Merge branch 'master' of u20-24alexandrov/up into master

ЭАСвЗИ/Лекции/1.3.350Критерии_классификации_угроз.alex/alex.md

@@ -0,0 +1,60 @@
+##1.3.350 Критерии классификации угроз##
+Расмотрим следующие вопросы по теме:
+1)##что такое угроза безопасности автоматизированных систем?##
+-Любой вид угрозы безопасности в автоматизированных системах направлен на нарушение достоверности, сохранности и конфиденциальности информации. Все эти угрозы могут воздействовать либо на аппаратные средства, либо на программные средства, либо на самих носителей информации.  
+![](cart1.jpg)  
+2)##что такое целостность?##
+-Целостность информационных данных означает способность информации сохранять изначальный вид и структуру как в процессе хранения, как и после неоднократной передачи. Вносить изменения, удалять или дополнять информацию вправе только владелец или пользователь с легальным доступом к данным.  
+3)##что такое конфиденциальность?##
+Конфиденциальность – характеристика, которая указывает на необходимость ограничить доступа к информационным ресурсам для определенного круга лиц. В процессе действий и операций информация становится доступной только пользователям, который включены в информационные системы и успешно прошли идентификацию.  
+Общая информация  
+![](cart2.jpg)  
+Угроза - это потенциальная возможность определенным образом нарушить информационную безопасность.  
+
+Атака - попытка реализации угрозы.  
+
+Злоумышленник - тот, кто предпринимает такую попытку реализации угрозы.  
+
+Потенциальные злоумышленники называются источниками угрозы.  
+
+Чаще всего угроза является следствием наличия уязвимых мест в защите информационных систем (таких, например, как возможность доступа посторонних лиц к критически важному оборудованию или ошибки в программном обеспечении).  
+
+Промежуток времени от момента, когда появляется возможность использовать слабое место, и до момента, когда пробел ликвидируется, называется окном опасности, ассоциированным с данным уязвимым местом. Пока существует окно опасности, возможны успешные атаки на информационную систему.  
+
+Если речь идет об ошибках в программном обеспечении, то окно опасности “открывается" с появлением средств использования ошибки и ликвидируется при наложении заплат, ее исправляющих.  
+
+Для большинства уязвимых мест окно опасности существует сравнительно долго (несколько дней, иногда - недель), поскольку за это время должны произойти следующие события:  
+
+- должно стать известно о средствах использования пробела в защите;  
+
+- должны быть выпущены соответствующие заплаты;  
+
+- заплаты должны быть установлены в защищаемой ИС.  
+
+Новые уязвимые места и средства их использования появляются постоянно, это значит:  
+
+- во-первых, что почти всегда существуют окна опасности;  
+
+- и, во-вторых, что отслеживание таких окон должно производиться постоянно, а выпуск и наложение заплат - как можно более оперативно.  
+ 
+Некоторые угрозы нельзя считать следствием каких-то ошибок или просчетов, они существуют в силу самой природы современных информационных систем.  
+
+Например, угроза отключения электричества или выхода его параметров за допустимые границы существует в силу зависимости аппаратного обеспечения ИС от качественного электропитания.  
+
+Иметь представление о возможных угрозах, а также об уязвимых местах, которые эти угрозы обычно эксплуатируют необходимо для того, чтобы выбирать наиболее экономичные средства обеспечения безопасности. Незнание в данном случае ведет к перерасходу средств и, что еще хуже, к концентрации ресурсы там, где они не особенно нужны, за счет ослабления действительно уязвимых направлений.  
+
+Следует отметить, что само понятие "угроза" в разных ситуациях зачастую трактуется по-разному.  
+
+Например, для подчеркнуто открытой организации угроз конфиденциальности может просто не существовать - вся информация считается общедоступной; однако в большинстве случаев нелегальный доступ представляется серьезной опасностью.  
+
+Иными словами, угрозы, как и всё в информационной системе, зависят от интересов субъектов информационных отношений (и оттого, какой ущерб является для них неприемлемым).  
+
+Угрозы можно классифицировать по нескольким критериям:  
+
+- по аспекту информационной безопасности (доступность, целостность, конфиденциальность), против которого угрозы направлены в первую очередь;  
+
+- по компонентам информационных систем, на которые угрозы нацелены (данные, программы, аппаратура, поддерживающая инфраструктура);  
+
+- по способу осуществления (случайные/преднамеренные действия природного/техногенного характера);  
+
+- по расположению источника угроз (внутри/вне рассматриваемой информационной системы).  

ЭАСвЗИ/Лекции/1.3.400Методы_оценки_опасности_угроз.alex/Aleksandrov.md

@@ -0,0 +1,28 @@
+1.3.400 Методы оценки опасности угроз.  
+При определении угроз на конкретном объекте защиты важно понимать, что нельзя учесть абсолютно все угрозы, а тем более защититься от них. Здесь уместно говорить о принципе разумности и достаточности. При идентификации угрозы необходимо установить все возможные источники этой угрозы, так как зачастую угроза возникает вследствие наличия определенной уязвимости и может быть устранена с помощью механизма защиты (например, механизм аутентификации). К идентификации угроз можно подходить двумя путями – по уязвимостям, повлекшим за собой появление угрозы, или по источникам угроз.
+![](3.jpg)  
+
+Опасность угрозы определяется риском в случае ее успешной реализации. Риск – потенциально возможный ущерб. Допустимость риска означает, что ущерб в случае реализации угрозы не приведет к серьезным негативным последствиям для владельца информации. Ущерб подразделяется на опосредованный и непосредственный. Непосредственный связан с причинением материального, морального, финансового , физического вреда владельцу информации. Опосредованный (косвенный) ущерб связан с причинением вреда государству или обществу, но не владельцу информации.  
+
+Для оценки рисков целесообразно привлекать экспертов - специалистов в области информационной безопасности, которые должны обладать:  
+
+знаниями законодательства РФ, международных и национальных стандартов в области обеспечения информационной безопасности;  
+знаниями нормативных актов и предписаний регулирующих и надзорных органов в области обеспечения информационной безопасности;  
+знаниями внутренних документов организации, регламентирующих деятельность в области обеспечения информационной безопасности;  
+знаниями о современных средствах вычислительной и телекоммуникационной техники, операционных системах, системах управления базами данных, а также о конкретных способах обеспечения информационной безопасности в них;
+знаниями о возможных источниках угроз ИБ, способах реализации угроз ИБ, частоте реализации угроз ИБ в прошлом;
+пониманием различных подходов к обеспечению информационной безопасности, знания защитных мер, свойственных им ограничений.  
+Существуют различные методы оценки риска, образующие два взаимодополняющих друг друга вида – количественный и качественный.  
+![](2.jpg)  
+
+Целью количественной оценки риска является получение числовых значений потенциального ущерба для каждой конкретной угрозы и для совокупности угроз на защищаемом объекте, а также выгоды от применения средств защиты. Основным недостатком данного подхода является невозможность получения конкретных значений в некоторых случаях. Например, если в результате реализации угрозы наносится ущерб имиджу организации, непонятно, как количественно оценить подобный ущерб.  
+
+Рассмотрим количественный подход боле подробно на примере метода оценки рисков, предлагаемого компанией При количественной оценке рисков необходимо определить характеристики и факторы, указанные ниже.    
+![](1.jpg)  
+Стоимость активов. Для каждого актива организации, подлежащего защите, вычисляется его денежная стоимость. Активами считается все, что представляет ценность для организации, включая как материальные активы (например, физическую инфраструктуру), так и нематериальные (например, репутацию организации и цифровую информацию). Часто именно стоимость актива используется для того, чтобы определить меры безопасности для конкретного актива.  
+Ожидаемый разовый ущерб – ущерб, полученный в результате разовой реализации одной угрозы. Другими словами, это денежная величина, сопоставленная одиночному событию и характеризующая потенциальный ущерб, который понесет компания, если конкретная угроза сможет использовать уязвимость.  
+Ежегодная частота возникновения ( по-простому вероятность) – ожидаемое число проявления угрозы в течение года. Понятно, что величина может меняться от 0 до 100 процентов и не может быть определена точно. В идеальном случае определяется на основе статистики.  
+Общий годовой ущерб – величина, характеризующая общие потенциальные потери организации в течение одного года. Это произведение ежегодной величины возникновения на ожидаемый разовый ущерб от реализации угрозы.  
+Источники  
+[intuit.ru](https://intuit.ru/studies/courses/2291/591/lecture/12687?page=2)
+[helpiks.org](https://helpiks.org/5-108009.html)

ЭАСвЗИ/Лекции/П1.3.300 _Построение_модели_угроз/Alexandrov.md

@@ -0,0 +1,35 @@
+""П1.3.300 Построение модели угроз""  
+ Что такое модель угроз?
+ Модель угроз – это совокупность предположений о возможных угрозах и возможностях нарушителя,  
+которые он может использовать для разработки и проведения атак в рамках разрабатываемой системы.  
+![](ris1.jpd)
+ Какова цель написания дакумента?  
+ Целью моделирования угроз безопасности информации является выявление совокупности условий и факторов,  
+которые приводят или могут привести к нарушению безопасности обрабатываемой в системах и сетях информации  
+(нарушению конфиденциальности, целостности, доступности, неотказуемости, подотчетности, аутентичности и достоверности информации и т.д.,  
+а также к нарушению или прекращению функционирования систем и сетей  
+ Федеральные законы которые регламентируют написание документа:  
+ Федеральный закон от 27.07.2006 года № 149-ФЗ «Об информации, информационных технологиях и о защите информации» (ред. от 09.03.2021);  
+
+Федеральный закон от 27.07.2006 года № 152-ФЗ «О персональных данных»;  
+
+ Требования к защите персональных данных при их обработке в информационных системах персональных данных,  
+утвержденные постановлением Правительства Российской Федерации от 01.11.2012 г. № 1119;  
+
+ Требования к защите автоматизированных систем управления субъектов критической информационной инфраструктуры  
+в соответствии с положениями Федерального закона от 26.07.2017 г. № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации»;  
+17 приказ ФСТЭК - что содержится в модели:  
+ Модель угроз безопасности информации должна содержать описание информационной системы и ее структурно-функциональных характеристик,  
+а также описание угроз безопасности информации, включающее описание возможностей нарушителей (модель нарушителя),  
+возможных уязвимостей информационной системы, способов реализации угроз безопасности информации и последствий от нарушения свойств безопасности информации.
+ Важные моменты:  
+Описание информационной системы;  
+Структурно-функциональные характеристики;  
+Описание угроз безопасности;  
+Модель нарушителя;  
+Возможные уязвимости;  
+Способы реализации угроз;  
+Последствия от нарушения свойств безопасности информации.  
+
+
+