Определение исходного уровня защищенности.

Анализ угроз.

Для анализа угроз информационной безопасности ПДн и КТ при их обработке в АС необходимо:

- Определить возможность реализации угрозы Y=(Y₁ + Y₂)/20:

- Y₁ - уровень исходной защищённости;

- Y₂ - частота (вероятность) реализации угрозы.

- Определить опасность реализации угрозы.

- Произвести оценку реализации угрозы.

Определение исходного уровня защищенности.

В таблице 1 представлены характеристики уровня исходной защищенности АС.

Таблица 1 – Исходный уровень защищенности

Технические и эксплуатационные характеристики	Уровень защищенности
	Высокий	Средний	Низкий
1. По территориальному размещению:
Распределенная АС, которая охватывает несколько областей, краев, округов или государство в целом.			+
2. По наличию соединения с сетями общего пользования
АС, имеющая многоточечный выход в сеть общего пользования.			+
3. По встроенным (легальным) операциям с записями баз данных
модификация, передача.			+
4. По разграничению доступа к АС:
АС, к которой имеют доступ все сотрудники Предприятия, являющейся владельцем АС.		+
5. По наличию соединения с другими АС:
АС, в которой используется базы данных, принадлежащие Предприятию – владельцу данной АС.	+
6. По уровню обезличивания ПД
АС, в которой предоставляемые пользователю данные не являются обезличенными (т.е. присутствует информация, позволяющая идентифицировать субъекта ПДн).			+
7. По объему данных, предоставляемых сторонним пользователям без предварительной обработки:
АС, не предоставляющая никакой информации.	+

АС имеет низкую степень исходной защищенности, так как более 30 % характеристик АС соответствуют низкому уровню защищенности (Y₁=5).

Вероятность реализации угроз безопасности.

Под вероятностью реализации угрозы понимается определяемый экспертным путем показатель, характеризующий, насколько вероятным является реализация конкретной угрозы безопасности для АС в складывающихся условиях обстановки.

Числовой коэффициент (Y₂) для оценки вероятности возникновения угрозы определяется по 4 вербальным градациям этого показателя:

- маловероятно – отсутствуют объективные предпосылки для осуществления угрозы (Y₂=0);

- низкая вероятность – объективные предпосылки для реализации угрозы существуют, но принятые меры существенно затрудняют ее реализацию (Y₂=2);

- средняя вероятность – объективные предпосылки для реализации угрозы существуют, но принятые меры обеспечения безопасности недостаточны (Y₂=5);

- высокая вероятность – объективные предпосылки для реализации угрозы существуют, и меры по обеспечению безопасности не приняты (Y₂=10).

При обработке коммерческой тайны и персональных данных в АС можно выделить следующие угрозы:

Угрозы утечки информации по техническим каналам.

Угрозы утечки акустической (речевой) информации.

Угроза утечки акустической (речевой) информации, содержащей коммерческую тайну и персональные данные сотрудников непосредственно в произносимой речи, возможна при наличии у нарушителя технических средств перехвата акустической информации. Также возможна утечка информации по каналу непреднамеренного прослушивания.

В компании действует положение о носимых радиоэлектронных устройствах, в соответствии с которым запрещается проносить на территорию контролируемой зоны фото-, видео-, звукозаписывающую и приемо-передающую радиоэлектронную аппаратуру.

Вероятность реализации угрозы – низкая вероятность.

Угрозы утечки видовой информации.

Угроза утечки видовой информации возможна за счет просмотра информации с помощью оптических средств с экранов дисплеев и других средств, входя­щих в состав АС.

Во всех филиалах организации на окнах установлены жалюзи.

Вероятность реализации угрозы – низкая вероятность.

Угрозы несанкционированного доступа к информации

Кража ПЭВМ.

Угроза заключается в НСД внешними нарушителями в помещения, где расположены элементы АС.

Главный офис компании является контролируемой зоной, контроль доступа лиц осуществляется сотрудниками охраны. Остальные офисы компании не являются контролируемой зоной.

Вероятность реализации угрозы (главный офис) – низкая вероятность.

Вероятность реализации угрозы – высокая вероятность.

Угрозы хищения, несанкционированной модификации или блокирования информации за счет несанкционированного доступа (НСД) с применением программно-аппаратных и программных средств (в том числе программно-математических воздействий).

Действия вредоносных программ (вирусов).

Программно-математическое воздействие – это воздействие с помощью вредоносных программ. Программой с потенциально опасными последствиями или вредоносной программой (вирусом) называют некоторую самостоятельную программу (набор инструкций), которая способна выполнять любое непус­тое подмножество следующих функций:

- разрушение (искажение) структуры программ и файлов;

- выполнение без инициирования со стороны пользователя (пользователь­ской программы в штатном режиме ее выполнения) деструктивных функции (копирования, уничтожения, блокирования и т.п.);

- кража конфиденциальной информации.

В компании действует положение и инструкция по организации антивирусной защиты.

Вероятность реализации угрозы – низкая вероятность.

 

 

Угрозы непреднамеренных действий пользователей и нарушений безопасности функционирования АС из-за сбоев в программном обеспечении, а также от угроз неантропогенного (сбоев аппаратуры из-за ненадежности элементов, сбоев электропитания) и стихийного (ударов молний, пожаров, наводнений и т.п.) характера

Стихийное бедствие.

Угроза заключается в потенциальной возможности нарушения целостности и режимов функционирование автоматизированной системы Предприятия вследствие таких стихийных бедствий как:

- пожар;

- наводнение;

- удар молнии;

- землетрясение.

Вероятность реализации угрозы – низкая вероятность.

Реализуемость угроз

По итогам оценки уровня защищенности (Y₁) и вероятности реализации угрозы (Y₂), рассчитывается коэффициент реализуемости угрозы (Y) и определяется возможность реализации угрозы. Коэффициент реализуемости угрозы Y будет определяться соотношением Y = (Y₁+ Y₂)/20

Оценка реализуемости угроз безопасности АС представлена в таблице 2.

Таблица 2 – Реализуемость угроз безопасности АС

Тип угроз безопасности АС	Коэффициент реализуемости угрозы (Y)	Возможность реализации
1. Угрозы от утечки по техническим каналам
Угрозы утечки акустической информации	0,35	Низкая
Угрозы утечки видовой информации	0,35	Низкая
Угрозы утечки информации по каналам ПЭМИН	0,25	Отсутствует
2. Угрозы несанкционированного доступа к информации.
Кража ПЭВМ (главный офис)	0,35	Низкая
Кража ПЭВМ	0,75	Высокая
Кража носителей информации (главный офис)	0,35	Низкая
Кража носителей информации	0,75	Высокая
Кража ключей и атрибутов доступа (главный офис)	0,35	Низкая
Кража ключей и атрибутов доступа	0,5	Средняя
Кражи, модификации, уничтожения информации (главный офис)	0,35	Низкая
Кражи, модификации, уничтожения информации	0,75	Высокая
Несанкционированный доступ к информации при техническом обслуживании (ремонте, замене) узлов ПЭВМ	0,25	Отсутствует
3. Угрозы хищения, несанкционированной модификации или блокирования информации за счет несанкционированного доступа (НСД) с применением программно-аппаратных и программных средств (в том числе программно-математических воздействий).
Действия вредоносных программ (вирусов)	0,35	Низкая
Недекларированные возможности системного ПО	0,5	Средняя
Установка ПО не связанного с исполнением служебных обязанностей	0,75	Высокая
4. Угрозы непреднамеренных действий пользователей и нарушений безопасности функционирования АС из-за сбоев в программном обеспечении, а также от угроз неантропогенного (сбоев аппаратуры из-за ненадежности элементов, сбоев электропитания) и стихийного (ударов молний, пожаров, наводнений и т.п.) характера.
Утрата ключей и атрибутов доступа	0,35	Низкая
Непреднамеренная модификация (уничтожение) информации сотрудниками	0, 35	Низкая
Выход из строя аппаратно-программных средств	0, 35	Низкая
Сбой системы электроснабжения	0, 35	Низкая
Стихийное бедствие	0, 35	Низкая
5. Угрозы преднамеренных действий внутренних нарушителей
Доступ к информации, модификация, уничтожение лицами не допущенными к ее обработке	0,75	Высокая
Разглашение, модификация, уничтожение информации сотрудниками, допущенными к ее обработке	0,35	Низкая

Оценка опасности угроз

Оценка опасности угроз безопасности АС производится на основе опроса специалистов по защите информации и определяется вербальным показателем опасности, который имеет три значения:

низкая опасность - если реализация угрозы может привести к незначительным негативным последствиям для АС;

средняя опасность - если реализация угрозы может привести к негативным последствиям для АС;

высокая опасность - если реализация угрозы может привести к значительным негативным последствиям для АС.

Оценка опасности угроз безопасности АС представлена таблице 3.

Таблица 3 – опасности угроз АС

Тип угроз безопасности АС	Опасность угрозы

Анализ угроз.

Для анализа угроз информационной безопасности ПДн и КТ при их обработке в АС необходимо:

- Определить возможность реализации угрозы Y=(Y₁ + Y₂)/20:

- Y₁ - уровень исходной защищённости;

- Y₂ - частота (вероятность) реализации угрозы.

- Определить опасность реализации угрозы.

- Произвести оценку реализации угрозы.

Определение исходного уровня защищенности.

В таблице 1 представлены характеристики уровня исходной защищенности АС.

Таблица 1 – Исходный уровень защищенности

Технические и эксплуатационные характеристики	Уровень защищенности
	Высокий	Средний	Низкий
1. По территориальному размещению:
Распределенная АС, которая охватывает несколько областей, краев, округов или государство в целом.			+
2. По наличию соединения с сетями общего пользования
АС, имеющая многоточечный выход в сеть общего пользования.			+
3. По встроенным (легальным) операциям с записями баз данных
модификация, передача.			+
4. По разграничению доступа к АС:
АС, к которой имеют доступ все сотрудники Предприятия, являющейся владельцем АС.		+
5. По наличию соединения с другими АС:
АС, в которой используется базы данных, принадлежащие Предприятию – владельцу данной АС.	+
6. По уровню обезличивания ПД
АС, в которой предоставляемые пользователю данные не являются обезличенными (т.е. присутствует информация, позволяющая идентифицировать субъекта ПДн).			+
7. По объему данных, предоставляемых сторонним пользователям без предварительной обработки:
АС, не предоставляющая никакой информации.	+

АС имеет низкую степень исходной защищенности, так как более 30 % характеристик АС соответствуют низкому уровню защищенности (Y₁=5).