ГрамотаИБ ГрамотаИБ

Модель угроз по типовому решению

Выберите используемое типовое решение малого бизнеса — сервис покажет ориентировочный перечень характерных угроз (УБИ) из Банка данных угроз ФСТЭК в том виде, как это требуется в модели угроз (источник, формулировка, чем нейтрализуется).

Публичный веб-сайт/портал со сбором ПДн

Приём ПДн через формы на сайте, доступном из сети Интернет.

Клиент-банк / дистанционное банковское обслуживание (ДБО)

АРМ для платежей и ключ электронной подписи для банка.

Электронный документооборот и электронная подпись (ЭП, МЧД)

Подписание и обмен электронными документами.

1С / учётная система на сервере

Внутренняя база данных с ПДн (1С, ERP, CRM на сервере).

Облачные сервисы / хостинг у стороннего подрядчика

Обработка или хранение ПДн у внешнего провайдера.

Удалённый доступ / VPN / терминальный сервер

Доступ работников к ресурсам организации извне.

Электронная почта

Приём и отправка писем, вложений.

Съёмные машинные носители (USB, внешние диски)

Перенос и хранение ПДн на съёмных носителях.

Беспроводные сети Wi-Fi

Подключение АРМ и устройств по Wi-Fi.

Видеонаблюдение / биометрия

Видеопоток и биометрические ПДн (учитывать требования 572-ФЗ, ПП-512).

Перечень ориентировочный. Это типовой набор угроз для решения «Публичный веб-сайт/портал со сбором ПДн»; он не заменяет частную модель угроз по методике ФСТЭК (2021) и подлежит выверке оператором по БДУ (bdu.fstec.ru) с учётом особенностей вашей системы.

Объекты воздействия

  • Веб-сервер и веб-приложение с формами сбора ПДн.
  • Публикуемые в сети Интернет интерфейсы и каналы доступа.

Характерные угрозы (УБИ)

Подобрано 6. Полную модель угроз с этими УБИ под ваш уровень защищённости сформирует сервис в личном кабинете.

УБИ Угроза Источник (нарушитель) Нейтрализация
1 УБИ.017 Угроза доступа/перехвата/изменения HTTP cookies Внешний нарушитель с низким потенциалом защита каналов связи и контроль сессий (ЗИС)
2 УБИ.041 Угроза межсайтового скриптинга Внешний нарушитель с низким потенциалом анализ защищённости веб-приложения, контроль ввода (АНЗ)
3 УБИ.042 Угроза межсайтовой подделки запроса Внешний нарушитель со средним потенциалом анализ защищённости веб-приложения (АНЗ)
4 УБИ.130 Угроза подмены содержимого сетевых ресурсов Внешний нарушитель с низким потенциалом обеспечение целостности ресурсов, защита каналов (ОЦЛ, ЗИС)
5 УБИ.173 Угроза «спама» веб-сервера Внешний нарушитель с низким потенциалом защита периметра и фильтрация (МЭ, ЗИС)
6 УБИ.190 Угроза внедрения вредоносного кода за счет посещения зараженных сайтов в сети Интернет Внешний нарушитель со средним потенциалом антивирусная защита, контроль веб-доступа (АВЗ)

Нужна полная частная модель угроз с этими УБИ, объектами и нарушителями под ваш уровень защищённости? Сформируйте её в ГрамотаИБ →