Методика определения актуальных угроз безопасности

Для каждой информационной существуют угрозы безопасности. Угрозы можно классифицировать следующим образом:

• по видам возможных источников угроз;
• по структуре ИСПДн на которые направлена реализация угроз безопасности ПДн;
• по виду несанкционированных действий, осуществляемых с ПДн;
• по способам реализации угроз;
• по виду каналов, с использованием которых реализуются те или иные угрозы.

Актуальной считается угроза, которая может быть реализована в ИСПДн и представляет опасность для ПДн. Для оценки возможности реализации угрозы применяются два показателя - уровень исходной защищенности ИСПДн и частота (вероятность) реализации рассматриваемой угрозы.

Исходная степень защищенности определяется следующим образом:

• ИСПДн имеет высокий уровень исходной защищенности, еcли не менее 70% характеристик ИСПДн соответствуют уровню «высокий»;
• ИСПДн имеет средний уровень исходной защищенности, если не выполняются условия по пункту 1 и не менее 70% характеристик ИСПДн соответствуют уровню не ниже "средний";
• ИСПДн имеет низкую степень исходной защищенности, если не выполняется условия по пунктам 1 и 2.

При составлении перечня актуальных угроз безопасности ПДн каждой степени исходной защищенности ставится в соответствие числовой коэффициент Y1. 0 - для высокой степени исходной защищенности, 5 - для средней степени исходной защищенности и 10 - для низкой степени исходной защищенности.

Под частотой (вероятностью) реализации угрозы понимается определяемый экспертным путем показатель, характеризующий, насколько вероятным является реализация конкретной угрозы безопасности ПДн для данной ИСПДн в складывающихся условиях обстановки.

Вводятся четыре вербальных градации частоты реализации угрозы:

• маловероятно - отсутствуют объективные предпосылки для осуществления угрозы (например, угроза хищения носителей информации лицами, не имеющими легального доступа в помещение, где последние хранятся);
• низкая вероятность - объективные предпосылки для реализации угрозы существуют, но принятые меры существенно затрудняют ее реализацию (например, использованы соответствующие средства защиты информации);
• средняя вероятность - объективные предпосылки для реализации угрозы существуют, но принятые меры обеспечения безопасности ПДн недостаточны;
• высокая вероятность - объективные предпосылки для реализации угрозы существуют и меры по обеспечению безопасности ПДн не приняты.

При составлении перечня актуальных угроз безопасности ПДн каждой градации вероятности возникновения угрозы ставится в соответствие числовой коэффициент Y2. 0 - для маловероятной угрозы, 2 - для низкой вероятности угрозы, 5 - для средней вероятности угрозы и 10 - для высокой вероятности угрозы.
По значению коэффициента реализуемости угрозы Y формируется вербальная (словесная) интерпретация реализуемости угрозы:

• 0 < Y < 0,3 - возможность реализации угрозы низкая;
• 0,3 < Y < 0,6 - возможность реализации угрозы средняя;
• 0,6 < Y < 0,8 - возможность реализации угрозы высокая;
• Y > 0,8 - возможность реализации угрозы очень высокая.

При оценке опасности на основе опроса экспертов (специалистов в области защиты информации) определяется вербальный показатель опасности для рассматриваемой ИСПДн. Этот показатель имеет три значения:

• низкая опасность - если реализация угрозы может привести к незначительным негативным последствиям для субъектов персональных данных;
• средняя опасность - если реализация угрозы может привести к негативным последствиям для субъектов персональных данных;
• высокая опасность - если реализация угрозы может привести к значительным негативным последствиям для субъектов персональных данных.