2 년 전 · a00e34287d
--- a/ЭАСвЗИ/Лекции/1.3.350Критерии_классификации_угроз.alex/alex.md
+++ b/ЭАСвЗИ/Лекции/1.3.350Критерии_классификации_угроз.alex/alex.md
@@ -0,0 +1,60 @@
 
				+##1.3.350 Критерии классификации угроз##
			
 
				+Расмотрим следующие вопросы по теме:
			
 
				+1)##что такое угроза безопасности автоматизированных систем?##
			
 
				+-Любой вид угрозы безопасности в автоматизированных системах направлен на нарушение достоверности, сохранности и конфиденциальности информации. Все эти угрозы могут воздействовать либо на аппаратные средства, либо на программные средства, либо на самих носителей информации.  
			
 
				+![](cart1.jpg)  
			
 
				+2)##что такое целостность?##
			
 
				+-Целостность информационных данных означает способность информации сохранять изначальный вид и структуру как в процессе хранения, как и после неоднократной передачи. Вносить изменения, удалять или дополнять информацию вправе только владелец или пользователь с легальным доступом к данным.  
			
 
				+3)##что такое конфиденциальность?##
			
 
				+Конфиденциальность – характеристика, которая указывает на необходимость ограничить доступа к информационным ресурсам для определенного круга лиц. В процессе действий и операций информация становится доступной только пользователям, который включены в информационные системы и успешно прошли идентификацию.  
			
 
				+Общая информация  
			
 
				+![](cart2.jpg)  
			
 
				+Угроза - это потенциальная возможность определенным образом нарушить информационную безопасность.  
			
 
				+
			
 
				+Атака - попытка реализации угрозы.  
			
 
				+
			
 
				+Злоумышленник - тот, кто предпринимает такую попытку реализации угрозы.  
			
 
				+
			
 
				+Потенциальные злоумышленники называются источниками угрозы.  
			
 
				+
			
 
				+Чаще всего угроза является следствием наличия уязвимых мест в защите информационных систем (таких, например, как возможность доступа посторонних лиц к критически важному оборудованию или ошибки в программном обеспечении).  
			
 
				+
			
 
				+Промежуток времени от момента, когда появляется возможность использовать слабое место, и до момента, когда пробел ликвидируется, называется окном опасности, ассоциированным с данным уязвимым местом. Пока существует окно опасности, возможны успешные атаки на информационную систему.  
			
 
				+
			
 
				+Если речь идет об ошибках в программном обеспечении, то окно опасности “открывается" с появлением средств использования ошибки и ликвидируется при наложении заплат, ее исправляющих.  
			
 
				+
			
 
				+Для большинства уязвимых мест окно опасности существует сравнительно долго (несколько дней, иногда - недель), поскольку за это время должны произойти следующие события:  
			
 
				+
			
 
				+- должно стать известно о средствах использования пробела в защите;  
			
 
				+
			
 
				+- должны быть выпущены соответствующие заплаты;  
			
 
				+
			
 
				+- заплаты должны быть установлены в защищаемой ИС.  
			
 
				+
			
 
				+Новые уязвимые места и средства их использования появляются постоянно, это значит:  
			
 
				+
			
 
				+- во-первых, что почти всегда существуют окна опасности;  
			
 
				+
			
 
				+- и, во-вторых, что отслеживание таких окон должно производиться постоянно, а выпуск и наложение заплат - как можно более оперативно.  
			
 
				+ 
			
 
				+Некоторые угрозы нельзя считать следствием каких-то ошибок или просчетов, они существуют в силу самой природы современных информационных систем.  
			
 
				+
			
 
				+Например, угроза отключения электричества или выхода его параметров за допустимые границы существует в силу зависимости аппаратного обеспечения ИС от качественного электропитания.  
			
 
				+
			
 
				+Иметь представление о возможных угрозах, а также об уязвимых местах, которые эти угрозы обычно эксплуатируют необходимо для того, чтобы выбирать наиболее экономичные средства обеспечения безопасности. Незнание в данном случае ведет к перерасходу средств и, что еще хуже, к концентрации ресурсы там, где они не особенно нужны, за счет ослабления действительно уязвимых направлений.  
			
 
				+
			
 
				+Следует отметить, что само понятие "угроза" в разных ситуациях зачастую трактуется по-разному.  
			
 
				+
			
 
				+Например, для подчеркнуто открытой организации угроз конфиденциальности может просто не существовать - вся информация считается общедоступной; однако в большинстве случаев нелегальный доступ представляется серьезной опасностью.  
			
 
				+
			
 
				+Иными словами, угрозы, как и всё в информационной системе, зависят от интересов субъектов информационных отношений (и оттого, какой ущерб является для них неприемлемым).  
			
 
				+
			
 
				+Угрозы можно классифицировать по нескольким критериям:  
			
 
				+
			
 
				+- по аспекту информационной безопасности (доступность, целостность, конфиденциальность), против которого угрозы направлены в первую очередь;  
			
 
				+
			
 
				+- по компонентам информационных систем, на которые угрозы нацелены (данные, программы, аппаратура, поддерживающая инфраструктура);  
			
 
				+
			
 
				+- по способу осуществления (случайные/преднамеренные действия природного/техногенного характера);  
			
 
				+
			
 
				+- по расположению источника угроз (внутри/вне рассматриваемой информационной системы).  
			
--- a/ЭАСвЗИ/Лекции/1.3.350Критерии_классификации_угроз.alex/cart1.jpg
+++ b/ЭАСвЗИ/Лекции/1.3.350Критерии_классификации_угроз.alex/cart1.jpg
--- a/ЭАСвЗИ/Лекции/1.3.350Критерии_классификации_угроз.alex/cart2.jpg
+++ b/ЭАСвЗИ/Лекции/1.3.350Критерии_классификации_угроз.alex/cart2.jpg
--- a/ЭАСвЗИ/Лекции/1.3.400Методы_оценки_опасности_угроз.alex/1.jpg
+++ b/ЭАСвЗИ/Лекции/1.3.400Методы_оценки_опасности_угроз.alex/1.jpg
--- a/ЭАСвЗИ/Лекции/1.3.400Методы_оценки_опасности_угроз.alex/2.jpg
+++ b/ЭАСвЗИ/Лекции/1.3.400Методы_оценки_опасности_угроз.alex/2.jpg
--- a/ЭАСвЗИ/Лекции/1.3.400Методы_оценки_опасности_угроз.alex/3.jpg
+++ b/ЭАСвЗИ/Лекции/1.3.400Методы_оценки_опасности_угроз.alex/3.jpg
--- a/ЭАСвЗИ/Лекции/1.3.400Методы_оценки_опасности_угроз.alex/Aleksandrov.md
+++ b/ЭАСвЗИ/Лекции/1.3.400Методы_оценки_опасности_угроз.alex/Aleksandrov.md
@@ -0,0 +1,28 @@
 
				+1.3.400 Методы оценки опасности угроз.  
			
 
				+При определении угроз на конкретном объекте защиты важно понимать, что нельзя учесть абсолютно все угрозы, а тем более защититься от них. Здесь уместно говорить о принципе разумности и достаточности. При идентификации угрозы необходимо установить все возможные источники этой угрозы, так как зачастую угроза возникает вследствие наличия определенной уязвимости и может быть устранена с помощью механизма защиты (например, механизм аутентификации). К идентификации угроз можно подходить двумя путями – по уязвимостям, повлекшим за собой появление угрозы, или по источникам угроз.
			
 
				+![](3.jpg)  
			
 
				+
			
 
				+Опасность угрозы определяется риском в случае ее успешной реализации. Риск – потенциально возможный ущерб. Допустимость риска означает, что ущерб в случае реализации угрозы не приведет к серьезным негативным последствиям для владельца информации. Ущерб подразделяется на опосредованный и непосредственный. Непосредственный связан с причинением материального, морального, финансового , физического вреда владельцу информации. Опосредованный (косвенный) ущерб связан с причинением вреда государству или обществу, но не владельцу информации.  
			
 
				+
			
 
				+Для оценки рисков целесообразно привлекать экспертов - специалистов в области информационной безопасности, которые должны обладать:  
			
 
				+
			
 
				+знаниями законодательства РФ, международных и национальных стандартов в области обеспечения информационной безопасности;  
			
 
				+знаниями нормативных актов и предписаний регулирующих и надзорных органов в области обеспечения информационной безопасности;  
			
 
				+знаниями внутренних документов организации, регламентирующих деятельность в области обеспечения информационной безопасности;  
			
 
				+знаниями о современных средствах вычислительной и телекоммуникационной техники, операционных системах, системах управления базами данных, а также о конкретных способах обеспечения информационной безопасности в них;
			
 
				+знаниями о возможных источниках угроз ИБ, способах реализации угроз ИБ, частоте реализации угроз ИБ в прошлом;
			
 
				+пониманием различных подходов к обеспечению информационной безопасности, знания защитных мер, свойственных им ограничений.  
			
 
				+Существуют различные методы оценки риска, образующие два взаимодополняющих друг друга вида – количественный и качественный.  
			
 
				+![](2.jpg)  
			
 
				+
			
 
				+Целью количественной оценки риска является получение числовых значений потенциального ущерба для каждой конкретной угрозы и для совокупности угроз на защищаемом объекте, а также выгоды от применения средств защиты. Основным недостатком данного подхода является невозможность получения конкретных значений в некоторых случаях. Например, если в результате реализации угрозы наносится ущерб имиджу организации, непонятно, как количественно оценить подобный ущерб.  
			
 
				+
			
 
				+Рассмотрим количественный подход боле подробно на примере метода оценки рисков, предлагаемого компанией При количественной оценке рисков необходимо определить характеристики и факторы, указанные ниже.    
			
 
				+![](1.jpg)  
			
 
				+Стоимость активов. Для каждого актива организации, подлежащего защите, вычисляется его денежная стоимость. Активами считается все, что представляет ценность для организации, включая как материальные активы (например, физическую инфраструктуру), так и нематериальные (например, репутацию организации и цифровую информацию). Часто именно стоимость актива используется для того, чтобы определить меры безопасности для конкретного актива.  
			
 
				+Ожидаемый разовый ущерб – ущерб, полученный в результате разовой реализации одной угрозы. Другими словами, это денежная величина, сопоставленная одиночному событию и характеризующая потенциальный ущерб, который понесет компания, если конкретная угроза сможет использовать уязвимость.  
			
 
				+Ежегодная частота возникновения ( по-простому вероятность) – ожидаемое число проявления угрозы в течение года. Понятно, что величина может меняться от 0 до 100 процентов и не может быть определена точно. В идеальном случае определяется на основе статистики.  
			
 
				+Общий годовой ущерб – величина, характеризующая общие потенциальные потери организации в течение одного года. Это произведение ежегодной величины возникновения на ожидаемый разовый ущерб от реализации угрозы.  
			
 
				+Источники  
			
 
				+[intuit.ru](https://intuit.ru/studies/courses/2291/591/lecture/12687?page=2)
			
 
				+[helpiks.org](https://helpiks.org/5-108009.html)
			
--- a/_Построение_модели_угроз/Alexandrov.md
+++ b/_Построение_модели_угроз/Alexandrov.md
@@ -0,0 +1,35 @@
 
				+""П1.3.300 Построение модели угроз""  
			
 
				+ Что такое модель угроз?
			
 
				+ Модель угроз – это совокупность предположений о возможных угрозах и возможностях нарушителя,  
			
 
				+которые он может использовать для разработки и проведения атак в рамках разрабатываемой системы.  
			
 
				+![](ris1.jpd)
			
 
				+ Какова цель написания дакумента?  
			
 
				+ Целью моделирования угроз безопасности информации является выявление совокупности условий и факторов,  
			
 
				+которые приводят или могут привести к нарушению безопасности обрабатываемой в системах и сетях информации  
			
 
				+(нарушению конфиденциальности, целостности, доступности, неотказуемости, подотчетности, аутентичности и достоверности информации и т.д.,  
			
 
				+а также к нарушению или прекращению функционирования систем и сетей  
			
 
				+ Федеральные законы которые регламентируют написание документа:  
			
 
				+ Федеральный закон от 27.07.2006 года № 149-ФЗ «Об информации, информационных технологиях и о защите информации» (ред. от 09.03.2021);  
			
 
				+
			
 
				+Федеральный закон от 27.07.2006 года № 152-ФЗ «О персональных данных»;  
			
 
				+
			
 
				+ Требования к защите персональных данных при их обработке в информационных системах персональных данных,  
			
 
				+утвержденные постановлением Правительства Российской Федерации от 01.11.2012 г. № 1119;  
			
 
				+
			
 
				+ Требования к защите автоматизированных систем управления субъектов критической информационной инфраструктуры  
			
 
				+в соответствии с положениями Федерального закона от 26.07.2017 г. № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации»;  
			
 
				+17 приказ ФСТЭК - что содержится в модели:  
			
 
				+ Модель угроз безопасности информации должна содержать описание информационной системы и ее структурно-функциональных характеристик,  
			
 
				+а также описание угроз безопасности информации, включающее описание возможностей нарушителей (модель нарушителя),  
			
 
				+возможных уязвимостей информационной системы, способов реализации угроз безопасности информации и последствий от нарушения свойств безопасности информации.
			
 
				+ Важные моменты:  
			
 
				+Описание информационной системы;  
			
 
				+Структурно-функциональные характеристики;  
			
 
				+Описание угроз безопасности;  
			
 
				+Модель нарушителя;  
			
 
				+Возможные уязвимости;  
			
 
				+Способы реализации угроз;  
			
 
				+Последствия от нарушения свойств безопасности информации.  
			
 
				+
			
 
				+
			
 
				+
			
--- a/_Построение_модели_угроз/ris1.jpg
+++ b/_Построение_модели_угроз/ris1.jpg