Модель угроз по типовому решению
Выберите используемое типовое решение малого бизнеса — сервис покажет ориентировочный перечень характерных угроз (УБИ) из Банка данных угроз ФСТЭК в том виде, как это требуется в модели угроз (источник, формулировка, чем нейтрализуется).
Публичный веб-сайт/портал со сбором ПДн
Приём ПДн через формы на сайте, доступном из сети Интернет.
Клиент-банк / дистанционное банковское обслуживание (ДБО)
АРМ для платежей и ключ электронной подписи для банка.
Электронный документооборот и электронная подпись (ЭП, МЧД)
Подписание и обмен электронными документами.
1С / учётная система на сервере
Внутренняя база данных с ПДн (1С, ERP, CRM на сервере).
Облачные сервисы / хостинг у стороннего подрядчика
Обработка или хранение ПДн у внешнего провайдера.
Удалённый доступ / VPN / терминальный сервер
Доступ работников к ресурсам организации извне.
Электронная почта
Приём и отправка писем, вложений.
Съёмные машинные носители (USB, внешние диски)
Перенос и хранение ПДн на съёмных носителях.
Беспроводные сети Wi-Fi
Подключение АРМ и устройств по Wi-Fi.
Видеонаблюдение / биометрия
Видеопоток и биометрические ПДн (учитывать требования 572-ФЗ, ПП-512).
Перечень ориентировочный. Это типовой набор угроз для решения «Публичный веб-сайт/портал со сбором ПДн»; он не заменяет частную модель угроз по методике ФСТЭК (2021) и подлежит выверке оператором по БДУ (bdu.fstec.ru) с учётом особенностей вашей системы.
Объекты воздействия
- Веб-сервер и веб-приложение с формами сбора ПДн.
- Публикуемые в сети Интернет интерфейсы и каналы доступа.
Характерные угрозы (УБИ)
Подобрано 6. Полную модель угроз с этими УБИ под ваш уровень защищённости сформирует сервис в личном кабинете.
| № | УБИ | Угроза | Источник (нарушитель) | Нейтрализация |
|---|---|---|---|---|
| 1 | УБИ.017 | Угроза доступа/перехвата/изменения HTTP cookies | Внешний нарушитель с низким потенциалом | защита каналов связи и контроль сессий (ЗИС) |
| 2 | УБИ.041 | Угроза межсайтового скриптинга | Внешний нарушитель с низким потенциалом | анализ защищённости веб-приложения, контроль ввода (АНЗ) |
| 3 | УБИ.042 | Угроза межсайтовой подделки запроса | Внешний нарушитель со средним потенциалом | анализ защищённости веб-приложения (АНЗ) |
| 4 | УБИ.130 | Угроза подмены содержимого сетевых ресурсов | Внешний нарушитель с низким потенциалом | обеспечение целостности ресурсов, защита каналов (ОЦЛ, ЗИС) |
| 5 | УБИ.173 | Угроза «спама» веб-сервера | Внешний нарушитель с низким потенциалом | защита периметра и фильтрация (МЭ, ЗИС) |
| 6 | УБИ.190 | Угроза внедрения вредоносного кода за счет посещения зараженных сайтов в сети Интернет | Внешний нарушитель со средним потенциалом | антивирусная защита, контроль веб-доступа (АВЗ) |
Нужна полная частная модель угроз с этими УБИ, объектами и нарушителями под ваш уровень защищённости? Сформируйте её в ГрамотаИБ →