Есть множество способов реализации угроз безопасности информации (далее - БИ), которые описаны в российских и международных руководствах, справочниках и иных ресурсах. Чтобы выполнить требования пункта 5.2.1. методического документа оценки угроз безопасности информации ФСТЭК РФ «В ходе оценки угроз безопасности информации должны быть определены возможные способы реализации (возникновения) угроз безопасности информации, за счет использования, которых актуальными нарушителями могут быть реализованы угрозы безопасности информации в системах и сетях» необходимо, либо быть практикующим нарушителем (хакером), либо опытным специалистом в сфере ИБ, либо «свободным художником».
На практике моделированием угроз БИ часто занимаются специалисты с недостаточным опытом взлома информационных систем, а определить возможные способы реализации угроз предписывает методический документ регулятора.
Поделюсь собственными наработками при описании способов реализации угроз БИ. Решение предлагает собственно регулятор, разместивших в опытной эксплуатации модернизированный раздел формирования перечня угроз. Если с его использованием сформировать «Перечень угроз безопасности информации» можно получить таблицу, в которой имеется колонка «Способы реализации». Далее необходимо сопоставить описание угрозы (УБИ.ххх), источника (возможности) нарушителя и объект воздействия.
Для творческих специалистов предлагается методом «свободного художника» выбрать способ воздействия из предлагаемых регулятором вариантов Перечня способов реализации угроз БИ.
Широко использую следующие возможные способы реализации угроз БИ: СП.1.1 Эксплуатация известных уязвимостей
СП.2 Использование недостатков конфигурации
СП.3.2 Эксплуатация недостатков, децентрализованного и неконтролируемого подключения к сети Интернет
СП.4.10 Внедрение вредоносного программного обеспечения через скомпрометированные обновления программного обеспечения или операционной системы
СП.8 Сканирование сетевой инфраструктуры
СП.17.1 Перебор паролей к учетной записи
Ваши предложения и наработки пишите в комментарии.
