Построение модели угроз ИСПДн

Лабораторная работа 5.

Опубликовано Denis Zakharov от 30 Сентября 2021

Цель работы: изучить нормативные документы ФСТЭК по построению модели угроз. Построить модель угроз информационной системы персональных данных функционирующей в Вашей организации.

Теоретическая часть

Исходный уровень защищенности Он определяется следующим образом:

  • ИСПДн имеет высокий уровень исходной защищенности, если не менее 70% характеристик ИСПДн соответствуют уровню «высокий»
  • ИСПДн имеет средний уровень исходной защищенности, если не выполняются условия по пункту 1 и не менее 70% характеристик ИСПДн соответствуют уровню не ниже «средний»
  • ИСПДн имеет низкую степень исходной защищенности, если не выполняются первые два пункта

    При составлении перечня актуальных угроз безопасности ПДн каждой степени исходной защищенности ставится в соответствие числовой коэффициентY1, а именно:
  • – для высокой степени исходной защищенности;
  • – для средней степени исходной защищенности;
  • – для низкой степени исходной защищенности;

Определение вероятности реализации угроз безопасности в информационной системе персональных данных В соответствии с «Методикой определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных» разработанной ФСТЭК, под частотой (вероятностью) реализации угрозы понимается определяемый экспертным путем показатель, характеризующий, насколько вероятным является реализация конкретной угрозы безопасности ПДн для данной ИСПДн в складывающихся условиях обстановки.

Вводятся четыре вербальных градации показателя «Вероятность реализации угрозы»:

  • маловероятно – отсутствуют объективные предпосылки для осуществления угрозы (например, угроза хищения носителей информации лицами, не имеющими легального доступа в помещение, где последние хранятся);
  • низкая вероятность – объективные предпосылки для реализации угрозы существуют, но принятые меры существенно затрудняют ее реализацию (например, использованы соответствующие средства защиты инф ормации);
  • средняя вероятность – объективные предпосылки для реализации угрозы существуют, но принятые меры обеспечения безопасности ПДн недостаточны ;
  • высокая вероятность – объективные предпосылки для реализации угрозы существуют и меры по обеспечению безопасности ПДн не приняты.

При составлении перечня актуальных угроз безопасности ПДн каждой градации вероятности возникновения угрозы ставится в соответствие числовой коэффициент Y2, а именно:

  • 0 – для маловероятной угрозы;
  • 2 – для низкой вероятности угрозы;
  • 5 – для средней вероятности угрозы;
  • 10 – для высокой вероятности угрозы.

Далее оценивается опасность каждой угрозы. При оценке опасности на основе опроса экспертов (специалистов в области защиты информации) определяется вербальный показатель опасности для рассматриваемой ИСПДн.

Этот показатель имеет три значения:

  • низкая опасность – если реализация угрозы может привести к незначительным негативным последствиям для субъектов персональных данных;
  • средняя опасность – если реализация угрозы может привести к негативным последствиям для субъектов персональных данных;
  • высокая опасность – если реализация угрозы может привести к значительным негативным последствиям для субъектов персональных данных;

Таблица 1 Правила отнесения угрозы безопасности ПДн к актуальной
Возможность реализации угрозы Показатель опасности угрозы
Низкая Средняя Высокая
Низкая неактуальная неактуальная актуальная
Средняя неактуальная актуальная актуальная
Высокая актуальная актуальная актуальная
Очень высокая актуальная актуальная актуальная
На основании экспертных оценок вероятности реализации угроз и показателя опасности, с учетом коэффициента исходной защищенности ИСПДн рассчитывается степень актуальности угроз безопасности ПДн.

Контрольные вопросы

Какие показатели необходимо рассчитать для построения модели угроз ПДн?

  • Трафик рассматриваемый как количественную характеристику, описывающую информационные потоки между вершинами графа и распределенную во времени в соответствии со статистическими законами

Что обозначает коэффициент реализуемости угрозы?

  • Сумма коэффициентов градации вероятности возникновения угрозы и степени исходной защищенности деленной на 20

Какие угрозы являются актуальными?

  • Те угрозы, которые попадают под методику определения актуальных угроз безопасности персональных данных утвержденную властями РФ от 14.02.2008

В соответствии с каким нормативным документом строится модель угроз?

  • В соответствии с Частю 2 статьи 19 закона №152-ФЗ «О персональных данных» от 27.07.2006

В соответствии с каким нормативным документом, и в каких случаях строится модель нарушителя?

  • Федеральный закон «О персональных данных» №152-ФЗ от 27.07.2006
  • «Модель угроз и нарушителя Приказ ФСБ РФ №378»