Merge branch 'master' of http://213.155.192.79:3001/ypv/EASvZI

Лекции/1.3.400_Методы_оценки_опасности_угроз/gorbunov.md

@@ -0,0 +1,93 @@
+# Методы оценки опасности угроз
+## Что определяет методика оценки угроз безопасности информации?
+
+Методика определяет порядок и содержание работ по определению угроз безопасности информации, реализация (возникновение) которых возможна в информационных системах, автоматизированных системах управления, информационно-телекоммуникационных сетях, информационно-телекоммуникационных инфраструктурах центров обработки данных и облачных инфраструктурах , а также по разработке моделей угроз безопасности информации систем и сетей.
+
+## Когда применяется методика?
+
+Методика применяется для определения угроз безопасности информации, реализация (возникновение) которых возможна в системах и сетях, отнесенных к государственным и муниципальным информационным системам, информационным системам персональных данных, значимым объектам критической информационной инфраструктуры Российской Федерации, информационным системам управления производством, используемым организациями оборонно-промышленного комплекса автоматизированным системам управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объекта, объектах, представляющих повышенную опасность для жизни и здоровья людей и окружающей природной среде.
+В иных случаях решение о применении методики принимается обладателями  или операторами систем и сетей.
+**По сути, данная методика необходима для большинства информационных систем и сетей.
+**
+
+## Основные задачи оценки угроз безопасности информации:
+
+• определение негативных последствий, которые могут наступить от реализации (возникновения) угроз безопасности информации;
+• инвентаризация систем и сетей и определение возможных объектов воздействия угроз безопасности информации;
+• определение источников угроз безопасности информации и оценка возможностей нарушителей по реализации угроз безопасности информации;
+• оценка способов реализации (возникновения) угроз безопасности информации;
+• оценка возможности реализации (возникновения) угроз безопасности информации и определение актуальности угроз безопасности информации;
+• оценка сценариев реализации угроз безопасности информации в системах и сетях.
+
+## Общая схема проведения моделирования угроз:
+
+### Этап 1. Определение негативных последствий от угроз безопасности информации
+- Анализ документации систем и сетей, и иных исходных данных;
+- Определение негативных последствий от реализации угроз.
+### Этап 2. Определение объектов воздействия угроз безопасности информации.
+- Анализ документации систем и сетей, и иных исходных данных;
+- Инвентаризация систем и сетей;
+- Определение групп информационных ресурсов и компонентов систем и сетей.
+### Этап 3. Оценка возможности реализации угроз и их актуальности. 
+- Определение источников угроз;
+- Оценка способов реализации угроз;
+- Оценка актуальности угроз.
+
+## Определение возможных объектов воздействия угроз безопасности информации
+
+ В ходе оценки угроз безопасности информации должны быть определены информационные ресурсы и компоненты систем и сетей, несанкционированный доступ к которым или воздействие на которые в ходе реализации (возникновения) угроз безопасности информации может привести к негативным последствиям - объекты воздействия.
+
+Совокупность объектов воздействия и их интерфейсов определяет границы процесса оценки угроз безопасности информации и разработки модели угроз безопасности информации
+
+**Исходными данными для определения возможных объектов воздействия являются:**
+
+а) общий перечень угроз безопасности информации, содержащейся в банке данных угроз безопасности информации ФСТЭК России (bdu.fstec.ru), модели угроз безопасности информации, разрабатываемые ФСТЭК России в соответствии с подпунктом 4 пункта 8 Положения о Федеральной службе по техническому и экспортному контролю, утвержденного Указом Президента Российской Федерации от 16 августа 2004 г. N 1085, а также отраслевые (ведомственные, корпоративные) модели угроз безопасности информации;
+
+б) описания векторов компьютерных атак, содержащиеся в базах данных и иных источниках, опубликованных в сети "Интернет" (CAPEC, ATT&CK, OWASP, STIX, WASC и др.);
+
+в) документация на сети и системы (в части сведений о составе и архитектуре, о группах пользователей и уровне их полномочий и типах доступа, внешних и внутренних интерфейсах);
+
+г) договоры, соглашения или иные документы, содержащие условия использования информационно-телекоммуникационной инфраструктуры центра обработки данных или облачной инфраструктуры поставщика услуг (в случае функционирования систем и сетей на базе информационно-телекоммуникационной инфраструктуры центра обработки данных или облачной инфраструктуры);
+
+д) негативные последствия от реализации (возникновения) угроз безопасности информации, определенные в соответствии с настоящей Методикой.
+
+Указанные исходные данные могут быть дополнены иными документами и сведениями с учетом особенностей области деятельности, в которой функционируют системы и сети.
+
+**На основе анализа исходных данных и результатов инвентаризации систем и сетей определяются следующие группы информационных ресурсов и компонентов систем и сетей, которые могут являться объектами воздействия:**
+
+а) информация (данные), содержащаяся в системах и сетях (в том числе защищаемая информация, персональные данные, информация о конфигурации систем и сетей, данные телеметрии, сведения о событиях безопасности и др.);
+
+б) программно-аппаратные средства обработки и хранения информации (в том числе автоматизированные рабочие места, серверы, включая промышленные, средства отображения информации, программируемые логические контроллеры, производственное, технологическое оборудование (исполнительные устройства));
+
+в) программные средства (в том числе системное и прикладное программное обеспечение, включая серверы приложений, веб-приложений, системы управления базами данных, системы виртуализации);
+
+г) машинные носители информации, содержащие как защищаемую информацию, так и аутентификационную информацию;
+
+д) телекоммуникационное оборудование (в том числе программное обеспечение для управления телекоммуникационным оборудованием);
+
+е) средства защиты информации (в том числе программное обеспечение для централизованного администрирования средств защиты информации);
+
+ж) привилегированные и непривилегированные пользователи систем и сетей, а также интерфейсы взаимодействия с ними;
+
+з) обеспечивающие системы.
+
+**На этапе создания систем и сетей объекты воздействия определяются на основе предполагаемых архитектуры и условий функционирования систем и сетей, определенных на основе изучения и анализа исходных данных. В ходе эксплуатации систем и сетей, в том числе при развитии (модернизации) систем и сетей, объекты воздействия определяются для реальных архитектуры и условий функционирования систем и сетей, полученных по результатам анализа исходных данных и инвентаризации систем и сетей.**
+
+Инвентаризация систем и сетей проводится с использованием автоматизированных средств, которые позволяют определить компоненты систем и сетей, а также внешние и внутренние интерфейсы.
+
+## Актуальные угрозы безопасности информации
+Раздел "Актуальные угрозы безопасности информации" включает:
+
+перечень возможных (вероятных) угроз безопасности информации для соответствующих способов их реализации и уровней возможностей нарушителей;
+
+описание возможных сценариев реализации угроз безопасности информации;
+
+выводы об актуальности угроз безопасности информации.
+
+К модели угроз безопасности информации может прилагаться схема с отображением сценариев реализации угроз безопасности информации.
+
+### Cписок используемой литературы
+["Методический документ. Методика оценки угроз безопасности информации" (утв. ФСТЭК России 05.02.2021)
+](https://www.consultant.ru/document/cons_doc_LAW_378330/)
+[МЕТОДИКА ОЦЕНКИ УГРОЗ БЕЗОПАСНОСТИ ИНФОРМАЦИИ
+](https://www.evraas.ru/resources/metodika-otsenki-ugroz-bezopasnosti-informatsii/)