|
Номер пункта
|
Способ реализации угрозы (атака)
|
Риск
|
Мера противодействия
|
Ост. риск
|
Примечание
|
|
УГРОЗЫ ИБ ПУ, УСПД, СКЗИ ПУ И УСПД НА ЭТАПЕ ПРОИЗВОДСТВА
|
|
4.1.1.1
|
Ошибка проектирования
|
С
|
Оценка влияния П36, сертификация СКЗИ П3 и комплекс мер контроля состояния ПУ, УСПД, СКЗИ ПУ и УСПД на различных этапах жизненного цикла ПУ и УСПД (П3, П19, П24, П26, П27, П35, А1, А13 - А15, Р3)
|
П
|
|
|
4.1.1.2
|
Дефект, брак, недекларированные возможности
|
С
|
См. 4.1.1.1
|
Н
|
|
|
УГРОЗЫ ИБ ПУ, УСПД, СКЗИ ПУ И УСПД НА ЭТАПЕ ПЕРЕДАЧИ
|
|
4.1.2.1
|
Несанкционированный доступ, вскрытие
|
Н
|
Общие требования по защите СФК СКЗИ, включая требования физической защиты ПУ и УСПД П5 - П7, меры безопасности производства, в т.ч. защищенная упаковка П19, П21, отсутствие в ПУ и УСПД криптографических ключей П20, контроль ПУ и УСПД при вводе в эксплуатацию П22, расследование инцидентов Р3
|
Н
|
Непосредственно в процессе передачи ПУ и УСПД основной мерой безопасности является упаковка и контроль ее целостности. Однако атаки на ПУ, УСПД, СКЗИ ПУ и УСПД в процессе передачи с высокой вероятностью будут выявлены на последующих этапах жизненного цикла ПУ и УСПД при помощи перечисленных мер безопасности
|
|
4.1.2.2
|
Несанкционированная модернизация
|
Н
|
Наряду с мерами защиты от атаки 4.1.2.1 применяются меры безопасности П8 - П9
|
Н
|
|
|
4.1.2.3
|
Подмена, фальсификация
|
С
|
Общие требования по защите СФК СКЗИ, включая требования уникальной идентификации ПУ и УСПД П5 - П7, меры безопасности производства, в т.ч. защищенная упаковка П19, П21, контроль транспортных секретов ПУ и УСПД при вводе в эксплуатацию П22
|
П
|
Подмена, фальсификация ПУ и УСПД на этапе передачи будут выявлены в ходе ввода в эксплуатацию в силу контроля транспортных секретов ПУ и УСПД при помощи сертифицированного ФСБ России как СКЗИ КС3 АРМ регистрации и сверки их с записями в доверенных серверах ИСУЭ (см. 4.1.3.1)
|
|
УГРОЗЫ ИБ ПУ, УСПД, СКЗИ ПУ И УСПД НА ЭТАПЕ ВВОДА В ЭКСПЛУАТАЦИЮ
|
|
4.1.3.1
|
Несанкционированная модернизация
|
С
|
Выполнение требований безопасности ввода ПУ и УСПД в эксплуатацию достигается за счет применения комплекса мер безопасности П22, в т.ч. применения АРМ регистрации ПУ и УСПД. Инциденты информационной безопасности на этом этапе подлежат расследованию Р3
|
Н
|
|
|
4.1.3.2
|
Компрометация криптографических ключей устройства
|
С
|
В комплексе защитой от атаки 4.1.3.2 является полный состав мер безопасности, применяемый против атаки 4.1.2.2.
Непосредственной мерой защиты криптографических ключей на этапе ввода в эксплуатацию является защищенный процесс персонализации СКЗИ, выполняемый при помощи АРМ регистрации, сертифицированного ФСБ России
|
П
|
Основанием для оценки риска, как пренебрежимо малого является полный состав мер защиты АРМ регистрации, контролируемый при сертификации
|
|
УГРОЗЫ ИБ ПУ, УСПД, СКЗИ ПУ И УСПД НА ЭТАПЕ ЭКСПЛУАТАЦИИ
|
|
4.1.4.1
|
Несанкционированная модернизация путем физического вмешательства в работу устройства
|
П
|
Разработка ПУ и УСПД с учетом требований безопасности П5 - П7, использование встроенных функций безопасности платформ П8 - П9
|
П
|
|
|
4.1.4.2
|
Компрометация криптографических ключей устройства
|
С
|
Выполнение требований безопасности П5 - П7, применение сертифицированных СКЗИ для защиты ПУ и УСПД П3, оценка влияния СФК П36, интеграция средств физической защиты с СКЗИ П11 - П13, уничтожение криптографических ключей в случае нарушения физической защиты устройства П14, П36, Р1, процесс обновления криптографических ключей П15, А11 и минимизация срока жизни криптографических ключей П16, обеспечение мер безопасности эксплуатации ПУ и УСПД П23 - П25, А6 - А9, мер сетевой защиты А9, А10, меры контроля безопасности А13 - А15, реактивные меры безопасности Р1 - Р3
|
Н
|
|
|
4.1.4.3
|
Перехват информационных обменов, нарушение целостности и конфиденциальности обменов между ИВК и УСПД
|
В
|
Основной мерой защиты является А10
|
П (С)
|
Оценка остаточного риска "пренебрежимо малый" сделана для случая сертифицированных СКЗИ в режиме шифрования трафика для всех информационных обменов между ИВК и УСПД. В случае наличия между ИВК и УСПД обменов открытым трафиком атака 4.1.4.3 реализуется со 100%-й вероятностью, в то время как защищенный трафик будет этой атаке практически не подвержен. Оценка остаточного риска "средний" сделана на том основании, что в соответствии со стандартом [10] открытый трафик содержит в себе сведения, компрометация которых наносит малый ущерб ИСУЭ. Вместе с тем открытый трафик может использоваться для разведки конфигурации ИСУЭ, поиска уязвимостей ПУ, УСПД и ИВК, несанкционированного доступа к ПУ, УСПД и ИВК. Рекомендуется режим тотальной защиты трафика УСПД при помощи шифрования
|
|
4.1.4.4
|
Перехват информационных обменов, нарушение целостности и конфиденциальности обменов между ИВК и ПУ
|
В
|
Основной мерой защиты является А9
|
П (С)
|
Оценка остаточного риска "пренебрежимо малый" сделана для случая сертифицированных СКЗИ в режиме шифрования трафика для всех информационных обменов между ИВК и ПУ. В случае наличия между ИВК и ПУ обменов открытым трафиком атака 4.1.4.4 реализуется со 100%-й вероятностью, в то время как защищенный трафик будет этой атаке практически не подвержен. Оценка остаточного риска "средний" сделана на том основании, что в соответствии со стандартом [10] открытый трафик содержит в себе сведения, компрометация которых наносит малый ущерб ИСУЭ. Вместе с тем открытый трафик может использоваться для разведки конфигурации ИСУЭ, поиска уязвимостей ПУ, УСПД и ИВК, несанкционированного доступа к ПУ, УСПД и ИВК. Рекомендуется режим тотальной защиты трафика ПУ при помощи шифрования даже при включении ПУ в сеть ИСУЭ при помощи УСПД
|
|
4.1.4.5
|
Перехват информационных обменов, нарушение целостности и конфиденциальности обменов между УСПД и ПУ
|
С
|
Комплекс мер физической безопасности ПУ и УСПД (П9, П11 - П13), безопасности эксплуатации ПУ и УСПД (П24, П25) и защита коммуникаций между ними (А9б А10)
|
П
|
|
|
4.1.4.6
|
Криптоанализ
|
С
|
Мерами защиты от атаки 4.1.4.6 являются:
- защита сетевых взаимодействий А9, А10;
требование отсутствия в составе исправных ПУ, УСПД, СКЗИ ПУ и УСПД криптографических ключей на всех этапах жизненного цикла ПУ и УСПД, кроме этапа эксплуатации П20;
- уничтожение криптографических ключей при подозрительных событиях Р1, при передаче в ремонт П31 и при утилизации П32;
- меры защиты криптографических ключей П14 - П16
|
П
|
Основными мерами безопасности, позволяющими оценить остаточный риск атаки 4.1.4.6, как "пренебрежимо малый", являются требования сертификации СКЗИ ПУ и УСПД П3 и оценки влияния П36
|
|
4.1.4.7
|
Навязывание ложных партнеров по взаимодействию между ИВК и УСПД
|
В
|
Основной мерой защиты является А10
|
П (С)
|
Оценка остаточного риска "пренебрежимо малый" сделана для случая применения сертифицированных СКЗИ в режиме шифрования трафика для всех информационных обменов между ИВК и УСПД. В случае наличия между ИВК и УСПД обменов открытым трафиком риск атаки 4.1.4.7 оценивается как "средний" (см. дополнительно 4.1.4.3).
Рекомендуется режим тотальной защиты трафика УСПД при помощи шифрования
|
|
4.1.4.8
|
Навязывание ложных партнеров по взаимодействию между ИВК и ПУ
|
В
|
Основной мерой защиты является А9
|
П (С)
|
Оценка остаточного риска "пренебрежимо малый" сделана для случая сертифицированных СКЗИ в режиме шифрования трафика для всех информационных обменов между ИВК и ПУ. В случае наличия между ИВК и ПУ обменов открытым трафиком риск атаки 4.1.4.8 оценивается как "средний" (см. дополнительно 4.1.4.4).
Рекомендуется режим тотальной защиты трафика ПУ при помощи шифрования
|
|
4.1.4.9
|
Навязывание ложных партнеров по взаимодействию между УСПД и ПУ
|
С
|
Комплекс мер физической безопасности ПУ и УСПД и коммуникаций между ними (А9, А10)
|
П (С)
|
Оценка остаточного риска "пренебрежимо малый" сделана для случая сертифицированных СКЗИ в режиме тотального шифрования трафика для всех информационных обменов между ИВК и ПУ. В случае наличия между ИВК и ПУ обменов открытым трафиком риск атаки оценивается как "средний"
|
|
4.1.4.10
|
Сетевое вторжение, несанкционированный доступ к ПУ
|
В
|
ПУ защищается от несанкционированного доступа из сети путем применения следующих мер защиты:
- методы дизайна безопасной архитектуры сетевых взаимодействий (см. П35);
- применением мер сетевой безопасности А9
|
П (С)
|
Оценка остаточного риска "пренебрежимо малый" сделана для случая сертифицированных СКЗИ в режиме тотального шифрования трафика для всех информационных обменов между ИВК и ПУ. В случае наличия между ИВК и ПУ обменов открытым трафиком риск атаки 4.1.4.10 обеспечивается, преимущественно, методами безопасного дизайна и сетевого контроля доступа. В этом случае риск оценивается как "средний" (см. дополнительно 4.1.4.4).
Рекомендуется режим тотальной защиты трафика ПУ при помощи шифрования
|
|
4.1.4.11
|
Сетевое вторжение, несанкционированный доступ к УСПД
|
В
|
УСПД защищается от несанкционированного доступа из сети путем применения следующих мер защиты:
|
П (Н или С)
|
Оценка остаточного риска "пренебрежимо малый" сделана для случая сертифицированных СКЗИ в режиме шифрования трафика для всех информационных обменов между ИВК и УСПД. В случае наличия между ИВК и УСПД обменов открытым трафиком риск атаки 4.1.4.111 обеспечивается, преимущественно, методами безопасного дизайна и сетевого контроля доступа. В этом случае риск оценивается как "средний" или низкий в зависимости от качества присущих операционной системе УСПД средств защиты (см. П7). Рекомендуется режим тотальной защиты трафика УСПД при помощи шифрования
|
|
|
|
|
-
|
методы дизайна безопасной архитектуры сетевых взаимодействий (см. П35);
|
|
|
|
|
|
|
-
|
подготовка операционной системы УСПД для снижения уровня уязвимости по отношению к атакам несанкционированного доступа из сети П7;
|
|
|
|
|
|
|
функции операционной системы, включаемые для сетевого контроля доступа и представляемые для оценки влияния П7, П36;
- применением мер сетевой безопасности А9
|
|
|
|
4.1.4.12
|
Внедрение вредоносного программного обеспечения в ПУ
|
В
|
Методы защиты аналогичны 4.1.4.10
|
П (С)
|
См. 4.1.4.10.
Рекомендуется режим тотальной защиты трафика УСПД при помощи шифрования
|
|
4.1.4.13
|
Внедрение вредоносного программного обеспечения в УСПД
|
В
|
Методы защиты аналогичны 4.1.4.11 с дополнением функций защиты от вредоносного ПО, присущих ОС УСПД
|
П (Н или С)
|
См. 4.1.4.11.
Рекомендуется режим тотальной защиты трафика УСПД при помощи шифрования
|
|
4.1.4.14
|
Перехват управления при взаимодействии ИВК и ПУ
|
В
|
Взаимная аутентификация, шифрование всех информационных обменов между ИВК и ПУ, связанных с управлением ПУ и управлением энергопотреблением (А9). Меры защиты канала управления энергопотреблением, описанные в требованиях П17, П18
|
П
|
При реализации функций защиты информации при помощи сертифицированных ФСБ России средств информационной безопасности риск оценивается как "пренебрежимо малый"
|
|
4.1.4.15
|
Перехват управления при взаимодействии ПУ и УСПД
|
В
|
Взаимная аутентификация, шифрование всех информационных обменов между ИВК и УСПД, связанных с управлением ПУ, УСПД и управлением энергопотреблением (А10). Меры защиты канала управления энергопотреблением, описанные в требованиях П17, П18
|
П (С)
|
При реализации функций защиты информации при помощи сертифицированных ФСБ России средств информационной безопасности в режиме тотального шифрования трафика риск оценивается как "пренебрежимо малый". В случае наличия между ИВК, УСПД и ПУ обменов открытым трафиком риск оценивается как "средний" (см. обоснование 4.1.4.9)
|
|
4.1.4.16
|
Несанкционированное применение локального конфигуратора ПУ
|
Н
|
Выполнение требований к техническим средствам и технологическому процессу эксплуатации ПУ, СКЗИ ПУ (П23, П30, А13)
|
Н
|
При использовании средств локального конфигурирования, исключительно в сервисном режиме (см П30) риск оценивается как "низкий"
|
|
4.1.4.17
|
Несанкционированное применение локального конфигуратора УСПД
|
Н
|
Выполнение требований к техническим средствам и технологическому процессу эксплуатации УСПД, СКЗИ УСПД (П23, А13). Применение СКЗИ на средствах локального конфигурирования УСПД (П30)
|
Н
|
См. 4.1.4.16.
|
|
4.1.4.18
|
Атаки на инфраструктуру энергопотребления путем массовой компрометации ПУ и УСПД
|
В
|
Меры защиты от атак 4.1.2.2, Смена криптографических ключей (П15),
минимизация срока жизни криптографических ключей (П16), не позволяющая даже в случае компрометации единичных устройств накопить в течение длительного времени значительный массив компрометированных ключей для массовой атаки (в силу устаревания компрометированного материала).
Защита взаимодействий ИВК с ПУ и УСПД П3, П5 - П7, П35, А9, А10, в том числе меры защиты канала управления энергопотреблением П17 и П18
|
П
|
Риск оценивается как "пренебрежимо малый" по причинам:
- накопление значительной бот-сети из компрометированных ПУ и УСПД крайне маловероятно (см. 4.1.4.1, 4.1.4.2);
- взлом шифрованных каналов управления, защищенных при помощи СКЗИ, сертифицированных ФСБ России, крайне маловероятен (см. 4.1.4.14, 4.1.4.15);
- даже в случае маловероятного события успешного выполнения атак 4.1.4.1, 4.1.4.2, 4.1.4.14, 4.1.4.15 применение для защиты команд управления энергопотреблением для ПУ и УСПД электронной подписи ИВК исключает навязывание прибору ложной команды. Поскольку секретный ключ электронной подписи ИВК хранится в доверенных серверах ИСУЭ и не содержится в СКЗИ ПУ и УСПД, нарушитель, скомпрометировавший ПУ или УСПД, не имеет возможности фальсифицировать подпись ИВК
|
|
4.1.4.19
|
Атаки на инфраструктуру энергопотребления со стороны компрометированного ПУ или УСПД
|
В
|
Защита взаимодействий ИВК с ПУ и УСПД П3, П5 - П7, П35, А9, А10, в том числе меры защиты канала управления энергопотреблением П17 и П18
|
Н
|
Риск оценивается как "низкий" в случае применения тотального шифрования трафика между ИВК и всеми ПУ и УСПД. Дополнительно должны применяться меры сетевой безопасности ИВК, безопасного дизайна программного обеспечения ИВК, защиты ИВК от несанкционированного доступа, и другие меры безопасности, которые в совокупности выходят за пределы состава задач, рассматриваемых в настоящей модели угроз
|
|
УГРОЗЫ ИБ ПУ, УСПД, СКЗИ ПУ И УСПД НА ЭТАПЕ ТЕХНИЧЕСКОГО ОБСЛУЖИВАНИЯ И РЕМОНТА
|
|
4.1.5.1
|
Несанкционированная модернизация
|
С
|
Меры безопасности (регламент) выполнения ремонта и технического обслуживания ПУ и УСПД П30, П31. Штатная процедура ввода в эксплуатацию (регистрации) ПУ и УСПД после ремонта П22
|
Н
|
|
|
4.1.5.2
|
Компрометация криптографических ключей устройства
|
С
|
Уничтожение криптографических ключей до передачи на техническое обслуживание и в ремонт П20, П22
|
П
|
|
|
УГРОЗЫ ИБ ПУ, УСПД, СКЗИ ПУ И УСПД НА ЭТАПЕ УТИЛИЗАЦИИ
|
|
4.1.6.1
|
Несанкционированная модернизация
|
С
|
Меры безопасности (регламент) выполнения утилизации ПУ, УСПД, СКЗИ ПУ и УСПД П32
|
Н
|
|
|
4.1.6.2
|
Компрометация криптографических ключей устройства
|
С
|
Уничтожение криптографических ключей до передачи на утилизацию П20, П22
|
П
|
|