Цель работы: изучить нормативные документы ФСТЭК по построению модели угроз. Построить модель угроз информационной системы персональных данных функционирующей в Вашей организации.
Теоретическая часть
Исходный уровень защищенности Он определяется следующим образом:
- ИСПДн имеет высокий уровень исходной защищенности, если не менее 70% характеристик ИСПДн соответствуют уровню «высокий»
- ИСПДн имеет средний уровень исходной защищенности, если не выполняются условия по пункту 1 и не менее 70% характеристик ИСПДн соответствуют уровню не ниже «средний»
- ИСПДн имеет низкую степень исходной защищенности, если не выполняются первые два пункта
-
При составлении перечня актуальных угроз безопасности ПДн каждой
степени исходной защищенности ставится в соответствие числовой
коэффициентY1, а именно:
- – для высокой степени исходной защищенности;
- – для средней степени исходной защищенности;
- – для низкой степени исходной защищенности;
Определение вероятности реализации угроз безопасности в информационной системе персональных данных В соответствии с «Методикой определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных» разработанной ФСТЭК, под частотой (вероятностью) реализации угрозы понимается определяемый экспертным путем показатель, характеризующий, насколько вероятным является реализация конкретной угрозы безопасности ПДн для данной ИСПДн в складывающихся условиях обстановки.
Вводятся четыре вербальных градации показателя «Вероятность реализации угрозы»:
- маловероятно – отсутствуют объективные предпосылки для осуществления угрозы (например, угроза хищения носителей информации лицами, не имеющими легального доступа в помещение, где последние хранятся);
- низкая вероятность – объективные предпосылки для реализации угрозы существуют, но принятые меры существенно затрудняют ее реализацию (например, использованы соответствующие средства защиты инф ормации);
- средняя вероятность – объективные предпосылки для реализации угрозы существуют, но принятые меры обеспечения безопасности ПДн недостаточны ;
- высокая вероятность – объективные предпосылки для реализации угрозы существуют и меры по обеспечению безопасности ПДн не приняты.
При составлении перечня актуальных угроз безопасности ПДн каждой градации вероятности возникновения угрозы ставится в соответствие числовой коэффициент Y2, а именно:
- 0 – для маловероятной угрозы;
- 2 – для низкой вероятности угрозы;
- 5 – для средней вероятности угрозы;
- 10 – для высокой вероятности угрозы.
Далее оценивается опасность каждой угрозы. При оценке опасности на основе опроса экспертов (специалистов в области защиты информации) определяется вербальный показатель опасности для рассматриваемой ИСПДн.
Этот показатель имеет три значения:
- низкая опасность – если реализация угрозы может привести к незначительным негативным последствиям для субъектов персональных данных;
- средняя опасность – если реализация угрозы может привести к негативным последствиям для субъектов персональных данных;
- высокая опасность – если реализация угрозы может привести к значительным негативным последствиям для субъектов персональных данных;
Возможность реализации угрозы | Показатель опасности угрозы | ||
---|---|---|---|
Низкая | Средняя | Высокая | |
Низкая | неактуальная | неактуальная | актуальная |
Средняя | неактуальная | актуальная | актуальная |
Высокая | актуальная | актуальная | актуальная |
Очень высокая | актуальная | актуальная | актуальная |
На основании экспертных оценок вероятности реализации угроз и показателя опасности, с учетом коэффициента исходной защищенности ИСПДн рассчитывается степень актуальности угроз безопасности ПДн.
Контрольные вопросы
Какие показатели необходимо рассчитать для построения модели угроз ПДн?
- Трафик рассматриваемый как количественную характеристику, описывающую информационные потоки между вершинами графа и распределенную во времени в соответствии со статистическими законами
Что обозначает коэффициент реализуемости угрозы?
- Сумма коэффициентов градации вероятности возникновения угрозы и степени исходной защищенности деленной на 20
Какие угрозы являются актуальными?
- Те угрозы, которые попадают под методику определения актуальных угроз безопасности персональных данных утвержденную властями РФ от 14.02.2008
В соответствии с каким нормативным документом строится модель угроз?
- В соответствии с Частю 2 статьи 19 закона №152-ФЗ «О персональных данных» от 27.07.2006
В соответствии с каким нормативным документом, и в каких случаях строится модель нарушителя?
- Федеральный закон «О персональных данных» №152-ФЗ от 27.07.2006
- «Модель угроз и нарушителя Приказ ФСБ РФ №378»