Оганджанян СИБ отчет. Отчет Творческому заданию Модель угроз безопасности информации отделения налоговой службы по дисциплине Стандарты информационной безопасности
 Скачать 59.69 Kb.
|
Возможные негативные последствия от реализации (возникновения) угроз безопасности информацииВ ходе разработки, внедрения, эксплуатации и совершенствования объектов информатизации налоговых органов, субъектам правоотношений, рассмотренным выше, могут быть причинены следующие виды ущерба (вреда): материальный (экономический) ущерб любому субъекту от разглашения информации, являющейся объектом защиты; моральный вред, материальный ущерб любому субъекту персональных данных, от их разглашения или нарушения конституционных прав и свобод граждан; материальный ущерб от необходимости восстановления любым субъектом нарушенных прав и объектов защиты; моральный вред, материальный ущерб от дезорганизации деятельности ФНС России; материальный ущерб ФНС России от уничтожения (утраты) объектов защиты; материальный ущерб, моральный вред от несвоевременного поступления информации потребителям государственных информационных услуг или от нарушения целостности предоставленной информации; материальный ущерб от невозможности выполнения ФНС России обязательств перед третьей стороной. Причиненный ущерб может квалифицироваться как состав преступления, предусмотренный уголовным правом, или сопоставляться с рисками утраты, предусмотренными гражданским, административным или арбитражным правом. Система обеспечения ИБ ФНС России должна обеспечить минимизацию возможного ущерба для субъектов правоотношений, участвующих в информационном обмене и использующих ИР ФНС России. Возможные объекты воздействия угроз безопасности информацииВероятность реализации угроз уменьшается различными методами, направленными с одной стороны на устранение носителей угроз - источников угроз, а с другой - на устранение или существенное ослабление основ их реализации - уязвимостей. Кроме того, эти методы должны быть направлены на устранение последствий реализации угроз. Среди методов противодействия выделяются следующие основные группы: правовые методы; экономические методы; организационные методы; инженерно-технические методы; технические методы; программно-аппаратные методы. Источники угроз безопасности информацииВсе нарушители делятся на две основные группы: внутренние и внешние. Под внутренними потенциальными нарушителями подразумеваются работники ФНС России, имеющие санкционированный доступ на территорию налоговых органов или к ИР ФНС России. Под внешними потенциальными нарушителями подразумеваются все остальные лица. Перечень потенциальных нарушителей безопасности, который включает внешних и внутренних нарушителей, определен регуляторами. В данном разделе рассматриваются особенности, которые могут влиять на ИБ ФНС России. При организации безопасности информации, содержащей государственную тайну, и на объектах КСИИ 3-й и выше категорий, в качестве потенциальных нарушителей в обязательном порядке должны рассматриваться представители иностранных технических разведок, с точки зрения возможного несанкционированного доступа (НСД) к информации, содержащей государственную тайну, и возможных деструктивных воздействий по техническим каналам на информацию, циркулирующую в КСИИ. В общем случае разработка системы безопасности информации при обработке сведений, отнесенных к государственной тайне, и/или на объектах КСИИ выше 3-го уровня важности существенно "утяжелит" СиЗИ, как с точки зрения трудозатрат, так и стоимости. Это происходит за счет усиления инженерно-технических мер физической защиты объекта, инженерно-технических мер противодействия техническим каналам утечки или деструктивного воздействия, а также дополнительных требований по катастрофоустойчивости и надежности. Рассматриваемые настоящей Концепцией вопросы ИБ в КСИИ ФНС России предусматривают в случае необходимости возможность создания частных моделей угроз и нарушителя безопасности информации для объектов КСИИ ФНС России. Применительно к безопасности персональных данных следует руководствоваться Моделью угроз и нарушителя безопасности персональных данных при их обработке в информационной системе персональных данных типового объекта информатизации ФНС России. В соответствии с принципами классификации нарушителей, установленной ФСБ России, и с учетом предположений об имеющихся у них возможностях, нарушители телекоммуникационной инфраструктуры ФНС России относятся к следующим типам:
Анализ предположений о возможностях нарушителя, которые он может использовать для разработки и проведения атак, а также об ограничениях на эти возможности, в соответствии с действующей классификацией, нарушители безопасности телекоммуникационной инфраструктуры ФНС России более всего приближены к типу Н3. Этот тип нарушителя определяется как внутренний, самостоятельно осуществляющий создание методов и средств реализации атак, а также самостоятельно реализующий атаки. Вместе с тем, при принятии организационных мер защиты, возможно снижение класса нарушителя до уровня Н2. Частная модель предполагает необходимость шифрования каналов обмена данными в АИС по классу КС3. В случае обеспечения безопасности информации при обработке информации, составляющей государственную тайну, требования к СКЗИ могут меняться вплоть до необходимости шифрования информации внутри выделенных сегментов. При рассмотрении моделей угроз безопасности информации и нарушителя информационной безопасности ФНС России, в данной Концепции не рассматривается возможность сговора внутренних нарушителей между собой, сговора внутреннего нарушителя с персоналом организаций-разработчиков подсистем АИС, а также сговора внутреннего и внешнего нарушителей, в связи с применением организационно-технических и кадрово-режимных мер. При рассмотрении моделей угроз и нарушителя ИБ ФНС России предполагается, что нарушитель знаком с требованиями безопасности информации (за исключением специальных требований СКЗИ) и является квалифицированным специалистом в области информатизации. | ||||||||||||||||||