Преднамеренная угроза безопасности информации ошибка разработчика

Основы защиты информации и сведений, составляющих государственную тайну. Методы защиты информации.

(1)Преднамеренной
угрозой безопасности информации
является…

ошибка
разработчика

●кража

наводнение

повреждение
кабеля, по которому идет передача,

в
связи с погодными условиями

(1)Под
утечкой информации понимается…

●несанкционированный
процесс переноса информации от источника
к злоумышленнику;

непреднамеренная
утрата носителя информации;

процесс
уничтожения информации;

процесс
раскрытия секретной информации.

(1)Цена
информации при её утечке …

● информация
полностью обесценивается.

увеличивается;

не
изменяется;

уменьшается;

(1)Задачей,
не поставленной в рамки концепции
национальной безопасности заключается
в…

в
ускорении развития новых информационных
технологий и их широком распространении

приоритетном
развитии отечественных современных
информационных и телекоммуникационных
технологий

●совершенствовании
информационной структуры общества

установлении
необходимого баланса между потребностью
в свободном обмене информацией и
допустимыми ограничениями её
распространения

(1)Информационное
оружие не является…

●поражающим

оборонительным

сигнализирующим

атакующим

(1)В
большей степени понятию «Информационная
безопасность автоматизированной
системы» соответствует…

состояние
автоматизированной системы, при котором
она. способна противостоять только
информационным угрозам, как внешним
так и внутренним;

состояние
автоматизированной системы, при котором
она. способна противостоять только
внешним информационным угрозам.

●состояние
автоматизированной системы, при котором
она. с одной стороны, способна противостоять
воздействию внешних и внутренних
информационных угроз, а с другой — затраты
на её функционирование ниже, чем
предполагаемый ущерб от утечки защищаемой
информации;

состояние
автоматизированной системы, при котором
она. с одной стороны, способна противостоять
воздействию внешних и внутренних
информационных угроз, а с другой — ее
наличие и функционирование не создает
информационных угроз для элементов
самой системы и внешней среды.

(1)Концепция
системы защиты от информационного
оружия не должна включать…

процедуры
оценки уровня и особенностей атаки
против национальной инфраструктуры в
целом и отдельных пользователей

●средства
нанесения контратаки с помощью
информационного оружия

механизмы
защиты пользователей от различных типов
и уровней угроз для национальной
информационной инфраструктуры

признаки,
сигнализирующие о возможном нападении

(1)Информацией,
подлежащей защите является…

информация
об учреждении профессионального
образования

информация
о состоянии операционной системы

●информация,
приносящая выгоду

сведения
об окружающем мире

(1)В
систему органов обеспечения ИБ в РФ не
входит…

Правительство
РФ

ФСБ

●Общественная
палата РФ

Государственная
дума

(1)Угрозой
информационной войны для РФ не является…

несовершенство
законодательной базы

значительная
протяжённость территории

открытость
границ

●ориентированность
на отечественные технические средства

(1)Принципиальным
отличием межсетевых экранов (МЭ) от
систем обнаружения атак (СОВ) является
то. что…

МЭ
были разработаны для активной или
пассивной защиты, а СОВ — для активного
или пассивного обнаружения;

отличий
МЭ от СОВ нет.

МЭ
были разработаны для активного или
пассивного обнаружения, а СОВ — для
активной или пассивной защиты;

МЭ
работают только на сетевом уровне, а
СОВ — еще и на физическом;

(1)Основным
средством антивирусной защиты является…

использование
сетевых экранов при работе в сети
Интернет;

● периодическая
проверка списка загруженных программ;

периодическая
проверка компьютера с помощью антивирусного
программного обеспечения.

периодическая
проверка списка автоматически загружаемых
программ;

(1)Гарантом
национальной безопасности РФ является…

чёткая
политика в сфере защиты инф. безопасности
РФ

законодательные
и иные правовые акты РФ, регулирующие
правовые отношения в cфере ИБ и защиты
государственной тайны

бурное
развитие информационных технологий,
обеспечивающих информационную
безопасность РФ

●президент
РФ

Соседние файлы в папке testy

Определение угроз безопасности информации ограниченного доступа

Виды защищаемой информации

В соответствии с Федеральным законом от 27.07.2006 №
149-ФЗ «Об информации,
информационных технологиях и о защите информации» информация делится на
общедоступную и информацию ограниченного доступа, которая в свою очередь
делится на конфиденциальную информацию и государственную тайну.

Общедоступная информация
— общеизвестные сведения, информация, доступ к которой в соответствии с
законодательством Российской Федерации не может быть ограничен.

Информация ограниченного доступа
(конфиденциального характера) — сведения, для которых установлен
специальный режим сбора, хранения, обработки, предоставления и
использования, доступ к которым ограничен в соответствии с федеральными
законами.

Сведения, составляющие государственную тайну
– защищаемые государством сведения в области его военной,
внешнеполитической, экономической, разведывательной, контрразведывательной
и оперативно-розыскной деятельности, распространение которых может нанести
ущерб безопасности Российской Федерации.

Информация, к которой не может быть ограничен доступ (п. 4
ст. 8 закона №149-ФЗ):

Нормативным правовым актам, затрагивающим права, свободы и обязанности
человека и гражданина, а также устанавливающим правовое положение
организаций и полномочия государственных органов, органов местного
самоуправления.
Информация о состоянии окружающей среды.
Информация о деятельности государственных органов и органов местного
самоуправления, а также об использовании бюджетных средств (за исключением
сведений, составляющих государственную или служебную тайну);
Информация, накапливаемой в открытых фондах библиотек, музеев и архивов,
а также в государственных, муниципальных и иных информационных системах,
созданных или предназначенных для обеспечения граждан (физических лиц) и
организаций такой информацией;
Иная информация, недопустимость ограничения доступа к которой
установлена федеральными законами.

Порядок обращения с информацией ограниченного доступа для организаций
госуправления определяется на основе Постановления Правительства Российской
Федерации от 03.11.94 №
1233 «Об утверждении Положения о порядке обращения
со служебной информацией ограниченного распространения в федеральных
органах исполнительной власти и уполномоченном органе управления
использованием атомной энергии».

Необходимость определения угроз безопасности информации определена
следующими нормативными документами:

Указ Президента РФ от 05.12.2016 №646
«Об утверждении Доктрины информационной безопасности Российской Федерации».
Федеральный закон от 27.07.2006 №149
-ФЗ «Об информации, информационных
технологиях и о защите информации» (ст. 16).
Федеральный закон от 27.07.2006 №152
-ФЗ «О персональных данных» (ст.
19).

Подход к анализу угроз

Основой для анализа риска реализации угроз и формулирования требований к
разрабатываемой системе защиты ИС предполагает их обязательную
идентификацию, а именно:

перечень возможных угроз информационной безопасности;
оценки вероятностей их реализации;
модель нарушителя.

Кроме выявления возможных угроз должен быть проведен анализ этих угроз на
основе их классификации по ряду признаков.

Каждый из признаков классификации отражает одно из
обобщенных требований к системе защиты. При этом угрозы, соответствующие
каждому признаку классификации, позволяют детализировать отражаемое этим
признаком требование.

Необходимость классификации угроз информационной безопасности ИС обусловлена тем, что:

архитектура современных средств автоматизированной обработки информации,
организационное, структурное и функциональное построение информационно-вычислительных систем и сетей,
технологии и условия автоматизированной обработки информации

такие, что накапливаемая, хранимая и обрабатываемая информация подвержена
случайным влияниям чрезвычайно большого числа факторов. В силу этого
становится невозможным формализовать задачу описания полного множества
угроз.

Как следствие, для защищаемой системы определяют не полный перечень угроз,
а перечень классов угроз.

Реализация угрозы безопасности информации

Угроза безопасности информации реализуется в результате образования канала
реализации угрозы между источником угрозы и носителем (источником)
информации, что создает условия для нарушения безопасности информации
(несанкционированный или случайный доступ).

Источником информации может быть:

речь;
электромагнитные поля;
электрические сигналы;
визуальная информация;
бит, байт, файлы и другие логические структуры.

К физической среде распространения
относятся элементы помещений – двери, окна, радиаторы отопления, воздушная
вентиляция, полости и каналы для кабелей и другие.

Классификация угроз безопасности информации

по виду нарушаемого свойства информации;
по видам возможных источников угроз;
по размерам наносимого ущерба;
по степени воздействия на информационную систему;
по природе возникновения.

По виду нарушаемого свойства информации:

Угрозы конфиденциальности (утечки, перехвата, съема, копирования, хищения, разглашения) информации.
Угрозы целостности (утраты, уничтожения, модификации) информации.
Угрозы доступности (блокирования) информации.

По видам возможных источников угроз

Физическое лицо — внутренние нарушители и внешние нарушители.
Аппаратные закладки — встроенные закладки и автономные закладки.
Вредоносные программы — троянские программы, вирусы, сетевые черви, другие (подбор паролей, удаленный доступ).
Явления — техногенные аварии, стихийные бедствия, природные явления.

По размерам наносимого ущерба

Частный ущерб.
Локальный ущерб.
Общий ущерб.

По степени воздействия на информационную систему

Пассивное (структура и содержание системы не изменяются).
Активное (структура и содержание системы подвергается изменениям).

По природе возникновения

Естественные (объективные) — вызванные воздействием на
информационную среду объективных физических процессов или стихийных
природных явлений, не зависящих от воли человека.
Искусственные (субъективные) — вызванные воздействием
на информационную сферу человека. Среди искусственных угроз в свою очередь выделяют:

Непреднамеренные
(случайные) угрозы — ошибки программного обеспечения, персонала, сбои в
работе систем, отказы вычислительной и коммуникационной техники;

Преднамеренные
(умышленные) угрозы — неправомерный доступ к информации, разработка
специального программного обеспечения, используемого для осуществления
неправомерного доступа, разработка и распространение вирусных программ и
т.д. Преднамеренные угрозы обусловлены действиями людей.

Основные проблемы информационной безопасности связаны прежде всего с
умышленными угрозами,
так как они являются главной причиной преступлений и правонарушений.

Обусловленные действиями субъекта (антропогенные
источники) – субъекты, действия которых могут привести
к нарушению безопасности информации, данные действия могут быть квалифицированы
как умышленные или случайные преступления. Источники, действия которых могут привести к
нарушению безопасности информации могут быть как внешними так и
внутренними. Данные источники можно спрогнозировать, и принять адекватные меры.

Обусловленные техническими средствами (техногенные
источники) – эти источники угроз менее
прогнозируемы, напрямую зависят от свойств техники и поэтому требуют
особого внимания. Данные источники угроз информационной безопасности, также
могут быть как внутренними, так и внешними.

Стихийные источники
– данная группа объединяет обстоятельства, составляющие непреодолимую силу
(стихийные бедствия или другие обстоятельства, которые невозможно
предусмотреть или предотвратить или возможно предусмотреть, но невозможно
предотвратить), такие обстоятельства, которые носят объективный и
абсолютный характер, распространяющийся на всех. Такие источники угроз
совершенно не поддаются прогнозированию и, поэтому меры против них должны
применяться всегда. Стихийные источники, как правило, являются внешними по
отношению к защищаемому объекту и под ними, как правило, понимаются
природные катаклизмы.

Угрозы НСД к информации:

несанкционированный доступ и (или) воздействие на объекты на
аппаратном уровне
(программы (микропрограммы), «прошитые»
в аппаратных компонентах (чипсетах));
несанкционированный доступ и (или) воздействие на объекты на

общесистемном уровне (базовые системы ввода-вывода,
гипервизоры, операционные системы);
несанкционированный доступ и (или) воздействие на объекты на

прикладном уровне (системы управления базами данных,
браузеры, web-приложения, иные прикладные программы общего и специального
назначения);
несанкционированный доступ и (или) воздействие на объекты на

сетевом уровне (сетевое оборудование, сетевые приложения, сервисы).

Описание угроз доступа (проникновения) в операционную среду компьютера:

угроза НСД
= <источник угрозы>, <
уязвимость
>, <способ реализации угрозы>, <
объект воздействия (программа, протокол, данные и
др.)>, <деструктивное действие>.

Источниками угроз НСД могут быть: нарушитель, носитель вредоносной
программы или аппаратная закладка.

Носителем вредоносной программы может быть аппаратный элемент компьютера
или программный контейнер. Например:

отчуждаемый носитель, то есть дискета, оптический диск (CD-R, CD-RW), флэш-память, отчуждаемый винчестер и т.п.;
встроенные носители информации (жесткие диски, SSD,
микросхемы оперативной памяти, процессор, микросхемы системной платы,
микросхемы устройств, встраиваемых в системный блок, — видеоадаптера,
сетевой платы, звуковой платы, модема, устройств ввода/вывода магнитных
жестких и оптических дисков, блока питания и т.п., микросхемы прямого
доступа к памяти, шин передачи данных, портов ввода/вывода);
микросхемы внешних устройств (монитора, клавиатуры, принтера, модема, сканера и т.п.).

Уязвимости информационных систем

Уязвимость информационной системы
— недостаток или слабое место в системном или прикладном программном
(программно-аппаратном) обеспечении автоматизированной информационной
системы, которые могут быть использованы для реализации угрозы безопасности
информации. Причинами возникновения уязвимостей являются:

ошибки при проектировании и разработке ПО;
преднамеренные действия по внесению уязвимостей в ходе проектирования и разработки ПО;
неправильные настройки ПО, неправомерное изменение режимов работы
устройств и программ;
несанкционированное внедрение и использование неучтенных программ с
последующим необоснованным расходованием ресурсов (загрузка процессора,
захват оперативной памяти и памяти на внешних носителях);
внедрение вредоносных программ, создающих уязвимости в ПО;
несанкционированные неумышленные действия пользователей, приводящие к возникновению уязвимостей;
сбои в работе аппаратного и ПО (вызванные сбоями в электропитании,
выходом из строя аппаратных элементов, внешними воздействиями
электромагнитных полей технических устройств и др.).

Рассмотрим классификацию уязвимостей программного обеспечения:

По типу программного обеспечения:

Системное ПО.
Прикладное ПО.

По этапу жизненного цикла ПО, на котором возникает уязвимость:

На этапе проектирования ПО.
На этапе реализации ПО.
На этапе инсталляции и настройки ПО.

По причине возникновения уязвимости:

Недостатки механизмов аутентификации.
Недостатки защиты учетных записей.
Наличие функций, позволяющих выполнять деструктивные воздействия.
Отсутствие проверки корректности входных данных.

По характеру последствий от реализации атак:

Уязвимости, используемые для переполнения буфера.
Уязвимости, используемые для подбора пароля или идентификатора.
Уязвимости, используемые для изменения прав доступа.
Уязвимости, используемые для реализации атаки «Отказ в обслуживании».

Классификация технических каналов утечки по источнику информации

Речевой информации:

Акустический канал.
Виброакустический канал.
Непреднамеренное прослушивание речи.
Электрические сигналы в линиях, возникающие за счет микрофонного эффекта в ВТСС.
ПЭМИН от ВТС.;
Паразитная генерация.
Радиоизлучения генераторов, входящих в состав технических средств (ОТСС и ВТСС), модулированные акустическим информативным сигналом.

Информации, обрабатываемой СВТ:

ПЭМИН от технических средств вычислительной техники.
Паразитная генерация.
Радиоизлучения генераторов, входящих в состав ОТСС или ВТСС, модулированные информативным сигналом.

Прочие:

Применение закладочных устройств.
Прослушивание телефонных и радиопереговоров.
Просмотр информации с экранов мониторов и других средств ее отображения.

ПЭМИН от технических средств вычислительной техники:

Паразитные генерации:

Электромагнитная наводка
– передача (индуцирование) электрических сигналов из одного устройства
(цепи) в другое, непредусмотренная схемными или конструктивными решениями и
возникающая за счет паразитных электромагнитных связей. Электромагнитные
наводки могут приводить к утечке информации по токопроводящим
коммуникациям, имеющим выход за пределы контролируемой зоны.

Акустический и виброакустический канал утечки информации – способность
ограждающих конструкций помещения либо инженерно-техническая коммуникаций,
например, труб отопления проводить (распространять) звуковые волны за
пределы контролируемой зоны.

Канал утечки информации, возникающий за счет микрофонного эффекта в ВТСС –
способность микрофона телефонного аппарата принимать звуковые сигналы и
распространять их за пределы контролируемой зоны.

Видовой канал утечки информации

Угрозы утечки видовой информации реализуются за счет просмотра информации с
помощью оптических (оптикоэлектронных) средств с экранов
дисплеев и других средств отображения средств вычислительной техники,
информационно-вычислительных комплексов, технических средств обработки
графической, видео- и буквенно-цифровой информации, входящих в состав ИС.

Перехват перехват может вестись:

стационарной аппаратурой, размещаемой в близлежащих строениях (зданиях) с
неконтролируемым пребыванием посторонних лиц;
портативной возимой аппаратурой, размещаемой в транспортных средствах,
осуществляющих движение вблизи служебных помещений или при их парковке
рядом с этими помещениями;
портативной носимой аппаратурой — физическими лицами при их
неконтролируемом пребывании в служебных помещениях или в непосредственной
близости от них.

Перехват (просмотр) информации может осуществляться посторонними лицами
путем их непосредственного наблюдения в служебных помещениях либо с
расстояния прямой видимости из-за пределов ИС с использованием оптических
(оптикоэлектронных) средств.

Идентификация угроз безопасности информации

Для идентификации угроз безопасности информации в информационной системе
определяются:

возможности (тип, вид, потенциал) нарушителей, необходимые им для реализации угроз
безопасности информации;
уязвимости, которые могут использоваться при реализации
угроз безопасности информации (включая специально внедренные программные закладки);
способы (методы) реализации угроз безопасности информации;
объекты информационной системы, на которые направлена угроза безопасности информации (объекты воздействия);
результат и последствия от реализации угроз безопасности информации.

Определение актуальных угроз безопасности информации

Угроза безопасности информации является
актуальной, если для информационной
системы с заданными структурно-функциональными характеристиками и
особенностями функционирования существует вероятность реализации
рассматриваемой угрозы нарушителем с соответствующим потенциалом и ее
реализация приведет к неприемлемым негативным последствиям (ущербу) от
нарушения конфиденциальности, целостности или доступности информации.

УБИ = [вероятность реализации угрозы или возможность реализации угрозы;
степень ущерба].

Вероятность реализации угрозы
определяется на основе анализа статистических данных о частоте реализации
угроз безопасности информации (возникновении инцидентов безопасности) в
информационной системе и (или) однотипных информационных системах.

При отсутствии статистических данных о реализации угроз безопасности
информации (возникновении инцидентов безопасности) актуальность угроз
определяется экспертным методом.

Возможность реализации угрозы
определятся на основе оценки уровня защищенности информационной системы и
потенциала нарушителя, требуемого для реализации угрозы безопасности.

Степень ущерба
определяется на основе оценок степени последствий от нарушения
конфиденциальности, целостности или доступности информации.

Порядок определения актуальных угроз безопасности

Актуальность угроз безопасности информации определяется в отношении угроз,
для которых экспертным методом определено, что:

возможности (потенциал) нарушителя достаточны для реализации угрозы безопасности информации;

в информационной системе могут иметься потенциальные уязвимости,
которые могут быть использованы при реализации угрозы безопасности информации;

структурно-функциональные характеристики и особенности функционирования
информационной системы не исключают возможности применения
способов, необходимых для реализации угрозы безопасности информации
(существует сценарий реализации угрозы безопасности);

реализация угрозы безопасности информации приведет к
нарушению конфиденциальности, целостности или доступности информации, в
результате которого возможно возникновение неприемлемых негативных
последствий (ущерба).

Оценка вероятности реализации угрозы безопасности информации

Низкая вероятность
– отсутствуют объективные предпосылки к реализации угрозы безопасности
информации, отсутствует требуемая статистика по фактам реализации угрозы
безопасности информации (возникновения инцидентов безопасности),
отсутствует мотивация для реализации угрозы, возможная частота реализации
угрозы не превышает 1 раза в 5 лет.

Средняя вероятность
– существуют предпосылки к реализации угрозы безопасности информации,
зафиксированы случаи реализации угрозы безопасности информации
(возникновения инцидентов безопасности) или имеется иная информация,
указывающая на возможность реализации угрозы безопасности информации,
существуют признаки наличия у нарушителя мотивации для реализации такой
угрозы, возможная частота реализации угрозы не превышает 1 раза в год;

Высокая вероятность
– существуют объективные предпосылки к реализации угрозы безопасности
информации, существует достоверная статистика реализации угрозы
безопасности информации (возникновения инцидентов безопасности) или имеется
иная информация, указывающая на высокую возможность реализации угрозы
безопасности информации, у нарушителя имеются мотивы для реализации угрозы,
частота реализации угрозы – чаще 1 раза в год.

Оценка возможности реализации угрозы безопасности информации

Y = [уровень проектной защищенности; потенциал нарушителя]

Показатели, характеризующие проектную защищенность информационной системы:

По структуре информационной системы:

автономное автоматизированное рабочее место (в)
локальная информационная система (с)
распределенная информационная система (н)

По используемым информационным технологиям:

системы на основе виртуализации (н)
системы, реализующие «облачные вычисления» (н)
системы с мобильными устройствами (н)
системы с технологиями беспроводного доступа (н)
грид-системы (н)
суперкомпьютерные системы (с)

По архитектуре информационной системы:

системы на основе «тонкого клиента» (в)
системы на основе одноранговой сети (с)
файл-серверные системы (н)
центры обработки данных (н)
системы с удаленным доступом пользователей (н)
использование разных типов операционных систем (с)
использование прикладных программ, независимых от операционных систем (с)
использование выделенных каналов связи (с)

По наличию (отсутствию) взаимосвязей с иными информационными системами:

взаимодействующая с системами (н)
невзаимодействующая с системами (с)

По наличию (отсутствию) взаимосвязей (подключений) к сетям связи общего пользования:

подключенная (н)
подключенная через выделенную инфраструктуру (gov.ru или иную) (с)
неподключенной (в)

По размещению технических средств:

расположенные в пределах одной контролируемой зоны (в)
расположенные в пределах нескольких контролируемых зон (с)
расположенные вне контролируемой зоны (н)

По режимам обработки информации в информационной системе:

многопользовательский (н)
однопользовательский (в)

По режимам разграничения прав доступа:

без разграничения (н)
с разграничением (с)

По режимам разделения функций по управлению информационной системой:

без разделения (н)
выделение рабочих мест для администрирования в отдельный домен (с)
использование различных сетевых адресов (с)
использование выделенных каналов для администрирования (с)

По подходам к сегментированию информационной системы:

без сегментирования (н)
с сегментированием (с)

Потенциал, требуемый нарушителю для реализации угрозы безопасности
информации, может быть базовым (низким), базовым повышенным (средним) или
высоким. Значение потенциала нарушителя для угрозы безопасности информации
определяется на основе данных, приведенных в банке данных угроз
безопасности информации ФСТЭК России, а также в базовых и типовых моделях
угроз безопасности информации, разрабатываемых ФСТЭК России для
информационных систем различных классов и типов.

Возможность реализации угрозы безопасности информации:

Потенциал нарушителя	Уровень защищенности
Высокий	Средний	Низкий
базовый (низкий)	Низкая	Средняя	Высокая
базовый повышенный (средний)	Средняя	Высокая	Высокая
высокий	Высокая	Высокая	Высокая

Результат реализации угрозы безопасности информации:

Свойство безопасности информации	Результат реализации угрозы безопасности информации
Не оказывает воздействия	Оказывает воздействие
Конфиденциальность	В результате реализации угрозы безопасности информации отсутствует возможность неправомерного доступа, копирования, предоставления или распространения информации	В результате реализации угрозы безопасности информации возможны неправомерный доступ, копирование, предоставление или распространение информации
Целостность	В результате реализации угрозы безопасности информации отсутствует возможность уничтожения или модифицирования информации	В результате реализации угрозы безопасности информации возможно уничтожение или модифицирование информации
Доступность	В результате реализации угрозы безопасности информации отсутствует возможность блокирования информации	В результате реализации угрозы безопасности информации возможно блокирование информации

Возможные негативнее последствия от нарушения конфиденциальности, целостности, доступности информации

Вид ущерба – экономический (финансовый)

снижение, как минимум, одного экономического показателя;
потеря (кража) финансовых средств;
недополучение ожидаемой (прогнозируемой) прибыли;
необходимость дополнительных (незапланированных) затрат на выплаты штрафов (неустоек) или компенсаций;
необходимость дополнительных (незапланированных) затрат на закупку
товаров, работ или услуг (в том числе закупка программного обеспечения,
технических средств, вышедших из строя, замена, настройка, ремонт указанных
средств);
необходимость дополнительных (незапланированных) затрат на восстановление деятельности;
потеря клиентов, поставщиков;
потеря конкурентного преимущества;
невозможность заключения договоров, соглашений;
другие прямые или косвенные финансовые потери.

Вид ущерба – социальный

создание предпосылок для нанесения вреда здоровью граждан;
возможность нарушения функционирования объектов обеспечения жизнедеятельности граждан;
организация пикетов, забастовок, митингов и других акций;
увольнения;
увеличение количества жалоб в органы государственной власти или органы местного самоуправления;
появление негативных публикаций в общедоступных источниках;
невозможность (прерывание) предоставления социальных услуг (сервисов);
другие последствия, приводящие к нарастанию социальной напряженности в обществе.

Вид ущерба – политический

создание предпосылок к обострению отношений в международных отношениях;
срыв двусторонних (многосторонних) контактов с зарубежными партнерами;
неспособность выполнения международных (двусторонних) договорных обязательств;
невозможность заключения международных (двусторонних) договоров, соглашений;
создание предпосылок к внутриполитическому кризису;
нарушение выборного процесса;
другие последствия во внутриполитической и внешнеполитической областях деятельности.

Вид ущерба – репутационный

нарушение законодательных и подзаконных актов;
нарушение деловой репутации;
снижение престижа;
дискредитация работников;
утрата доверия;
неспособность выполнения договорных обязательств;
другие последствия, приводящие к нарушению репутации.

Вид ущерба – ущерб в области обороны, безопасности и правопорядка

создание предпосылок к наступлению негативных последствий для обороны, безопасности и правопорядка;
нарушение общественного правопорядка;
неблагоприятное влияние на обеспечение общественного правопорядка;
возможность потери или снижения уровня контроля за общественным правопорядком;
отсутствие возможности оперативного оповещения населения о чрезвычайной ситуации;
другие последствия, приводящие к ущербу в области обороны, безопасности и правопорядка.

Вид ущерба – ущерб субъекту персональных данных

создание угрозы личной безопасности;
финансовые или иные материальные потери физического лица;
вторжение в частную жизнь;
создание угрозы здоровью;
моральный вред;
утрата репутации;
другие последствия, приводящие к нарушению прав субъекта персональных данных.

Вид ущерба – технологический

невозможность решения задач (реализации функций) или снижение
эффективности решения задач (реализации функций);
необходимость изменения (перестроения) внутренних процедур для достижения
целей, решения задач (реализации функций);
принятие неправильных решений;
простой информационной системы или сегмента информационной системы;
другие последствия, приводящие к нарушению технологии обработки информации.

Степень ущерба

Высокая
— в результате нарушения одного из свойств безопасности информации
(конфиденциальности, целостности, доступности) возможны существенные
негативные последствия. Информационная система и (или) оператор (обладатель
информации) не могут выполнять возложенные на них функции.

Средняя
— в результате нарушения одного из свойств безопасности информации
(конфиденциальности, целостности, доступности) возможны умеренные
негативные последствия. Информационная система и (или) оператор (обладатель
информации) не могут выполнять хотя бы одну из возложенных на них функций.

Низкая
— в результате нарушения одного из свойств безопасности информации
(конфиденциальности, целостности, доступности) возможны незначительные
негативные последствия. Информационная система и (или) оператор (обладатель
информации) могут выполнять возложенные на них функции с недостаточной
эффективностью или выполнение функций возможно только с привлечением
дополнительных сил и средств.

Определение актуальности угрозы безопасности информации:

Вероятность реализации угрозы Yj	Степень возможного ущерба Хj
Низкая	Средняя	Высокая
Низкая	Неактуальная	Неактуальная	Актуальная
Средняя	Неактуальная	Актуальная	Актуальная
Высокая	Актуальная	Актуальная	Актуальная

Модель нарушителя. Типы нарушителей

Типы нарушителей определяются по результатам анализа прав доступа субъектов
к информации и (или) к компонентам информационной системы, а также анализа
возможностей нарушителей по доступу к компонентам информационной системы
исходя из структурно-функциональных характеристик и особенностей
функционирования информационной системы.

Анализ прав доступа проводится в отношении следующих компонент
информационной системы:

устройств ввода/вывода (отображения) информации;
беспроводных устройств;
программных, программно-технических и технических средств обработки информации;
съемных машинных носителей информации;
машинных носителей информации, выведенных из эксплуатации;
активного (коммутационного) и пассивного оборудования каналов связи;
каналов связи, выходящих за пределы контролируемой зоны.

Виды и потенциал нарушителей:

Специальные службы иностранных государств (блоков государств).
Террористические, экстремистские группировки.
Преступные группы (криминальные структуры).
Внешние субъекты (физические лица).
Конкурирующие организации.
Разработчики, производители, поставщики программных, технических и программно-технических средств.
Лица, привлекаемые для установки, наладки, монтажа, пусконаладочных и иных видов работ.
Лица, обеспечивающие функционирование информационных систем или
обслуживающие инфраструктуру оператора (администрация, охрана, уборщики и
т.д.).
Пользователи информационной системы.
Администраторы информационной системы и администраторы безопасности.
Бывшие работники (пользователи).

Возможные цели (мотивации) реализации нарушителями угроз безопасности информации:

нанесение ущерба государству, отдельным его сферам деятельности или секторам экономики;
реализация угроз безопасности информации по идеологическим или политическим мотивам;
организация террористического акта;
причинение имущественного ущерба путем мошенничества или иным преступным путем;
дискредитация или дестабилизация деятельности органов государственной власти, организаций;
получение конкурентных преимуществ;
внедрение дополнительных функциональных возможностей в программное
обеспечение или программно-технические средства на этапе разработки;
любопытство или желание самореализации;
выявление уязвимостей с целью их дальнейшей продажи и получения финансовой выгоды;
реализация угроз безопасности информации из мести;
реализация угроз безопасности информации непреднамеренно из-за неосторожности или неквалифицированных действий.

Возможные способы реализации угроз безопасности информации:

нарушитель может действовать один или в составе группы нарушителей;
в отношении информационной системы внешний нарушитель может действовать совместно с внутренним нарушителем;
угрозы могут быть реализованы в любое время и в любой точке информационной системы (на любом узле или хосте);
для достижения своей цели нарушитель выбирает наиболее слабое звено информационной системы.

Яндекс.Метрика

Источник

Утвержден и введен в действие

Приказом Федерального агентства

по техническому регулированию

и метрологии

от 21 мая 2019 г. N 204-ст

НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ

ЗАЩИТА ИНФОРМАЦИИ

РАЗРАБОТКА БЕЗОПАСНОГО ПРОГРАММНОГО ОБЕСПЕЧЕНИЯ

УГРОЗЫ БЕЗОПАСНОСТИ ИНФОРМАЦИИ ПРИ РАЗРАБОТКЕ ПРОГРАММНОГО

ОБЕСПЕЧЕНИЯ

Information protection. Secure software development.

Software development life cycle threats

ГОСТ Р 58412-2019

ОКС 35.020

Дата введения

1 ноября 2019 года

Предисловие

1 РАЗРАБОТАН Федеральной службой по техническому и экспортному контролю (ФСТЭК России), Акционерным обществом «Научно-производственное объединение «Эшелон» (АО «НПО «Эшелон»)

2 ВНЕСЕН Техническим комитетом по стандартизации ТК 362 «Защита информации»

3 УТВЕРЖДЕН И ВВЕДЕН В ДЕЙСТВИЕ Приказом Федерального агентства по техническому регулированию и метрологии от 21 мая 2019 г. N 204-ст

4 ВВЕДЕН ВПЕРВЫЕ

Правила применения настоящего стандарта установлены в статье 26 Федерального закона от 29 июня 2015 г. N 162-ФЗ «О стандартизации в Российской Федерации». Информация об изменениях к настоящему стандарту публикуется в ежегодном (по состоянию на 1 января текущего года) информационном указателе «Национальные стандарты», а официальный текст изменений и поправок — в ежемесячном информационном указателе «Национальные стандарты». В случае пересмотра (замены) или отмены настоящего стандарта соответствующее уведомление будет опубликовано в ближайшем выпуске ежемесячного информационного указателя «Национальные стандарты». Соответствующая информация, уведомление и тексты размещаются также в информационной системе общего пользования — на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет (gost.ru)

Введение

Настоящий стандарт входит в комплекс стандартов, направленных на достижение целей, связанных с предотвращением появления и/или устранением уязвимостей программ, и содержит систематизированный перечень угроз безопасности информации, которые могут возникать при разработке программного обеспечения.

Информация, представленная в настоящем стандарте, может быть использована разработчиком программного обеспечения при выборе (определении) и реализации мер по разработке безопасного программного обеспечения, установленных ГОСТ Р 56939.

1 Область применения

Настоящий стандарт устанавливает перечень и содержит описание угроз безопасности информации, которые могут возникать при разработке программного обеспечения. Настоящий стандарт предназначен для разработчиков и производителей программного обеспечения и применяется совместно с ГОСТ Р 56939. Информация о мерах по разработке безопасного (защищенного) программного обеспечения, установленных ГОСТ Р 56939, реализация которых способствует нейтрализации угроз безопасности информации при разработке программного обеспечения, приведена в приложении А.

Перечень и описание угроз безопасности информации, представленные в настоящем стандарте, могут использоваться для определения угроз безопасности, актуальных для среды разработки программного обеспечения и разрабатываемого программного обеспечения. В некоторых случаях, например, в процессе разработки программ для ЭВМ с открытым кодом или при использовании программ для ЭВМ с открытым кодом в составе разрабатываемого ПО разработчик может принять осознанное решение об отсутствии необходимости сохранения конфиденциальности определенных компонентов ПО, что соответствующим образом может отразиться на результатах идентификации и оценки угроз безопасности информации: угрозы нарушения конфиденциальности информации, содержащейся в указанных компонентах ПО будут являться неактуальными.

2 Нормативные ссылки

В настоящем стандарте использованы нормативные ссылки на следующие стандарты:

ГОСТ 19781 Обеспечение систем обработки информации программное. Термины и определения

ГОСТ Р 50922 Защита информации. Основные термины и определения

ГОСТ Р 51275 Защита информации. Объект информатизации. Факторы, воздействующие на информацию. Общие положения

ГОСТ Р 54593 Информационные технологии. Свободное программное обеспечение. Общие положения

ГОСТ Р 56939 Защита информации. Разработка безопасного программного обеспечения. Общие требования

ГОСТ Р ИСО 10007 Менеджмент организации. Руководящие указания по управлению конфигурацией

ГОСТ Р ИСО/МЭК 12207 Информационная технология. Системная и программная инженерия. Процессы жизненного цикла программных средств

ГОСТ Р ИСО/МЭК 27000 Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Общий обзор и терминология

ГОСТ Р ИСО/МЭК 27001-2006 Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования

Примечание — При пользовании настоящим стандартом целесообразно проверить действие ссылочных стандартов в информационной системе общего пользования — на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет или по ежегодному информационному указателю «Национальные стандарты», который опубликован по состоянию на 1 января текущего года, и по выпускам ежемесячного информационного указателя «Национальные стандарты» за текущий год. Если заменен ссылочный стандарт, на который дана недатированная ссылка, то рекомендуется использовать действующую версию этого стандарта с учетом всех внесенных в данную версию изменений. Если заменен ссылочный стандарт, на который дана датированная ссылка, то рекомендуется использовать версию этого стандарта с указанным выше годом утверждения (принятия). Если после утверждения настоящего стандарта в ссылочный стандарт, на который дана датированная ссылка, внесено изменение, затрагивающее положение, на которое дана ссылка, то это положение рекомендуется применять без учета данного изменения. Если ссылочный стандарт отменен без замены, то положение, в котором дана ссылка на него, рекомендуется применять в части, не затрагивающей эту ссылку.

3 Термины и определения

В настоящем стандарте применены термины по ГОСТ Р ИСО/МЭК 27000, ГОСТ Р ИСО 10007, ГОСТ 19781, ГОСТ Р 50922, ГОСТ Р 51275, ГОСТ Р 54593, ГОСТ Р 56939, а также следующие термины с соответствующими определениями:

3.1 инструментальное средство: Программа, используемая как средство разработки, тестирования, анализа, производства или модификации других программ или документов на них.

3.2 исходный код программы: Программа в текстовом виде на каком-либо языке программирования.

3.3 среда разработки программного обеспечения: Среда, в которой осуществляется разработка программного обеспечения.

4 Общие положения

4.1 При реализации требований ГОСТ Р 56939 разработчиком безопасного программного обеспечения (ПО) должен быть определен перечень мер, подлежащих реализации при его разработке в целях предотвращения появления и устранения уязвимостей программ в процессах их жизненного цикла. Выбор и уточнение мер по разработке безопасного ПО должен основываться на результатах проводимого разработчиком ПО анализа угроз безопасности информации, в результате которого должны быть определены актуальные для среды разработки ПО угрозы безопасности информации. Угрозы безопасности информации при разработке ПО, представленные в настоящем стандарте, могут являться основой для проведения анализа угроз безопасности информации конкретной среды разработки ПО.

4.2 Перечень угроз безопасности информации, приведенный в настоящем стандарте, является специфичным для процессов жизненного цикла ПО, в ходе которых в ПО могут быть внедрены уязвимости программы или нарушена конфиденциальность информации, потенциально способствующей выявлению недостатков ПО и уязвимостей программы. Угрозы безопасности информации, приведенные в настоящем стандарте, являются антропогенными. В настоящем стандарте не рассматриваются угрозы безопасности информации, связанные со стихийными бедствиями, природными явлениями и утечкой информации по техническим каналам.

4.3 Перечень угроз безопасности информации не является исчерпывающим и может быть дополнен и (или) уточнен в процессе идентификации угроз безопасности информации для конкретной среды разработки ПО.

4.4 В качестве источников угроз безопасности информации при разработке ПО могут выступать:

— лица (нарушители), осуществляющие преднамеренные или непреднамеренные действия, направленные на внедрение в ПО уязвимостей программы или нарушение конфиденциальности информации, потенциально способствующей выявлению недостатков ПО и уязвимостей программы;

— инструментальные средства, применяемые при разработке ПО, алгоритм работы которых может стать причиной внедрения в ПО уязвимостей программы.

Примечание — К инструментальным средствам относятся, например, трансляторы, компиляторы, прикладные программы, используемые для проектирования и документирования, редакторы исходного кода программ, отладчики, интегрированные среды разработки.

Непреднамеренные угрозы безопасности информации при разработке ПО возникают из-за неосторожности или неквалифицированных действий работников разработчика ПО и связаны с недостаточной осведомленностью работников в области защиты информации и разработки безопасного ПО.

4.5 С учетом возможностей по доступу к среде разработки ПО нарушителей в настоящем стандарте подразделяют на два типа:

— внешние нарушители — лица, не имеющие доступа к среде разработки ПО и реализующие угрозы безопасности информации из выделенных (ведомственных, корпоративных) сетей связи, внешних сетей связи общего пользования;

— внутренние нарушители — лица, имеющие постоянный или разовый доступ к среде разработки ПО.

Внутренние нарушители могут реализовывать угрозы безопасности информации при разработке ПО путем:

— влияния на процессы жизненного цикла ПО;

— осуществления преднамеренных или непреднамеренных действий в отношении отдельных объектов среды разработки ПО, в том числе элементов конфигурации, выполняя санкционированный доступ;

— осуществления преднамеренных действий в отношении отдельных объектов среды разработки ПО, в том числе элементов конфигурации, выполняя несанкционированный доступ.

Внешние нарушители могут реализовывать угрозы безопасности информации при разработке ПО путем удаленного доступа (из внешних сетей связи общего пользования) к объектам среды разработки ПО, в том числе элементам конфигурации, выполняя несанкционированный доступ. Внешние нарушители для повышения своих возможностей по доступу к объектам среды разработки ПО могут вступать в сговор с внутренними нарушителями.

5 Угрозы безопасности информации при разработке программного обеспечения

Номенклатура угроз безопасности информации при разработке ПО, представленная в данном разделе, приведена применительно к процессам жизненного цикла ПО, установленных ГОСТ Р ИСО/МЭК 12207.

5.1 Угрозы безопасности информации при выполнении анализа требований к программному обеспечению

5.1.1 Угроза появления уязвимостей программы вследствие ошибок, допущенных при задании требований по безопасности, предъявляемых к создаваемому программному обеспечению

Данная угроза заключается в преднамеренном или непреднамеренном задании требований по безопасности к создаваемому ПО, содержащих ошибки, которые при условии их необнаружения или неисправления могут стать причиной появления уязвимостей программы. Реализация угрозы может быть связана:

— с преднамеренными действиями нарушителя;

— с принятием разработчиком ПО осознанного решения о неисправлении обнаруженных в требованиях по безопасности ошибок в силу различных причин, например, для сокращения времени разработки программы;

— некачественной или неполной проработкой перечня требований;

— неисправлением обнаруженных ошибок вследствие неосторожных или неквалифицированных действий, неточностями, допущенными в формулировках требований;

— неучетом при формировании требований к разрабатываемому ПО всех применимых источников, например: законов, нормативных правовых актов, отраслевых стандартов, требований пользователя, сценариев применения ПО, актуальных угроз безопасности информации.

Уязвимости программы, появившиеся из-за ошибок в требованиях по безопасности, в дальнейшем могут быть использованы с целью выполнения компьютерных атак на информационные системы пользователей, применяющих ПО.

Реализация данной угрозы внутренним нарушителем может быть осуществлена путем влияния на формирование требований по безопасности в процессе их задания или внесения изменений в любые объекты среды разработки ПО, в том числе в элементы конфигурации, создаваемые или используемые при определении этих требований. Изменения могут вноситься путем санкционированного или несанкционированного доступа к объектам среды разработки ПО.

Примечание — В качестве примеров объектов среды разработки ПО можно привести: документы, разрабатываемые по требованиям ГОСТ Р 56939 (техническое задание, задание по безопасности), постановки задач, иные документы, в том числе электронные, создаваемые или используемые при определении требований по безопасности. При выполнении анализа данной угрозы безопасности информации следует учитывать, что объекты среды разработки ПО, создаваемые или используемые при определении требований по безопасности, могут не являться элементами конфигурации, контролируемыми системой управления конфигурацией ПО.

Внешний нарушитель может реализовывать данную угрозу путем удаленного доступа (из внешних сетей связи общего пользования и (или) сетей международного информационного обмена) к объектам среды разработки ПО, создаваемым или используемым при определении требований по безопасности. Реализация данной угрозы внешним нарушителем возможна при условии подключения среды разработки ПО к внешним сетям связи общего пользования и (или) сетям международного информационного обмена.

Примечание — В качестве примеров ошибок в требованиях по безопасности можно привести: ошибки при задании требований к ролям пользователей (отсутствие необходимых ролей, превышение необходимых привилегий и полномочий ролей), отсутствие требования аутентификации для выполнения критичных операций, отсутствие требований по использованию сертифицированных средств криптографической защиты информации.

5.1.2 Угроза выявления уязвимостей программы вследствие раскрытия информации о требованиях по безопасности, предъявляемых к создаваемому программному обеспечению

Данная угроза заключается в преднамеренном или непреднамеренном (из-за неосторожности или неквалифицированных действий работников разработчика ПО) раскрытии информации о требованиях по безопасности, предъявляемых к создаваемому ПО. Нарушение конфиденциальности данной информации может способствовать выявлению недостатков ПО и уязвимостей программы, которые в дальнейшем могут быть использованы с целью выполнения компьютерных атак на информационные системы пользователей, применяющих ПО.

Реализация данной угрозы внутренним нарушителем может быть осуществлена путем раскрытия информации, содержащейся в объектах среды разработки ПО, в том числе в элементах конфигурации, создаваемых или используемых разработчиком ПО при определении требований по безопасности, вследствие санкционированного или несанкционированного доступа к указанным объектам.

Угроза обусловлена:

— недостатками в реализованных разработчиком ПО мерах контроля доступа, применяемых к объектам среды разработки ПО и направленных на ограничение круга лиц, имеющих доступ к критичной информации, и операций, которые могут быть выполнены с объектами среды разработки (например, вывод информации с использованием носителей информации или каналов передачи данных);

— недостаточной осведомленностью работников разработчика ПО в области обеспечения конфиденциальности информации.

5.2 Угрозы безопасности информации при выполнении проектирования архитектуры программы

5.2.1 Угроза появления уязвимостей программы вследствие ошибок, допущенных при создании проекта архитектуры программы

Данная угроза заключается в преднамеренном или непреднамеренном создании проекта архитектуры программы (логическая структура программы, в которой идентифицированы компоненты, их интерфейсы и концепция взаимодействия между ними), содержащего ошибки (недостатки), которые при условии их необнаружения или неисправления могут стать причиной появления уязвимостей программы. Реализация угрозы может быть связана:

— с преднамеренными действиями нарушителя;

— с принятием разработчиком ПО осознанного решения о неисправлении обнаруженных в проекте архитектуры программы ошибок в силу различных причин, например для сокращения времени разработки программы;

— с неверной интерпретацией требований по безопасности, предъявляемых к создаваемому ПО, при создании проекта архитектуры программы, неучетом при создании проекта архитектуры программы типовых сценариев компьютерных атак и угроз безопасности информации, неисправлением обнаруженных в проекте архитектуры программы ошибок вследствие случайных неверных или неквалифицированных действий.

Уязвимости программы, появившиеся из-за ошибок в проекте архитектуры программы, в дальнейшем могут быть использованы с целью выполнения компьютерных атак на информационные системы пользователей, применяющих ПО.

Реализация данной угрозы внутренним нарушителем может быть осуществлена путем влияния на формирование проекта архитектуры программы, в том числе на моделирование угроз безопасности информации, которые могут возникнуть вследствие применения ПО, или внесения изменений в любые объекты среды разработки ПО, в том числе в элементы конфигурации, создаваемые или используемые при проектировании архитектуры программы. Изменения могут быть внесены путем санкционированного или несанкционированного доступа к объектам среды разработки ПО.

Примечание — В качестве примеров объектов среды разработки можно привести: документы, разрабатываемые по требованиям ГОСТ Р 56939 (результаты моделирования угроз безопасности информации, проект архитектуры программы), постановки задач, иные документы, в том числе электронные, создаваемые или используемые при проектировании архитектуры программы. При выполнении анализа данной угрозы безопасности информации следует учитывать, что объекты среды разработки ПО, создаваемые или используемые при проектировании архитектуры программы, могут не являться элементами конфигурации, контролируемыми системой управления конфигурацией ПО.

Внешний нарушитель может реализовывать данную угрозу путем удаленного доступа (из внешних сетей связи общего пользования и (или) сетей международного информационного обмена) к объектам среды разработки ПО, создаваемым или используемым при проектировании архитектуры программы. Реализация данной угрозы внешним нарушителем возможна при условии подключения среды разработки ПО к внешним сетям связи общего пользования и (или) сетям международного информационного обмена.

Угроза обусловлена недостатками в реализованных разработчиком ПО мерах контроля доступа и контроля целостности, применяемых к объектам среды разработки ПО, и мерах по разработке безопасного ПО, в частности: отсутствием мер, связанных с моделированием угроз безопасности информации, которые могут возникнуть вследствие применения ПО, неполным или некачественным моделированием угроз безопасности информации, неучетом результатов моделирования угроз безопасности информации при уточнении проекта архитектуры программы, недостатками в мерах, связанных с управлением конфигурацией ПО, обучением работников разработчика ПО в области разработки безопасного ПО и проведением систематического поиска уязвимостей программы.

Примечание — В качестве примеров ошибок в проекте архитектуры программы можно привести: отсутствие защиты данных, передаваемых между компонентами программы, от раскрытия или модификации, отсутствие проверки входных данных, получаемых из недоверенного источника и передаваемых интерфейсу программы или интерфейсу компонента программы, отсутствие регистрации событий, критичных с точки зрения защиты информации.

5.2.2 Угроза выявления уязвимостей программы вследствие раскрытия информации о проекте архитектуры программы

Данная угроза заключается в преднамеренном или непреднамеренном (из-за неосторожности или неквалифицированных действий работников разработчика ПО) раскрытии информации, связанной с проектом архитектуры программы. Нарушение конфиденциальности данной информации может способствовать выявлению недостатков ПО и уязвимостей программы, которые в дальнейшем могут быть использованы с целью выполнения компьютерных атак на информационные системы пользователей, применяющих ПО.

Реализация данной угрозы внутренним нарушителем может быть осуществлена путем раскрытия информации, содержащейся в объектах среды разработки ПО, в том в числе элементах конфигурации, создаваемых или используемых разработчиком ПО при проектировании архитектуры программы, вследствие санкционированного или несанкционированного доступа к указанным объектам.

Внешний нарушитель может реализовывать данную угрозу путем удаленного доступа (из внешних сетей связи общего пользования и (или) сетей международного информационного обмена) к объектам среды разработки ПО, создаваемым или используемым при проектировании архитектуры программы. Реализация данной угрозы внешним нарушителем возможна при условии подключения среды разработки ПО к внешним сетям связи общего пользования и (или) сетям международного информационного обмена.

Угроза обусловлена:

5.3 Угрозы безопасности информации при выполнении конструирования и комплексирования программного обеспечения

5.3.1 Угроза внедрения уязвимостей программы в исходный код программы в ходе его разработки

Данная угроза заключается в преднамеренном или непреднамеренном внедрении в исходный код программы ошибок (недостатков), которые при условии их необнаружения или неисправления могут стать причиной появления уязвимостей программы. Реализация угрозы может быть связана:

— с преднамеренными действиями нарушителя;

— с принятием разработчиком ПО осознанного решения о неисправлении обнаруженных в исходном коде программы ошибок в силу различных причин, например для сокращения времени разработки программы;

— с ошибками, внесенными в исходный код программы случайным образом либо вследствие неквалифицированных действий работников, например в случае игнорирования работником правил и рекомендаций, связанных с использованием известных уязвимых конструкций в исходном коде программы.

Уязвимости программы, появившиеся из-за ошибок в исходном коде программы, в дальнейшем могут быть использованы с целью выполнения компьютерных атак на информационные системы пользователей, применяющих ПО.

Реализация данной угрозы внутренним нарушителем может быть осуществлена путем внесения изменений в исходный код программы. Изменения могут быть внесены путем санкционированного или несанкционированного доступа к исходному коду программы.

Внешний нарушитель может реализовывать данную угрозу путем удаленного доступа (из внешних сетей связи общего пользования и (или) сетей международного информационного обмена) к исходному коду программы. Реализация данной угрозы внешним нарушителем возможна при условии подключения среды разработки ПО к внешним сетям связи общего пользования и (или) сетям международного информационного обмена.

Угроза обусловлена недостатками в реализованных разработчиком ПО мерах контроля доступа и контроля целостности, применяемых к объектам среды разработки ПО, и мерах по разработке безопасного ПО, в частности: некачественным или неполным проведением статического анализа или экспертизы исходного кода программы, неучетом при создании программы проекта архитектуры программы и/или порядка оформления исходного кода программы, недостатками в мерах, связанных с управлением конфигурацией ПО, обучением работников разработчика ПО в области разработки безопасного ПО и проведением систематического поиска уязвимостей программы.

Примечание — В качестве примеров преднамеренных ошибок (недостатков) в исходном коде программы, которые могут стать причиной появления уязвимостей программы, можно привести: задание в исходном коде программы аутентификационных данных, внедрение программных закладок. В качестве примеров непреднамеренных ошибок (недостатков) в исходном коде программы, которые могут стать причиной появления уязвимостей программы, можно привести: недостатки, связанные с неконтролируемой форматной строкой, недостатки, связанные с переполнением буфера памяти, недостатки, связанные с неполнотой проверкой вводимых (входных) данных.

5.3.2 Угроза внедрения уязвимостей программы путем использования заимствованных у сторонних разработчиков программного обеспечения уязвимых компонентов

Данная угроза заключается в преднамеренном или непреднамеренном внедрении в разрабатываемую программу заимствованных у сторонних разработчиков ПО компонентов (программные модули, исходный код), содержащих уязвимости. Уязвимости программы, появившиеся из-за применения уязвимых компонентов, в дальнейшем могут быть использованы с целью выполнения компьютерных атак на информационные системы пользователей, применяющих ПО.

Реализация данной угрозы внутренним нарушителем может быть осуществлена путем использования при разработке программных модулей или исходного кода программ сторонних разработчиков, содержащих уязвимости, а также внесения изменений в программные модули или исходный код программ сторонних разработчиков ПО, используемые при разработке программы в среде разработки ПО или в процессе их передачи из среды разработки стороннего разработчика ПО.

Внешний нарушитель может реализовывать данную угрозу путем удаленного доступа (из внешних сетей связи общего пользования и (или) сетей международного информационного обмена) к программным модулям или исходному коду программ сторонних разработчиков ПО, используемым при разработке программы. Реализация данной угрозы внешним нарушителем возможна при условии подключения среды разработки ПО к внешним сетям связи общего пользования и (или) сетям международного информационного обмена.

Угроза обусловлена недостатками в реализованных разработчиком ПО мерах контроля доступа и контроля целостности, применяемых к объектам среды разработки ПО, и мерах по разработке безопасного ПО, в частности: некачественным или неполным анализом уязвимостей в компонентах, заимствованных у сторонних разработчиков ПО, недостатками в мерах, связанных с управлением конфигурацией ПО, обучением работников разработчика ПО в области разработки безопасного ПО и проведением систематического поиска уязвимостей программы.

5.3.3 Угроза внедрения уязвимостей программы из-за неверного использования инструментальных средств при разработке программного обеспечения

Данная угроза заключается в непреднамеренном внесении в программу недостатков из-за ошибок, допущенных при использовании инструментальных средств разработки ПО, или преднамеренной модификации инструментальных средств и объектов среды разработки ПО, содержащих информацию о применяемых при создании программы параметрах инструментальных средств, которые при условии их необнаружения или неисправления могут стать причиной появления уязвимостей программы. Использование в процессе разработки программы модифицированных инструментальных средств, содержащих программные закладки, или неверной информации, связанной с параметрами инструментальных средств, может привести к внедрению в программу уязвимостей. Уязвимости программы, появившиеся из-за ошибок при использовании инструментальных средств или использования модифицированных инструментальных средств или их неверных настроек, в дальнейшем могут быть использованы с целью выполнения компьютерных атак на информационные системы пользователей, применяющих ПО.

Реализация данной угрозы внутренним нарушителем может осуществляться путем:

— использования инструментальных средств способами, не соответствующими порядку их эксплуатации (например, из-за использования ошибочной настройки), вследствие использования инструментальных средств, применение которых не предусмотрено при разработке ПО, или путем внесения изменений в любые объекты среды разработки ПО, содержащие применяемые при создании программы параметры инструментальных средств;

— модификации или замены инструментальных средств или внесения изменений в любые объекты среды разработки ПО, содержащие информацию о применяемых при создании программы параметрах инструментальных средств.

Изменения могут быть внесены путем санкционированного или несанкционированного доступа к указанным объектам или инструментальным средствам.

Внешний нарушитель может реализовывать данную угрозу путем удаленного доступа (из внешних сетей связи общего пользования и (или) сетей международного информационного обмена) к инструментальным средствам или объектам среды разработки ПО, содержащим информацию о применяемых при создании программы параметрах инструментальных средств. Реализация данной угрозы внешним нарушителем возможна при условии подключения среды разработки ПО к внешним сетям связи общего пользования и (или) сетям международного информационного обмена.

Угроза обусловлена недостатками в реализованных разработчиком ПО мерах контроля доступа и контроля целостности, применяемых к объектам среды разработки ПО, и мерах по разработке безопасного ПО, в частности: некачественной или неполной идентификацией инструментальных средств разработки ПО и их параметров, недостатками в мерах, связанных с управлением конфигурацией ПО, обучением работников разработчика ПО в области разработки безопасного ПО и проведением систематического поиска уязвимостей программы.

Примечание — К инструментальным средствам относятся, например, трансляторы, компиляторы, редакторы исходного кода программ, отладчики, интегрированные среды разработки.

5.3.4 Угроза появления уязвимостей программы вследствие ошибок, допущенных в эксплуатационных документах в ходе осуществления их разработки и хранения

Данная угроза заключается в преднамеренном или непреднамеренном внесении ошибок в эксплуатационные документы, которые при условии их необнаружения или неисправления могут стать причиной появления уязвимостей программы, связанных с определением ее конфигурации (параметров настройки) и (или) с определением конфигурации ее среды функционирования. Реализация угрозы может быть связана:

— с принятием разработчиком ПО осознанного решения о неисправлении обнаруженных в эксплуатационных документах ошибок в силу различных причин, например, для сокращения времени разработки программы;

— с некорректным, неточным или неполным изложением описания конфигурации (параметров настройки) программы и (или) ее среды функционирования, либо неисправлением обнаруженных ошибок в данных описаниях, вследствие случайных неверных действий или неквалифицированных действий.

Уязвимости программы, связанные с определением ее конфигурации (параметров настройки) и (или) конфигурации ее среды функционирования, в дальнейшем могут быть использованы с целью выполнения компьютерных атак на информационные системы пользователей, применяющих ПО.

Реализация данной угрозы внутренним нарушителем может быть осуществлена путем влияния на формирование описаний конфигурации (параметров настройки) программы и (или) ее среды функционирования в процессе разработки эксплуатационных документов или внесения изменений в любые объекты среды разработки ПО, создаваемые или используемые при разработке эксплуатационных документов. Изменения могут быть внесены путем санкционированного или несанкционированного доступа к объектам среды разработки ПО.

Примечание — В качестве примеров объектов среды разработки можно привести: документы, разрабатываемые по требованиям ГОСТ Р 56939 (например, описание применения, руководство оператора), постановки задач, иные документы, в том числе электронные, создаваемые или используемые при разработке эксплуатационных документов. При выполнении анализа данной угрозы безопасности информации следует учитывать, что объекты среды разработки ПО, создаваемые или используемые при разработке эксплуатационных документов, могут не являться элементами конфигурации, контролируемыми системой управления конфигурацией ПО.

Внешний нарушитель может реализовывать данную угрозу путем удаленного доступа (из внешних сетей связи общего пользования и (или) сетей международного информационного обмена) к объектам среды разработки ПО, создаваемым или используемым при разработке эксплуатационных документов. Реализация данной угрозы внешним нарушителем возможна при условии подключения среды разработки ПО к внешним сетям связи общего пользования и (или) сетям международного информационного обмена.

Угроза обусловлена недостатками в реализованных разработчиком ПО мерах контроля доступа и контроля целостности, применяемых к объектам среды разработки ПО, и мерах по разработке безопасного ПО, в частности: в мерах, связанных с управлением конфигурацией ПО, определением в эксплуатационных документах конфигурации (параметров настройки) программы или ее среды функционирования, обучением работников разработчика ПО в области разработки безопасного ПО и проведением систематического поиска уязвимостей программы.

Примечание — В качестве примеров ошибок, которые могут стать причиной появления уязвимостей программы, связанных с определением ее конфигурации (параметров настройки) и (или) с определением конфигурации ее среды функционирования можно привести: ошибки в инструкциях по первоначальной настройке программы (например, отсутствие требования к смене пароля администратора, который был задан разработчиком программы), ошибки в инструкциях по безопасному конфигурированию программы в процессе эксплуатации (например, отсутствие требований о запрете использования словарных паролей), ошибки в инструкциях по безопасному конфигурированию среды функционирования программы (например, отсутствие требования к обязательному применению актуальных обновлений ПО среды функционирования).

5.3.5 Угроза выявления уязвимостей программы вследствие раскрытия исходного кода программы

Данная угроза заключается в преднамеренном или непреднамеренном раскрытии исходного кода программы. Нарушение конфиденциальности данной информации может способствовать выявлению недостатков ПО и уязвимостей программы, которые в дальнейшем могут быть использованы с целью выполнения компьютерных атак на информационные системы пользователей, применяющих ПО.

Реализация данной угрозы внутренним нарушителем может быть осуществлена путем раскрытия исходного кода программы вследствие санкционированного или несанкционированного доступа.

Внешний нарушитель может реализовывать данную угрозу путем удаленного доступа (из внешних сетей связи общего пользования и (или) сетей международного информационного обмена) к исходному коду программы. Реализация данной угрозы внешним нарушителем возможна при условии подключения среды разработки ПО к внешним сетям связи общего пользования и (или) сетям международного информационного обмена.

Угроза обусловлена:

5.4 Угрозы безопасности информации при выполнении квалификационного тестирования программного обеспечения

5.4.1 Угроза появления уязвимостей вследствие изменения тестовой документации с целью сокрытия уязвимостей программы

Данная угроза заключается в преднамеренном или непреднамеренном изменении тестовой документации (планы тестирования, описание выполняемых тестов и инструментальных средств, используемых для тестирования программы, фактические результаты тестирования, перечень выявленных при тестировании ПО ошибок ПО и уязвимостей программы), которое может привести к сокрытию информации об уязвимостях программы. Использование модифицированных планов тестирования, описаний выполняемых тестов и описаний ожидаемых результатов тестирования может стать причиной того, что уязвимости программы, внесенные при выполнении анализа требований, проектирования архитектуры программы или конструирования и комплексирования ПО, не будут обнаружены при выполнении квалификационного тестирования ПО. Модификация фактических результатов тестирования или перечня выявленных при тестировании ПО ошибок ПО и уязвимостей программы может стать причиной того, что уязвимости программы, выявленные при тестировании, не будут исправлены. Реализация угрозы может быть связана с принятием разработчиком ПО осознанного решения о невыполнении некоторых тестовых процедур или неисправлении обнаруженных ошибок или уязвимостей программы в силу различных причин, например, для сокращения времени разработки программы. Уязвимости программы, которые не были обнаружены и (или) исправлены при выполнении тестирования ПО, в дальнейшем могут быть использованы с целью выполнения компьютерных атак на информационные системы пользователей, применяющих ПО.

Реализация данной угрозы внутренним нарушителем может быть осуществлена путем влияния на формирование тестовой документации или внесения изменений в любые объекты среды разработки ПО, в том числе в элементы конфигурации, создаваемые или используемые при выполнении тестирования ПО. Изменения могут быть внесены путем санкционированного или несанкционированного доступа к объектам среды разработки ПО.

Внешний нарушитель может реализовывать данную угрозу путем удаленного доступа (из внешних сетей связи общего пользования и (или) сетей международного информационного обмена) к объектам среды разработки ПО, создаваемым или используемым при выполнении тестирования ПО. Реализация данной угрозы внешним нарушителем возможна при условии подключения среды разработки ПО к внешним сетям связи общего пользования и (или) сетям международного информационного обмена.

Угроза обусловлена недостатками в реализованных разработчиком ПО мерах контроля доступа и контроля целостности, применяемых к объектам среды разработки ПО, и мерах по разработке безопасного ПО, связанных с управлением конфигурацией ПО и обучением работников разработчика ПО в области разработки безопасного ПО.

5.4.2 Угроза выявления уязвимостей вследствие раскрытия информации о тестировании программного обеспечения

Данная угроза заключается в преднамеренном или непреднамеренном раскрытии информации, связанной с тестированием ПО (планы тестирования, описание выполняемых тестов и инструментальных средств, используемых для тестирования программы, фактические результаты тестирования, перечень выявленных при тестировании ПО уязвимостей программы и ошибок ПО). Нарушение конфиденциальности данной информации может способствовать выявлению недостатков ПО и уязвимостей программы, которые в дальнейшем могут быть использованы с целью выполнения компьютерных атак на информационные системы пользователей, применяющих ПО.

Реализация данной угрозы внутренним нарушителем может быть осуществлена путем раскрытия информации, содержащейся в объектах среды разработки ПО, в том числе в элементах конфигурации, создаваемых или используемых разработчиком ПО при выполнении тестирования ПО, вследствие санкционированного или несанкционированного доступа к указанным объектам.

Внешний нарушитель может реализовывать данную угрозу путем удаленного доступа (из внешних сетей связи общего пользования и (или) сетей международного информационного обмена) к объектам среды разработки ПО, создаваемым или используемым при выполнении тестирования ПО. Реализация данной угрозы внешним нарушителем возможна при условии подключения среды разработки ПО к внешним сетям связи общего пользования и (или) сетям международного информационного обмена.

Угроза обусловлена:

5.4.3 Угроза появления уязвимостей программы вследствие совершения ошибок при выполнении тестирования программного обеспечения

Данная угроза заключается в непреднамеренном совершении ошибок при выполнении тестирования ПО. Совершаемые ошибки могут носить случайный характер или быть связаны с неверным выбором стратегий тестирования, недостаточным покрытием тестовыми процедурами проверяемых требований, неточным описанием сценариев тестовых процедур, начальных условий и ожидаемых результатов тестирования, совершением ошибок в процессе выполнения тестирования (воспроизведение начальных условий, реализация тестовых сценариев, использование инструментальных средств способами, не соответствующими порядку их эксплуатации, использование инструментальных средств, применение которых не предусмотрено при тестировании, документирование данного процесса), ошибочной модификацией фактических результатов тестирования ПО или перечня выявленных при тестировании ПО уязвимостей программы. Уязвимости программы, которые не были обнаружены и (или) исправлены из-за ошибок при выполнении тестирования ПО, в дальнейшем могут быть использованы с целью выполнения компьютерных атак на информационные системы пользователей, применяющих ПО.

Реализация данной угрозы внутренним нарушителем может быть осуществлена путем влияния на формирование планов тестирования, ожидаемых или фактических результатов тестирования, перечня выявленных при тестировании ПО уязвимостей программы или внесения изменений в любые объекты среды разработки ПО, в том числе в элементы конфигурации, создаваемые или используемые при выполнении тестирования ПО. При этом изменения вносят путем санкционированного доступа к объектам среды разработки ПО.

Угроза обусловлена недостатками в реализованных разработчиком ПО мерах по разработке безопасного ПО, в частности: некачественным или неполным проведением функционального тестирования программы, тестирования на проникновение, динамического анализа кода программы, фаззинг-тестирования программы, недостатками в мерах, связанных с управлением конфигурацией ПО и обучением работников разработчика ПО в области разработки безопасного ПО.

5.5 Угрозы безопасности информации при выполнении инсталляции программы и поддержки приемки программного обеспечения

5.5.1 Угроза внедрения уязвимостей в программу в процессе ее поставки

Данная угроза заключается в преднамеренной несанкционированной модификации программы (дистрибутива программы) в ходе осуществления ее передачи пользователю или непреднамеренной поставке пользователю программы (дистрибутива программы), содержащей известные разработчику ПО уязвимости программы.

Передача пользователю программы, содержащей уязвимости, может быть связана:

— с неверным или неточным описанием процесса поставки ПО пользователю, случайными неверными или неквалифицированными действиями работников при осуществлении передачи ПО пользователю;

— с внедрением в передаваемую программу уязвимостей, а также подмену передаваемой программы на программу, содержащую уязвимости.

Уязвимости программы в дальнейшем могут быть использованы с целью выполнения компьютерных атак на информационные системы пользователей, применяющих ПО.

Реализация данной угрозы внутренним нарушителем может быть осуществлена путем внесения изменений в программу (дистрибутив программы), которая передается пользователю. Изменения могут быть внесены путем санкционированного или несанкционированного доступа к программе при ее передаче пользователю.

Внешний нарушитель может реализовывать данную угрозу путем удаленного доступа (из внешних сетей связи общего пользования и (или) сетей международного информационного обмена) к программе (дистрибутиву программы) при ее поставке пользователю. Реализация данной угрозы внешним нарушителем возможна при условии использования разработчиком ПО для поставки ПО внешних сетей связи общего пользования и (или) сетей международного информационного обмена.

Угроза обусловлена недостатками в реализованных разработчиком ПО и (или) организацией, привлекаемой разработчиком ПО для поставок ПО (поставщиком ПО), механизмах контроля доступа и контроля целостности, применяемых к передаваемой программе, и мерах по разработке безопасного ПО, в частности: недостатками в процедуре передачи программы пользователю и (или) поставщику ПО, недостатками в мерах, связанных с управлением конфигурацией ПО и обучением работников разработчика ПО в области разработки безопасного ПО.

Примечание — При выполнении анализа данной угрозы безопасности информации в качестве пользователя передаваемой программы (дистрибутива программы) следует рассматривать в том числе сторонние организации, выполняющие интеграцию программы в комплексное изделие информационных технологий, поставляемое пользователям.

5.5.2 Угроза появления уязвимостей программы вследствие модификации эксплуатационных документов при их передаче пользователю

Данная угроза заключается в преднамеренной или непреднамеренной модификации эксплуатационных документов, включая их подмену, с целью внесения в них сведений (некорректных или неточных данных), которые, в случае их необнаружения, могут стать причиной появления уязвимостей программы, связанных с определением ее конфигурации (параметров настройки) и (или) с определением конфигурации ее среды функционирования. Передача пользователю эксплуатационных документов, содержащих ошибки, может быть связана с неверным или неточным описанием процесса поставки ПО пользователю, случайными неверными или неквалифицированными действиями работников при осуществлении передачи ПО пользователю. Уязвимости программы, связанные с определением ее конфигурации (параметров настройки) и (или) конфигурации ее среды функционирования, в дальнейшем могут быть использованы с целью выполнения компьютерных атак на информационные системы пользователей, применяющих ПО.

Реализация данной угрозы внутренним нарушителем может быть осуществлена путем внесения изменений в эксплуатационные документы, которые передают пользователю. Изменения могут быть внесены путем санкционированного или несанкционированного доступа к эксплуатационным документам.

Внешний нарушитель может реализовывать данную угрозу путем удаленного доступа (из внешних сетей связи общего пользования и (или) сетей международного информационного обмена) к эксплуатационным документам при их поставке пользователю. Реализация данной угрозы внешним нарушителем возможна при условии использования разработчиком ПО для поставки ПО внешних сетей связи общего пользования и (или) сетей международного информационного обмена.

Угроза обусловлена недостатками в реализованных разработчиком ПО и (или) организацией, привлекаемой разработчиком ПО для поставок ПО (поставщиком ПО), механизмах контроля доступа и контроля целостности, применяемых к передаваемым эксплуатационным документам, и мерах по разработке безопасного ПО, связанных с возможностью обнаружения пользователем несанкционированных изменений в полученных эксплуатационных документах, управлением конфигурацией ПО и обучением работников разработчика ПО в области разработки безопасного ПО.

5.5.3 Угроза внедрения уязвимостей в обновления программного обеспечения

Данная угроза заключается в получении пользователем обновлений ПО, содержащих внедренные уязвимости программы или уязвимости программы, появившиеся в результате ошибок или неквалифицированных действий работников разработчика ПО при определении и реализации процедуры обновления ПО. Уязвимости программы могут быть внедрены в обновления компонентов ПО собственной разработки, а также в обновления компонентов ПО, которые заимствуют у сторонних разработчиков ПО. Внедрение уязвимостей программы может быть осуществлено путем модификации (включая подмену) обновлений ПО при их передаче пользователю из среды разработки ПО, при их передаче пользователю из среды разработки стороннего разработчика ПО и при их передаче разработчику из среды разработки стороннего разработчика ПО. Уязвимости программы могут быть внедрены в обновления заимствованных у сторонних разработчиков ПО компонентов путем их модификации в среде разработки стороннего разработчика ПО. Внедренные уязвимости программы в дальнейшем могут быть использованы нарушителем с целью выполнения компьютерных атак на информационную систему пользователя.

Реализация данной угрозы внутренним нарушителем может быть осуществлена путем внесения изменений в обновления компонентов ПО, а также в обновления компонентов ПО, которые заимствуют у сторонних разработчиков ПО. Изменения могут быть внесены путем санкционированного или несанкционированного доступа к обновлениям ПО.

Внешний нарушитель может реализовывать данную угрозу путем удаленного доступа (из внешних сетей связи общего пользования и (или) сетей международного информационного обмена) к обновлениям компонентов ПО, а также к обновлениям компонентов ПО, которые заимствуют у сторонних разработчиков ПО. Реализация данной угрозы внешним нарушителем возможна при условии подключения среды разработки ПО к внешним сетям связи общего пользования и (или) сетям международного информационного обмена.

Угроза обусловлена:

— недостатками в реализованных разработчиком ПО и (или) организацией, привлекаемой разработчиком ПО для поставок ПО (поставщиком ПО), механизмах контроля доступа и контроля целостности, применяемых к обновлениям компонентов ПО собственной разработки, а также к обновлениям компонентов ПО, которые заимствуют у сторонних разработчиков;

— недостатками в процедуре передачи обновлений программы пользователю и (или) поставщику ПО, связанными с отсутствием возможности у пользователя и (или) поставщика ПО обнаружения несанкционированных изменений в полученных обновлениях компонентов ПО собственной разработки, а также в обновлениях компонентов ПО, которые заимствуют у сторонних разработчиков;

— недостатками реализованных разработчиком ПО мерах по разработке безопасного ПО, связанных с проведением систематического поиска уязвимостей программы и обучением работников разработчика ПО в области разработки безопасного ПО.

Примечание — При выполнении анализа данной угрозы безопасности информации в качестве пользователя передаваемого обновления программы следует рассматривать в том числе сторонние организации, выполняющие интеграцию программы в комплексное изделие информационных технологий, поставляемое пользователям.

5.6 Угрозы безопасности информации при решении проблем в программном обеспечении в процессе эксплуатации

5.6.1 Угроза неисправления обнаруженных уязвимостей программы

Данная угроза заключается в том, что обнаруженные ошибки ПО, которые могут стать причиной появления уязвимостей, не исправляют или исправляют несвоевременно вследствие неквалифицированных действий работников разработчика при определении и реализации процедур отслеживания и исправления обнаруженных ошибок ПО.

Обнаруженные ошибки могут быть не исправлены (или несвоевременно исправлены) из-за отсутствия информации, необходимой для устранения, либо по причине того, что информация, необходимая для устранения ошибки, является некорректной. Разработчик в силу различных причин может принять осознанное решение о неисправлении отдельных обнаруженных ошибок, являющихся причиной появления уязвимостей программы, либо отказаться от реализации процедур отслеживания и исправления обнаруженных ошибок программы, принимая последствия негативного влияния такого решения на безопасность разрабатываемого ПО. Причиной отсутствия или некорректности информации, необходимой для устранения ошибок, может являться преднамеренная модификация объектов среды разработки ПО, создаваемых и используемых для определения и реализации процедур отслеживания и исправления обнаруженных ошибок программы. Модификации могут подвергаться как объекты, содержащие информацию, необходимую для устранения ошибок (например, специальная база данных или документально оформленный перечень обнаруженных ошибок), так и инструментальные средства, используемые для реализации процедур отслеживания и устранения обнаруженных ошибок программы, и/или объекты среды разработки ПО, содержащие необходимую информацию о процедурах отслеживания и устранения ошибок ПО или информацию об использовании и параметрах используемых инструментальных средств. Ошибки программы, которые не были исправлены, могут стать причиной уязвимостей передаваемой пользователю программы. Уязвимости программы в дальнейшем могут быть использованы с целью выполнения компьютерных атак на информационные системы пользователей, применяющих ПО.

Реализация данной угрозы внутренним нарушителем может быть осуществлена путем влияния на определение и реализацию процедур отслеживания и исправления обнаруженных ошибок программы или внесения изменений в любые объекты среды разработки ПО, создаваемые или используемые при отслеживании и исправлении обнаруженных ошибок программы, путем осуществления санкционированного или несанкционированного доступа.

Внешний нарушитель может реализовывать данную угрозу путем удаленного доступа (из внешних сетей связи общего пользования и (или) сетей международного информационного обмена) к объектам среды разработки ПО, создаваемым или используемым разработчиком ПО при отслеживании и исправлении обнаруженных ошибок программы. Реализация данной угрозы внешним нарушителем возможна при условии подключения среды разработки ПО к внешним сетям связи общего пользования и (или) сетям международного информационного обмена.

Угроза обусловлена недостатками в реализованных разработчиком ПО механизмах контроля доступа к объектам среды разработки ПО и контроля целостности объектов среды разработки ПО, а также мерах по разработке безопасного ПО, в частности: отсутствием мер, связанных с решением проблем в ПО в процессе эксплуатации, недостатками в процедурах, связанных с отслеживанием и исправлением обнаруженных ошибок ПО и обучением работников разработчика ПО в области разработки безопасного ПО.

5.6.2 Угроза выявления уязвимостей вследствие раскрытия информации об ошибках программного обеспечения и уязвимостях программы

Данная угроза заключается в преднамеренном или непреднамеренном (из-за неосторожности или неквалифицированных действий работников разработчика ПО) раскрытии информации об обнаруженных ошибках ПО и уязвимостях программы. Нарушение конфиденциальности данной информации может способствовать выявлению уязвимостей программы, которые в дальнейшем могут быть использованы с целью выполнения компьютерных атак на информационные системы пользователей, применяющих ПО.

Примечание — В качестве примеров источников информации можно привести: документально оформленный перечень обнаруженных ошибок ПО и уязвимостей программы, базу данных с информацией об обнаруженных ошибках ПО и уязвимостях программы.

Реализация данной угрозы внутренним нарушителем может быть осуществлена путем раскрытия информации, содержащейся в объектах среды разработки ПО, в том числе в элементах конфигурации, создаваемых или используемых разработчиком ПО при реализации процедур отслеживания и исправления ошибок, вследствие санкционированного или несанкционированного доступа к указанным объектам.

Внешний нарушитель может реализовывать данную угрозу путем удаленного доступа (из внешних сетей связи общего пользования и (или) сетей международного информационного обмена) к объектам среды разработки ПО, создаваемым или используемым при реализации процедур отслеживания и исправления ошибок. Реализация данной угрозы внешним нарушителем возможна при условии подключения среды разработки ПО к внешним сетям связи общего пользования и (или) сетям международного информационного обмена.

Угроза обусловлена:

5.7 Угрозы безопасности информации в процессе менеджмента документацией и конфигурацией программы

В 5.7.1 представлена угроза безопасности информации, связанная с использованием системы управления конфигурацией ПО. Для процесса менеджмента документацией и конфигурацией программы актуальны иные угрозы безопасности информации, связанные с доступом к элементам конфигурации. Эти угрозы безопасности информации представлены в соответствующих пунктах настоящего стандарта с учетом типа элемента конфигурации следующим образом:

— угроза безопасности информации для элементов конфигурации, связанная с определением требований по безопасности, предъявляемых к создаваемому ПО: 5.1.1;

— угроза безопасности информации для элементов конфигурации, связанная с проектированием архитектуры программы: 5.2.1;

— угроза безопасности информации, связанная с исходным кодом программы: 5.3.1;

— угроза безопасности информации, связанная с программными модулями сторонних разработчиков ПО: 5.3.2;

— угроза безопасности информации, связанная с инструментальными средствами: 5.3.3;

— угрозы безопасности информации, связанные с эксплуатационными документами: 5.3.4, 5.5.2;

— угроза безопасности информации, связанная с тестовой документацией: 5.4.1;

— угроза безопасности информации, связанная с программой (дистрибутивом программы) и обновлениями ПО: 5.5.1;

— угроза безопасности информации, связанная с отслеживанием и исправлением обнаруженных ошибок ПО и уязвимостей программы: 5.6.1.

5.7.1 Угроза внедрения в программу уязвимостей при управлении конфигурацией программного обеспечения

Данная угроза заключается в непреднамеренном совершении ошибок работниками разработчика ПО при управлении конфигурацией ПО или преднамеренной модификации объектов среды разработки ПО, создаваемых или используемых разработчиком ПО при управлении конфигурацией ПО, что может стать причиной появления уязвимостей программы в случае необнаружения модификаций. Совершаемые ошибки могут носить случайный характер или быть связаны с неверным планированием управления конфигурацией ПО, неверной идентификацией элементов конфигурации или эксплуатацией системы управления конфигурацией ПО способами, не соответствующими порядку ее использования, вследствие случайных неверных или неквалифицированных действий работников разработчика ПО. Совершенные ошибки, при условии их необнаружения или неисправления, могут стать причиной передачи пользователю программы, содержащей известные уязвимости, или эксплуатационных документов, не соответствующих передаваемой программе, что может стать причиной неверной конфигурации программы и (или) ее среды функционирования. Уязвимости программы, появившиеся из-за использования модифицированных объектов среды разработки ПО, создаваемых или используемых разработчиком ПО при управлении конфигурацией ПО, в дальнейшем могут быть использованы с целью выполнения компьютерных атак на информационные системы пользователей, применяющих ПО.

Примечание — В качестве примера можно привести внесение программных закладок в используемые для управления конфигурацией ПО инструментальные средства, которые будут внедрять уязвимости в создаваемую программу.

Реализация данной угрозы внутренним нарушителем может быть осуществлена путем влияния на процесс управления конфигурацией ПО или внесения изменений в любые объекты среды разработки ПО, создаваемые или используемые при управлении конфигурацией ПО, путем осуществления санкционированного или несанкционированного доступа.

Внешний нарушитель может реализовывать данную угрозу путем удаленного доступа (из внешних сетей связи общего пользования и (или) сетей международного информационного обмена) к объектам среды разработки ПО, создаваемым или используемым разработчиком ПО при управлении конфигурацией ПО. Реализация данной угрозы внешним нарушителем возможна при условии подключения среды разработки ПО к внешним сетям связи общего пользования и (или) сетям международного информационного обмена.

Угроза обусловлена недостатками в реализованных разработчиком ПО мерах контроля доступа и контроля целостности, применяемых к объектам среды разработки ПО, и мерах по разработке безопасного ПО, в частности: в мерах, связанных с управлением конфигурацией ПО, обучением работников разработчика ПО в области разработки безопасного ПО и проведением систематического поиска уязвимостей программы.

Примечание — В качестве примеров объектов среды разработки ПО можно привести: инструментальные средства, используемые для управления конфигурацией ПО, связанную с ними информацию, документы, описывающие использование системы управления конфигурацией ПО.

5.8 Угрозы безопасности информации в процессе менеджмента инфраструктурой среды разработки программного обеспечения

Для процесса менеджмента инфраструктурой среды разработки ПО актуальны угрозы безопасности информации, связанные с доступом к объектам среды разработки, в том числе элементам конфигурации. Эти угрозы безопасности информации представлены в соответствующих пунктах настоящего стандарта с учетом типа объекта среды разработки следующим образом:

— угрозы безопасности информации для элементов конфигурации, связанных с определением требований по безопасности, предъявляемых к создаваемому ПО: 5.1.1, 5.1.2;

— угрозы безопасности информации для элементов конфигурации, связанных с проектированием архитектуры программы: 5.2.1, 5.2.2;

— угрозы безопасности информации, связанные с исходным кодом программы: 5.3.1, 5.3.5;

— угроза безопасности информации, связанная с программными модулями сторонних разработчиков ПО: 5.3.2;

— угроза безопасности информации, связанная с инструментальными средствами: 5.3.3;

— угрозы безопасности информации, связанные с эксплуатационными документами: 5.3.4, 5.5.2;

— угрозы безопасности информации, связанные с тестовой документацией: 5.4.1, 5.4.2;

— угрозы безопасности информации, связанные с программой (дистрибутивом программы) и обновлениями ПО: 5.5.1, 5.5.3;

— угрозы безопасности информации, связанные с отслеживанием и исправлением обнаруженных ошибок ПО и уязвимостей программы: 5.6.1, 5.6.2;

— угрозы безопасности информации, связанные с инструментальными средствами и объектами среды разработки ПО, используемыми для управления конфигурацией ПО: 5.7.1.

При идентификации иных угроз безопасности информации, которые могут возникнуть в процессе менеджмента инфраструктурой среды разработки ПО, разработчик ПО должен руководствоваться положениями ГОСТ Р ИСО/МЭК 27001. При выполнении идентификации активов разработчику ПО следует рассматривать следующие объекты среды разработки ПО и элементы конфигурации:

— программа (дистрибутив программы);

— программные и эксплуатационные документы;

— исходный код программы;

— программные модули, в том числе модули сторонних разработчиков ПО;

— инструментальные средства и связанная с ними информация;

— информация, связанная с обновлениями ПО и устранениями уязвимостей программы;

— перечень выявленных уязвимостей программы.

5.9 Угрозы безопасности информации в процессе менеджмента людскими ресурсами

5.9.1 Угроза появления уязвимостей программы вследствие совершения разработчиком программного обеспечения ошибок при обучении своих работников в области разработки безопасного программного обеспечения

Данная угроза заключается в непреднамеренном совершении ошибок разработчиком ПО при обучении своих работников в области разработки безопасного ПО. Совершаемые ошибки могут носить случайный характер или быть связаны с отсутствием процесса обучения (повышения квалификации) работников, неверным планированием процесса обучения работников или отсутствием пересмотра программ обучения с учетом тенденций в области разработки безопасного ПО. Совершенные ошибки могут стать причиной низкой квалификации работников разработчика ПО в области разработки безопасного ПО. Уязвимости программы, появившиеся из-за низкой квалификации работников разработчика ПО, могут быть использованы с целью выполнения компьютерных атак на информационные системы пользователей, применяющих ПО.

Реализация данной угрозы внутренним нарушителем может быть осуществлена путем влияния на процесс обучения работников или внесения изменений в любые объекты среды разработки ПО, создаваемые или используемые при их обучении. Изменения при этом вносят путем санкционированного доступа к объектам среды разработки ПО.

Угроза обусловлена недостатками в реализованных разработчиком ПО мерах по разработке безопасного ПО, в частности некачественным обучением работников в области разработки безопасного ПО.

Приложение А

(справочное)

ИНФОРМАЦИЯ О МЕРАХ ПО РАЗРАБОТКЕ БЕЗОПАСНОГО ПРОГРАММНОГО

ОБЕСПЕЧЕНИЯ, УСТАНОВЛЕННЫХ ГОСТ Р 56939-2016, РЕАЛИЗАЦИЯ

КОТОРЫХ СПОСОБСТВУЕТ НЕЙТРАЛИЗАЦИИ УГРОЗ БЕЗОПАСНОСТИ

ИНФОРМАЦИИ ПРИ РАЗРАБОТКЕ ПРОГРАММНОГО ОБЕСПЕЧЕНИЯ

Таблица А.1

Соответствие между угрозами безопасности информации

при разработке ПО и мерами по разработке безопасного ПО,

установленными ГОСТ Р 56939-2016

Угроза безопасности информации при разработке ПО	Мера по разработке безопасного ПО согласно ГОСТ Р 56939-2016
5.1.1 Угроза появления уязвимостей программы вследствие ошибок, допущенных при задании требований по безопасности, предъявляемых к создаваемому программному обеспечению	Определение требований по безопасности, предъявляемых к разрабатываемому ПО (5.1.3.1); реализация и использование процедуры уникальной маркировки каждой версии ПО (5.7.3.1); использование системы управления конфигурацией ПО (5.7.3.2 — 5.7.3.4); защита от несанкционированного доступа к элементам конфигурации (5.8.3.1); резервное копирование элементов конфигурации (5.8.3.2); регистрация событий, связанных с фактами изменения элементов конфигурации (5.8.3.3); определение, документирование и соблюдение политики информационной безопасности (4.13); периодическое обучение работников (5.9.3.1); периодический анализ программы обучения работников (5.9.3.2)
5.1.2 Угроза выявления уязвимостей программы вследствие раскрытия информации о требованиях по безопасности, предъявляемых к создаваемому программному обеспечению	Определение, документирование и соблюдение политики информационной безопасности (4.13)
5.2.1 Угроза появления уязвимостей программы вследствие ошибок, допущенных при создании проекта архитектуры программы	Моделирование угроз безопасности информации (5.2.3.1); уточнение проекта архитектуры программы с учетом результатов моделирования угроз безопасности информации (5.2.3.2); реализация и использование процедуры уникальной маркировки каждой версии ПО (5.7.3.1); проведение систематического поиска уязвимостей программы (5.6.3.4, 5.6.3.5); использование системы управления конфигурацией ПО (5.7.3.2 — 5.7.3.4); защита от несанкционированного доступа к элементам конфигурации (5.8.3.1); резервное копирование элементов конфигурации (5.8.3.2); регистрация событий, связанных с фактами изменения элементов конфигурации (5.8.3.3); определение, документирование и соблюдение политики информационной (4.13); периодический анализ программы обучения работников (5.9.3.2);
5.2.2 Угроза выявления уязвимостей программы вследствие раскрытия информации о проекте архитектуры программы	Определение, документирование и соблюдение политики информационной безопасности (4.13)
5.3.1 Угроза внедрения уязвимостей в исходный код программы в ходе его разработки	Создание программы на основе уточненного проекта архитектуры программы (5.3.3.2); создание (выбор) и использование при создании программы порядка оформления исходного кода программы (5.3.3.3); статический анализ исходного кода программы (5.3.3.4), экспертиза исходного кода программы (5.3.3.5), проведение систематического поиска уязвимостей программы (5.6.3.4, 5.6.3.5); реализация и использование процедуры уникальной маркировки каждой версии ПО (5.7.3.1); использование системы управления конфигурацией ПО (5.7.3.2 — 5.7.3.4); защита от несанкционированного доступа к элементам конфигурации (5.8.3.1); резервное копирование элементов конфигурации (5.8.3.2); регистрация событий, связанных с фактами изменения элементов конфигурации (5.8.3.3); определение, документирование и соблюдение политики информационной безопасности (п. 4.13); периодическое обучение работников (5.9.3.1); периодический анализ программы обучения работников (5.9.3.2)
5.3.2 Угроза внедрения уязвимостей программы путем использования заимствованных у сторонних разработчиков программного обеспечения уязвимых компонентов	Статический анализ исходного кода программы (5.3.3.4); экспертиза исходного кода программы (5.3.3.5); проведение систематического поиска уязвимостей программы (5.6.3.4, 5.6.3.5); реализация и использование процедуры уникальной маркировки каждой версии ПО (5.7.3.1); использование системы управления конфигурацией ПО (5.7.3.2 — 5.7.3.4); защита от несанкционированного доступа к элементам конфигурации (5.8.3.1); резервное копирование элементов конфигурации (5.8.3.2); регистрация событий, связанных с фактами изменения элементов конфигурации (5.8.3.3); определение, документирование и соблюдение политики информационной безопасности (4.13); периодическое обучение работников (5.9.3.1); периодический анализ программы обучения работников (5.9.3.2)
5.3.3 Угроза внедрения уязвимостей программы из-за неверного использования инструментальных средств при разработке программного обеспечения	Проведение систематического поиска уязвимостей программы (5.6.3.4, 5.6.3.5); реализация и использование процедуры уникальной маркировки каждой версии ПО (5.7.3.1); использование системы управления конфигурацией ПО (5.7.3.2 — 5.7.3.4); защита от несанкционированного доступа к элементам конфигурации (5.8.3.1); резервное копирование элементов конфигурации (5.8.3.2); регистрация событий, связанных с фактами изменения элементов конфигурации (5.8.3.3); определение, документирование и соблюдение политики информационной безопасности (4.13); периодическое обучение работников (5.9.3.1); периодический анализ программы обучения работников (5.9.3.2)
5.3.4 Угроза появления уязвимостей программы вследствие ошибок, допущенных в эксплуатационных документах в ходе осуществления их разработки и хранения	Поставка пользователю эксплуатационных документов (5.5.3.2); проведение систематического поиска уязвимостей программы (5.6.3.4, 5.6.3.5); реализация и использование процедуры уникальной маркировки каждой версии ПО (5.7.3.1); использование системы управления конфигурацией ПО (5.7.3.2 — 5.7.3.4); — защита от несанкционированного доступа к элементам конфигурации (5.8.3.1); — резервное копирование элементов конфигурации (5.8.3.2); — регистрация событий, связанных с фактами изменения элементов конфигурации (5.8.3.3). Определение, документирование и соблюдение политики информационной безопасности (4.13); периодическое обучение работников (5.9.3.1); периодический анализ программы обучения работников (5.9.3.2)
5.3.5 Угроза выявления уязвимостей программы вследствие раскрытия исходного кода программы	Определение, документирование и соблюдение политики информационной безопасности (4.13)
5.4.1 Угроза появления уязвимостей вследствие изменения тестовой документации с целью сокрытия уязвимостей программы	Реализация и использование процедуры уникальной маркировки каждой версии ПО (5.7.3.1); использование системы управления конфигурацией ПО (5.7.3.2 — 5.7.3.4); защита от несанкционированного доступа к элементам конфигурации (5.8.3.1); резервное копирование элементов конфигурации (5.8.3.2); регистрация событий, связанных с фактами изменения элементов конфигурации (5.8.3.3); определение, документирование и соблюдение политики информационной безопасности (4.13); периодическое обучение работников (5.9.3.1); периодический анализ программы обучения работников (5.9.3.2)
5.4.2 Угроза выявления уязвимостей вследствие раскрытия информации о тестировании программного обеспечения	Определение, документирование и соблюдение политики информационной безопасности (4.13)
5.4.3 Угроза появления уязвимостей программы вследствие совершения ошибок при выполнении тестирования программного обеспечения	Функциональное тестирование программы (5.4.3.1), тестирование на проникновение (5.4.3.2), динамический анализ кода программы (5.4.3.3), фаззинг-тестирование программы (5.4.3.4). Реализация и использование процедуры уникальной маркировки каждой версии ПО (5.7.3.1); использование системы управления конфигурацией ПО (5.7.3.2 — 5.7.3.4); периодическое обучение работников (5.9.3.1); периодический анализ программы обучения работников (5.9.3.2)
5.5.1 Угроза внедрения уязвимостей в программу в процессе ее поставки	Обеспечение защиты ПО от угроз безопасности информации, связанных с нарушением целостности, в процессе его передачи пользователю (5.5.3.1); реализация и использование процедуры уникальной маркировки каждой версии ПО (5.7.3.1); использование системы управления конфигурацией ПО (5.7.3.2 — 5.7.3.4); защита от несанкционированного доступа к элементам конфигурации (5.8.3.1); резервное копирование элементов конфигурации (5.8.3.2); регистрация событий, связанных с фактами изменения элементов конфигурации (5.8.3.3); — определение, документирование и соблюдение политики информационной безопасности (4.13)
5.5.2 Угроза появления уязвимостей программы вследствие модификации эксплуатационных документов при их передаче пользователю	Обеспечение защиты ПО от угроз безопасности информации, связанных с нарушением целостности, в процессе его передачи пользователю (5.5.3.1); реализация и использование процедуры уникальной маркировки каждой версии ПО (5.7.3.1); использование системы управления конфигурацией ПО (5.7.3.2 — 5.7.3.4); защита от несанкционированного доступа к элементам конфигурации (5.8.3.1); резервное копирование элементов конфигурации (5.8.3.2); регистрация событий, связанных с фактами изменения элементов конфигурации (5.8.3.3); определение, документирование и соблюдение политики информационной безопасности (4.13); периодическое обучение работников (5.9.3.1); периодический анализ программы обучения работников (5.9.3.2)
5.5.3 Угроза внедрения уязвимостей в обновления программного обеспечения	Обеспечение защиты ПО от угроз безопасности информации, связанных с нарушением целостности, в процессе его передачи пользователю (5.5.3.1); проведение систематического поиска уязвимостей программы (5.6.3.4, 5.6.3.5); реализация и использование процедуры уникальной маркировки каждой версии ПО (5.7.3.1); использование системы управления конфигурацией ПО (5.7.3.2 — 5.7.3.4); защита от несанкционированного доступа к элементам конфигурации (5.8.3.1); резервное копирование элементов конфигурации (5.8.3.2); регистрация событий, связанных с фактами изменения элементов конфигурации (5.8.3.3); определение, документирование и соблюдение политики информационной безопасности (4.13); периодическое обучение работников (5.9.3.1); периодический анализ программы обучения работников (5.9.3.2)
5.6.1 Угроза неисправления обнаруженных уязвимостей программы	Реализация и использование процедуры уникальной маркировки каждой версии ПО (5.7.3.1); использование системы управления конфигурацией ПО (5.7.3.2 — 5.7.3.4); защита от несанкционированного доступа к элементам конфигурации (5.8.3.1); резервное копирование элементов конфигурации (5.8.3.2); регистрация событий, связанных с фактами изменения элементов конфигурации (5.8.3.3); определение, документирование и соблюдение политики информационной безопасности (4.13); периодическое обучение работников (5.9.3.1); периодический анализ программы обучения работников (5.9.3.2)
5.6.2 Угроза выявления уязвимостей вследствие раскрытия информации об ошибках программного обеспечения и уязвимостях программы	Определение, документирование и соблюдение политики информационной безопасности (4.13)
5.7.1 Угроза внедрения в программу уязвимостей при управлении конфигурацией программного обеспечения	Проведение систематического поиска уязвимостей программы (5.6.3.4, 5.6.3.5); реализация и использование процедуры уникальной маркировки каждой версии ПО (5.7.3.1); использование системы управления конфигурацией ПО (5.7.3.2 — 5.7.3.4); защита от несанкционированного доступа к элементам конфигурации (5.8.3.1); резервное копирование элементов конфигурации (5.8.3.2); регистрация событий, связанных с фактами изменения элементов конфигурации (5.8.3.3); определение, документирование и соблюдение политики информационной безопасности (4.13); периодическое обучение работников (5.9.3.1); периодический анализ программы обучения работников (5.9.3.2)
5.9.1 Угроза появления уязвимостей программы вследствие совершения разработчиком программного обеспечения ошибок при обучении своих работников в области разработки безопасного программного обеспечения	Периодическое обучение работников (5.9.3.1); периодический анализ программы обучения работников (5.9.3.2)

Источник

1. Основные угрозы доступности информации:
непреднамеренные ошибки пользователей
злонамеренное изменение данных
хакерская атака
отказ программного и аппаратно обеспечения
разрушение или повреждение помещений
перехват данных

2. Суть компрометации информации
внесение изменений в базу данных, в результате чего пользователь лишается доступа к информации
несанкционированный доступ к передаваемой информации по каналам связи и уничтожения содержания передаваемых сообщений
внесение несанкционированных изменений в базу данных, в результате чего потребитель вынужден либо отказаться от неё, либо предпринимать дополнительные усилия для выявления изменений и восстановления истинных сведений

3. Информационная безопасность автоматизированной системы – это состояние автоматизированной системы, при котором она, …
с одной стороны, способна противостоять воздействию внешних и внутренних информационных угроз, а с другой — ее наличие и функционирование не создает информационных угроз для элементов самой системы и внешней среды
с одной стороны, способна противостоять воздействию внешних и внутренних информационных угроз, а с другой – затраты на её функционирование ниже, чем предполагаемый ущерб от утечки защищаемой информации
способна противостоять только информационным угрозам, как внешним так и внутренним
способна противостоять только внешним информационным угрозам

4. Методы повышения достоверности входных данных
Замена процесса ввода значения процессом выбора значения из предлагаемого множества
Отказ от использования данных
Проведение комплекса регламентных работ
Использование вместо ввода значения его считывание с машиночитаемого носителя
Введение избыточности в документ первоисточник
Многократный ввод данных и сличение введенных значений

5. Принципиальное отличие межсетевых экранов (МЭ) от систем обнаружения атак (СОВ)
МЭ были разработаны для активной или пассивной защиты, а СОВ – для активного или пассивного обнаружения
МЭ были разработаны для активного или пассивного обнаружения, а СОВ – для активной или пассивной защиты
МЭ работают только на сетевом уровне, а СОВ – еще и на физическом

6. Сервисы безопасности:
идентификация и аутентификация
шифрование
инверсия паролей
контроль целостности
регулирование конфликтов
экранирование
обеспечение безопасного восстановления
кэширование записей

7. Под угрозой удаленного администрирования в компьютерной сети понимается угроза …
несанкционированного управления удаленным компьютером
внедрения агрессивного программного кода в рамках активных объектов Web-страниц
перехвата или подмены данных на путях транспортировки
вмешательства в личную жизнь
поставки неприемлемого содержания

8. Причины возникновения ошибки в данных
Погрешность измерений
Ошибка при записи результатов измерений в промежуточный документ
Неверная интерпретация данных
Ошибки при переносе данных с промежуточного документа в компьютер
Использование недопустимых методов анализа данных
Неустранимые причины природного характера
Преднамеренное искажение данных
Ошибки при идентификации объекта или субъекта хозяйственной деятельности

9. К формам защиты информации не относится…
аналитическая
правовая
организационно-техническая
страховая

10. Наиболее эффективное средство для защиты от сетевых атак
использование сетевых экранов или «firewall»
использование антивирусных программ
посещение только «надёжных» Интернет-узлов
использование только сертифицированных программ-броузеров при доступе к сети Интернет

11. Информация, составляющая государственную тайну не может иметь гриф…
«для служебного пользования»
«секретно»
«совершенно секретно»
«особой важности»

12. Разделы современной кpиптогpафии:
Симметричные криптосистемы
Криптосистемы с открытым ключом
Криптосистемы с дублированием защиты
Системы электронной подписи
Управление паролями
Управление передачей данных
Управление ключами

13. Документ, определивший важнейшие сервисы безопасности и предложивший метод классификации информационных систем по требованиям безопасности
рекомендации X.800
Оранжевая книга
Закону «Об информации, информационных технологиях и о защите информации»

14. Утечка информации – это …
несанкционированный процесс переноса информации от источника к злоумышленнику
процесс раскрытия секретной информации
процесс уничтожения информации
непреднамеренная утрата носителя информации

15. Основные угрозы конфиденциальности информации:
маскарад
карнавал
переадресовка
перехват данных
блокирование
злоупотребления полномочиями

16. Элементы знака охраны авторского права:
буквы С в окружности или круглых скобках
буквы P в окружности или круглых скобках
наименования (имени) правообладателя
наименование охраняемого объекта
года первого выпуска программы

17. Защита информации обеспечивается применением антивирусных средств
да
нет
не всегда

18. Средства защиты объектов файловой системы основаны на…
определении прав пользователя на операции с файлами и каталогами
задании атрибутов файлов и каталогов, независящих от прав пользователей

19. Вид угрозы действия, направленного на несанкционированное использование информационных ресурсов, не оказывающего при этом влияния на её функционирование — … угроза
активная
пассивная

20. Преднамеренная угроза безопасности информации
кража
наводнение
повреждение кабеля, по которому идет передача, в связи с погодными условиями
ошибка разработчика

21. Концепция системы защиты от информационного оружия не должна включать…
средства нанесения контратаки с помощью информационного оружия
механизмы защиты пользователей от различных типов и уровней угроз для национальной информационной инфраструктуры
признаки, сигнализирующие о возможном нападении
процедуры оценки уровня и особенностей атаки против национальной инфраструктуры в целом и отдельных пользователей

22. В соответствии с нормами российского законодательства защита информации представляет собой принятие правовых, организационных и технических мер, направленных на …
обеспечение защиты информации от неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении такой информации
реализацию права на доступ к информации»
соблюдение норм международного права в сфере информационной безопасности
выявление нарушителей и привлечение их к ответственности
соблюдение конфиденциальности информации ограниченного доступа
разработку методов и усовершенствование средств информационной безопасности

Помощь студентам
Онлайн тесты
Информатика
Информатика. Тема 8. Основы информационной безопасности и защиты информации. Тест для самопроверки

Обновлено: 26.03.2021
3 834

22 вопросa

Выполним любые типы работ

Дипломные работы
Курсовые работы
Рефераты
Контрольные работы
Отчет по практике
Эссе

Узнай бесплатно стоимость работы

Мы поможем сдать на отлично и без пересдач

Контрольная работа
Курсовая работа
Дипломная работа
Реферат
Онлайн-помощь

Нужна помощь с тестами?

Оставляй заявку — и мы пройдем все тесты за тебя!

Для
уничтожения («выкусывания») вируса
после его распознавания используются… 1)
программы-фаги 2) программы-ревизоры 3)
программы-фильтры 4) программы-вакцины
Правильный
ответ – 1.

Вредоносная
программа ________________ проникает в компьютер
под видом другой программы (известной
и безвредной) и имеет при этом скрытые
деструктивные функции. 1)
«троянский конь» 2) стэлс-вирус 3)
макровирус 4) «компьютерный червь»
Правильный
ответ – 1.

Суть
компрометации информации 1)
внесение изменений в базу данных, в
результате чего пользователь лишается
доступа к информации 2) несанкционированный
доступ к передаваемой информации по
каналам связи и уничтожения содержания
передаваемых сообщений 3) внесение
несанкционированных изменений в базу
данных, в результате чего потребитель
вынужден либо отказаться от неё, либо
предпринимать дополнительные усилия
для выявления изменений и восстановления
истинных сведений
Правильный ответ
– 3.

Основные
угрозы доступности информации 1)
непреднамеренные ошибки пользователей
2) злонамеренное изменение данных 3)
хакерская атака 4) отказ программного
и аппаратно обеспечения 5) разрушение
или повреждение помещений 6) перехват
данных
Правильные ответы – 1,4,5.

Концепция
системы защиты от информационного
оружия не должна включать… 1)
признаки, сигнализирующие о возможном
нападении 2) процедуры оценки уровня и
особенностей атаки против национальной
инфраструктуры в целом и отдельных
пользователей 3) средства нанесения
контратаки с помощью информационного
оружия 4) механизмы защиты пользователей
от различных типов и уровней угроз для
национальной информационной
инфраструктуры
Правильный
ответ – 3.

Под
утечкой информации понимается… 1)
несанкционированный процесс переноса
информации от источника к злоумышленнику
2) процесс уничтожения информации 3)
непреднамеренная утрата носителя
информации 4) процесс раскрытия секретной
информации
Правильный ответ – 1.

При
задании электронного пароля необходимо
соблюдать ряд мер предосторожности, в
частности 1)
использовать слова-жаргонизмы, так как
их сложнее угадать взломщику 2) обязательно
записать пароль, чтобы его не забыть, и
хранить запись в надежном месте 3)
поменять пароль, если Вы по какой-либо
причине сообщили его Вашим родственникам
4) использовать один и тот же пароль для
различных целей, например для доступа
и к почтовому ящику, и к защищенному
диску, чтобы не запутаться
Правильный
ответ – 3.

Наиболее
эффективным средством контроля данных
в сети являются… 1)
системы архивации 2) антивирусные
программы 3) RAID-диски 4) пароли,
идентификационные карты и ключи
Правильный
ответ – 4.

Автоматическое
шифрование-расшифрование информации
при записи на носители обеспечивает
файловая система… 1)
DFS 2) FAT-64 3) NTFS 4) FAT-32
Правильный ответ –
3.

Троянской
программой является… 1)
программа, вредоносное действие которой
выражается в удалении и/или модификации
системных файлов компьютера 2) программа,
заражающая компьютер независимо от
действий пользователя 3) программа,
проникающая на компьютер пользователя
через Интернет 4) вредоносная программа,
которая сама не размножается, а выдает
себя за что-то полезное, тем самым пытаясь
побудить пользователя переписать и
установить на свой компьютер программу
самостоятельно
Правильный ответ –
4.

Причины
возникновения ошибок в данных: 1)
погрешность измерений 2) ошибка при
записи результатов измерений в
промежуточный документ 3) неверная
интерпретация данных 4) ошибки при
переносе данных с промежуточного
документа в компьютер 5) использование
недопустимых методов анализа данных
6) неустранимые причины природного
характера 7) преднамеренное искажение
данных ошибки при идентификации
объекта или субъекта хозяйственной
деятельности
Правильные ответы –
1,2,4,7,8.

Под
угрозой удаленного администрирования
в компьютерной сети понимается угроза
… 1)
несанкционированного управления
удаленным компьютером 2) внедрения
агрессивного программного кода в рамках
активных объектов Web-страниц 3) перехвата
или подмены данных на путях транспортировки
4) вмешательства в личную жизнь 5)
вмешательства в личную жизнь 6) поставки
неприемлемого содержания
Правильный
ответ – 1.

Сервисы
безопасности: 1)
идентификация и аутентификация 2)
шифрование 3) инверсия паролей 4) контроль
целостности 5) регулирование конфликтов
6) экранирование 7) обеспечение безопасного
восстановления кэширование
записей
Правильные
ответы – 1,2,4,6,7.

Принципиальное
отличие межсетевых экранов (МЭ) от систем
обнаружения атак (СОВ): 1)
МЭ были разработаны для активной или
пассивной защиты, а СОВ – для активного
или пассивного обнаружения 2) МЭ были
разработаны для активного или пассивного
обнаружения, а СОВ – для активной или
пассивной защиты 3) МЭ работают только
на сетевом уровне, а СОВ – еще и на
физическом
Правильный ответ – 1.

Информационная
безопасность автоматизированной системы
– это состояние автоматизированной
системы, при котором она, …1)
с одной стороны, способна противостоять
воздействию внешних и внутренних
информационных угроз, а с другой – ее
наличие и функционирование не создает
информационных угроз для элементов
самой системы и внешней среды 2) с одной
стороны, способна противостоять
воздействию внешних и внутренних
информационных угроз, а с другой –
затраты на её функционирование ниже,
чем предполагаемый ущерб от утечки
защищаемой информации 3) способна
противостоять только информационным
угрозам, как внешним так и внутренним
4) способна противостоять только внешним
информационным угрозам
Правильный
ответ – 1.

В
соответствии с нормами российского
законодательства защита информации
представляет собой принятие правовых,
организационных и технических мер,
направленных на … 1)
обеспечение защиты информации от
неправомерного доступа, уничтожения,
модифицирования, блокирования,
копирования, предоставления,
распространения, а также от иных
неправомерных действий в отношении
такой информации 2) реализацию права на
доступ к информации 3) соблюдение норм
международного права в сфере информационной
безопасности 4) выявление нарушителей
и привлечение их к ответственности 5)
соблюдение конфиденциальности информации
ограниченного доступа 6) разработку
методов и усовершенствование средств
информационной безопасности
Правильные
ответы – 1,2,5.

Вид
угрозы действия, направленного на
несанкционированное использование
информационных ресурсов, не оказывающего
при этом влияния на её функционирование
– … угроза 1)
активная 2) пассивная 3) секретная 4)
безразличная
Правильный ответ – 2.

Средства
защиты объектов файловой системы
основаны на… 1)
определении прав пользователя на
операции с файлами и каталогами 2) задании
атрибутов файлов и каталогов, независящих
от прав пользователей
Правильный
ответ – 1.

Элементы
знака охраны авторского права: 1)
буквы С в окружности или круглых скобках
2) буквы P в окружности или круглых скобках
3) наименования (имени) правообладателя
4) наименование охраняемого объекта 5)
года первого выпуска программы
Правильные
ответы – 1,3,5.

Документ,
определивший важнейшие сервисы
безопасности и предложивший метод
классификации информационных систем
по требованиям безопасности 1)
рекомендации X.800 2) оранжевая книга 3)
закон «Об информации, информационных
технологиях и о защите информации» 4)
ГОСТ 153.84 Т
Правильный ответ – 2.

Разделы
современной кpиптогpафии: 1)
симметричные криптосистемы 2) криптосистемы
с открытым ключом 3) криптосистемы с
дублированием защиты 4) управление
передачей данных
Правильные ответы
– 1, 2.

Информация,
составляющая государственную тайну не
может иметь гриф… 1)
«для служебного пользования» 2) «секретно»
3) «совершенно секретно» 4) «особой
важности»
Правильный ответ – 1.

Наиболее
эффективное средство для защиты от
сетевых атак 1)
использование сетевых экранов (firewall)
2) использование антивирусных программ
3) посещение только «надёжных»
интернет-узлов 4) использование только
сертифицированных программ-броузеров
при доступе к сети Интернет
Правильный
ответ – 1.

К
формам защиты информации не относится… 1)
аналитическая 2) правовая 3)
организационно-техническая 4)
страховая
Правильные ответы – 1,4.

Соседние файлы в предмете [НЕСОРТИРОВАННОЕ]

тест по дисциплине
Информационная безопасность.

1.
Основные угрозы доступности информации:

1)
непреднамеренные ошибки пользователей

2)
злонамеренное изменение данных

3)
хакерская атака

4)
отказ программного и аппаратно обеспечения

5)
разрушение или повреждение помещений

6)
перехват данных

2.
Суть компрометации информации.

1)
внесение изменений в базу данных, в результате чего пользователь лишается
доступа к информации

2)
несанкционированный доступ к передаваемой информации по каналам связи и
уничтожения содержания передаваемых сообщений

3)
внесение несанкционированных изменений в базу данных, в результате чего
потребитель вынужден либо отказаться от неё, либо предпринимать дополнительные
усилия для выявления изменений и восстановления истинных сведений

3.
Информационная безопасность автоматизированной системы – это состояние
автоматизированной системы, при котором она, …

1)
с одной стороны, способна противостоять воздействию внешних и внутренних
информационных угроз, а с другой — ее наличие и функционирование не создает
информационных угроз для элементов самой системы и внешней среды

2)
с одной стороны, способна противостоять воздействию внешних и внутренних
информационных угроз, а с другой – затраты на её функционирование ниже, чем предполагаемый
ущерб от утечки защищаемой информации

3)
способна противостоять только информационным угрозам, как внешним так и
внутренним

4)
способна противостоять только внешним информационным угрозам

4.
Методы повышения достоверности входных данных.

1)
Замена процесса ввода значения процессом выбора значения из предлагаемого
множества

2)
Отказ от использования данных

3)
Проведение комплекса регламентных работ

4)
Использование вместо ввода значения его считывание с машиночитаемого носителя

5)
Введение избыточности в документ первоисточник

6)
Многократный ввод данных и сличение введенных значений

5.
Принципиальное отличие межсетевых экранов (МЭ) от систем обнаружения атак
(СОВ).

1)
МЭ были разработаны для активной или пассивной защиты, а СОВ – для активного
или пассивного обнаружения

2)
МЭ были разработаны для активного или пассивного обнаружения, а СОВ – для
активной или пассивной защиты

3)
МЭ работают только на сетевом уровне, а СОВ – еще и на физическом

6.
Сервисы безопасности:

1)
идентификация и аутентификация

2)
шифрование

3)
инверсия паролей

4)
контроль целостности

5)
регулирование конфликтов

6)
экранирование

7)
обеспечение безопасного восстановления

кэширование записей

7.
Под угрозой удаленного администрирования в компьютерной сети понимается угроза
…

1)
несанкционированного управления удаленным компьютером

2)
внедрения агрессивного программного кода в рамках активных объектов Web-страниц

3)
перехвата или подмены данных на путях транспортировки

4)
вмешательства в личную жизнь

5)
поставки неприемлемого содержания

8.
Причины возникновения ошибки в данных.

1)
Погрешность измерений

2)
Ошибка при записи результатов измерений в промежуточный документ

3)
Неверная интерпретация данных

4)
Ошибки при переносе данных с промежуточного документа в компьютер

5)
Использование недопустимых методов анализа данных

6)
Неустранимые причины природного характера

7)
Преднамеренное искажение данных

Ошибки при идентификации объекта или субъекта хозяйственной деятельности

9.
К формам защиты информации не относится…

1)
аналитическая

2)
правовая

3)
организационно-техническая

4)
страховая

10.
Наиболее эффективное средство для защиты от сетевых атак.

1)
использование сетевых экранов или «firewall»

2)
использование антивирусных программ

3)
посещение только «надёжных» Интернет-узлов

4)
использование только сертифицированных программ-браузеров при доступе к сети
Интернет.

11.
Информация, составляющая государственную тайну не может иметь гриф…

1)
«для служебного пользования»

2)
«секретно»

3)
«совершенно секретно»

4)
«особой важности»

12.
Разделы современной кpиптогpафии:

1)
Симметричные криптосистемы

2)
Криптосистемы с открытым ключом

3)
Криптосистемы с дублированием защиты

4)
Системы электронной подписи

5)
Управление паролями

6)
Управление передачей данных

7)
Управление ключами

13.
Документ, определивший важнейшие сервисы безопасности и предложивший метод
классификации информационных систем по требованиям безопасности.

1)
рекомендации X.800

2)
Оранжевая книга

3)
Закону «Об информации, информационных технологиях и о защите
информации»

14.
Утечка информации – это …

1)
несанкционированный процесс переноса информации от источника к злоумышленнику

2)
процесс раскрытия секретной информации

3)
процесс уничтожения информации

4)
непреднамеренная утрата носителя информации

15.
Основные угрозы конфиденциальности информации

1)
маскарад

2)
карнавал

3)
переадресовка

4)
перехват данных

5)
блокирование

6)
злоупотребления полномочиями

16.
Элементы знака охраны авторского права:

1)
буквы С в окружности или круглых скобках

2)
буквы P в окружности или круглых скобках

3)
наименования (имени) правообладателя

4)
наименование охраняемого объекта

5)
года первого выпуска программы

17.
Защита информации обеспечивается применением антивирусных средств

1)
да

2)
нет

3)
не всегда

18.
Средства защиты объектов файловой системы основаны на…

1)
определении прав пользователя на операции с файлами и каталогами

2)
задании атрибутов файлов и каталогов, независящих от прав пользователей

19.
Вид угрозы действия, направленного на несанкционированное использование
информационных ресурсов, не оказывающего при этом влияния на её
функционирование — … угроза

1)
активная

2)
пассивная

20.
Преднамеренная угроза безопасности информации

1)
кража

2)
наводнение

3)
повреждение кабеля, по которому идет передача, в связи с погодными условиями

4)
ошибка разработчика

21.
Концепция системы защиты от информационного оружия не должна включать…

1)
средства нанесения контратаки с помощью информационного оружия

2)
механизмы защиты пользователей от различных типов и уровней угроз для
национальной информационной инфраструктуры

3)
признаки, сигнализирующие о возможном нападении

4)
процедуры оценки уровня и особенностей атаки против национальной инфраструктуры
в целом и отдельных пользователей

22.
В соответствии с нормами российского законодательства защита информации
представляет собой принятие правовых, организационных и технических мер,
направленных на …

1)
обеспечение защиты информации от неправомерного доступа, уничтожения,
модифицирования, блокирования, копирования, предоставления, распространения, а
также от иных неправомерных действий в отношении такой информации

2)
реализацию права на доступ к информации

3)
соблюдение норм международного права в сфере информационной безопасности

4)
выявление нарушителей и привлечение их к ответственности

5)
соблюдение конфиденциальности информации ограниченного доступа

6)
разработку методов и усовершенствование средств информационной безопасности

23.Компьютерные
вирусы — это:

1)
вредоносные программы, которые возникают в связи со сбоями в аппаратных
средствах компьютера

2)
программы, которые пишутся хакерами специально для нанесения ущерба
пользователям ПК

3)
программы, являющиеся следствием ошибок в операционной системе

4)
вирусы, сходные по природе с биологическими вирусами

24.
Что не относится к объектам информационной безопасности РФ?

1)
природные и энергетические ресурсы

2)
информационные системы различного класса и назначения, информационные
технологии

3)
система формирования общественного сознания

4)
права граждан, юридических лиц и государства на получение, распространение,
использование и защиту информации и интеллектуальной собственности.

25.
Какие действия в Уголовном кодексе РФ классифицируются как преступления в
компьютерной информационной сфере?

1)
неправомерный доступ к компьютерной информации

2)
создание, использование и распространение вредоносных программ для ЭВМ

3)
умышленное нарушение правил эксплуатации ЭВМ и их сетей

4)все
перечисленное выше

Угрозы доступности информации

Перечислим основные угрозы доступности информации.

Отказ пользователей. Под пользователями в данном случае
мы понимаем широкий круг персонала, работающего с системой: операторы,
программисты, администраторы и т.д.

Непреднамеренные ошибки. Непреднамеренная ошибка может
вызвать непосредственно порчу данных или средств доступа либо создать условия
для реализации другой угрозы, например вторжения злоумышленника.

Нежелание работать с информационной системой. Причиной
нежелания может, например, быть необходимость освоения новых возможностей
системы или несоответствие системы запросам пользователей.

Невозможность работать с системой. Причиной
невозможности работать с системой может быть как отсутствие соответствующей подготовки
персонала, так и отсутствие необходимой документации по системе.

Замечание

Принято всех пользователей
информационной системы делить на следующие категории:
— Аналитик.
— Системные программисты.
— Прикладные программисты.
— Администраторы.
— Конечные пользователи.

Внутренние отказы информационной системы. Основными
источниками внутренних отказов могут быть:

Случайное или умышленное отступление от правил
эксплуатации. Например, правила могут
предусматривать определенный набор параметров сервера (объем памяти, производительность
процессора, объем дискового пространства, версия операционной системы и т.п.),
на котором предполагается использовать ИС.

Выход системы из штатного режима эксплуатации в силу
случайных или преднамеренных действий пользователей.

Ошибки конфигурирования системы. В сложных системах
конфигурирование выполняется при установке и настройке системы. При
неправильной настройке могут возникнуть проблемы в эксплуатации.

Отказ программного обеспечения. Программное обеспечение
может содержать ошибки, в том числе и такие, которые могут привести к серьезным
повреждениям данных. Кроме этого преднамеренно может быть изменен алгоритм
программы. Таким образом, следует защищать
программное обеспечение информационной системы и от случайного
повреждения и от исправления непосредственно исполняемых модулей. Заметим, что
внесение нежелательных изменений в алгоритмы программного обеспечения может
произойти и на стадии разработки ИС, так что меры защиты должны осуществляться
на всех стадиях разработки системы.

Разрушение данных (возможно преднамеренное). На заре
компьютерной революции, когда не слишком заботились о безопасности данных, мне часто приходилось сталкиваться с
ситуацией, когда не совсем компетентный пользователь просто стирал важные (но
плохо защищенные) данные с диска. Лишний раз подчеркнем, что использование
технологии «клиент-сервер» предполагает расположение информационного хранилища
на сервере баз данных, что защищает данные от некомпетентных действия с файлами
обычных пользователей.

Внешние источники возможного нарушения доступа к
данным. Данные источники могут быть вызваны и злонамеренными действиями людей,
и стихийными бедствиями и авариями.

Отказ, повреждение или разрушение аппаратных средств
(носителей информации, компьютеров, каналов связи). При интенсивном использовании
отказ аппаратных средств случается совсем не редко и
меры безопасности должны учитывать такую возможность.

Нарушение условий работы (системы связи,
электропитание, отопление и т.п.). Отключение электричества – совсем недавно
это было серьезной проблемой функционирования компьютерных систем. Источники
бесперебойного питания должны защищать не только сами компьютеры, но все
устройства в сети.

Разрушение или повреждение помещений. Конечно такая
ситуация на первый взгляд кажется маловероятной, но это вполне вероятно в регионах, например, с сейсмической неустойчивостью.

Невозможность или отказ обслуживающего персонала
выполнять свои обязанности (стихийные бедствия, волнения, забастовка и т.п.).
Отказ персонала выполнять свои обязанности для некоторых систем может привести
к катастрофическим последствиям.

Сетевые атаки, вирусные программы и другое вредоносное
программное обеспечение. Сетевые атаки
последнее время стали сильнейшим фактором риска информационных систем,
работающих в Интернет.

Разрушение информации намеренными действиями человека
(диверсия). В данном случае речь идет о действиях людей, не являющихся
обслуживающим персоналом данной системы.

Рассмотрим основные средства защиты доступности
информации.

Правильная организация труда. Многие проблемы возникают благодаря не
совсем продуманному распределению обязанностей.

Подготовка и подбор кадров, в том числе и системных
администраторов, в задачу которых будет входить конфигурирование системы.

Тщательная и полная разработка информационной системы,
в том числе удовлетворяющего работников пользовательского интерфейса.

Тщательное тестирование информационной системы, в том
числе и на предмет критических ситуаций (при большой нагрузке, больших объемах
обрабатываемой информации и т.п.), и на предмет ввода заведомо неправильной
информации.

Резервное копирование данных, позволяющее в любой
момент восстановить поврежденные данные с минимальными потерями. Под резервным
копированием следует понимать не только непосредственное создание резервных копий,
но и такие механизмы как зеркалирование и
кластеризация (объединение нескольких СУБД в кластеры).

Наличие резервного оборудования, помещений, подготовка
персонала к действию на случай нештатных ситуаций.

Средства защиты каналов связи, например от воздействия
внешнего электромагнитного излучения.

Комплекс мер по защите от сетевых атак, вирусных и
других вредоносных программ. Защищая
систему от подобной опасности, следует помнить о рубежах защиты:

1-й рубеж. Защита от проникновения в систему вредоносных
программ.

2-й рубеж. Своевременное обнаружение проникновения вируса
и его ликвидация.

3-й рубеж. Ликвидация последствий проникновения в
систему вредоносных программ или сетевой атаки.

Межсетевое экранирование. Экранирование это способ фильтрации потоков информации
между двумя сетями (или двумя информационными системами). Экран может состоять
из последовательности фильтров, каждый из которых по специальному алгоритму
анализирует проходящие данные. Если пакет данных не удовлетворяет поставленным
условиям, то пакет может быть остановлен.

Наличие в системе протоколирования
всех действий, которые совершают пользователи (журналирование).
Кроме протоколирования для анализа накопленных данных используется аудит. Аудит это периодический или в
реальном времени анализ накопленных данных по активности пользователей. Аудит
может выявить нештатные ситуации и сигнализировать о них администраторам
системы. Под нештатными ситуациями понимается целый набор событий, которые
могут свидетельствовать о возможных угрозах системе (сетевые атаки, попытки
подобрать пароль и т.п.).

Источник

Помощь студентам
Онлайн тесты
Информатика
Информатика. Тема 8. Основы информационной безопасности и защиты информации. Тест для самопроверки

Обновлено: 26.03.2021
3 839

22 вопросa

Выполним любые типы работ

Дипломные работы
Курсовые работы
Рефераты
Контрольные работы
Отчет по практике
Эссе

Узнай бесплатно стоимость работы

Мы поможем сдать на отлично и без пересдач

Контрольная работа

от 1 дня
/

от 100 руб
Курсовая работа

от 5 дней
/

от 1800 руб
Дипломная работа

от 7 дней
/

от 7950 руб
Реферат

от 1 дня
/

от 700 руб
Онлайн-помощь

от 1 дня
/

от 300 руб

Нужна помощь с тестами?

Оставляй заявку — и мы пройдем все тесты за тебя!

Источник

Основы защиты информации и сведений, составляющих государственную тайну. Методы защиты информации.

Определение угроз безопасности информации ограниченного доступа

Виды защищаемой информации

Реализация угрозы безопасности информации

Классификация угроз безопасности информации

Уязвимости информационных систем

Классификация технических каналов утечки по источнику информации

Идентификация угроз безопасности информации

Определение актуальных угроз безопасности информации

Оценка вероятности реализации угрозы безопасности информации

Оценка возможности реализации угрозы безопасности информации

Возможные негативнее последствия от нарушения конфиденциальности, целостности, доступности информации

Модель нарушителя. Типы нарушителей

22 вопросa

Популярные тесты по информатике

Мы поможем сдать на отлично и без пересдач

Угрозы доступности информации

22 вопросa

Популярные тесты по информатике

Мы поможем сдать на отлично и без пересдач