Email
Пароль

СИСТЕМА ОБРАЗОВАНИЯ КРОНШТАДТСКОГО РАЙОНА СПб


ИНФОРМАЦИОННО-МЕТОДИЧЕСКИЙ ЦЕНТР
КРОНШТАДТСКОГО РАЙОНА САНКТ-ПЕТЕРБУРГА


Яндекс.Метрика

Васин Владимир Владимирович

программист

Методика определения актуальных угроз безопасности

Для каждой информационной системы существуют угрозы безопасности. Угрозы можно классифицировать следующим образом:

  • по видам возможных источников угроз;
  • по структуре ИСПДн на которые направлена реализация угроз безопасности ПДн;
  • по виду несанкционированных действий, осуществляемых с ПДн;
  • по способам реализации угроз;
  • по виду каналов, с использованием которых реализуются те или иные угрозы.

Актуальной считается угроза, которая может быть реализована в ИСПДн и представляет опасность для ПДн. Для оценки возможности реализации угрозы применяются два показателя - уровень исходной защищенности ИСПДн и частота (вероятность) реализации рассматриваемой угрозы.

Исходная степень защищенности определяется следующим образом:

  • ИСПДн имеет высокий уровень исходной защищенности, еcли не менее 70% характеристик ИСПДн соответствуют уровню «высокий»;
  • ИСПДн имеет средний уровень исходной защищенности, если не выполняются условия по пункту 1 и не менее 70% характеристик ИСПДн соответствуют уровню не ниже "средний";
  • ИСПДн имеет низкую степень исходной защищенности, если не выполняется условия по пунктам 1 и 2.

При составлении перечня актуальных угроз безопасности ПДн каждой степени исходной защищенности ставится в соответствие числовой коэффициент Y1. 0 - для высокой степени исходной защищенности, 5 - для средней степени исходной защищенности и 10 - для низкой степени исходной защищенности.

Под частотой (вероятностью) реализации угрозы понимается определяемый экспертным путем показатель, характеризующий, насколько вероятным является реализация конкретной угрозы безопасности ПДн для данной ИСПДн в складывающихся условиях обстановки.

Вводятся четыре вербальных градации частоты реализации угрозы:

  • маловероятно - отсутствуют объективные предпосылки для осуществления угрозы (например, угроза хищения носителей информации лицами, не имеющими легального доступа в помещение, где последние хранятся);
  • низкая вероятность - объективные предпосылки для реализации угрозы существуют, но принятые меры существенно затрудняют ее реализацию (например, использованы соответствующие средства защиты информации);
  • средняя вероятность - объективные предпосылки для реализации угрозы существуют, но принятые меры обеспечения безопасности ПДн недостаточны;
  • высокая вероятность - объективные предпосылки для реализации угрозы существуют и меры по обеспечению безопасности ПДн не приняты.

При составлении перечня актуальных угроз безопасности ПДн каждой градации вероятности возникновения угрозы ставится в соответствие числовой коэффициент Y2. 0 - для маловероятной угрозы, 2 - для низкой вероятности угрозы, 5 - для средней вероятности угрозы и 10 - для высокой вероятности угрозы.
По значению коэффициента реализуемости угрозы Y формируется вербальная (словесная) интерпретация реализуемости угрозы:

  • 0 < Y < 0,3 - возможность реализации угрозы низкая;
  • 0,3 < Y < 0,6 - возможность реализации угрозы средняя;
  • 0,6 < Y < 0,8 - возможность реализации угрозы высокая;
  • Y > 0,8 - возможность реализации угрозы очень высокая.

При оценке опасности на основе опроса экспертов (специалистов в области защиты информации) определяется вербальный показатель опасности для рассматриваемой ИСПДн. Этот показатель имеет три значения:

  • низкая опасность - если реализация угрозы может привести к незначительным негативным последствиям для субъектов персональных данных;
  • средняя опасность - если реализация угрозы может привести к негативным последствиям для субъектов персональных данных;
  • высокая опасность - если реализация угрозы может привести к значительным негативным последствиям для субъектов персональных данных.

Возможность реализации угрозы (вербальная)Показатель опасности угрозы (вербальный)
НизкаяСредняяВысокая
Низкаянеактуальнаянеактуальнаяактуальная
Средняянеактуальнаяактуальнаяактуальная
Высокаяактуальнаяактуальнаяактуальная
Очень высокаяактуальнаяактуальнаяактуальная














Типовой пример оформления результатов в частной модели угроз

Угрозы утечки
информации по
техническим
каналам и за
счёт НСД
Уровень
исходной
защищённости (Y1)
Вероятность реализации угрозы
(Y2)
Коэффициент реализуемости угрозы
Y=(Y1+Y2)/20
Показатель опасности угрозы
(определяется на основе опроса специалистов в области ЗИ)
Вывод об актуальности угрозы

Малая вероятность
(0)

Низкая вероятность
(2)

Средняя вероятность
(5)
Высокая вероятность (10)Возможность реализации угрозыНизкая опасностьСредняя опасностьВысокая опасность
Утечка информации по каналу ПЭМИН520,35данет
средняя
Утечка речевой информации500,25данет
низкая
Перехват паролей (идентификаторов)550,5дада
средняя













Класс информационной системы может быть пересмотрен по решению оператора на основе проведенных им анализа и оценки угроз безопасности персональных данных с учетом особенностей и (или) изменений конкретной информационной системы, или по результатам мероприятий по контролю за выполнением требований к обеспечению безопасности персональных данных при их обработке в информационной системе.


С использованием данных о классе ИСПДн и составленного перечня актуальных угроз, на основе «Рекомендаций …» и «Основных мероприятий …» формулируются конкретные организационно-технические требования по защите ИСПДн от утечки информации по техническим каналам, от несанкционированного доступа и осуществляется выбор программных и технических средств защиты информации, которые могут быть использованы при создании и дальнейшей эксплуатации ИСПДн.