На данном шаге идентифицируются угрозы. Основные применяющиеся при этом понятия:
– источник угрозы - событие либо ситуация и способ, который может привести к реализации угрозы (в результате использования потенциальной уязвимости);
– угроза - потенциал (или мера) возможности реализации источника угрозы;
– уязвимость - слабость в защите.
Одним из способов идентификации угроз является построение модели нарушителя (см. табл. 2).
Таблица 2. Пример модели нарушителя
Источник угрозы | Мотивация | Результат реализации угрозы (сценарий) |
Хакер | Хулиганство, самоутверждение | Неавторизованный доступ к ИС с использованием известных уязвимостей ОС (описание сценария) |
Криминальные структуры | Получение финансовой информации | Проникновение в ИС с целью получить конфиденциальные данные (описание сценария) |
При составлении перечня угроз и оценке их уровня обращаются:
к спискам классов угроз различных организаций и информации об их рейтингах,
либо к средним значениям вероятности реализации данной угрозы.
|
|
Подобные списки составляются и поддерживаются в актуальном состоянии несколькими организациями: The Federal Computer Incident Response Center (FedCIRC), Federal Bureau of Investigation's National Infrastructure Protection Center, SecurityFocus и др.
Идентификация уязвимостей
В результате выполнения данного шага составляется список потенциальных уязвимостей ИС и возможные результаты их реализации. Одним из способов является представление в виде таблицы (см. табл. 3).
Таблица 3. Идентификация уязвимостей
Уязвимости | Источник угрозы | Результат реализации угрозы (сценарий) |
МЭ допускает доступ из публичной сети к серверу А по протоколу Telnet, в том числе в гостевом режиме (ID= guest) | Неавторизованные пользователи извне | При использовании уязвимости протокола возможен доступ к файловой системе сервера А (описание сценария) |
Учетные записи сотрудников, покидающих компанию, удаляются из ИС системы с запаздыванием в 1-2 дня | Внутренние нарушители, возможно в сговоре с увольняющимися сотрудниками | Незаконные финансовые операции (описание сценария) |
Для существующей ИС при составлении списков прибегают к ряду источников:
· сетевые сканеры уязвимостей,
· каталоги уязвимостей разных организаций (например, база данных по уязвимостям института стандартов США (NIST)),
· специализированные методы анализа рисков.
При оценке уровня уязвимости принимаются во внимание существующие процедуры и методы обеспечения режима информационной безопасности, данные внутреннего аудита и результаты анализа имевших место инцидентов.
Если ИС находится в стадии проектирования, учитываются планируемые процедуры обеспечения ИБ, статистика по уязвимостям, данные производителей средств защиты информации.