Для каждой информационной существуют угрозы безопасности. Угрозы можно классифицировать следующим образом:
- по видам возможных источников угроз;
- по структуре ИСПДн на которые направлена реализация угроз безопасности ПДн;
- по виду несанкционированных действий, осуществляемых с ПДн;
- по способам реализации угроз;
- по виду каналов, с использованием которых реализуются те или иные угрозы.
Актуальной считается угроза, которая может быть реализована в ИСПДн и представляет опасность для ПДн. Для оценки возможности реализации угрозы применяются два показателя - уровень исходной защищенности ИСПДн и частота (вероятность) реализации рассматриваемой угрозы.
Исходная степень защищенности определяется следующим образом:
- ИСПДн имеет высокий уровень исходной защищенности, еcли не менее 70% характеристик ИСПДн соответствуют уровню «высокий»;
- ИСПДн имеет средний уровень исходной защищенности, если не выполняются условия по пункту 1 и не менее 70% характеристик ИСПДн соответствуют уровню не ниже "средний";
- ИСПДн имеет низкую степень исходной защищенности, если не выполняется условия по пунктам 1 и 2.
При составлении перечня актуальных угроз безопасности ПДн каждой степени исходной защищенности ставится в соответствие числовой коэффициент Y1. 0 - для высокой степени исходной защищенности, 5 - для средней степени исходной защищенности и 10 - для низкой степени исходной защищенности.
Под частотой (вероятностью) реализации угрозы понимается определяемый экспертным путем показатель, характеризующий, насколько вероятным является реализация конкретной угрозы безопасности ПДн для данной ИСПДн в складывающихся условиях обстановки.
Вводятся четыре вербальных градации частоты реализации угрозы:
- маловероятно - отсутствуют объективные предпосылки для осуществления угрозы (например, угроза хищения носителей информации лицами, не имеющими легального доступа в помещение, где последние хранятся);
- низкая вероятность - объективные предпосылки для реализации угрозы существуют, но принятые меры существенно затрудняют ее реализацию (например, использованы соответствующие средства защиты информации);
- средняя вероятность - объективные предпосылки для реализации угрозы существуют, но принятые меры обеспечения безопасности ПДн недостаточны;
- высокая вероятность - объективные предпосылки для реализации угрозы существуют и меры по обеспечению безопасности ПДн не приняты.
При составлении перечня актуальных угроз безопасности ПДн каждой градации вероятности возникновения угрозы ставится в соответствие числовой коэффициент Y2. 0 - для маловероятной угрозы, 2 - для низкой вероятности угрозы, 5 - для средней вероятности угрозы и 10 - для высокой вероятности угрозы.
По значению коэффициента реализуемости угрозы Y формируется вербальная (словесная) интерпретация реализуемости угрозы:
- 0 < Y < 0,3 - возможность реализации угрозы низкая;
- 0,3 < Y < 0,6 - возможность реализации угрозы средняя;
- 0,6 < Y < 0,8 - возможность реализации угрозы высокая;
- Y > 0,8 - возможность реализации угрозы очень высокая.
При оценке опасности на основе опроса экспертов (специалистов в области защиты информации) определяется вербальный показатель опасности для рассматриваемой ИСПДн. Этот показатель имеет три значения:
- низкая опасность - если реализация угрозы может привести к незначительным негативным последствиям для субъектов персональных данных;
- средняя опасность - если реализация угрозы может привести к негативным последствиям для субъектов персональных данных;
- высокая опасность - если реализация угрозы может привести к значительным негативным последствиям для субъектов персональных данных.
Возможность реализации угрозы (вербальная)
|
Показатель опасности угрозы (вербальный)
|
Низкая
|
Средняя
|
Высокая
|
Низкая
|
неактуальная
|
неактуальная
|
актуальная
|
Средняя
|
неактуальная
|
актуальная
|
актуальная
|
Высокая
|
актуальная
|
актуальная
|
актуальная
|
Очень высокая
|
актуальная
|
актуальная
|
актуальная
|
|