Добрый день, дорогие читатели, вот и у меня руки дошли до Проекта методики по оценке угроз от ФСТЭК. Пока я свои замечания указывать не буду (оставлю на следующий пост), сегодня предлагаю вам краткий пересказ нового проекта.
Методика предназначена для ГИС (17 приказ ФСТЭК). Может
применяться для ПДн (21 приказ ФСТЭК). Применяется совместно с банком угроз.
Методика посвящена антропогенным угрозам, может применяться
для техногенных и не подходит для стихийных бедствий.
Если актуальны угрозы по техническим каналам утечки –
применять СТР-К и методики оценки защищенности конфиденциальной информации
Методика определения актуальных угроз безопасности
упраздняется.
Угрозы могут быть прямые и косвенные.
Нужно определить:
·
Возможности нарушителей.
·
Уязвимости.
·
Способы реализации угроз.
·
Объекты, на которые направлена угроза.
·
Последствия от реализации угроз.
Актуальность угрозы определяется вероятностью реализации
угрозы и степенью возможного ущерба.
Типы нарушителей: внешние (тип I), внутренние (тип II).
Виды нарушителей:
·
Спец службы иностранных государств;
·
Террористы и экстремисты;
·
Преступные группы;
·
Внешние субъекты (физические лица);
·
Конкуренты;
·
Разработчики, производители, поставщики;
·
Лица, осуществляющие ремонт;
·
Лица, обслуживающие инфраструктуру предприятия;
·
Пользователи;
·
Администраторы;
·
Бывшие работники (пользователи).
Нарушители могут вступать в сговор. Потенциал нарушителя
определяется его компетентностью, ресурсами и мотивацией.
Потенциал может быть базовым (низким), базовым повышенным
(средним) и высоким.
Способы реализации угроз НСД (аппаратный уровень,
общесистемный уровень, прикладной уровень, сетевой уровень),
несанкционированный физический доступ, воздействие на людей.
Действия нарушителей могут быть преднамеренными и
случайными. Преднамеренные действия могут заключаться в реализации
целенаправленных и нецеленаправленных угроз безопасности информации.
Показатель актуальности угрозы УБИjA определяется
вероятностью реализации угрозы Pj и степенью возможного ущерба в случае ее реализации Xj. При отсутствии
статистических данных вместо вероятности используется оценка возможности
реализации угрозы безопасности информации Yj.
Для определения угроз используется банк данных угроз
безопасности информации (ФСТЭК), базовые и типовые модели угроз ФСТЭК, данные
иных источников, в том числе общедоступных.
Вероятность реализации угрозы может принимать три значения:
низкая, средняя, высокая.
Возможность реализации угрозы определяется уровнем защищенности
и потенциалом нарушителя. Для новых систем используется уровень проектной
защищенности, который определяется по специальной таблице. Уровень проектной
защищенности может быть высоким, средним и низким. Уровень защищенности
существующей системы также может быть высоким, средним и низким и определяется
по специальным правилам.
Потенциал нарушителя определяется на основе данных банка
угроз, базовых и типовых моделей. В случае отсутствия информации – на основе
методики, представленной в Приложении 3.
Возможность реализации угрозы безопасности информации определяется
по таблице и может быть высокой, средней и низкой.
Результатом реализации угрозы безопасности информации может
быть непосредственное или опосредованное воздействие на конфиденциальность,
целостность и доступность информации.
При обработке в информационной системе нескольких видов
информации воздействие на конфиденциальность, целостность и доступность
определяется для каждого вида информации.
В таблице представлены основные виды ущерба и возможные
негативные последствия. Среди них – Ущерб субъекту персональных данных. Который
может привести к угрозе личной безопасности, финансовым и иным материальным
потерям, вторжению в частную жизнь, моральному вреду, созданию угрозы здоровью,
утрате репутации и т.д.
Степень возможного ущерба определяется экспертным путем и
может быть высокой, средней и низкой.
Актуальность угрозы безопасности информации определяется по
таблице, в столбцах которой степень возможного ущерба, а в строках –
вероятность (возможность) реализации угрозы.
В Приложении 1 указан примерный состав экспертной группы.
Указано, что специалисты от подразделений по защите информации по возможности
должны иметь образование по направлению «Информационная безопасность»
(повышение квалификации), а также практический опыт работы не менее трех лет. В
составе экспертной группы должны быть также специалисты других структурных
подразделений, а общее количество экспертов – не менее трех.
Оценку параметров рекомендуется проводить опросным методом.
В Приложении 2 указана структура модели угроз и краткое
содержание разделов.
В Приложении 3 приведена методика определения потенциала
нарушителя для реализации угроз, данные о которой отсутствуют в банке угроз
безопасности информации.
Вы можете ознакомиться с мнением коллег по новому документу: Андрей Прозоров, Алексей Лукацкий, Ригельз Дыбр, Сергей Борисов.
Ну вот и все пока, замечания и предложения к проекту - все позже, а сейчас пора готовиться к Антитеррору. Приятного Вам вечера!
Страница ВК: http://vk.com/kshudrova.
Комментариев нет:
Отправить комментарий