
2.4. Угрозы преднамеренных действий внутренних нарушителей |
||
|
2.4.1. Доступ к информации, модификация, уничтожение лиц не допущенных к ее обработке | ||
|
2.4.2. Разглашение информации, модификация, уничтожение сотрудниками допущенными к ее обработке | ||
|
2.5.Угрозы несанкционированного доступа по каналам связи. |
||
|
2.5.1.Угроза «Анализ сетевого трафика» с перехватом передаваемой из ИСПДн и принимаемой из внешних сетей информации: | ||
|
2.5.1.1. Перехват за переделами с контролируемой зоны | ||
|
2.5.1.2. Перехват в пределах контролируемой зоны внешними нарушителями | ||
|
2.5.1.3.Перехват в пределах контролируемой зоны внутренними нарушителями. | ||
|
2.5.2.Угрозы сканирования, направленные на выявление типа или типов используемых операционных систем, сетевых адресов рабочих станций ИСПДн, топологии сети, открытых портов и служб, открытых соединений и др. | ||
|
2.5.3.Угрозы выявления паролей по сети | ||
|
2.5.4.Угрозы навязывание ложного маршрута сети | ||
|
2.5.5.Угрозы подмены доверенного объекта в сети | ||
|
2.5.6.Угрозы внедрения ложного объекта как в ИСПДн, так и во внешних сетях | ||
|
2.5.7.Угрозы типа «Отказ в обслуживании» | ||
|
2.5.8.Угрозы удаленного запуска приложений | ||
|
2.5.9.Угрозы внедрения по сети вредоносных программ | ||
Таблица 21 – ЛИС IIтипа
|
Тип угроз безопасности ПДн |
Коэффициент реализуемости угрозы (Y) |
Возможность реализации |
|
1. Угрозы от утечки по техническим каналам. |
||
|
1.1. Угрозы утечки акустической информации | ||
|
1.2. Угрозы утечки видовой информации | ||
|
1.3. Угрозы утечки информации по каналам ПЭМИН | ||
|
2. Угрозы несанкционированного доступа к информации. |
||
|
2.1. Угрозы уничтожения, хищения аппаратных средств ИСПДн носителей информации путем физического доступа к элементам ИСПДн |
||
|
2.1.1. Кража ПЭВМ | ||
|
2.1.2. Кража носителей информации | ||
|
2.1.3. Кража ключей и атрибутов доступа | ||
|
2.1.4. Кражи, модификации, уничтожения информации | ||
|
2.1.5. Вывод из строя узлов ПЭВМ, каналов связи | ||
|
2.1.6. Несанкционированный доступ к информации при техническом обслуживании (ремонте, уничтожении) узлов ПЭВМ | ||
|
2.1.7. Несанкционированное отключение средств защиты | ||
|
2.2. Угрозы хищения, несанкционированной модификации или блокирования информации за счет несанкционированного доступа (НСД) с применением программно-аппаратных и программных средств (в том числе программно-математических воздействий). |
||
|
2.2.1. Действия вредоносных программ (вирусов) | ||
|
2.2.3. Установка ПО не связанного с исполнением служебных обязанностей | ||
|
2.3. Угрозы не преднамеренных действий пользователей и нарушений безопасности функционирования ИСПДн и СЗПДн в ее составе из-за сбоев в программном обеспечении, а также от угроз неантропогенного (сбоев аппаратуры из-за ненадежности элементов, сбоев электропитания) и стихийного (ударов молний, пожаров, наводнений и т.п.) характера. |
||
|
2.3.1. Утрата ключей и атрибутов доступа | ||
|
2.3.2. Непреднамеренная модификация (уничтожение) информации сотрудниками | ||
|
2.3.3. Непреднамеренное отключение средств защиты | ||
|
2.3.4. Выход из строя аппаратно-программных средств | ||
|
2.3.5. Сбой системы электроснабжения | ||
|
2.3.6. Стихийное бедствие | ||
|
2.4. Угрозы преднамеренных действий внутренних нарушителей |
||
|
2.4.1. Доступ к информации, модификация, уничтожение лиц не допущенных к ее обработке | ||
|
2.4.2. Разглашение информации, модификация, уничтожение сотрудниками допущенными к ее обработке | ||
|
2.5.Угрозы несанкционированного доступа по каналам связи. |
||
|
2.5.1.Угроза «Анализ сетевого трафика» с перехватом передаваемой из ИСПДн и принимаемой из внешних сетей информации: | ||
|
2.5.1.1. Перехват за переделами с контролируемой зоны | ||
|
2.5.1.2. Перехват в пределах контролируемой зоны внешними нарушителями | ||
|
2.5.1.3.Перехват в пределах контролируемой зоны внутренними нарушителями. | ||
|
2.5.2.Угрозы сканирования, направленные на выявление типа или типов используемых операционных систем, сетевых адресов рабочих станций ИСПДн, топологии сети, открытых портов и служб, открытых соединений и др. | ||
|
2.5.3.Угрозы выявления паролей по сети | ||
|
2.5.4.Угрозы навязывание ложного маршрута сети | ||
|
2.5.5.Угрозы подмены доверенного объекта в сети | ||
|
2.5.6.Угрозы внедрения ложного объекта как в ИСПДн, так и во внешних сетях | ||
|
2.5.7.Угрозы типа «Отказ в обслуживании» | ||
|
2.5.8.Угрозы удаленного запуска приложений | ||
|
2.5.9.Угрозы внедрения по сети вредоносных программ | ||
Таблица 22 – Распределенная ИС Iтипа
|
Тип угроз безопасности ПДн |
Коэффициент реализуемости угрозы (Y) |
Возможность реализации |
|
1. Угрозы от утечки по техническим каналам. |
||
|
1.1. Угрозы утечки акустической информации | ||
|
1.2. Угрозы утечки видовой информации | ||
|
1.3. Угрозы утечки информации по каналам ПЭМИН | ||
|
2. Угрозы несанкционированного доступа к информации. |
||
|
2.1. Угрозы уничтожения, хищения аппаратных средств ИСПДн носителей информации путем физического доступа к элементам ИСПДн |
||
|
2.1.1. Кража ПЭВМ | ||
|
2.1.2. Кража носителей информации | ||
|
2.1.3. Кража ключей и атрибутов доступа | ||
|
2.1.4. Кражи, модификации, уничтожения информации | ||
|
2.1.5. Вывод из строя узлов ПЭВМ, каналов связи | ||
|
2.1.6. Несанкционированный доступ к информации при техническом обслуживании (ремонте, уничтожении) узлов ПЭВМ | ||
|
2.1.7. Несанкционированное отключение средств защиты | ||
|
2.2. Угрозы хищения, несанкционированной модификации или блокирования информации за счет несанкционированного доступа (НСД) с применением программно-аппаратных и программных средств (в том числе программно-математических воздействий). |
||
|
2.2.1. Действия вредоносных программ (вирусов) | ||
|
2.2.3. Установка ПО не связанного с исполнением служебных обязанностей | ||
|
2.3. Угрозы не преднамеренных действий пользователей и нарушений безопасности функционирования ИСПДн и СЗПДн в ее составе из-за сбоев в программном обеспечении, а также от угроз неантропогенного (сбоев аппаратуры из-за ненадежности элементов, сбоев электропитания) и стихийного (ударов молний, пожаров, наводнений и т.п.) характера. |
||
|
2.3.1. Утрата ключей и атрибутов доступа | ||
|
2.3.2. Непреднамеренная модификация (уничтожение) информации сотрудниками | ||
|
2.3.3. Непреднамеренное отключение средств защиты | ||
|
2.3.4. Выход из строя аппаратно-программных средств | ||
|
2.3.5. Сбой системы электроснабжения | ||
|
2.3.6. Стихийное бедствие | ||
|
2.4. Угрозы преднамеренных действий внутренних нарушителей |
||
|
2.4.1. Доступ к информации, модификация, уничтожение лиц не допущенных к ее обработке | ||
|
2.4.2. Разглашение информации, модификация, уничтожение сотрудниками допущенными к ее обработке | ||
|
2.5.Угрозы несанкционированного доступа по каналам связи. |
||
|
2.5.1.Угроза «Анализ сетевого трафика» с перехватом передаваемой из ИСПДн и принимаемой из внешних сетей информации: | ||
|
2.5.1.1. Перехват за переделами с контролируемой зоны | ||
|
2.5.1.2. Перехват в пределах контролируемой зоны внешними нарушителями | ||
|
2.5.1.3.Перехват в пределах контролируемой зоны внутренними нарушителями. | ||
|
2.5.2.Угрозы сканирования, направленные на выявление типа или типов используемых операционных систем, сетевых адресов рабочих станций ИСПДн, топологии сети, открытых портов и служб, открытых соединений и др. | ||
|
2.5.3.Угрозы выявления паролей по сети | ||
|
2.5.4.Угрозы навязывание ложного маршрута сети | ||
|
2.5.5.Угрозы подмены доверенного объекта в сети | ||
|
2.5.6.Угрозы внедрения ложного объекта как в ИСПДн, так и во внешних сетях | ||
|
2.5.7.Угрозы типа «Отказ в обслуживании» | ||
|
2.5.8.Угрозы удаленного запуска приложений | ||
|
2.5.9.Угрозы внедрения по сети вредоносных программ | ||
Таблица 23 – Распределенная ИС IIтипа
|
Тип угроз безопасности ПДн |
Коэффициент реализуемости угрозы (Y) |
Возможность реализации |
|
1. Угрозы от утечки по техническим каналам. |
||
|
1.1. Угрозы утечки акустической информации | ||
|
1.2. Угрозы утечки видовой информации | ||
|
1.3. Угрозы утечки информации по каналам ПЭМИН | ||
|
2. Угрозы несанкционированного доступа к информации. |
||
|
2.1. Угрозы уничтожения, хищения аппаратных средств ИСПДн носителей информации путем физического доступа к элементам ИСПДн |
||
|
2.1.1. Кража ПЭВМ | ||
|
2.1.2. Кража носителей информации | ||
|
2.1.3. Кража ключей и атрибутов доступа | ||
|
2.1.4. Кражи, модификации, уничтожения информации | ||
|
2.1.5. Вывод из строя узлов ПЭВМ, каналов связи | ||
|
2.1.6. Несанкционированный доступ к информации при техническом обслуживании (ремонте, уничтожении) узлов ПЭВМ | ||
|
2.1.7. Несанкционированное отключение средств защиты | ||
|
2.2. Угрозы хищения, несанкционированной модификации или блокирования информации за счет несанкционированного доступа (НСД) с применением программно-аппаратных и программных средств (в том числе программно-математических воздействий). |
||
|
2.2.1. Действия вредоносных программ (вирусов) | ||
|
2.2.3. Установка ПО не связанного с исполнением служебных обязанностей | ||
|
2.3. Угрозы не преднамеренных действий пользователей и нарушений безопасности функционирования ИСПДн и СЗПДн в ее составе из-за сбоев в программном обеспечении, а также от угроз неантропогенного (сбоев аппаратуры из-за ненадежности элементов, сбоев электропитания) и стихийного (ударов молний, пожаров, наводнений и т.п.) характера. |
||
|
2.3.1. Утрата ключей и атрибутов доступа | ||
|
2.3.2. Непреднамеренная модификация (уничтожение) информации сотрудниками | ||
|
2.3.3. Непреднамеренное отключение средств защиты | ||
|
2.3.4. Выход из строя аппаратно-программных средств | ||
|
2.3.5. Сбой системы электроснабжения | ||
|
2.3.6. Стихийное бедствие | ||
|
2.4. Угрозы преднамеренных действий внутренних нарушителей |
||
|
2.4.1. Доступ к информации, модификация, уничтожение лиц не допущенных к ее обработке | ||
|
2.4.2. Разглашение информации, модификация, уничтожение сотрудниками допущенными к ее обработке | ||
|
2.5.Угрозы несанкционированного доступа по каналам связи. |
||
|
2.5.1.Угроза «Анализ сетевого трафика» с перехватом передаваемой из ИСПДн и принимаемой из внешних сетей информации: | ||
|
2.5.1.1. Перехват за переделами с контролируемой зоны | ||
|
2.5.1.2. Перехват в пределах контролируемой зоны внешними нарушителями | ||
|
2.5.1.3.Перехват в пределах контролируемой зоны внутренними нарушителями. | ||
|
2.5.2.Угрозы сканирования, направленные на выявление типа или типов используемых операционных систем, сетевых адресов рабочих станций ИСПДн, топологии сети, открытых портов и служб, открытых соединений и др. | ||
|
2.5.3.Угрозы выявления паролей по сети | ||
|
2.5.4.Угрозы навязывание ложного маршрута сети | ||
|
2.5.5.Угрозы подмены доверенного объекта в сети | ||
|
2.5.6.Угрозы внедрения ложного объекта как в ИСПДн, так и во внешних сетях | ||
|
2.5.7.Угрозы типа «Отказ в обслуживании» | ||
Угроза заключается в стремлении запустить на хосте ИСПДн различные предварительно внедренные вредоносные программы: программы-закладки, вирусы, «сетевые шпионы», основная цель которых - нарушение конфиденциальности, целостности, доступности информации и полный контроль за работой хоста. Кроме того, возможен несанкционированный запуск прикладных программ пользователей для несанкционированного получения необходимых нарушителю данных, для запуска управляемых прикладной программой процессов и др.
Выделяют три подкласса данных угроз:
распространение файлов, содержащих несанкционированный исполняемый код;
удаленный запуск приложения путем переполнения буфера приложений-серверов;
удаленный запуск приложения путем использования возможностей удаленного управления системой, предоставляемых скрытыми программными и аппаратными закладками, либо используемыми штатными средствами.
Типовые угрозы первого из указанных подклассов основываются на активизации распространяемых файлов при случайном обращении к ним. Примерами таких файлов могут служить: файлы, содержащие исполняемый код в вид документы, содержащие исполняемый код в виде элементов ActiveX, Java-апплетов, интерпретируемых скриптов (например, тексты на JavaScript); файлы, содержащие исполняемые коды программ. Для распространения файлов могут использоваться службы электронной почты, передачи файлов, сетевой файловой системы.
При угрозах второго подкласса используются недостатки программ, реализующих сетевые сервисы (в частности, отсутствие контроля за переполнением буфера). Настройкой системных регистров иногда удается переключить процессор после прерывания, вызванного переполнением буфера, на исполнение кода, содержащегося за границей буфера. Примером реализации такой угрозы может служить внедрение широко известного «вируса Морриса».
При угрозах третьего подкласса нарушитель использует возможности удаленного управления системой, предоставляемые скрытыми компонентами (например, «троянскими» программами типа Back. Orifice, Net Bus), либо штатными средствами управления и администрирования компьютерных сетей (Landesk Management Suite, Managewise, Back Orifice и т. п.). В результате их использования удается добиться удаленного контроля над станцией в сети.
Если в Учреждении обрабатываемые ПДн не пересылаются по сетям общего пользования и международного обмена, установлена антивирусная защита, то вероятность реализации угрозы – является маловероятной .
Во всех других случаях должна быть оценена вероятность реализации угрозы.
Обобщенный список вероятности реализации угроз для разных типов ИСПДн представлен в таблице 12.
Таблица 12
|
Тип ИСПДн |
Вероятность реализации угрозы |
Коэфф. вероятности реализации угрозы нарушителем |
|
Автономная ИС Iтипа |
маловероятная | |
|
Автономная ИС IIтипа | ||
|
Автономная ИС IIIтипа |
маловероятная | |
|
Автономная ИС IVтипа | ||
|
Автономная ИС Vтипа |
маловероятная | |
|
Автономная ИС VIтипа | ||
|
ЛИС Iтипа |
маловероятная | |
|
ЛИС IIтипа | ||
|
Распределенная ИС Iтипа |
маловероятная | |
|
Распределенная ИС IIтипа |
Угроза заключается в стремлении запустить на хосте ИСПДн различные предварительно внедренные вредоносные программы: программы-закладки, вирусы, «сетевые шпионы», основная цель которых - нарушение конфиденциальности, целостности, доступности информации и полный контроль за работой хоста. Кроме того, возможен несанкционированный запуск прикладных программ пользователей для несанкционированного получения необходимых нарушителю данных, для запуска управляемых прикладной программой процессов и др.
Выделяют три подкласса данных угроз:
Распространение файлов, содержащих несанкционированный исполняемый код;
Удаленный запуск приложения путем переполнения буфера приложений-серверов;
Удаленный запуск приложения путем использования возможностей удаленного управления системой, предоставляемых скрытыми программными и аппаратными закладками, либо используемыми штатными средствами.
Типовые угрозы первого из указанных подклассов основываются на активизации распространяемых файлов при случайном обращении к ним. Примерами таких файлов могут служить: файлы, содержащие исполняемый код в вид документы, содержащие исполняемый код в виде элементов ActiveX, Java-апплетов, интерпретируемых скриптов (например, тексты на JavaScript); файлы, содержащие исполняемые коды программ. Для распространения файлов могут использоваться службы электронной почты, передачи файлов, сетевой файловой системы.
При угрозах второго подкласса используются недостатки программ, реализующих сетевые сервисы (в частности, отсутствие контроля за переполнением буфера). Настройкой системных регистров иногда удается переключить процессор после прерывания, вызванного переполнением буфера, на исполнение кода, содержащегося за границей буфера. Примером реализации такой угрозы может служить внедрение широко известного «вируса Морриса».
При угрозах третьего подкласса нарушитель использует возможности удаленного управления системой, предоставляемые скрытыми компонентами (например, «троянскими» программами типа Back. Orifice, Net Bus), либо штатными средствами управления и администрирования компьютерных сетей (Landesk Management Suite, Managewise, Back Orifice и т. п.). В результате их использования удается добиться удаленного контроля над станцией в сети.
является маловероятной .
Обобщенный список вероятности реализации угроз для разных типов ИСПДн представлен в таблице 12.
Таблица 12
Угрозы внедрения по сети вредоносных программ
К вредоносным программам, внедряемым по сети, относятся вирусы, которые для своего распространения активно используют протоколы и возможности локальных и глобальных сетей. Основным принципом работы сетевого вируса является возможность самостоятельно передать свой код на удаленный сервер или рабочую станцию. «Полноценные» сетевые вирусы при этом обладают еще и возможностью запустить на выполнение свой код на удаленном компьютере или, по крайней мере, «подтолкнуть» пользователя к запуску зараженного файла.
Вредоносными программами, обеспечивающими осуществление НСД, могут быть:
Программы подбора и вскрытия паролей;
Программы, реализующие угрозы;
Программы, демонстрирующие использование недекларированных возможностей программного и программно-аппаратного обеспечения ИСПДн;
Программы-генераторы компьютерных вирусов;
Программы, демонстрирующие уязвимости средств защиты информации и др.
Если в Учреждении обрабатываемые ПДн не пересылаются по сетям общего пользования и международного обмена, установлена антивирусная защита, то вероятность реализации угрозы – является маловероятной .
Во всех других случаях должна быть оценена вероятность реализации угрозы.
Обобщенный список вероятности реализации угроз для разных типов ИСПДн представлен в таблице 13.
Таблица 13
Реализуемость угроз
По итогам оценки уровня защищенности (Y 1) (раздел 7) и вероятности реализации угрозы (Y 2) (раздел 9), рассчитывается коэффициент реализуемости угрозы (Y) и определяется возможность реализации угрозы (таблица 4). Коэффициент реализуемости угрозы Y будет определяться соотношением Y = (Y 1 + Y 2)/20
Определение реализуемости угроз производится на основании Отчета о результатах проведения внутренней проверки.
Обобщенный список оценки реализуемости УБПДн для разных типов ИСПДн представлен в таблицах 14-23.
Таблица 14 – Автономная ИС I типа
| Тип угроз безопасности ПДн | Возможность реализации | |
| 0,25 | низкая | |
| 0,25 | низкая | |
| 0,25 | низкая | |
| 2.1.1. Кража ПЭВМ | 0,25 | низкая |
| 0,25 | низкая | |
| 0,25 | низкая | |
| 0,25 | низкая | |
| 0,25 | низкая | |
| 0,25 | низкая | |
| 0,25 | низкая | |
| 0,35 | средняя | |
| 0,25 | низкая | |
| 0,25 | низкая | |
| 0,35 | средняя | |
| 0,25 | низкая | |
| 0,25 | низкая | |
| 0,25 | низкая | |
| 0,25 | низкая | |
| 2.3.6. Стихийное бедствие | 0,25 | низкая |
| 0,25 | низкая | |
| 0,35 | средняя | |
| 0,25 | низкая | |
| 0,25 | низкая | |
| 0,25 | низкая | |
| 0,25 | низкая | |
| 0,25 | низкая | |
| 0,25 | низкая | |
| 0,25 | низкая | |
| 0,25 | низкая | |
| 0,25 | низкая | |
| 0,25 | низкая | |
| 0,25 | низкая |
Таблица 15 – Автономная ИС II типа
| Тип угроз безопасности ПДн | Коэффициент реализуемости угрозы (Y) | Возможность реализации |
| 1. Угрозы от утечки по техническим каналам. | ||
| 1.1. Угрозы утечки акустической информации | 0,25 | низкая |
| 1.2. Угрозы утечки видовой информации | 0,25 | низкая |
| 1.3. Угрозы утечки информации по каналам ПЭМИН | 0,25 | низкая |
| 2. Угрозы несанкционированного доступа к информации. | ||
| 2.1. Угрозы уничтожения, хищения аппаратных средств ИСПДн носителей информации путем физического доступа к элементам ИСПДн | ||
| 2.1.1. Кража ПЭВМ | 0,25 | низкая |
| 2.1.2. Кража носителей информации | 0,25 | низкая |
| 2.1.3. Кража ключей и атрибутов доступа | 0,25 | низкая |
| 2.1.4. Кражи, модификации, уничтожения информации | 0,25 | низкая |
| 2.1.5. Вывод из строя узлов ПЭВМ, каналов связи | 0,25 | низкая |
| 2.1.6. Несанкционированный доступ к информации при техническом обслуживании (ремонте, уничтожении) узлов ПЭВМ | 0,25 | низкая |
| 2.1.7. Несанкционированное отключение средств защиты | 0,25 | низкая |
| 2.2. Угрозы хищения, несанкционированной модификации или блокирования информации за счет несанкционированного доступа (НСД) с применением программно-аппаратных и программных средств (в том числе программно-математических воздействий). | ||
| 2.2.1. Действия вредоносных программ (вирусов) | 0,35 | средняя |
| 2.2.2. Недекларированные возможности системного ПО и ПО для обработки персональных данных | 0,25 | низкая |
| 2.2.3. Установка ПО не связанного с исполнением служебных обязанностей | 0,25 | низкая |
| 2.3. Угрозы не преднамеренных действий пользователей и нарушений безопасности функционирования ИСПДн и СЗПДн в ее составе из-за сбоев в программном обеспечении, а также от угроз неантропогенного (сбоев аппаратуры из-за ненадежности элементов, сбоев электропитания) и стихийного (ударов молний, пожаров, наводнений и т.п.) характера. | ||
| 2.3.1. Утрата ключей и атрибутов доступа | 0,35 | средняя |
| 2.3.2. Непреднамеренная модификация (уничтожение) информации сотрудниками | 0,25 | низкая |
| 2.3.3. Непреднамеренное отключение средств защиты | 0,25 | низкая |
| 2.3.4. Выход из строя аппаратно-программных средств | 0,25 | низкая |
| 2.3.5. Сбой системы электроснабжения | 0,25 | низкая |
| 2.3.6. Стихийное бедствие | 0,25 | низкая |
| 2.4. Угрозы преднамеренных действий внутренних нарушителей | ||
| 2.4.1. Доступ к информации, модификация, уничтожение лиц не допущенных к ее обработке | 0,25 | низкая |
| 2.4.2. Разглашение информации, модификация, уничтожение сотрудниками допущенными к ее обработке | 0,35 | средняя |
| 2.5.Угрозы несанкционированного доступа по каналам связи. | ||
| 2.5.1.Угроза «Анализ сетевого трафика» с перехватом передаваемой из ИСПДн и принимаемой из внешних сетей информации: | ||
| 2.5.1.1. Перехват за переделами с контролируемой зоны | 0,35 | средняя |
| 2.5.1.2. Перехват в пределах контролируемой зоны внешними нарушителями | 0,25 | низкая |
| 2.5.1.3.Перехват в пределах контролируемой зоны внутренними нарушителями. | 0,25 | низкая |
| 2.5.2.Угрозы сканирования, направленные на выявление типа или типов используемых операционных систем, сетевых адресов рабочих станций ИСПДн, топологии сети, открытых портов и служб, открытых соединений и др. | 0,25 | низкая |
| 2.5.3.Угрозы выявления паролей по сети | 0,35 | средняя |
| 2.5.4.Угрозы навязывание ложного маршрута сети | 0,25 | низкая |
| 2.5.5.Угрозы подмены доверенного объекта в сети | 0,25 | низкая |
| 2.5.6.Угрозы внедрения ложного объекта как в ИСПДн, так и во внешних сетях | 0,25 | низкая |
| 2.5.7.Угрозы типа «Отказ в обслуживании» | 0,25 | низкая |
| 2.5.8.Угрозы удаленного запуска приложений | 0,35 | средняя |
| 2.5.9.Угрозы внедрения по сети вредоносных программ | 0,35 | средняя |
Таблица 16 – Автономная ИС III типа
| Тип угроз безопасности ПДн | Коэффициент реализуемости угрозы (Y) | Возможность реализации |
| 1. Угрозы от утечки по техническим каналам. | ||
| 1.1. Угрозы утечки акустической информации | 0,25 | низкая |
| 1.2. Угрозы утечки видовой информации | 0,25 | низкая |
| 1.3. Угрозы утечки информации по каналам ПЭМИН | 0,25 | низкая |
| 2. Угрозы несанкционированного доступа к информации. | ||
| 2.1. Угрозы уничтожения, хищения аппаратных средств ИСПДн носителей информации путем физического доступа к элементам ИСПДн | ||
| 2.1.1. Кража ПЭВМ | 0,25 | низкая |
| 2.1.2. Кража носителей информации | 0,25 | низкая |
| 2.1.3. Кража ключей и атрибутов доступа | 0,25 | низкая |
| 2.1.4. Кражи, модификации, уничтожения информации | 0,25 | низкая |
| 2.1.5. Вывод из строя узлов ПЭВМ, каналов связи | 0,25 | низкая |
| 2.1.6. Несанкционированный доступ к информации при техническом обслуживании (ремонте, уничтожении) узлов ПЭВМ | 0,25 | низкая |
| 2.1.7. Несанкционированное отключение средств защиты | 0,25 | низкая |
| 2.2. Угрозы хищения, несанкционированной модификации или блокирования информации за счет несанкционированного доступа (НСД) с применением программно-аппаратных и программных средств (в том числе программно-математических воздействий). | ||
| 2.2.1. Действия вредоносных программ (вирусов) | 0,35 | средняя |
| 2.2.2. Недекларированные возможности системного ПО и ПО для обработки персональных данных | 0,25 | низкая |
| 2.2.3. Установка ПО не связанного с исполнением служебных обязанностей | 0,25 | низкая |
| 2.3. Угрозы не преднамеренных действий пользователей и нарушений безопасности функционирования ИСПДн и СЗПДн в ее составе из-за сбоев в программном обеспечении, а также от угроз неантропогенного (сбоев аппаратуры из-за ненадежности элементов, сбоев электропитания) и стихийного (ударов молний, пожаров, наводнений и т.п.) характера. | ||
| 2.3.1. Утрата ключей и атрибутов доступа | 0,35 | средняя |
| 2.3.2. Непреднамеренная модификация (уничтожение) информации сотрудниками | 0,25 | низкая |
| 2.3.3. Непреднамеренное отключение средств защиты | 0,25 | низкая |
| 2.3.4. Выход из строя аппаратно-программных средств | 0,25 | низкая |
| 2.3.5. Сбой системы электроснабжения | 0,25 | низкая |
| 2.3.6. Стихийное бедствие | 0,25 | низкая |
| 2.4. Угрозы преднамеренных действий внутренних нарушителей | ||
| 2.4.1. Доступ к информации, модификация, уничтожение лиц не допущенных к ее обработке | 0,25 | низкая |
| 2.4.2. Разглашение информации, модификация, уничтожение сотрудниками допущенными к ее обработке | 0,35 | средняя |
| 2.5.Угрозы несанкционированного доступа по каналам связи. | ||
| 2.5.1.Угроза «Анализ сетевого трафика» с перехватом передаваемой из ИСПДн и принимаемой из внешних сетей информации: | ||
| 2.5.1.1. Перехват за переделами с контролируемой зоны | 0,25 | низкая |
| 2.5.1.2. Перехват в пределах контролируемой зоны внешними нарушителями | 0,25 | низкая |
| 2.5.1.3.Перехват в пределах контролируемой зоны внутренними нарушителями. | 0,25 | низкая |
| 2.5.2.Угрозы сканирования, направленные на выявление типа или типов используемых операционных систем, сетевых адресов рабочих станций ИСПДн, топологии сети, открытых портов и служб, открытых соединений и др. | 0,25 | низкая |
| 2.5.3.Угрозы выявления паролей по сети | 0,25 | низкая |
| 2.5.4.Угрозы навязывание ложного маршрута сети | 0,25 | низкая |
| 2.5.5.Угрозы подмены доверенного объекта в сети | 0,25 | низкая |
| 2.5.6.Угрозы внедрения ложного объекта как в ИСПДн, так и во внешних сетях | 0,25 | низкая |
| 2.5.7.Угрозы типа «Отказ в обслуживании» | 0,25 | низкая |
| 2.5.8.Угрозы удаленного запуска приложений | 0,25 | низкая |
| 2.5.9.Угрозы внедрения по сети вредоносных программ | 0,25 | низкая |
Таблица 17 – Автономная ИС IV типа
| Тип угроз безопасности ПДн | Коэффициент реализуемости угрозы (Y) | Возможность реализации |
| 1. Угрозы от утечки по техническим каналам. | ||
| 1.1. Угрозы утечки акустической информации | 0,25 | низкая |
| 1.2. Угрозы утечки видовой информации | 0,25 | низкая |
| 1.3. Угрозы утечки информации по каналам ПЭМИН | 0,25 | низкая |
| 2. Угрозы несанкционированного доступа к информации. | ||
| 2.1. Угрозы уничтожения, хищения аппаратных средств ИСПДн носителей информации путем физического доступа к элементам ИСПДн | ||
| 2.1.1. Кража ПЭВМ | 0,25 | низкая |
| 2.1.2. Кража носителей информации | 0,25 | низкая |
| 2.1.3. Кража ключей и атрибутов доступа | 0,25 | низкая |
| 2.1.4. Кражи, модификации, уничтожения информации | 0,25 | низкая |
| 2.1.5. Вывод из строя узлов ПЭВМ, каналов связи | 0,25 | низкая |
| 2.1.6. Несанкционированный доступ к информации при техническом обслуживании (ремонте, уничтожении) узлов ПЭВМ | 0,25 | низкая |
| 2.1.7. Несанкционированное отключение средств защиты | 0,25 | низкая |
| 2.2. Угрозы хищения, несанкционированной модификации или блокирования информации за счет несанкционированного доступа (НСД) с применением программно-аппаратных и программных средств (в том числе программно-математических воздействий). | ||
| 2.2.1. Действия вредоносных программ (вирусов) | 0,35 | средняя |
| 2.2.2. Недекларированные возможности системного ПО и ПО для обработки персональных данных | 0,25 | низкая |
| 2.2.3. Установка ПО не связанного с исполнением служебных обязанностей | 0,25 | низкая |
| 2.3. Угрозы не преднамеренных действий пользователей и нарушений безопасности функционирования ИСПДн и СЗПДн в ее составе из-за сбоев в программном обеспечении, а также от угроз неантропогенного (сбоев аппаратуры из-за ненадежности элементов, сбоев электропитания) и стихийного (ударов молний, пожаров, наводнений и т.п.) характера. | ||
| 2.3.1. Утрата ключей и атрибутов доступа | 0,35 | средняя |
| 2.3.2. Непреднамеренная модификация (уничтожение) информации сотрудниками | 0,25 | низкая |
| 2.3.3. Непреднамеренное отключение средств защиты | 0,25 | низкая |
| 2.3.4. Выход из строя аппаратно-программных средств | 0,25 | низкая |
| 2.3.5. Сбой системы электроснабжения | 0,25 | низкая |
| 2.3.6. Стихийное бедствие | 0,25 | низкая |
| 2.4. Угрозы преднамеренных действий внутренних нарушителей | ||
| 2.4.1. Доступ к информации, модификация, уничтожение лиц не допущенных к ее обработке | 0,25 | низкая |
| 2.4.2. Разглашение информации, модификация, уничтожение сотрудниками допущенными к ее обработке | 0,35 | средняя |
| 2.5.Угрозы несанкционированного доступа по каналам связи. | ||
| 2.5.1.Угроза «Анализ сетевого трафика» с перехватом передаваемой из ИСПДн и принимаемой из внешних сетей информации: | ||
| 2.5.1.1. Перехват за переделами с контролируемой зоны | 0,35 | средняя |
| 2.5.1.2. Перехват в пределах контролируемой зоны внешними нарушителями | 0,25 | низкая |
| 2.5.1.3.Перехват в пределах контролируемой зоны внутренними нарушителями. | 0,25 | низкая |
| 2.5.2.Угрозы сканирования, направленные на выявление типа или типов используемых операционных систем, сетевых адресов рабочих станций ИСПДн, топологии сети, открытых портов и служб, открытых соединений и др. | 0,25 | низкая |
| 2.5.3.Угрозы выявления паролей по сети | 0,35 | средняя |
| 2.5.4.Угрозы навязывание ложного маршрута сети | 0,25 | низкая |
| 2.5.5.Угрозы подмены доверенного объекта в сети | 0,25 | низкая |
| 2.5.6.Угрозы внедрения ложного объекта как в ИСПДн, так и во внешних сетях | 0,25 | низкая |
| 2.5.7.Угрозы типа «Отказ в обслуживании» | 0,25 | низкая |
| 2.5.8.Угрозы удаленного запуска приложений | 0,35 | средняя |
| 2.5.9.Угрозы внедрения по сети вредоносных программ | 0,35 | средняя |
Таблица 18 – Автономная ИС V типа
| Тип угроз безопасности ПДн | Коэффициент реализуемости угрозы (Y) | Возможность реализации |
| 1. Угрозы от утечки по техническим каналам. | ||
| 1.1. Угрозы утечки акустической информации | 0,25 | низкая |
| 1.2. Угрозы утечки видовой информации | 0,25 | низкая |
| 1.3. Угрозы утечки информации по каналам ПЭМИН | 0,25 | низкая |
| 2. Угрозы несанкционированного доступа к информации. | ||
| 2.1. Угрозы уничтожения, хищения аппаратных средств ИСПДн носителей информации путем физического доступа к элементам ИСПДн | ||
| 2.1.1. Кража ПЭВМ | 0,25 | низкая |
| 2.1.2. Кража носителей информации | 0,25 | низкая |
| 2.1.3. Кража ключей и атрибутов доступа | 0,25 | низкая |
| 2.1.4. Кражи, модификации, уничтожения информации | 0,25 | низкая |
| 2.1.5. Вывод из строя узлов ПЭВМ, каналов связи | 0,25 | низкая |
| 2.1.6. Несанкционированный доступ к информации при техническом обслуживании (ремонте, уничтожении) узлов ПЭВМ | 0,25 | низкая |
| 2.1.7. Несанкционированное отключение средств защиты | 0,25 | низкая |
| 2.2. Угрозы хищения, несанкционированной модификации или блокирования информации за счет несанкционированного доступа (НСД) с применением программно-аппаратных и программных средств (в том числе программно-математических воздействий). | ||
| 2.2.1. Действия вредоносных программ (вирусов) | 0,35 | средняя |
| 2.2.2. Недекларированные возможности системного ПО и ПО для обработки персональных данных | 0,25 | низкая |
| 2.2.3. Установка ПО не связанного с исполнением служебных обязанностей | 0,25 | низкая |
| 2.3. Угрозы не преднамеренных действий пользователей и нарушений безопасности функционирования ИСПДн и СЗПДн в ее составе из-за сбоев в программном обеспечении, а также от угроз неантропогенного (сбоев аппаратуры из-за ненадежности элементов, сбоев электропитания) и стихийного (ударов молний, пожаров, наводнений и т.п.) характера. | ||
| 2.3.1. Утрата ключей и атрибутов доступа | 0,35 | средняя |
| 2.3.2. Непреднамеренная модификация (уничтожение) информации сотрудниками | 0,25 | низкая |
| 2.3.3. Непреднамеренное отключение средств защиты | 0,25 | низкая |
| 2.3.4. Выход из строя аппаратно-программных средств | 0,25 | низкая |
| 2.3.5. Сбой системы электроснабжения | 0,25 | низкая |
| 2.3.6. Стихийное бедствие | 0,25 | низкая |
| 2.4. Угрозы преднамеренных действий внутренних нарушителей | ||
| 2.4.1. Доступ к информации, модификация, уничтожение лиц не допущенных к ее обработке | 0,25 | низкая |
| 2.4.2. Разглашение информации, модификация, уничтожение сотрудниками допущенными к ее обработке | 0,35 | средняя |
| 2.5.Угрозы несанкционированного доступа по каналам связи. | ||
| 2.5.1.Угроза «Анализ сетевого трафика» с перехватом передаваемой из ИСПДн и принимаемой из внешних сетей информации: | ||
| 2.5.1.1. Перехват за переделами с контролируемой зоны | 0,25 | низкая |
| 2.5.1.2. Перехват в пределах контролируемой зоны внешними нарушителями | 0,25 | низкая |
| 2.5.1.3.Перехват в пределах контролируемой зоны внутренними нарушителями. | 0,25 | низкая |
| 2.5.2.Угрозы сканирования, направленные на выявление типа или типов используемых операционных систем, сетевых адресов рабочих станций ИСПДн, топологии сети, открытых портов и служб, открытых соединений и др. | 0,25 | низкая |
| 2.5.3.Угрозы выявления паролей по сети | 0,25 | низкая |
| 2.5.4.Угрозы навязывание ложного маршрута сети | 0,25 | низкая |
| 2.5.5.Угрозы подмены доверенного объекта в сети | 0,25 | низкая |
| 2.5.6.Угрозы внедрения ложного объекта как в ИСПДн, так и во внешних сетях | 0,25 | низкая |
| 2.5.7.Угрозы типа «Отказ в обслуживании» | 0,25 | низкая |
| 2.5.8.Угрозы удаленного запуска приложений | 0,25 | низкая |
| 2.5.9.Угрозы внедрения по сети вредоносных программ | 0,25 | низкая |
Таблица 19 – Автономная ИС VI типа
| Тип угроз безопасности ПДн | Коэффициент реализуемости угрозы (Y) | Возможность реализации |
| 1. Угрозы от утечки по техническим каналам. | ||
| 1.1. Угрозы утечки акустической информации | 0,25 | низкая |
| 1.2. Угрозы утечки видовой информации | 0,25 | низкая |
| 1.3. Угрозы утечки информации по каналам ПЭМИН | 0,25 | низкая |
| 2. Угрозы несанкционированного доступа к информации. | ||
| 2.1. Угрозы уничтожения, хищения аппаратных средств ИСПДн носителей информации путем физического доступа к элементам ИСПДн | ||
| 2.1.1. Кража ПЭВМ | 0,25 | низкая |
| 2.1.2. Кража носителей информации | 0,25 | низкая |
| 2.1.3. Кража ключей и атрибутов доступа | 0,25 | низкая |
| 2.1.4. Кражи, модификации, уничтожения информации | 0,25 | низкая |
| 2.1.5. Вывод из строя узлов ПЭВМ, каналов связи | 0,25 | низкая |
| 2.1.6. Несанкционированный доступ к информации при техническом обслуживании (ремонте, уничтожении) узлов ПЭВМ | 0,25 | низкая |
| 2.1.7. Несанкционированное отключение средств защиты | 0,25 | низкая |
| 2.2. Угрозы хищения, несанкционированной модификации или блокирования информации за счет несанкционированного доступа (НСД) с применением программно-аппаратных и программных средств (в том числе программно-математических воздействий). | ||
| 2.2.1. Действия вредоносных программ (вирусов) | 0,35 | средняя |
| 2.2.2. Недекларированные возможности системного ПО и ПО для обработки персональных данных | 0,25 | низкая |
| 2.2.3. Установка ПО не связанного с исполнением служебных обязанностей | 0,25 | низкая |
| 2.3. Угрозы не преднамеренных действий пользователей и нарушений безопасности функционирования ИСПДн и СЗПДн в ее составе из-за сбоев в программном обеспечении, а также от угроз неантропогенного (сбоев аппаратуры из-за ненадежности элементов, сбоев электропитания) и стихийного (ударов молний, пожаров, наводнений и т.п.) характера. | ||
| 2.3.1. Утрата ключей и атрибутов доступа | 0,35 | средняя |
| 2.3.2. Непреднамеренная модификация (уничтожение) информации сотрудниками | 0,25 | низкая |
| 2.3.3. Непреднамеренное отключение средств защиты | 0,25 | низкая |
| 2.3.4. Выход из строя аппаратно-программных средств | 0,25 | низкая |
| 2.3.5. Сбой системы электроснабжения | 0,25 | низкая |
| 2.3.6. Стихийное бедствие | 0,25 | низкая |
| 2.4. Угрозы преднамеренных действий внутренних нарушителей | ||
| 2.4.1. Доступ к информации, модификация, уничтожение лиц не допущенных к ее обработке | 0,25 | низкая |
| 2.4.2. Разглашение информации, модификация, уничтожение сотрудниками допущенными к ее обработке | 0,35 | средняя |
| 2.5.Угрозы несанкционированного доступа по каналам связи. | ||
| 2.5.1.Угроза «Анализ сетевого трафика» с перехватом передаваемой из ИСПДн и принимаемой из внешних сетей информации: | ||
| 2.5.1.1. Перехват за переделами с контролируемой зоны | 0,35 | средняя |
| 2.5.1.2. Перехват в пределах контролируемой зоны внешними нарушителями | 0,25 | низкая |
| 2.5.1.3.Перехват в пределах контролируемой зоны внутренними нарушителями. | 0,25 | низкая |
| 2.5.2.Угрозы сканирования, направленные на выявление типа или типов используемых операционных систем, сетевых адресов рабочих станций ИСПДн, топологии сети, открытых портов и служб, открытых соединений и др. | 0,25 | низкая |
| 2.5.3.Угрозы выявления паролей по сети | 0,35 | средняя |
| 2.5.4.Угрозы навязывание ложного маршрута сети | 0,25 | низкая |
| 2.5.5.Угрозы подмены доверенного объекта в сети | 0,25 | низкая |
| 2.5.6.Угрозы внедрения ложного объекта как в ИСПДн, так и во внешних сетях | 0,25 | низкая |
| 2.5.7.Угрозы типа «Отказ в обслуживании» | 0,25 | низкая |
| 2.5.8.Угрозы удаленного запуска приложений | 0,35 | средняя |
| 2.5.9.Угрозы внедрения по сети вредоносных программ | 0,35 | средняя |
Таблица 20 – ЛИС I типа