Навигация по каталогу статей
01.03 Метод оценки угроз информационной безопасности
Опубликовал  GMan1990 GMan1990 Добавлено  15-03-2015 16:09 15-03-2015 16:09 3730  Прочтений 3730 Прочтений  1 Комментарий 1 Комментарий
printer

Раздел 1. Вопрос 3 (Повышев). Метод оценки угроз информационной безопасности

Угрозы ИБ – совокупность условий и факторов, создающих потенциальную или реально существующую опасность, связанную с утечкой информации и (или) НСД и (или) непреднамеренным воздействием на нее.

  1. ГОСТ Р ИСО/МЭК 15408 – 2008. Критерии оценки безопасности ИТ. По ГОСТу (п. 4.3) критерии оценки прилей и задания по безопасности. Оценка задания по безопасности ???показ-ть???, что оно является полным, непротиворечивым, тех. правильн., поэтому пригодно в качестве основы при оценке соотв. объекта. При оценке различ. 2 основных стадии: оценка задания по без-сти и непосредственно оценка объекта оценки. Оценка вкл. в себя оценку утвержд. о соответствии профилю. Задача оценщика состоит в демонстрации того, что профиль защиты явл-ся полным, непротиворечивым и технически правильным. Пригоден в качестве основы для разработ. задания по безопасности, является технически приемлемым.

  2. Экспертный метод. Угроза оценивается экспертом. Рисуется таблица, впис. любые возможные угрозы, определяется вероятность их реализации на основе модели нарушителя. Оценивается (в отдельной табл.) то, к каким последствиям приведет реализация угрозы.

  3. Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных. Утверждена Заместителем директора ФСТЭК России 14.02.2008

Определение актуальных угроз безопасности персональных данных (УБПДн)

Оценка исходной защищенности

Технические и эксплуатационные характеристики:

По территориальному размещению

По наличию соединения с сетями общего пользования

По встроенным (легальным) операциям с записями баз ПДн

По разграничению доступа к ПДн

По наличию соединений с другими базами ПДн иных ИСПДн

По уровню (обезличивания) ПДн

По объему ПДн, которые предоставляются сторонним пользователям ИСПДн без предварительной обработки

 

ИСПДн имеет высокий уровень исходной защищенности, если не менее 70% характеристик ИСПДн соответствуют уровню «высокий» (суммируются положительные решения по первому столбцу, соответствующему высокому уровню защищенности), а остальные – среднему уровню защищенности (положительные решения по второму столбцу).

ИСПДн имеет средний уровень исходной защищенности, если не выполняются условия по пункту 1 и не менее 70% характеристик ИСПДн соответствуют уровню не ниже «средний» (берется отношение суммы положительные решений по второму столбцу, соответствующему среднему уровню защищенности, к общему количеству решений), а остальные – низкому уровню защищенности.

ИСПДн имеет низкую степень исходной защищенности, если не выполняются условия по пунктам 1 и 2. При составлении перечня актуальных угроз безопасности ПДн каждой 9 степени исходной защищенности ставится в соответствие числовой коэффициент Y1 , а именно: 0 – для высокой степени исходной защищенности; 5 – для средней степени исходной защищенности; 10 – для низкой степени исходной защищенности.

Вероятность реализации УБПДн:

-       маловероятно (Y2 = 0) – отсутствуют объективные предпосылки для осуществления угрозы;

-       низкая вероятность (Y2 = 2) – объективные предпосылки для реализации угрозы существуют, но принятые меры существенно затрудняют ее реализацию;

-       средняя вероятность (Y2 = 5) – объективные предпосылки для реализации угрозы существуют и принятые меры обеспечения безопасности ПДн недостаточны;

-       высокая вероятность (Y2 = 10) – объективные предпосылки для реализации угрозы существуют и меры по обеспечению безопасности ПДн не приняты.

Реализуемость УБПДн:

Коэффициент реализуемости угрозы Y определяется соотношением: Y = (Y1 +Y2)/20

Вербальная интерпретация реализуемости угрозы:

-       низкая (0 ≤ Y ≤ 0,3);

-       средняя (0,3 ≤ Y ≤ 0,6);

-       высокая (0,6 ≤ Y ≤ 0,8);

-       очень высокая (0 > 0,8).

Опасность УБПДн:

-       низкая опасность – реализация угрозы может привести к незначительным негативным последствиям для субъектов персональных данных;

-       средняя опасность – реализация угрозы может привести к негативным последствиям для субъектов персональных данных;

-       высокая опасность – реализация угрозы может привести к значительным негативным последствиям для субъектов персональных данных.

Актуальность УБПДн:

Возможность  реализации угрозы

Показатель опасности угрозы

Низкая

Средняя

Высокая

Низкая

неактуальная

неактуальная

актуальная

Средняя

неактуальная

актуальная

актуальная

Высокая

актуальная

актуальная

актуальная

Очень высокая

актуальная

актуальная

актуальная

Комментарии
комментирующий #1 комментирующий
March 19 2015 08:56:50
в госте говорится об оценке задания по безопасности. Нужно показать, что оно является полным, непротиворечивым, технически правильным. а значит пригодно в качестве основы для оценки соответсвующего объекта. При оценке две стадии: оценка задания по безопасности и непосредственно оценка самого объекта. Оценка включает в себя оценку о соответствии профиля защиты. Если задание не соответствует профилю защиты то все очень плохо) Задача оценщика - показать что профиль защиты полный, непротиворечивый и технически правильный. Пригоден в качестве основы для разработки задания по безопасности, является технически приемлемым
Добавить комментарий
Пожалуйста, авторизуйтесь для добавления комментария.
Рейтинги
Рейтинг доступен только для пользователей.

Пожалуйста, авторизуйтесь или зарегистрируйтесь для голосования.

Нет данных для оценки.