МОДЕЛЬ УГРОЗ БЕЗОПАСНОСТИ ИНФОРМАЦИИ ИНФОРМАЦИОННОЙ СИСТЕМЫ ПЕРСОНАЛЬНЫХ ДАННЫХ. 2. Учебный пример МУ ИСПДн ИМОИБ. Учебный пример для самостоятельной подготовки
 Скачать 122.98 Kb.
|
Актуальные угрозы безопасности информацииВ ходе оценки угроз безопасности информации должны быть определены возможные угрозы безопасности информации и оценена их актуальность для ИСПДн – актуальные угрозы безопасности информации. Исходными данными для оценки актуальности угроз безопасности информации являются: общий перечень угроз безопасности информации, содержащийся в банке данных угроз безопасности информации ФСТЭК России (bdu.fstec.ru), модели угроз безопасности информации, разрабатываемые ФСТЭК России в соответствии с подпунктом 4 пункта 8 Положения о Федеральной службе по техническому и экспортному контролю, утвержденного Указом Президента Российской Федерации от 16 августа 2004 г. № 1085, а также отраслевые (ведомственные, корпоративные) модели угроз безопасности информации; негативные последствия от реализации (возникновения) угроз безопасности информации, определенные в Главе 3 настоящей Модели угроз; объекты воздействия угроз безопасности информации и виды воздействий на них, определенные в Главе 4 настоящей Модели угроз; виды и категории актуальных нарушителей, которые могут реализовывать угрозы безопасности информации, в том числе непреднамеренные угрозы, и их возможности, определенные в Главе 5 настоящей Модели угроз; актуальные способы реализации (возникновения) угроз безопасности информации, определенные в Главе 6 настоящей Модели угроз. Определение возможных (вероятных) угроз безопасности информацииНа основе анализа исходных данных определяются возможные для ИСПДн угрозы безопасности информации, к которым относятся осуществляемые нарушителем воздействия на информационные ресурсы и компоненты ИСПДн (объекты воздействия), в результате которых возможно нарушение безопасности информации и (или) нарушение или прекращение функционирования ИСПДн. Угроза безопасности информации возможна, если имеются нарушитель или иной источник угрозы, объект, на который осуществляются воздействия, способы реализации угрозы безопасности информации, а реализация угрозы может привести к негативным последствиям: УБИi = [нарушитель (источник угрозы); объекты воздействия; способы реализации угроз; негативные последствия]. В качестве источников угроз безопасности информации использовались Банк данных угроз ФСТЭК России (bdu.fstec.ru) и Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных (утв. зам. директора ФСТЭК России 15.02.2008 г.). Для формирования перечня возможных (вероятных) угроз безопасности информации из Банка данных угроз и Базовой модели угроз безопасности персональных данных при их обработке в информационных системах персональных данных были выделены угрозы, для которых имеется нарушитель с соответствующим потенциалом, а также объект воздействия, сходный по типу с определенными в Главе 4 настоящей Модели угроз объектами. Так как самый высокий потенциал вероятного внутреннего нарушителя, определенный в настоящей Модели угроз, принимает значение «базовый повышенный», данному потенциалу был сопоставлен «низкий» потенциал из шкалы измерений потенциала нарушителя, принятой в Банке данных угроз. Потенциал вероятного внутреннего нарушителя определен как «базовый», соответственно ему был так же сопоставлен «низкий» потенциал из шкалы измерений Банка данных угроз. Перечень возможных (вероятных) угроз безопасности информации представлен в Таблице №9. Таблица №9
| ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||