Частная модель угроз ПДн, обрабатываемых в ИСПДн "Бухгалтерия и кадры" - Формирование требований к системе защиты персональных данных

Методика определения модели нарушителя ИБ

Типовой перечень и классификация нарушителя.

    1. категория - нарушители информационной безопасности, не имеющие доступ контролируемую зону. 2. категория - нарушители информационной безопасности, имеющие разовый или постоянный доступ в контролируемую зону.

К 1-й категории относятся внешние нарушители, которые могут быть как одиночными, так и групповыми.

Ко 2-й категории относятся как внешние, так и внутренние нарушители, которые могут действовать в одиночку так и группой.

Уровень мотивации нарушителя - это вербальный показатель, который отражает степень интереса нарушителя информационной безопасности, побуждающего последнего к совершению деструктивных действий в отношении объекта защиты. Определение уровня мотивации осуществляется на основании таблицы 5.

Таблица 5 - Определение уровня мотивации нарушителя

Уровень мотивации

Мотивация нарушителя

Крайне высокий

Корыстные интересы, достижение политических целей.

Высокий

Корыстные цели, религиозные убеждения, принуждение, месть.

Средний

Профессиональное самоутверждение, желание прославиться, идеологические соображения.

Низкий

Недовольство, хулиганство, вандализм, развитие и тренировка навыков.

Минимальный

Любопытство, отсутствие мотивов.

Определение уровня опасности осуществляется с учетом опасности нарушителя. Определение актуальности нарушителя информационной безопасности с учетом уровня мотивации и опасности осуществляется на основании табл. 6

Таблица 6 - Определение актуальности нарушителя ИБ

Уровень мотивации нарушителя

Актуальность нарушителя (уровень опасности)

Минимальная

Низкая

Средняя

Высокая

Минимальный

Н

Н

Н

Н

Низкий

Н

Н

Н

А

Средний

Н

Н

А

А

Высокий

Н

А

А

А

Крайне высокий

А

А

А

А

Методика разработки модели угроз

Модель угроз - документ, использующийся для:

    - анализа защищенности ИСПДн от угроз безопасности ПДн в ходе организации и выполнения работ по обеспечению безопасности ПДн; - разработки системы защиты ПДн, обеспечивающей нейтрализацию предполагаемых угроз с использованием методов и способов защиты ПДн, предусмотренных для соответствующего класса ИСПДн; - проведения мероприятий, направленных на предотвращение несанкционированного доступа к ПДн и (или) передачи их лицам, не имеющим права доступа к такой информации; - недопущения воздействия на технические средства ИСПДн, в результате которого может быть нарушено их функционирование; - контроля обеспечения уровня защищенности персональных данных.

В соответствии с документом ФСТЭК "Методика определения актуальности угроз безопасности персональных данных при их обработке в информационных системах персональных данных" определяем степень исходной защищенности ИСПДн.

Под уровнем исходной защищенности ИСПДн понимается обобщенный показатель, зависящий от технических и эксплуатационных характеристик ИСПДн, приведенных в таблице 8.

Таблица 8 - Показатели исходной защищенности ИСПДн

Технические и эксплуатационные характеристики ИСПДн

Уровень защищенности

Высокий

Средний

Низкий

1. По территориальному размещению:

Распределенная ИСПДн, которая охватывает несколько областей, краев, округов или государство в целом;

-

-

+

Городская ИСПДн, охватывающая не более одного населенного пункта (города, поселка);

-

-

+

Корпоративная распределенная ИСПДн, охватывающая многие подразделения одной организации;

-

+

-

Локальная (кампусная) ИСПДн, развернутая в пределах нескольких близко расположенных зданий;

-

+

-

Локальная ИСПДн, развернутая в пределах одного здания.

+

-

-

2. По наличию соединения с сетями общего пользования:

ИСПДн, имеющая многоточечный выход в сеть общего пользования;

-

-

+

ИСПДн, имеющая одноточечный выход в сеть общего пользования;

-

+

-

ИСПДн, физически отделенная от сети общего пользования.

+

-

-

3. По встроенным (легальным) операциям с записями баз ПДн:

Чтение, поиск;

+

-

-

Запись, удаление, сортировка;

-

+

-

Продолжение таблицы 8 - Показатели исходной защищенности ИСПДн

Модификация, передача.

-

-

+

4. По разграничению доступа к ПДн:

ИСПДн, к которой имеют доступ определенные перечнем сотрудники организации, являющейся владельцем ИСПДн, либо субъект ПДн;

-

+

-

ИСПДн, к которой имеют доступ все сотрудники организации, являющейся владельцем ИСПДн;

-

-

+

ИСПДн с открытым доступом.

-

-

+

5. По наличию соединений с другими базами ПДн иных ИСПДн:

Интегрированная ИСПДн

-

-

+

ИСПДн, в которой используется одна база ПДн, принадлежащая организации-владельцу данной ИСПДн

+

-

-

6. По уровню обобщения (обезличивания) ПДн:

ИСПДн, в которой предоставляемые пользователю данные являются обезличенными (на уровне организации, отрасли, области, региона и т. д.);

+

-

-

ИСПДн, в которой данные обезличиваются только при передаче в другие организации и не обезличены при предоставлении пользователю в организации;

-

+

-

ИСПДн, в которой предоставляемые пользователю данные не являются обезличенными (т. е. присутствует информация, позволяющая идентифицировать субъекта ПДн).

-

-

+

7. По объему ПДн, которые предоставляются сторонним пользователям ИСПДн без предварительной обработки:

ИСПДн, предоставляющая всю базу данных с ПДн;

-

-

+

ИСПДн, предоставляющая часть ПДн;

-

+

-

ИСПДн, не предоставляющая никакой информации.

+

-

-

Исходная степень защищенности определяется следующим образом:

    1. ИСПДн имеет Высокий уровень исходной защищенности, если не менее 70% характеристик ИСПДн соответствуют уровню "высокий" (суммируются положительные решения по первому столбцу, соответствующему высокому уровню защищенности), а остальные - среднему уровню защищенности (положительные решения по второму столбцу). 2. ИСПДн имеет Средний уровень исходной защищенности, если не выполняются условия по пункту 1 и не менее 70% характеристик ИСПДн соответствуют уровню не ниже "средний" (берется отношение суммы положительные решений по второму столбцу, соответствующему среднему уровню защищенности, к общему количеству решений), а остальные - низкому уровню защищенности. 3. ИСПДн имеет Низкую степень исходной защищенности, если не выполняются условия по пунктам 1 и 2.

При составлении перечня актуальных угроз безопасности ПДн каждой градации вероятности возникновения угрозы ставится в соответствие числовой коэффициент Y2 , а именно:

    - 0 - для маловероятной угрозы; - 2 - для низкой вероятности угрозы; - 5 - для средней вероятности угрозы; - 10 - для высокой вероятности угрозы.

По значению реализации угрозы ставится вербальная интерпретация реализуемости угрозы, если:

    - 0?Y?0.3 - низкая возможность реализации угрозы, - 0.3 - 0.6 - Y>0.8 - очень высокая возможность реализации угрозы.

Далее оценивается опасность каждой угрозы. При оценке опасности на основе опроса экспертов (специалистов в области защиты информации) определяется вербальный показатель опасности для рассматриваемой ИСПДн. Этот показатель имеет три значения:

    - низкая опасность - если реализация угрозы может привести к незначительным негативным последствиям для субъектов ПДн; - средняя опасность - если реализация угрозы может привести к негативным последствиям для субъектов ПДн; - высокая опасность - если реализация угрозы может привести к значительным негативным последствиям для субъектов ПДн.

Затем осуществляется выбор из общего (предварительного) перечня угроз безопасности тех, которые относятся к актуальным для данной ИСПДн, в соответствии с правилами, приведенными в таблице 9.

Таблица 9 - Правила отнесения угрозы безопасности ПДн к актуальной

Возможность реализации угрозы

Показатель опасности угрозы

Низкая

Средняя

Высокая

Низкая

Н

Н

А

Средняя

Н

А

А

Высокая

А

А

А

Очень высокая

А

А

А

Похожие статьи




Частная модель угроз ПДн, обрабатываемых в ИСПДн "Бухгалтерия и кадры" - Формирование требований к системе защиты персональных данных

Предыдущая | Следующая