4.1. Угрозы
В настоящем ПЗ определены следующие угрозы, которым необходимо противостоять средствами ОО.
Угроза-1
1. Аннотация угрозы - несанкционированный доступ к информации при наличии недостатков и уязвимостей на стороне финансовых организаций.
2. Источники угрозы - внешний или внутренний нарушитель.
3. Способ реализации угрозы - нарушитель получает доступ к оборудованию. Осуществление компьютерной атаки, связанной с использованием вредоносного программного обеспечения, применительно к объектам информационной инфраструктуры участников информационного обмена. Нарушитель может участвовать в информационном обмене с программным обеспечением или изменять связи между программным обеспечением и другими конечными точками с целью несанкционированного доступа к информации, обрабатываемой ОО.
4. Используемые уязвимости - недостатки реализации механизмов защиты, недостатки механизмов разграничения доступа к ОО по каналам связи, наличие уязвимостей в ОО, использование устаревшего ПО, использование ненадежных механизмов аутентификации и авторизации, нарушение логики работы ОО.
5. Вид информационных ресурсов, потенциально подверженных угрозе, - электронные сообщения, криптографические ключи и информация, обрабатываемая и передаваемая между финансовыми организациями и клиентом.
6. Нарушаемые свойства безопасности информационных ресурсов - конфиденциальность, целостность.
7. Возможные последствия реализации угрозы - повышение привилегий процессов, команд, пользователей, используемых в ОО, выполнение произвольного кода на удаленной системе, внедрение несанкционированных данных в систему, выполнение несанкционированных действий от имени законного пользователя, внедрение вредоносного ПО в скомпрометированную систему, нарушение целостности и конфиденциальности электронных сообщений.
Угроза-2
1. Аннотация угрозы - возможность перехвата информации, передаваемой между ОО и другими конечными точками.
2. Источники угрозы - внешний нарушитель.
3. Способ реализации угрозы - нарушитель имеет доступ к каналу связи или к узлу сетевой инфраструктуры. Нарушитель может перехватывать и получать доступ к данным, передаваемым между ПО и другими конечными точками, с последующей модификацией передаваемых данных или без таковой.
4. Используемые уязвимости - недостатки и уязвимости в платформе и механизмах обеспечения конфиденциальности и целостности информации, передаваемой между ОО и другими конечными точками.
5. Вид информационных ресурсов, потенциально подверженных угрозе, - электронные сообщения, криптографические ключи и иная информация, обрабатываемые и передаваемые между финансовой организацией и клиентом.
6. Нарушаемые свойства безопасности информационных ресурсов - конфиденциальность, целостность.
7. Возможные последствия реализации угрозы - несанкционированное ознакомление с информацией, передаваемой в сообщениях прикладного программного обеспечения, выполнение несанкционированных действий от имени законного пользователя, влекущих за собой незаконные финансовые операции.
Угроза-3
1. Аннотация угрозы - воздействие на ПО на стороне клиента.
2. Источники угрозы - внутренний и внешний нарушитель.
3. Способ реализации угрозы - нарушитель может действовать с использованием разрешенного ПО, функционирующего на той же вычислительной платформе, что и ОО. Осуществление компьютерной атаки, связанной с использованием вредоносного ПО, применительно к объектам информационной инфраструктуры участников информационного обмена, в частности к устройствам.
4. Используемые уязвимости - недостатки в проектировании и в реализации ОО, заражение программного кода, недостатки в программном коде, связанные с ненадлежащим контролем вводимых данных, несовместимость ОО с другим ПО, несовместимость ОО с компонентами среды исполнения, небезопасное хранение данных.
5. Вид информационных ресурсов, потенциально подверженных угрозе, - электронные сообщения, криптографические ключи и информация, обрабатываемые ПО.
6. Нарушаемые свойства безопасности информационных ресурсов - конфиденциальность, целостность.
7. Возможные последствия реализации угрозы - несанкционированное ознакомление с информацией, обрабатываемой в ПО, повышение привилегий скомпрометированного ОО, выполнение произвольного кода в локальной системе, внедрение несанкционированных данных в систему, выполнение несанкционированных действий от имени законного пользователя, внедрение вредоносного ПО в скомпрометированную систему, нарушение конфиденциальности и целостности электронных сообщений и информации, обрабатываемых ПО.