Точный
Статус документа
Статус документа

ГОСТ Р ИСО/МЭК 27033-3-2014 Информационная технология (ИТ). Методы и средства обеспечения безопасности. Безопасность сетей. Часть 3. Эталонные сетевые сценарии. Угрозы, методы проектирования и вопросы управления

Приложение B
(справочное)

     
Каталог угроз

B.1 Ложное представление полномочий и прав


- Представление ложных полномочий, будто бы они верные, с намерением ввести в заблуждение.

- Представление другого пароля, ключа или сертификата (например, системного администратора).

- Несанкционированное приобретение и использование абонентом услуг, связанных с идентификационной информацией (например, идентификатор/пароль пользователя, сеансовые (криптографические) ключи). Ограничено для индивидуальных абонентов.

- Несанкционированное приобретение и использование административной информации по аутентификации (например, идентификатор пользователя/пароль).

- Атаки воспроизведения, включая сигнализацию.

B.2 Кража услуг


- Незаконный захват прибыли поставщика услуг с целью лишить поставщика услуг законного дохода.

- Обман поставщика услуг.

- Несанкционированное удаление или изменение платежной информации.

- Клонирование устройства.

- Обход систем условного доступа (CAS - conditional access systems).

- Избыточное дублирование/распространение информации, делающее возможными кражи услуг.

B.3 Вторжение в частную жизнь и прослушивание


- Отслеживание модели обращения для обнаружения идентификационных данных, принадлежности, наличия и использования.

- Захват трафика - несанкционированная запись трафика, включающая пакетную запись, пакетную регистрацию и отслеживание пакетов. Включает в себя управляющий и сигнальный трафик.

- Несанкционированный доступ к абонентскому потоку видео- или аудиоданных.

- Несанкционированный доступ к трафику OAM&P.

- Несанкционированный доступ к сигнальному трафику.

- Информационная "уборка урожая" - несанкционированное средство получения идентификационных данных, которое может являться результатом несанкционированного общения и кражи информации. Состоит из коллекции идентификаторов, которые могут быть представлены числами, цепочками символов, адресами URL и т.д.

- Реконструкции носителей данных - несанкционированный мониторинг, запись, хранение, реконструкция, осознание, трактовка, перевод, и (или) выделение признаков любой части видеосвязи, включая идентичность, наличие или состояние.

- Несанкционированное раскрытие возможностей абонентского обслуживания.

- Несанкционированное раскрытие предыдущих или текущего обращений или активности абонента (например, содержание предыстории просмотра абонентом телепередачи или контента VoD, игровая деятельность в режиме онлайн и т.д.).

_______________