01.03 Метод оценки угроз информационной безопасности
Прислано GMan1990 March 15 2015 16:09:10

Раздел 1. Вопрос 3 (Повышев). Метод оценки угроз информационной безопасности

Угрозы ИБ – совокупность условий и факторов, создающих потенциальную или реально существующую опасность, связанную с утечкой информации и (или) НСД и (или) непреднамеренным воздействием на нее.

  1. ГОСТ Р ИСО/МЭК 15408 – 2008. Критерии оценки безопасности ИТ. По ГОСТу (п. 4.3) критерии оценки прилей и задания по безопасности. Оценка задания по безопасности ???показ-ть???, что оно является полным, непротиворечивым, тех. правильн., поэтому пригодно в качестве основы при оценке соотв. объекта. При оценке различ. 2 основных стадии: оценка задания по без-сти и непосредственно оценка объекта оценки. Оценка вкл. в себя оценку утвержд. о соответствии профилю. Задача оценщика состоит в демонстрации того, что профиль защиты явл-ся полным, непротиворечивым и технически правильным. Пригоден в качестве основы для разработ. задания по безопасности, является технически приемлемым.

  2. Экспертный метод. Угроза оценивается экспертом. Рисуется таблица, впис. любые возможные угрозы, определяется вероятность их реализации на основе модели нарушителя. Оценивается (в отдельной табл.) то, к каким последствиям приведет реализация угрозы.

  3. Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных. Утверждена Заместителем директора ФСТЭК России 14.02.2008

Определение актуальных угроз безопасности персональных данных (УБПДн)

Оценка исходной защищенности

Технические и эксплуатационные характеристики:

По территориальному размещению

По наличию соединения с сетями общего пользования

По встроенным (легальным) операциям с записями баз ПДн

По разграничению доступа к ПДн

По наличию соединений с другими базами ПДн иных ИСПДн

По уровню (обезличивания) ПДн

По объему ПДн, которые предоставляются сторонним пользователям ИСПДн без предварительной обработки

 

ИСПДн имеет высокий уровень исходной защищенности, если не менее 70% характеристик ИСПДн соответствуют уровню «высокий» (суммируются положительные решения по первому столбцу, соответствующему высокому уровню защищенности), а остальные – среднему уровню защищенности (положительные решения по второму столбцу).

ИСПДн имеет средний уровень исходной защищенности, если не выполняются условия по пункту 1 и не менее 70% характеристик ИСПДн соответствуют уровню не ниже «средний» (берется отношение суммы положительные решений по второму столбцу, соответствующему среднему уровню защищенности, к общему количеству решений), а остальные – низкому уровню защищенности.

ИСПДн имеет низкую степень исходной защищенности, если не выполняются условия по пунктам 1 и 2. При составлении перечня актуальных угроз безопасности ПДн каждой 9 степени исходной защищенности ставится в соответствие числовой коэффициент Y1 , а именно: 0 – для высокой степени исходной защищенности; 5 – для средней степени исходной защищенности; 10 – для низкой степени исходной защищенности.

Вероятность реализации УБПДн:

-       маловероятно (Y2 = 0) – отсутствуют объективные предпосылки для осуществления угрозы;

-       низкая вероятность (Y2 = 2) – объективные предпосылки для реализации угрозы существуют, но принятые меры существенно затрудняют ее реализацию;

-       средняя вероятность (Y2 = 5) – объективные предпосылки для реализации угрозы существуют и принятые меры обеспечения безопасности ПДн недостаточны;

-       высокая вероятность (Y2 = 10) – объективные предпосылки для реализации угрозы существуют и меры по обеспечению безопасности ПДн не приняты.

Реализуемость УБПДн:

Коэффициент реализуемости угрозы Y определяется соотношением: Y = (Y1 +Y2)/20

Вербальная интерпретация реализуемости угрозы:

-       низкая (0 ≤ Y ≤ 0,3);

-       средняя (0,3 ≤ Y ≤ 0,6);

-       высокая (0,6 ≤ Y ≤ 0,8);

-       очень высокая (0 > 0,8).

Опасность УБПДн:

-       низкая опасность – реализация угрозы может привести к незначительным негативным последствиям для субъектов персональных данных;

-       средняя опасность – реализация угрозы может привести к негативным последствиям для субъектов персональных данных;

-       высокая опасность – реализация угрозы может привести к значительным негативным последствиям для субъектов персональных данных.

Актуальность УБПДн:

Возможность  реализации угрозы

Показатель опасности угрозы

Низкая

Средняя

Высокая

Низкая

неактуальная

неактуальная

актуальная

Средняя

неактуальная

актуальная

актуальная

Высокая

актуальная

актуальная

актуальная

Очень высокая

актуальная

актуальная

актуальная