Разработчики модели угроз - специалисты в области защиты информации могут уточнить указанный выше перечень информации, сопутствующей процессам создания и использования персональных данных, с приведением соответствующих обоснований. Рекомендуется указанное уточнение делать только в случае необходимости разработки нового типа криптосредства. Уточнение перечня информации, сопутствующей процессам создания и использования персональных данных, должно осуществляться путем:
Определение характеристик безопасности Необходимо определить характеристики безопасности не только персональных данных, но и характеристики безопасности всех объектов, которые были определены как возможные объекты угроз. Основными (классическими) характеристиками безопасности являются конфиденциальность, целостность и доступность. В дополнение к перечисленным выше основным характеристикам безопасности могут рассматриваться также и другие характеристики безопасности. В частности, к таким характеристикам относятся неотказуемость, учетность (иногда в качестве синонима используется термин «подконтрольность»), аутентичность (иногда вкачестве синонима используется термин «достоверность») и адекватность . Приведенный список характеристик безопасности не является исчерпывающим. Возможность большого числа характеристик безопасности кроется в определении понятия «характеристика безопасности объекта»: «характеристика безопасности объекта - требование к объекту, или к условиям его создания и существования, или к информации об объекте и условиях его создания и существования, выполнение которого необходимо для обеспечения защищенности жизненно важных интересов личности, общества или государства». Как правило, условия создания и существования реальных объектов достаточно сложны и, как следствие, к ним можно предъявить достаточно много самых различных требований. Так как угроза безопасности объекта - возможное нарушение характеристики безопасности объекта, то перечень всех характеристик безопасности для всех возможных объектов угроз, по сути, определяет модель угроз верхнего уровня. Например, если в информационной системе требуется обеспечить только защиту отуничтожения, целостность и доступность защищаемой информации (в качестве возможного примера такой информационной системы можно привести информационную систему школьного учителя, содержащую общедоступные персональные данные учащихся), то модель угроз верхнего уровня содержит следующий перечень угроз: Только авторизованные пользователи могут оставлять комментарии - авторизация, а если Вы впервые, то нужно зарегистрироваться в системе
|
Вопрос специалисту
На нашем сайте Вы можете бесплатно задать вопрос специалисту
Видео Документы для скачивания |