Для каждой информационной существуют угрозы безопасности. Угрозы можно классифицировать следующим образом:
- по видам возможных источников угроз;
- по структуре ИСПДн на которые направлена реализация угроз безопасности ПДн;
- по виду несанкционированных действий, осуществляемых с ПДн;
- по способам реализации угроз;
- по виду каналов, с использованием которых реализуются те или иные угрозы.
Актуальной считается угроза, которая может быть реализована в ИСПДн и представляет опасность для ПДн. Для оценки возможности реализации угрозы применяются два показателя - уровень исходной защищенности ИСПДн и частота (вероятность) реализации рассматриваемой угрозы.
Исходная степень защищенности определяется следующим образом:
- ИСПДн имеет высокий уровень исходной защищенности, еcли не менее 70% характеристик ИСПДн соответствуют уровню «высокий»;
- ИСПДн имеет средний уровень исходной защищенности, если не выполняются условия по пункту 1 и не менее 70% характеристик ИСПДн соответствуют уровню не ниже "средний";
- ИСПДн имеет низкую степень исходной защищенности, если не выполняется условия по пунктам 1 и 2.
При составлении перечня актуальных угроз безопасности ПДн каждой степени исходной защищенности ставится в соответствие числовой коэффициент Y1. 0 - для высокой степени исходной защищенности, 5 - для средней степени исходной защищенности и 10 - для низкой степени исходной защищенности.
Под частотой (вероятностью) реализации угрозы понимается определяемый экспертным путем показатель, характеризующий, насколько вероятным является реализация конкретной угрозы безопасности ПДн для данной ИСПДн в складывающихся условиях обстановки.
Вводятся четыре вербальных градации частоты реализации угрозы:
- маловероятно - отсутствуют объективные предпосылки для осуществления угрозы (например, угроза хищения носителей информации лицами, не имеющими легального доступа в помещение, где последние хранятся);
- низкая вероятность - объективные предпосылки для реализации угрозы существуют, но принятые меры существенно затрудняют ее реализацию (например, использованы соответствующие средства защиты информации);
- средняя вероятность - объективные предпосылки для реализации угрозы существуют, но принятые меры обеспечения безопасности ПДн недостаточны;
- высокая вероятность - объективные предпосылки для реализации угрозы существуют и меры по обеспечению безопасности ПДн не приняты.
При составлении перечня актуальных угроз безопасности ПДн каждой градации вероятности возникновения угрозы ставится в соответствие числовой коэффициент Y2. 0 - для маловероятной угрозы, 2 - для низкой вероятности угрозы, 5 - для средней вероятности угрозы и 10 - для высокой вероятности угрозы.
По значению коэффициента реализуемости угрозы Y формируется вербальная (словесная) интерпретация реализуемости угрозы:
- 0 < Y < 0,3 - возможность реализации угрозы низкая;
- 0,3 < Y < 0,6 - возможность реализации угрозы средняя;
- 0,6 < Y < 0,8 - возможность реализации угрозы высокая;
- Y > 0,8 - возможность реализации угрозы очень высокая.
При оценке опасности на основе опроса экспертов (специалистов в области защиты информации) определяется вербальный показатель опасности для рассматриваемой ИСПДн. Этот показатель имеет три значения:
- низкая опасность - если реализация угрозы может привести к незначительным негативным последствиям для субъектов персональных данных;
- средняя опасность - если реализация угрозы может привести к негативным последствиям для субъектов персональных данных;
- высокая опасность - если реализация угрозы может привести к значительным негативным последствиям для субъектов персональных данных.
Возможность реализации угрозы (вербальная)
|
Показатель опасности угрозы (вербальный)
|
Низкая
|
Средняя
|
Высокая
|
Низкая
|
неактуальная
|
неактуальная
|
актуальная
|
Средняя
|
неактуальная
|
актуальная
|
актуальная
|
Высокая
|
актуальная
|
актуальная
|
актуальная
|
Очень высокая
|
актуальная
|
актуальная
|
актуальная
|
Типовой пример оформления результатов в частной модели угроз
Угрозы утечки информации по техническим каналам и за счёт НСД
|
Уровень исходной защищённости (Y1)
|
Вероятность реализации угрозы (Y2)
|
Коэффициент реализуемости угрозы Y=(Y1+Y2)/20
|
Показатель опасности угрозы (определяется на основе опроса специалистов в области ЗИ)
|
Вывод об актуальности угрозы
|
Малая вероятность
(0)
|
Низкая вероятность
(2)
|
Средняя вероятность (5)
|
Высокая вероятность (10)
|
Возможность реализации угрозы
|
Низкая опасность
|
Средняя опасность
|
Высокая опасность
|
Утечка информации по каналу ПЭМИН
|
5
|
|
2
|
|
|
0,35
|
да
|
|
|
нет
|
средняя
|
Утечка речевой информации
|
5
|
0
|
|
|
|
0.25
|
да
|
|
|
нет
|
низкая
|
перехват паролей (идентификаторов)
|
5
|
|
|
5
|
|
0,5
|
|
|
да
|
да
|
средняя
|
Класс информационной системы может быть пересмотрен по решению оператора на основе проведенных им анализа и оценки угроз безопасности персональных данных с учетом особенностей и (или) изменений конкретной информационной системы, или по результатам мероприятий по контролю за выполнением требований к обеспечению безопасности персональных данных при их обработке в информационной системе.
С использованием данных о классе ИСПДн и составленного перечня актуальных угроз, на основе «Рекомендаций …» и «Основных мероприятий …» формулируются конкретные организационно-технические требования по защите ИСПДн от утечки информации по техническим каналам, от несанкционированного доступа и осуществляется выбор программных и технических средств защиты информации, которые могут быть использованы при создании и дальнейшей эксплуатации ИСПДн.
|