Методика аудита информационной безопасности информационно-телекоммуникационной системы тема диссертации и автореферата по ВАК РФ 05.13.19, кандидат наук Кураленко Алексей Игоревич

Актуальность темы исследования

Современное общество характеризуется стремительным развитием новейших информационных технологий. Вместе с этим значительно возрастают угрозы безопасности информации, что может привести к нарушению непрерывности бизнеса. В связи с этим очевидна необходимость обеспечения безопасности организаций.

Необходимый уровень информационной безопасности организации может быть достигнут в результате создания системы обеспечения безопасности информации. Очень важно своевременно оценить текущее состояние по обеспечению безопасности информации в различных информационных системах организаций. Своевременная и полная оценка существующей или только создаваемой системы обеспечения безопасности информации (СОБИ) поможет сохранить доступность, целостность и конфиденциальность информационных активов. Это возможно при условии знания состояний, характеристик и параметров используемых защитных механизмов, процессов менеджмента, осознания ИБ и понимания степени их соответствия требуемым результатам. По результатам такой оценки определяются слабые места в существующей системе защиты, даются рекомендации для ее дополнения и модернизации [5]. Такой процесс должен осуществляться периодически и называется аудитом информационной безопасности (ИБ).

Исследованием проблем аудита ИБ, оценки защищенности и оценки эффективности СОБИ занимались многие отечественные и зарубежные ученые: А.А. Малюк [58, 59], В.А. Герасименко [17], В.В. Андрианов [5], А.А. Шелупанов [29, 86], А.А. Грушо [25], А.П. Курило [55], В.В. Домарев [27], MoeПer R. [91] и другие.

Согласно аналитическому отчету исследования рынка информационной безопасности РФ за 2013 год [4], рынок аудита ИБ является перспективным направлением, но в настоящее время он занимает менее 1% от общего рынка ИБ. Согласно тому же документу, наиболее востребованными видами

являются аудит защищенности (тесты на проникновение) web-приложений и соответствие требованиям стандарта Банка России СТО БР ИББС. Про аудит информационных систем упоминается только применительно к защите персональных данных, и то в сфере выполнения формальных требований законодательства.

По опыту системных интеграторов рынка безопасности, аудит ИБ информационно-телекоммуникационных систем (ИТКС) производиться очень редко. Как правило, аудит таких систем сводится к соответствию требований стандартов и нормативных документов регуляторов в области обеспечения ИБ, например, на соответствие мер по защите персональных данных [69]. Это не всегда отражает действительное положение дел, так как СОБИ должна противостоять реальным угрозам ИБ и деструктивным действиям от их реализации в отношении информационных активов, подлежащих защите.

Существующие стандарты, за исключением стандарта Банка России СТО БР ИББС [76,77], не позволяют количественно оценить эффективность системы в течение ее жизненного цикла, поскольку дают ответ соответствия или несоответствия определенным критериям ИБ, а также не дают оценки количественных характеристик деструктивных воздействий в результате реализации угроз безопасности в отношении каждого из критичных информационных активов.

В начале 2000-х существовали проекты нормативных документов ФСТЭК России посвященных проведению аудита ИБ, но они так не были приняты.

Законодательство РФ в области ИБ (персональные данные, защита критических инфраструктур) в настоящее время требуют проведения постоянного контроля и оценки эффективности СОБИ [60,61,69].

Таким образом, существует актуальная необходимость разработки методик аудита ИБ различных систем для внешнего и внутреннего аудиторов, дающих количественные оценки, и отвечающих современным требованиям обеспечения безопасности информации.

Цель исследования

Разработка методики аудита ИБ ИТКС, которая позволяет модернизировать СОБИ, за счет ее количественной оценки эффективности по противодействию актуальным угрозам безопасности.

Задачи исследования

Для достижения поставленной цели необходимо решить ряд следующих задач:

1) Провести анализ методов и способов проведения аудита ИБ, определить основные этапы аудита ИБ, а также разработать модель процесса проведения аудита ИБ;

2) Разработать метод оценки вероятности актуальных угроз ИБ, учитывающий источники угроз, уязвимости систем и деструктивные действия от реализованных угроз в отношении каждого из критичных информационных активов ИТКС;

3) Разработать метод количественной оценки эффективности СОБИ, учитывающий вероятность реализации актуальных угроз ИБ и меры защиты, противостоящие таким угрозам;

4) Разработать методику аудита ИБ ИТКС на основе модели процесса проведения аудита с учетом количественной оценки эффективности СОБИ;

5) Провести исследование разработанной методики аудита ИБ на примере конкретной ИТКС, оценить ее эффективность, сравнить результаты работы методики с уже существующей методикой оценкой защищенности «ГРИФ».

Объект исследования

Объектом исследования является система обеспечения безопасности информации информационно-телекоммуникационной системы.

Предмет исследования

Предметом исследования является методика ИБ ИТКС, позволяющая количественно оценить эффективность СОБИ.

Методы исследования

В диссертационной работе использовались элементы системного анализа, теории вероятностей, теории надежности, нечеткой логики, метода экспертных оценок, теории лингвистических переменных и теории защиты информации.

Достоверность результатов

Достоверность полученных результатов подтверждается положительным эффектом от внедрения исследований в практику действующих ИТКС ООО «СЕРТУМ ПРО» и ЗАО НПФ «МИКРАН».

Научная новизна работы заключается в следующем:

1) Разработана методика аудита ИБ ИТКС, отличающаяся от существующих определением количественной оценки эффективности СОБИ, позволяющую модернизировать СОБИ, противодействующую актуальным угрозам ИБ, в зависимости от требуемой величины оценки эффективности систем, что увеличило среднюю наработку ИТКС на одну внутреннюю угрозу с последствиями до 3 раз;

2) Впервые предложен метод количественной оценки эффективности СОБИ, при использовании метода нечеткого вывода Мамдани, позволяющий оценить эффективность таких систем относительно каждой из актуальных угроз информационной безопасности с учетом мер защиты способных противостоять таким угрозам;

3) Разработан метод оценки вероятности реализации актуальных угроз ИБ, отличающийся от аналогов тем, что позволяет определить вероятность реализации актуальных угроз, учитывая такие параметры, как источники угроз, уязвимые звенья в ИТКС и деструктивные действия от реализации таких угроз безопасности СОБИ в отношении каждого из критичных информационных активов ИТКС.

Практическая значимость результатов

Использование предложенной методики аудита ИБ ИТКС позволяет повысить эффективность функционирования СОБИ на протяжении всего жизненного цикла ИТКС, снизить затраты на содержание СОБИ за счет

обоснования необходимых защитных мер, уменьшить время, которое затрачивается на проведение аудита информационной безопасности ИТКС.

Внедрение результатов

Результаты диссертационной работы внедрены в деятельность ЗАО НПФ «МИКРАН», ООО «СЕРТУМ ПРО», а также в учебный процесс Томского государственного университета систем управления и радиоэлектроники и используется при изучении дисциплин «Организационное и правовое обеспечение информационной безопасности».

Личный вклад

В диссертационной работе использованы результаты, в которых автору принадлежит определяющая роль. Часть опубликованных работ написана в соавторстве с сотрудниками научной группы и руководителем. Диссертант принимал непосредственное участие в разработке методики аудита ИБ и формирование рекомендаций по итогам исследований данной методики. Также диссертантом были предложены модели по оценки эффективности СОБИ. Постановка задачи исследования осуществлялась диссертантом совместно с научным руководителем к.т.н., доцентом А.П. Бацулой.

Апробация работы. Основные положения диссертационного исследования были представлены на следующих конференциях, конкурсах и семинарах: Всероссийские научно-технические конференции студентов, аспирантов и молодых ученых «Научная сессия ТУСУР» (Томск, 2010, 2012- 2014 ТУ-СУР), XIII Всероссийский конкурс-конференция студентов и аспирантов по информационной безопасности SIBINFO-2013, VI и VII Международные молодежные научно-практические конференции СКФ МТУСИ «ИНФОКОМ», VIII МНПК «Электронные средства и системы управления», посвященная 50-летию ТУСУРа 2012, XIX Всероссийская студенческая научно-практическая конференция с международным участием БЕЗОПАСНОСТЬ 2014, XII Всероссийская научно-практическая конференция студентов, аспирантов и молодых ученых «Безопасность информационного пространства».

Основные положения, выносимые на защиту:

1) Методика аудита ИБ ИТКС, содержащая оригинальный алгоритм, позволяет модернизировать СОБИ, противодействующую актуальным угрозам ИБ, в зависимости от требуемой величины оценки эффективности таких систем, увеличивает среднюю наработку ИТКС на одну внутреннюю угрозу с последствиями в диапазоне от 1,67 до 3 раз;

2) Метод количественной оценки эффективности СОБИ позволяет оценить эффективность таких систем относительно каждой из актуальных угроз информационной безопасности с учетом мер защиты способных противостоять таким угрозам;

3) Метод оценки вероятности реализации актуальных угроз ИБ позволяет определить вероятность реализации актуальных угроз, при использовании таких параметров, как источники угроз, уязвимые звенья в ИТКС и деструктивные действия от реализации таких угроз безопасности СОБИ в отношении каждого из критичных информационных активов ИТКС, а также их взаимосвязи с угрозами ИБ.

Публикации по теме диссертации

По теме диссертационного исследования имеется 16 публикаций (4 статьи в журналах, рекомендованных ВАК).

Структура и состав диссертации

Диссертация состоит из введения, трех глав, заключения и списка используемых источников, 21 рисунков, 25 таблиц, 5 приложений. Библиографический список состоит из 95 наименований и размещен на 9 страницах.

1. МЕТОДЫ И СПОСОБЫ ПРОВЕДЕНИЯ АУДИТА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

1.1. Система обеспечения безопасности информации

Вопросы обеспечения защиты информации на сегодняшний день являются очень актуальными. Так или иначе, каждая организация защищает ту или иную информацию, будь то персональные данные, коммерческая тайна и т.п. Под информацией [83] понимаются сведения независимо от формы их представления, т.е. это могут быть отдельные документы, базы данных, приборы, устройства.

На сегодняшний день принято делить информацию на общедоступную и ограниченного доступа [83]. К информации ограниченного доступа относится государственная тайна, коммерческая тайна, персональные данные, служебная информация. Именно такая информация и подвергается защите.

Защита информации представляет собой принятие правовых, организационных и технических мер, направленных на:

• обеспечение защиты информации от неправомерного доступа, уничтожения, модификации, блокирования, копирования, предоставления, распространения, а также иных неправомерных действий в отношении такой информации;

• соблюдение конфиденциальности информации ограниченного доступа;

• реализацию права на доступ к информации [83].

Информационная безопасность представляет собой механизм защиты,

обеспечивающий конфиденциальность, целостность и доступность информации. Информационная безопасность достигается путем реализации соответствующего комплекса мероприятий по управлению информационной безопасностью, которые могут быть представлены политиками, методами, процедурами, организационными структурами и функциями программного

обеспечения. Указанные мероприятия должны обеспечить достижение целей информационной безопасности организации [22].

Развитие теории системности и комплексности привело к тому, что все мероприятия по обеспечению информационной безопасности рационально объединять в СОБИ. Такая система, согласно [55], представляет собой сложную систему, которая включает техническую инфраструктуру со всей документацией и персонал, использующий эту инфраструктуру для достижения бизнес-целей, работающий в соответствие с правилами и регламентами, написанными для него.

В практической деятельности при внедрении СОБИ часто используют модель (цикл) Деминга - Шухарта (PCDA), в основе которой лежит процессный подход. Данная модель получило широкое распространение во множестве работ [1,5,55]. Эта методология в равной степени применима к высокоуровневым стратегическим процессам и простой операционной деятельности.

Модель включает следующее основные фазы:

• «планирование»: установление целей и процессов, необходимых для выработки результатов в соответствии с требованиями клиентов и политиками организации;

• «выполнение» («реализация»): реализация запланированных процессов и решений;

• «проверка»: контроль и измерение процессов и производимых продуктов относительно политик, целей и требований к продукции и отчетность о результатах;

• «действие» («совершенствование»): принятие корректирующих и превентивных мер для постоянного совершенствования функционирования процесса.

Модель PCDA получила свое практическое применение на всех уровнях деятельности, связанной с безопасностью, и на всех направлениях обеспечения безопасности (экономической, информационной, физической и пр.).

Фактически это является отражением того, что любая деятельность независимо от области применения должна изначально планироваться, а ее реализация наряду с поддержкой должна наблюдаться (проверяться) и при необходимости совершенствоваться.

Применительно к обеспечению ИБ модель PCDA выглядит следующим образом (рис 1.1).

Реализация СОБИ Г—1 Планирование СОБИ / \

1 1 \ 1, | сис1е:\1а обеспечения безопасности информации ■ 1,1, 1

\

V ) Проверка СОБИ Совершенствование СОБИ А

[

Рисунок 1.1 Модель PCDA СОБИ Модель PCDA нашла широкое применение в процессе управления СО-БИ, она лежит в основе международных стандартов по менеджменту и управлению ИБ. Рассмотрим весь процесс управления, уделив подробное внимание этапу проверки СОБИ. При реализации и проверки СОБИ организации, наряду с процессами оценки рисков ИБ, реализации и эксплуатации защитных мер, обучения персонала информационной безопасности и другими важными процессами, во многом определяющими для менеджмента являются процессы контроля и проверки ИБ. Своевременность, точность и полнота оценок ИБ, полученных в результате контроля и проверки ИБ, дают возможность идентифицировать уязвимости системы обеспечения ИБ организации, выявить неоцененные риски, определить корректирующие и, может быть, превентивные меры, направленные на совершенствование процессов

обеспечения ИБ организации [5]. На рисунке 1.2 показаны основные элементы процесса оценивания.

Рисунок 1.2 Основные элементы процесса оценивания

Процесс контроля и проверки ИБ занимает особое положение и называется аудитом ИБ, основным назначением которого является формирование независимой оценки ИБ организации и выдача рекомендаций.

1.2 Способы проведения аудита информационной безопасности

Аудит ИБ или иными словами периодическая проверка защищенности системы защиты информации есть не что иное, как неотъемлемый периодически повторяющийся процесс, осуществляемый на всех этапах жизни СО-БИ. Он позволяет определить слабые места в системе защиты, как на этапе создания, так и на всем пути функционирования, выявить новые уязвимости и дать оценку подготовленности персонала, сделать рекомендации по совершенствованию СОБИ. Основная задача аудита ИБ объективно оценить текущее состояние ИБ компании, а также ее адекватность поставленным целям и задачам бизнеса для увеличения эффективности и рентабельности экономической деятельности организации. Аудит ИБ позволяет производить обсле-

дование не только технических средств, но и достаточность правовых, экономических, организационных и т.п. мер защиты информации, редактировать требования к СОБИ политик и правил безопасности. Целью проведения работ является получение объективных данных о текущем состоянии обеспечения безопасности информации на объекте информатизации, позволяющих провести минимизацию вероятности причинения ущерба в результате нарушения конфиденциальности, целостности, доступности информации, подлежащей защите, выработка комплекса мер, направленных на повышение уровня защищенности [5].

Целями проведения аудита безопасности являются:

• анализ рисков, связанных с возможностью осуществления угроз безопасности в отношении ресурсов СОБИ;

• оценка текущего уровня защищенности СОБИ;

• локализация узких мест в СОБИ;

• оценка соответствия СОБИ существующим стандартам и нормативным документам в области ИБ;

• выработка рекомендаций по внедрению новых и повышению эффективности существующих механизмов СОБИ[45].

Аудит ИБ может быть как внешним, проверка надзорными органами и внешними аудиторами соответствия ИБ (В РФ часто, но не всегда, под внешним аудитом ИБ понимают аттестацию по требованиям безопасности), так и внутренним - проверка руководством организации, внутренними аудиторами соответствия ИБ и подготовка к внешнему аудиту.

Обобщено, процесс проведения аудита ИБ представлен на рисунке1.3.

Рисунок 1.3 Процесс проведения аудита ИБ В процессе проведения аудита ИБ можно выделить три основных

этапа:

1. Стадия планирования (инициализация аудита, сбор данных, их анализ, классификация информационных ресурсов, определение стандартов и нормативных документов, регламентирующих защиту соответствующих информационных ресурсов);

2. Стадии моделирования, анализа результатов (моделирование источников угроз, угроз информационной безопасности, уязвимостей, деструктивных действий, оценка состояния защищенности предъявляемым требованиям и стандартам);

3. Стадия выдачи рекомендаций и устранения замечаний (формируется отчет о состоянии защищенности, производится выработка рекомендаций, существующие нарушения устраняются)[39].

Также аудит ИБ включает в себя следующие основные процедуры:

• Инициирование процедуры аудита;

• Сбор информации аудита;

• Анализ данных аудита;

• Выработка рекомендаций;

• Подготовка аудиторского отчета.

Аудит ИБ инициируется руководством организации. Он представляет собой комплекс мероприятий, в которых участвуют подразделения организации. Поэтому на этапе инициирования процедуры аудита должны быть решены организационные вопросы взаимодействия подразделений с аудиторами и между собой. Также определяются границы проводимого аудита.

Этап сбора информации включают в себя сбор всей необходимой информации о СОИБ, в которой проводиться аудит ИБ. Количество собираемой информации о системе определяется глубиной аудита ИБ. Данный этап является трудоемким, так как детально разбираются все процедуры и функции СОИБ.

Рекомендации, выдаваемые аудитором по результатам анализа состояния защищенности СОИБ, определяются используемым подходом, особенностями обследуемой системы, степенью детализации, используемой при проведении аудита ИБ. Рекомендации аудитора должны быть конкретными и применимыми к данной СОБИ, экономически обоснованными, аргументированными и отсортированными по степени важности. Аудиторский отчет является основным результатом проведения аудита ИБ. Его качество характеризует качество работы аудитора. Аудиторский отчет должен содержать описание целей проведения аудита ИБ, характеристику обследуемой СОБИ, указание границ проведения аудита и используемых методов, результаты анализа данных аудита, выводы, обобщающие эти результаты и содержащие оценку уровня защищенности системы или соответствие ее требованиям стандартов, и, конечно, рекомендации по устранению существующих недостатков и совершенствованию СОБИ [39].

На сегодняшний день существует несколько способов сбора и анализа информации аудита ИБ. Кратко рассмотрим их.

1.2.1 Соответствие лучшим практикам в области ИБ

Соответствие лучшим практикам (Compliance) опирается на использование стандартов информационной безопасности(КО/ГЕС 27001, Cobit, стандарты Банка России СТО, нормативно-методические документы ФСТЭК и ФСБ России) [75-78,88,89]. Стоит отметить, что здесь имеет место специфическое законодательство РФ в области ИБ, так как часто под соответствием нормативным документам ФСТЭК и ФСБ России понимается аттестация по требованиям безопасности. Стандарты определяют базовый набор требований безопасности для широкого класса систем, который формируется в результате обобщения мировой и российской практики. Стандарты могут определять разные наборы требований безопасности, в зависимости от уровня защищенности СОБИ, который требуется обеспечить. Также стандарты могут быть использованы для оценки зрелости процессов безопасности информационных систем. Но стандарты не позволяют количественно оценить эффективность СОБИ в течение ее жизненного цикла. Нужно отметить, что в основе лучших практик лежит 4 уровневая, ранее изложенная, модель PCDA.

1.2.2. Использование средств контроля и анализа защищенности

Использование средств контроля и анализа защищенности представляет собой исследование состояния защищенности информационной системы с точки зрения некоего злоумышленника, обладающего высокой квалификацией в области информационных технологий. Суть состоит в том, что с помощью специального программного обеспечения (в том числе систем анализа защищенности) и специальных методов осуществляется сбор информации о состоянии сети. Результатом такого сбора является информация обо всех уязвимостях, степени их критичности и методах устранения. Формируются рекомендации по модернизации СОБИ.

Использование средств контроля и анализа, прежде всего, обуславливается постоянным изменением программного и аппаратного обеспечения организации, что приводит к возникновению новых уязвимостей в СОБИ.

Рынок средств активного аудита динамично развивается, основными продуктами являются XSpider, MaxPatrol, X-Scan, Ревизор Сети и т.п. Основными организациями, представляющими такие услуги, являются Digital Security, Positive Technologies и другие. Нужно отметить, что использование таких средств позволяет лишь выявить уязвимые места с технической точки зрения, вопросы организационно-правового характера не затрагиваются.

1.2.3 Инструментальные средства оценки эффективности на основе анализа и управления рисками ИБ

Инструментальные средства оценки эффективности СОБИ опираются на использование инструментария анализа и управления рисками ИБ. Аудитор определяет для обследуемой СОБИ индивидуальный набор требований безопасности, которые в наибольшей степени учитывают особенности данной системы, среды ее функционирования и существующие угрозы безопасности, а также потенциальный ущерб их реализации. Анализ рисков представляет собой мероприятия по обследованию безопасности ИС, с целью определения того какие ресурсы и от каких угроз надо защищать, а также в какой степени те или иные ресурсы нуждаются в защите [2]. Определение набора адекватных контрмер осуществляется в ходе управления рисками. Риск определяется вероятностью причинения ущерба и величиной ущерба, наносимого ресурсам ИС, в случае осуществления угрозы безопасности. Анализ рисков состоит в том, чтобы выявить существующие риски и оценить их величину (дать им качественную, либо количественную оценку).

Управления рисками заключается в разработке некоторой стратегии управления рисками. Например, здесь возможны следующие подходы к управлению информационными рисками:

- уменьшение риска;

- уклонение от риска;

- изменение характера риска;

- принятие риска.

Более подробно про оценку и управления рисками сказано в [2,34].

На сегодняшний день существует немало инструментальных средств оценок защищенности информационных систем [2]. На рынке представлен широкий ассортимент инструментальных средств оценки защищенности ГРИФ, АванГард, GRAMM, RiskWatch и другие. Они предназначены для анализа и контроля рисков информационных систем, позволяют получить полную картину угроз, оценить их критичность, а также потенциальный размер возможных потерь. Стоит отметить, что использование инструментария оценки анализа и управления рисками во многом зависит от понимания потенциально понесенного ущерба, который не всегда возможно определить однозначно и просто. Сравнение наиболее известных средств подробно представлено в работе [28], и в данной работе не представлено. На основании приведенного анализа средств нами выбрано для сравнения наиболее близкое по кругу решаемых задач инструментальное средство оценки «ГРИФ» из состава Digital Security Office.

1.2.4 Инструментальное средство оценки защищенности «ГРИФ»

«ГРИФ» предназначен для анализа и контроля рисков информационных систем и позволяет получить полную картину угроз, оценить их критичность и оценить к каким потерям они могут привести.

СПИСОК ИСПОЛЬЗОВАННОЙ ЛИТЕРАТУРЫ

1. Аверченков В.И. Аудит информационной безопасности: учеб. пособие для вузов / В.И. Аверченков// - 2-е изд., стер. - Брянск: БГТУ, 2010.— 268 с.

2. Алгоритм системы «ГРИФ». [Электронный ресурс]. - Режим доступа: http://www.audit-ib.ru/kritichnost-ugroza.html (дата обращения 03.02.2014)

3. Александров А. В. Оценка защищенности объектов информатизации на основе анализа воздействий деструктивных факторов: дис. ...канд.тех.наук: 05.13.19/ Александров Антон Владимирович. — М., 2006. -218 с.

4. Аналитическое исследование «Рынок информационной безопасности РФ». -2013г. — 66 с. [Электронный ресурс].- Режим доступа http://www.pcidss.ru/files/pub/pdf/Pervoe expertnoe issledovanie rynka IB.pdf (дата обращения 28.01.2014).

5. Андрианов В.В. Обеспечение информационной безопасности бизнеса / Андрианов В.В., Зефиров С.Л., Голованов В.Б., Голдуев Н.А//. -Альпина Паблишерз, -2011. - 338c.

6. Арьков П.А. Разработка комплекса моделей для выбора оптимальной системы защиты информации в информационной системе организации: дис. .канд.тех.наук: 05.13.19/ Арьков Павел Алексеевич. — М., 2009. -218 с.

7. Банк данных угроз безопасности информации. [Электронный ресурс]. - Режим доступа http://bdu.fstec.ru/threat (дата обращения 28.04.2015).

8. Баранов В.А. Обнаружение инцидентов информационной безопасности как разладки функционирования системы: дис. .канд.тех.наук: 05.13.19/ Баранов Василий Александрович. — М., 2012. - 161 с.

9. Белов С.В. Методика формирования множества угроз для объекта информатизации.// Вестник АГТУ. Сер. Управление, вычислительная техника и информатика.- 2011. - №2. С.74-79

10. Борисов А.Н., Крумберг О.А., Федоров И.П. Принятие решения на основе нечетких моделей: примеры использования; Рига "Знание".- 1990. -184 с.

11. Вентцель Е.С. Теория вероятностей: Учеб. для вузов. — 6-е изд. стер. — М.: Высш. шк..- 1999. - 576 с.

12. Виханский О.С. Стратегическое управление: Учебник. - 2-е изд -М.: Гадарики. - 2000. - 296с.

13. Вихорев С.В. Классификация угроз информационной безопасности. ..М: ОАО «ЭЛВИС-ПЛЮС».- 2001г. - 12 с.

14. Возможности СЗИ от НСД Dallas Lock 8.0 K. [Электронный ресурс]. - 2007. - Режим доступа: http://www.dallaslock.ru/dallas-lock-80-k/vozmozhnosti-v-versii-dallas-lock-80-k.html (дата обращения: 20.05.2014)

15. Волобуев С.В. Оценка защищенности изменяющейся социотех-нической системы: Объекта информатизации: дис. ...канд.тех.наук: 05.13.19/ Волобуев Сергей Владимирович. - М., 1999. - 181 с.

16. Гвоздик Я. М. Модель и методика оценки систем защиты информации автоматизированных систем: дис. .канд.тех.наук: 05.13.19/ Гвоздик Ярослав Михайлович. - М., 2011. - 161 с.

17. Герасименко В.А. Основы защиты информации. - М.: Изд-во МИФИ, 1997. - 537с.

18. Горбатов B.C., Полянская О.Ю. Основы технологии PKI. - М.: Горячая линия - Телеком. - 2004. -248 с.

19. ГОСТ Р 50922-2006 «Защита информации. Термины и определения». -2006. - 18 с.

20. ГОСТ Р 51275 - 2006 Защита информации. Объект информатизации. Факторы воздействующие на информацию. Госстандарт России. - 2006. - 7с.

21. ГОСТ Р ИСО/МЭК 15408-2-2002. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий.- 2004.- 35 с.

22. ГОСТ Р ИСО\МЭК 17799 - 2005. Информационная технология. Практические правила управления информационной безопасностью. - М: Стандарт-информ. - 2006.-55с.

23. ГОСТ Р ИСО\МЭК 27001 - 2005. «Системы менеджмента информационной безопасности. Требования».- 2006. - 26 с.

24. Гмурман В.Е. Теория вероятностей и математическая статистика: Учеб. пособие для вузов/ В.Е. Гмурман. - 9-е издание, стер. - Москва: Высшая школа, 2003. - 479 с.

25. Грушо А.А., Тимонина Е.Е. Теоретические основы защиты информации. - М.: Издательство Агентства «Яхтсмен». - 1996.

26. Девянин П.Н. Модели безопасности компьютерных систем: Учебное пособие для студ. высш. учеб. заведений. - М.: Изд. центр «Академия». - 2005. - 144 с.

27. Домарев В.В. Безопасность информационных технологий. Системный подход: - К.: ООО «ТИД ДС». - 2004. - 992 с.

28. Ерохин С. С. Методика аудита информационной безопасности объектов электронной коммерции: дис. ...канд.тех.наук: 05.13.19/ Ерохин Сергей Сергеевич. - М., 2010. - 128 с.

29. Ерохин С.С., Шелупанов А.А., Мицель А.А. Модель стратегического анализа информационной безопасности// Доклады ТУСУР. - 2007. -№2. -С. 34-41.

30. ЖТЯИ.00067 02 90 01 КриптоПро УЦ Общее описание. Формуляр на программно-аппаратный комплекс. - 62 с.

31. Жукова М.Н., Коромыслов Н.А. Модель оценки защищенности автоматизированной системы с применением аппарата нечеткой логики// Известия Южного федерального университета. Технические науки. -2013. -№ 12 (149). - С. 63-69.

32. Загоскин В.В., Бацула А.П.. Организационная защита информации: Учеб. пособие.-Томск: В-Спектр. - 2005.-146с.

33. Заде Л. Понятие лингвистической переменной и его применение к принятию приближённых решений. - М.: Мир. - 1976. - 163 с.

34. Зефиров С. Л., Голованов В. Б. Как измерить информационную безопасность организации? Объективно о субъективном // Защита информации. Инсайд. - 2006. - № 3.

35. Кирсанов С.В. Метод оценки угроз информационной безопасности АСУ ТП газовой отрасли// Доклады ТУСУР. -2013. -№2 (28) С.115-118.

36. Котенко И.В. Система оценки уязвимостей CVSS и ее использование для анализа защищенности компьютерных систем/ И.В. Котенко, Е.В. Дойникова // Защита информации. Инсайд. - СПб.: Изд. дом «Афина». -2011. - № 5. - С. 54-60.

37. Кофман А. Введение в теорию нечётких множеств. - М. Радио и связь. - 1982. - 432 с.

38. Кукало И.А., Кшнянкин А.П., Гривцов С.Н.. Модель угроз системы физической защиты линейной части магистрального нефтепровода// Известия Томского Политехнического Университета. - 2013.- № 5.- С.37-41.

39. Кураленко А.И. Алгоритм аудита информационной безопасности объекта информатизации// Материалы докладов «Электронные средства и системы управления» VIII Международной научно-практической конференции посвященной 50-летию ТУСУРа 8-10 ноября 2012. -Томск: В-Спектр,2012.-Ч.2. -С. 38-41.

40. Кураленко А.И., Гордеев В.В., Матвеев А.А., Гущин В.Ю., Гри-няев Ю.В. Использование нечеткой логики для построения простейшей системы защиты// Материалы Всероссийской научно-технической конференции студентов, аспирантов и молодых ученых, Томск, 4-7 мая 2010 г.- Томск: В-Спектр, 2010.- Ч.4. -С. 16-18

41. Кураленко А.И. Метод оценки вероятности реализации угроз безопасности информационно-телекоммуникационной системы// «Проблемы

информационной безопасности. Компьютерные системы». № 3, 2014г. С.38-42.

42. Кураленко А.И. Моделирование информационной безопасности методом стратегического планирования и экспертных оценок/Бацула А.П., Кураленко А.И., Кополовец Ю.В., Саблин М.С.// Безопасность информационных технологий.- 2014.- №3. -С.55-59.

43. Кураленко А.И. Оценка защищенности системы обеспечения безопасности информации удостоверяющего центра// Системы высокой доступности.- 2013. - №3. - С.128-130

44. Кураленко А.И. Оценка эффективности систем обеспечения безопасности информации на основе нечеткой логики// Системы высокой доступности. — 2014. - №2. - С.61-64.

45. Кураленко А.И. Процесс аудита информационной безопасности в организации// Материалы Всероссийской научно-технической конференции студентов, аспирантов и молодых ученых «Научная сессия ТУСУР—2012», посвященной 50-летию ТУСУРа 16—18 мая 2012 г.- Томск: «В-Спектр, 2012. —Ч.3.- С.46-50.

46. Кураленко А.И., Алексеева Н.Н. Построение системы защиты информации организации// Материалы Всероссийской научно-технической конференции студентов, аспирантов и молодых ученых, Томск, 14—16 мая 2014 г. — Томск: В-Спектр, 2014. — Ч. 3. с.161-163.

47. Кураленко А.И., Бацула А.П.. Построение системы обеспечения безопасности информации методом стратегического планирования// Труды Северо-Кавказского филиала Московского технического университета связи и информатики. - Ростов-на-Дону: ПЦ «Университет» СКФ МТУСИ. - 2013. — С. 319-321.

48. Кураленко А.И., Бацула А.П. Использование категорирования в обеспечении безопасности распределенных удостоверяющих центров// Труды Северо-Кавказского филиала Московского технического университета

связи и информатики, часть I. - Ростов-на-Дону.: ПЦ «Университет» СКФ МТУСИ, - 2014. - Ч.1.- С. 451-453.

49. Кураленко А.И., Дектяренко Р.О. Оценка эффективности системы защиты персональных данных на примере ООО «РИЦ ЖКХ»// Материалы Всероссийской научно-технической конференции студентов, аспирантов и молодых ученых, Томск, 14-16 мая 2014 г. - Томск: В-Спектр, 2014: - Ч. 3. -С.178-181.

50. Кураленко А.И., Кополовец Ю.В. Аудит информационной безопасности информационной системы ПК «КВАРТА»// Материалы Всероссийской научно-технической конференции студентов, аспирантов и молодых ученых, Томск, 15-17 мая 2013 г. - Томск: В-Спектр, 2013: -Ч. 4. - 266 с.

51. Кураленко А.И., Саблин М.С. Построение стратегии обеспечения информационной безопасности// Материалы Всероссийской научно-технической конференции студентов, аспирантов и молодых ученых, Томск, 15-17 мая 2013 г. - Томск: В-Спектр, 2013. -Ч. 4. - С. 266.

52. Кураленко А.И., Турунтаев М.А. Определение актуальных угроз безопасности распределенного удостоверяющего центра// Безопасность -2014 : сб. науч. тр. XIX Всероссийской студенческой научно-практической. конференции с международным участием (г. Иркутск, 22-25 апр. 2014 г.). -Иркутск : Изд-во ИрГТУ, 2014. -С. 290-291.

53. Кураленко А.И., Турунтаев М.А. Система защиты распределенного удостоверяющего центра // Материалы Всероссийской научно-технической конференции студентов, аспирантов и молодых ученых, Томск, 14-16 мая 2014 г. - Томск: В-Спектр, 2014: - Ч. 3. - С. 239-241.

54. Кураленко А.И., Яценко А.С. Метод оценки уязвимостей в системе обеспечения безопасности информации АСУ ТП// Безопасность информационного пространства: материалы XII Всероссийской научно-практической конференции студентов, аспирантов и молодых ученых, Екате-ринбург,2-4 декабря 2013г, Екатеринбург: Изд-во Урал. ун-та, 2014.-С. 214216.

55. Курило А.П. Аудит информационной безопасности, БДЦ-пресс. -2006 г.- 304 с.

56. Леоненков А.В. Нечеткое моделирование в среде MATLAB и fuzzyTECH / А. Леоненков. - СПб: БХВ-Петербург. - 2003. - 736 с.

57. Майсак О.С. SWOT-анализ: объект, факторы, стратегии. Проблема поиска связей между факторами // Прикаспийский журнал: управление и высокие технологии. - 2013. -№ 1. С. 151-157

58. Малюк А.А. Информационная безопасность: концептуальные и методологические основы защиты информации. Учеб. пособие для вузов. М: Горячая линия- Телеком, 2004.-280 с.

59. Малюк А.А., Пазизин С.В., Погожин Н.С.. Введение в защиту информации в автоматизированных системах. Учеб. пособие для вузов. М: Горячая линия- Телеком. - 2001.-151 с.

60. Методика определения актуальных угроз безопасности информации в ключевых системах информационной инфраструктуры, (утверждена заместителем директора ФСТЭК России 18 мая 2007 года). - 2008г.

61. Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных ФСТЭК от 14 февраля 2008 г.- 2008. - 12 с.

62. Орлов А.И. Экспертные оценки. Учебное пособие. М.- 2011. -

486 с.

63. Павлов А.Н., Соколов Б.В.. Методы обработки экспертной информации: учебно-метод. пособие. ГУАП. СПб. - 2005. -42с.

64. Перегудов Ф.И., Тарасенко Ф.П. Основы системного анализа: Учеб. 2-е изд., доп.-Томск: НТЛ. - 1997.-396 с.

65. Перегудов Ф.И., Тарасенко Ф.П. Основы системного анализа: Учеб. 2-е изд., доп.-Томск: Изд-во НТЛ. - 1997.-396 с

66. Петренко А.А. Аудит безопасности Intranet. - М.: ДМК Пресс, 2002. - 416с.

67. Петренко С. А., Симонов С. В. Управление информационными рисками. Экономически оправданная безопасность. - М.: Компания АйТи ; ДМК Пресс, 2004. - 384 с..

68. Половко А.М. Теория надежности. - СПб.: БХВ-Петербург, 2006.

704с

69. Приказ ФСТЭК России от 18 февраля 2013 г. N 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных». [Электронный ресурс]. - Режим доступа: http ://fstec.ru/normotvorcheskaya/ akty/53-normotvorcheskaya/ akty/prikazy/691 -prikaz-fstek-rossii-ot- 18-fevralya-2013- g-n-21 (дата обращения 08.02.2014)

70. Пучков В. А., Черешкин Д. С., Черныш К. В., Кононов А. А.. Использование категорирования в обеспечении безопасности критических инфраструктур национального масштаба// Труды ИСА РАН. - 2009. -Т. 41. -С. 6-13.

71. Радько Н.М., Скобелев И.О. Риск-модели информационно-телекоммуникационных систем при реализации угроз удаленного и непосредственного доступа... - М: РадиоСофт. - 2010. - 232с.

72. Росенко А.П. Внутренние угрозы безопасности конфиденциальной информации. Методология и теоритические исследования. - 2010.-153с.

73. Руководящий документ. Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации. Гостехкомиссия РФ 1997.

74. Сёмкин С.Н., Беляков Э.В., Гребенев С.В., Козачок В.И.Основы организационного обеспечения информационной безопасности объектов информатизации: Учебное пособие. — М.: Гелиос АРВ, 2005. —192 с.

75. Специальные требования и рекомендации по технической защите конфиденциальной информации. Гостехкомиссия РФ 2002. - 2002. - 80 с.

76. СТО БР ИББС-1.0-2014. Общие положения. - 2014. -44 с.

77. СТО БР ИББС-1.1-2007. «Аудит информационной безопасности». - 2007. - 14 с.

78. СТО БР ИББС-1.2-2014. Методика оценки соответствия информационной безопасности организаций банковской системы Российской Федерации требованиям СТО БР ИББС-1.0-2014. - 2014. - 111 с.

79. Тарасенко Ф.П. Прикладной системный анализ: - Томск: Изд-во Том. ун-та, 2004. - 186с.

80. Тенетко М. И., Пескова О. Ю. Применение лингвистических переменных при оценки рисков информационной безопасности// Известия ЮФУ. Технические науки. - 2012.- С.72-77

81. Троников И. Б. Методы оценки информационной безопасности предприятия на основе процессного подхода: дис. ...канд.тех.наук: 05.13.19/ Троников Игорь Борисович. - М., 2010. - 154 с.

82. Федеральный закон Российской Федерации от 6 апреля 2011 г. N 63-ФЗ "Об электронной подписи".

83. Федеральный закон Российской Федерации от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации».

84. Штовба С.Д. Проектирование нечетких систем средствами MATLAB / С. Д. Штовба. - М: Горячая линия-Телеком, 2007. - 288 с.

85. Штовба С.Д., «Введение в теорию нечетких множеств и нечеткую логику», Горячая Линия - Телеком, 2007. - 288 с.

86. Шумский А.А., Шелупанов А.А. Системный анализ в защите информации. Учебное пособие для вузов. Гриф УМО. - М.: Гелиос АРВ, 2005.220 с

87. Щербаков В.Б. Методика оценки вероятности реализации угроз информационной безопасности беспроводных сетей стандарта IEEE 802.11/В.Б. Щербаков, С.А. Ермаков, В.П. Железняк.// Информация и безопасность. - 2008. - №2. - С.272-275

88. CobiT: Control Objectives. ISACA, 5 Edition, 2013. - 94 p.

89. ISO\IEC 27001:2005 Information technology - Security techniques -Information security management system - Requirements. - 2005. - 48 p.

90. IT Baseline Protection Manual. Standard Security Measures. Version: October 2000 [Электронный ресурс]. Режим доступа: http://www.iwar.org.uk/comsec/resources/standards/germany/itbpm.pdf (дата обращения: 23.01.2014)

91. Moeller R. IT Audit, Control, and Security, John Wiley & Sons, Inc. 2010. - 696 pages.

92. NIST Special Publication 800-30 Risk Management Guide for Information Technology Systems. [Электронный ресурс]. - Режим доступа: http://csrc.nist.gov/publications/nistpubs/800-30/sp800-30.pdf (дата обращения 28.01.2014).

93. Pfleeger S.L. and Cunningham R.K., "Why Measuring Security Is Hard," IEEE Security & Privacy, vol. 8, no. 4, 2010, pp. 46-54.

94. Sandman P., "Understanding the Risk: What Frightens Rarely Kills," Neiman Reports, Nieman Foundation for Journalism at Harvard Univ., Spring 2007; [Электронный ресурс]. - Режим доступа: www.psandman.com/articles/NiemanReports.pdf (дата обращения 8.12.2011).

95. Shermer М., "None So Blind," Scientific Am., Mar.2004, p. 42.

ПРИЛОЖЕНИЕ А

Таблица А. 1 Перечень угроз безопасности информации

Индекс угрозы Описание угрозы

УБИ. 001 Угроза автоматического распространения вредоносного кода в грид-системе

УБИ. 002 Угроза агрегирования данных, передаваемых в грид-системе

УБИ. 003 Угроза анализа криптографических алгоритмов и их реализации

УБИ. 004 Угроза аппаратного сброса пароля BIOS

УБИ. 005 Угроза внедрения вредоносного кода в BIOS

УБИ. 006 Угроза внедрения кода или данных

УБИ. 007 Угроза воздействия на программы с высокими привилегиями

УБИ. 008 Угроза восстановления аутентификационной информации

УБИ. 009 Угроза восстановления предыдущей уязвимой версии BIOS

УБИ. 010 Угроза выхода процесса за пределы виртуальной машины

УБИ. 011 Угроза деавторизации санкционированного клиента беспроводной сети

УБИ. 012 Угроза деструктивного изменения конфигурации/среды окружения программ

УБИ. 013 Угроза деструктивного использования декларированного функционала BIOS

УБИ. 014 Угроза длительного удержания вычислительных ресурсов пользователями

УБИ. 015 Угроза доступа к защищаемым файлам с использованием обходного пути

УБИ. 016 Угроза доступа к локальным файлам сервера при помощи URL

УБИ. 017 Угроза доступа/перехвата/изменения HTTP cookies

УБИ. 018 Угроза загрузки нештатной операционной системы

УБИ. 019 Угроза заражения DNS-кеша

УБИ. 020 Угроза злоупотребления возможностями, предоставленными потребителям облачных услуг

УБИ. 021 Угроза злоупотребления доверием потребителей облачных услуг

УБИ. 022 Угроза избыточного выделения оперативной памяти

УБИ. 023 Угроза изменения компонентов системы

УБИ. 024 Угроза изменения режимов работы аппаратных элементов компьютера

УБИ. 025 Угроза изменения системных и глобальных переменных

УБИ. 026 Угроза искажения XML-схемы

УБИ. 027 Угроза искажения вводимой и выводимой на периферийные устройства информации

УБИ. 028 Угроза использования альтернативных путей доступа к ресурсам

УБИ. 029 Угроза использования вычислительных ресурсов суперкомпьютера «паразитными» процессами

УБИ. 030 Угроза использования информации идентификации/аутентификации, заданной по умолчанию

УБИ. 031 Угроза использования механизмов авторизации для повышения привилегий

УБИ. 032 Угроза использования поддельных цифровых подписей BIOS

УБИ. 033 Угроза использования слабостей кодирования входных данных

УБИ. 034 Угроза использования слабостей протоколов сетевого/локального обмена данными

УБИ. 035 Угроза использования слабых криптографических алгоритмов BIOS

УБИ. 036 Угроза исследования механизмов работы программы

УБИ. 037 Угроза исследования приложения через отчёты об ошибках

УБИ. 038 Угроза исчерпания вычислительных ресурсов хранилища больших данных

УБИ. 039 Угроза исчерпания запаса ключей, необходимых для обновления BIOS

УБИ. 040 Угроза конфликта юрисдикций различных стран

УБИ. 041 Угроза межсайтового скриптинга

УБИ. 042 Угроза межсайтовой подделки запроса

УБИ. 043 Угроза нарушения доступности облачного сервера

УБИ. 044 Угроза нарушения изоляции пользовательских данных внутри виртуальной машины

УБИ. 045 Угроза нарушения изоляции среды исполнения BIOS

УБИ. 046 Угроза нарушения процедуры аутентификации субъектов виртуального информационного взаимодействия

УБИ. 047 Угроза нарушения работоспособности грид-системы при нетипичной сетевой

нагрузке

УБИ. 048 Угроза нарушения технологии обработки информации путём несанкционированного внесения изменений в образы виртуальных машин

УБИ. 049 Угроза нарушения целостности данных кеша

УБИ. 050 Угроза неверного определения формата входных данных, поступающих в хранилище больших данных

УБИ. 051 Угроза невозможности восстановления сессии работы на ПЭВМ при выводе из промежуточных состояний питания

УБИ. 052 Угроза невозможности миграции образов виртуальных машин из-за несовместимости аппаратного и программного обеспечения

УБИ. 053 Угроза невозможности управления правами пользователей BIOS

УБИ. 054 Угроза недобросовестного исполнения обязательств поставщиками облачных услуг

УБИ. 055 Угроза незащищённого администрирования облачных услуг

УБИ. 056 Угроза некачественного переноса инфраструктуры в облако

УБИ. 057 Угроза неконтролируемого копирования данных внутри хранилища больших данных

УБИ. 058 Угроза неконтролируемого роста числа виртуальных машин

УБИ. 059 Угроза неконтролируемого роста числа зарезервированных вычислительных ресурсов

УБИ. 060 Угроза неконтролируемого уничтожения информации хранилищем больших данных

УБИ. 061 Угроза некорректного задания структуры данных транзакции

УБИ. 062 Угроза некорректного использования прозрачного прокси-сервера за счёт плагинов браузера

УБИ. 063 Угроза некорректного использования функционала программного обеспечения

УБИ. 064 Угроза некорректной реализации политики лицензирования в облаке

УБИ. 065 Угроза неопределённости в распределении ответственности между ролями в облаке

УБИ. 066 Угроза неопределённости ответственности за обеспечение безопасности облака

УБИ. 067 Угроза неправомерного ознакомления с защищаемой

информацией

УБИ. 068 Угроза неправомерного/некорректного использования интерфейса взаимодействия с приложением

УБИ. 069 Угроза неправомерных действий в каналах связи

УБИ. 070 Угроза непрерывной модернизации облачной инфраструктуры

УБИ. 071 Угроза несанкционированного восстановления удалённой защищаемой информации

УБИ. 072 Угроза несанкционированного выключения или обхода механизма защиты от записи в BIOS

УБИ. 073 Угроза несанкционированного доступа к активному и (или) пассивному виртуальному и (или) физическому сетевому оборудованию из физической и (или) виртуальной сети

УБИ. 074 Угроза несанкционированного доступа к аутентификационной информации

УБИ. 075 Угроза несанкционированного доступа к виртуальным каналам передачи

УБИ. 076 Угроза несанкционированного доступа к гипервизору из виртуальной машины и (или) физической сети

УБИ. 077 Угроза несанкционированного доступа к данным за пределами зарезервированного адресного пространства, в том числе выделенного под виртуальное аппаратное обеспечение

УБИ. 078 Угроза несанкционированного доступа к защищаемым виртуальным машинам из виртуальной и (или) физической сети

УБИ. 079 Угроза несанкционированного доступа к защищаемым виртуальным машинам со стороны других виртуальных машин

УБИ. 080 Угроза несанкционированного доступа к защищаемым виртуальным устройствам из виртуальной и (или) физической сети

УБИ. 081 Угроза несанкционированного доступа к локальному компьютеру через клиента грид-системы

УБИ. 082 Угроза несанкционированного доступа к сегментам вычислительного поля

УБИ. 083 Угроза несанкционированного доступа к системе по беспроводным каналам

УБИ. 084 Угроза несанкционированного доступа к системе хранения данных из виртуальной и (или) физической сети

УБИ. 085 Угроза несанкционированного доступа к хранимой в виртуальном пространстве защищаемой информации

УБИ. 086 Угроза несанкционированного изменения аутентификационной информации

УБИ. 087 Угроза несанкционированного использования привилегированных функций BIOS

УБИ. 088 Угроза несанкционированного копирования защищаемой информации

УБИ. 089 Угроза несанкционированного редактирования реестра

УБИ. 090 Угроза несанкционированного создания учётной записи пользователя

УБИ. 091 Угроза несанкционированного удаления защищаемой информации

УБИ. 092 Угроза несанкционированного удалённого внеполосного доступа к аппаратным средствам

УБИ. 093 Угроза несанкционированного управления буфером

УБИ. 094 Угроза несанкционированного управления синхронизацией и состоянием

УБИ. 095 Угроза несанкционированного управления указателями

УБИ. 096 Угроза несогласованности политик безопасности элементов облачной инфраструктуры

УБИ. 097 Угроза несогласованности правил доступа к большим данным

УБИ. 098 Угроза обнаружения открытых портов и идентификации привязанных к нему сетевых служб

УБИ. 099 Угроза обнаружения хостов

УБИ. 100 Угроза обхода некорректно настроенных механизмов аутентификации

УБИ. 101 Угроза общедоступности облачной инфраструктуры

УБИ. 102 Угроза опосредованного управления группой программ через совместно используемые данные

УБИ. 103 Угроза определения типов объектов защиты

УБИ. 104 Угроза определения топологии вычислительной сети

УБИ. 105 Угроза отказа в загрузке входных данных неизвестного формата хранилищем больших данных

УБИ. 106 Угроза отказа в обслуживании системой хранения данных суперкомпьютера

УБИ. 107 Угроза отключения контрольных датчиков

УБИ. 108 Угроза ошибки обновления гипервизора

УБИ. 109 Угроза перебора всех настроек и параметров приложения

УБИ. 110 Угроза перегрузки грид-системы вычислительными заданиями

УБИ. 111 Угроза передачи данных по скрытым каналам

УБИ. 112 Угроза передачи запрещённых команд на оборудование с числовым программным управлением

УБИ. 113 Угроза перезагрузки аппаратных и программно-аппаратных средств вычислительной техники

УБИ. 114 Угроза переполнения целочисленных переменных

УБИ. 115 Угроза перехвата вводимой и выводимой на периферийные устройства информации

УБИ. 116 Угроза перехвата данных, передаваемых по вычислительной сети

УБИ. 117 Угроза перехвата привилегированного потока

УБИ. 118 Угроза перехвата привилегированного процесса

УБИ. 119 Угроза перехвата управления гипервизором

УБИ. 120 Угроза перехвата управления средой виртуализации

УБИ. 121 Угроза повреждения системного реестра

УБИ. 122 Угроза повышения привилегий

УБИ. 123 Угроза подбора пароля BIOS

УБИ. 124 Угроза подделки записей журнала регистрации событий

УБИ. 125 Угроза подключения к беспроводной сети в обход процедуры аутентификации

УБИ. 126 Угроза подмены беспроводного клиента или точки доступа

УБИ. 127 Угроза подмены действия пользователя путём обмана

УБИ. 128 Угроза подмены доверенного пользователя

УБИ. 129 Угроза подмены резервной копии программного обеспечения BIOS

УБИ. 130 Угроза подмены содержимого сетевых ресурсов

УБИ. 131 Угроза подмены субъекта сетевого доступа

УБИ. 132 Угроза получения предварительной информации об объекте защиты

УБИ. 133 Угроза получения сведений о владельце беспроводного устройства

УБИ. 134 Угроза потери доверия к поставщику облачных услуг

УБИ. 135 Угроза потери и утечки данных, обрабатываемых в облаке

УБИ. 136 Угроза потери информации вследствие несогласованности работы узлов хранилища больших данных

УБИ. 137 Угроза потери управления облачными ресурсами

УБИ. 138 Угроза потери управления собственной инфраструктурой при переносе её в облако

УБИ. 139 Угроза преодоления физической защиты

УБИ. 140 Угроза приведения системы в состояние «отказ в обслуживании»

УБИ. 141 Угроза привязки к поставщику облачных услуг

УБИ. 142 Угроза приостановки оказания облачных услуг вследствие технических сбоев

УБИ. 143 Угроза программного выведения из строя средств хранения, обработки и (или) ввода/вывода/передачи информации

УБИ. 144 Угроза программного сброса пароля BIOS

УБИ. 145 Угроза пропуска проверки целостности программного обеспечения

УБИ. 146 Угроза прямого обращения к памяти вычислительного поля суперкомпьютера

УБИ. 147 Угроза распространения несанкционированно повышенных прав на всю грид-систему

УБИ. 148 Угроза сбоя автоматического управления системой разграничения доступа хранилища больших данных

УБИ. 149 Угроза сбоя обработки специальным образом изменённых файлов

УБИ. 150 Угроза сбоя процесса обновления BIOS

УБИ. 151 Угроза сканирования веб-сервисов, разработанных на основе языка описания WSDL

УБИ. 152 Угроза удаления аутентификационной информации

УБИ. 153 Угроза усиления воздействия на вычислительные ресурсы пользователей при помощи сторонних серверов

УБИ. 154 Угроза установки уязвимых версий обновления программного обеспечения BIOS

УБИ. 155 Угроза утраты вычислительных ресурсов

УБИ. 156 Угроза утраты носителей информации

УБИ. 157 Угроза физического выведения из строя средств хранения, обработки и (или) ввода/вывода/ передачи информации

УБИ. 158 Угроза форматирования носителей информации

УБИ. 159 Угроза «форсированного веб-браузинга»

УБИ. 160 Угроза хищения средств хранения, обработки и (или) ввода/вывода/передачи информации

УБИ. 161 Угроза чрезмерного использования вычислительных ресурсов суперкомпьютера в ходе интенсивного обмена межпроцессорными сообщениями

УБИ. 162 Угроза эксплуатации цифровой подписи программного кода

УБИ. 163 Угроза перехвата исключения/сигнала из привилегированного блока функций

УБИ. 164 Угроза распространения состояния «отказ в обслуживании» в облачной инфраструктуре

УБИ. 165 Угроза включения в проект не достоверно испытанных компонентов

УБИ. 166 Угроза внедрения системной избыточности

УБИ. 167 Угроза заражения компьютера при посещении неблагонадёжных сайтов

УБИ. 168 Угроза «кражи» учётной записи доступа к сетевым сервисам

УБИ. 169 Угроза наличия механизмов разработчика

УБИ. 170 Угроза неправомерного шифрования информации

УБИ. 171 Угроза скрытного включения вычислительного устройства в состав бот-сети

УБИ. 172 Угроза распространения «почтовых червей»

УБИ. 173 Угроза «спама» веб-сервера

УБИ. 174 Угроза «фарминга»

УБИ. 175 Угроза «фишинга»

УБИ. 176 Угроза нарушения технологического/производственного процесса из-за временных задержек, вносимых средством защиты

УБИ. 177 Угроза неподтверждённого ввода данных оператором в систему, связанную с безопасностью

УБИ. 178 Угроза несанкционированного использования системных и сетевых утилит

УБИ. 179 Угроза несанкционированной модификации защищаемой информации

УБИ. 180 Угроза отказа подсистемы обеспечения температурного режима

УБИ. 181 Угроза перехвата одноразовых паролей в режиме реального времени

УБИ. 182 Угроза физического устаревания аппаратных компонентов

УБИ.183 Явления не техногенного и антропогенного характера

ПРИЛОЖЕНИЕ Б

Таблица Б.1 Анкета по определению уязвимых звеньев

Вопрос Ответ Наименование уязвимого звена Индекс уязвимого звена

Используется ли в ИТКС Да Средства ввода информации УЗ 1.2

компьютеры с периферийными устройствами? Средства отображения информации УЗ 1.4

Средства обработки информации УЗ 1.5

Микросхемы базовой системы ввода\вывода УЗ 2.1

Некачественные программные УЗ 2.7

продукты

Нет

Используются ли на Да Гибкие магнитные диски УЗ 1.1

компьютерах дисководы Накопители для гибких магнит- УЗ 1.2

для флоппи-дисков ных дисков

Нет

Используются ли персо- Да Отчуждаемые носители УЗ 1.1

налом отчуждаемые

жесткие диски, стриме-

Нет

ры, магнитные ленты,

флэш-карты?

Используется ли в ИТКС Да Принтеры УЗ 1.3

множительная техника

подключаемая к компь- Нет

ютерам?

Используются ли персо- Да Дисководы CD, DVD дисков УЗ 1.3

налом ИТКС дисководы

и программные средства записи? Нет

Установлены ли серверы Да

сети в отдельных помещениях?

Нет Серверы, к которым открыт физический доступ УЗ 3.5

Установлены ли основ- Да

ные коммутационные

элементы в отдельном помещении? Нет Коммутационные элементы сети, к которым имеется физический доступ УЗ 1.6

Проложены ли кабели Да

компьютерной сети в специальных коробах? Нет Кабели компьютерной сети на участках, где имеется к ним физический доступ УЗ 1.6

Сертифицировано ли си- Да

стемное ПО? Нет Несертифицированная ОС УЗ 2.2

Сертифицировано ли се- Да

тевое по? Нет Сетевая ОС, сетевые драйверы УЗ 2.2

Сетевое прикладное ПО УЗ 2.4

Сертифицированы ли применяемые средства защиты? Да

Нет Программные и программно-аппаратные средства защиты УЗ 2.2

Сертифицированы ли применяемые программы общего пользования? Да

Нет Прикладное ПО УЗ 2.4

Имеются ли на компьютерах пользователей базы данных собственной разработки? Да Незащищенная информация пользователя УЗ 2.5

Нет

Какой стек протоколов используется для сетевого взаимодействия? TCP/IP Уязвимости TCP/IP УЗ 2.3

IPX/SPX Уязвимости IPX/SPX УЗ 2.3

NetBEUE Уязвимости NetBEUE УЗ 2.3

IBM SNA Уязвимости IBM SNA УЗ 2.3

Специальный защищенный

Подключена ли локальная сеть к сети общего пользования? Да Шлюз выхода в сеть общего пользования УЗ 2.2

Уязвимости протоколов межсетевого взаимодействия УЗ 2.3

Недокументированные точки входа через прикладной сервис УЗ 2.4

Нет

Имеется ли на объекте система бесперебойного питания? Да

Нет Система электропитания УЗ 1.7

Установлены ли в сети администратором общие сетевые ресурсы? Да Открытые общие сетевые ресурсы УЗ 2.2

Затрудняюсь ответить Открытые общие сетевые ресурсы УЗ 2.2

Нет

Используются ли сотрудниками или администратором нештатное ПО? Да Нештатное ПО УЗ 2.2

Нет

Затрудняюсь ответить Нештатное ПО УЗ 2.2

Установлен ли пропускной режим? Да

Нет Неконтролируемый вход УЗ 3.4

Закрываются ли помещения с компьютерной техникой? Да

Нет Неконтролируемый вход УЗ 3.4

Контролируются ли ежедневно правила и режимы эксплуатации техники на предприятии? Да

Нет Нерегламентированные режимы эксплуатации компьютерной техники УЗ 3.1, 3.2, 3.3

Проложены ли коммуникации компьютерной сети за пределами охраняемой территории? Да Некатегорированные помещения УЗ 3.4

Нет

Используются ли основные прикладные программы Internet? Да Прикладные программы и сетевые службы Internet УЗ 2.5

Нет

Используются ли на сервере исполняемые программы пользователей? Да Прикладное ПО сервера УЗ 2.4

Нет

Разрабатываются ли сотрудниками прикладные программы? Да Разрабатываются УЗ 2.4

Нет

Таблица Б.2 Анкета по определению уязвимых звеньев

Запрос эксперта Варианты ответа

Да Нет Возможно

По помещениям, где расположены компоненты ИТКС

Находится ли помещения на УЗ 3.5

охраняемой территории?

Имеются ли помещения трубы УЗ 4.1, 4.2

отопления, водоснабжения?

Имеется ли радиосеть? УЗ 4.1, 4.2 УЗ 4.1, 4.2

Имеются ли металлоконструкции? УЗ 4.1, 4.2

Имеется ли охранно-пожарная сигнализация? УЗ 4.1, 4.2 УЗ 4.1, 4.2

Имеется ли бытовая техника? УЗ 4.1, 4.2 УЗ 4.1, 4.2

Имеются ли щели у стояков? УЗ 4.2 УЗ 4.2

Имеются ли форточки, окна? УЗ 4.2

Возможно ли нахождение радио- УЗ 4.1, 4.2 УЗ 4.1, 4.2

закладок?

Выходят ли за пределы кабели УЗ 4.1, 4.2

электропитания?

Имеется ли сеть электрочасов? УЗ 4.1, 4.2

Имеются ли вентиляционные си- УЗ 4.1, 4.2

стемы?

Имеются ли трансляционная сеть УЗ 4.1, 4.2

и громкоговорящая связь?

Имеется ли внешняя телефонная УЗ 4.1, 4.2

связь?

Проходят ли через помещения линии связи? УЗ 4.1, 4.2

Имеются ли работающие техни- УЗ 4.1, 4.2

ческие средства обработки и передачи информации?

Имеются ли работающие ВТСС?

УЗ 4.1, 4.2

Возможно, ли внедрение с верхних этажей под потолок кабельных микрофонов?

УЗ 4.2

Применяются ли для освещения люминесцентные светильники?

УЗ 4.2

По персональным компьютерам