Идентификация ресурсов и их владельцев

- Информационные ресурсы (конфиденциальная и критичная информация компании);

- Программные ресурсы (ОС, СУБД, критичные приложения, например ERP);

- Физические ресурсы (сервера, рабочие станции, сетевое и телекоммуникационное оборудование);

- Сервисные ресурсы (электронная почта, www и т.д.).

Категорирование ресурсов организации

 

Категорирование заключается в определении уровня конфиденциальности (секретности) и критичности (степень влияния на эффективность производственных процессов) ресурса. Требования по категорированию могут разрабатываться в организации или базироваться на отраслевых НПА.

· конфиденциальность (высокая, средняя, низкая)

· целостность (высокая, средняя, низкая)

· доступность (высокая, средняя, низкая)

Критерии отнесения к категориям конфиденциальности

К1 - Строго конфиденциальная -(информация, содержащая сведения, составляющие государственную тайну, сертификаты ЭЦП должностных лиц; информация, разглашение которой может привести к тяжким финансово-экономическим последствиям для организации;

К2 - Конфиденциальная – информация, отнесенная к коммерческой и др. тайне, персональные данные, сведения ограниченного распространения, информация, разглашение которой может привести к значительным убыткам и потере; внутренняя информация, предназначенная для использования исключительно сотрудниками организации при выполнении ими своих служебных обязанностей;

К3 - Открытая информация- открытая информация, предназначенная для официальной передачи во внешние организации и средства массовой информации; иная информация.

 

Критерии отнесения к категориям целостности

В1 – высокие требования к целостности - информация, несанкционированная модификация (искажение, подмена, уничтожение) или фальсификация (подделка) которой может привести к нанесению значительного прямого ущерба организации, целостность и аутентичность которой должна обеспечиваться ЭЦП;

В2 - средние требования к целостности - информация, несанкционированная модификация, подмена или удаление которой может привести к нанесению любого, кроме значительного ущерба (не отнесенного к категории B1), целостность которой должна обеспечиваться в соответствии с решением руководства организации (методами подсчета контрольных сумм, хеш-функций и т.п.);

В3 - информация, к обеспечению целостности (и аутентичности) которой требований не предъявляется

 

Критерии отнесения к категориям доступности

Д1 - доступ к задаче должен обеспечиваться в любое время (задержка получения результата не должна превышать нескольких секунд или минут) – например, серверы ЛВС;

Д2 - доступ к задаче должен осуществляться без существенных временных задержек (задержка не должна превышать нескольких часов) – например, отдельные критически важные ПЭВМ;

Д3 - доступ к задаче может обеспечиваться с существенными временными задержками (задержка не должна превышать нескольких дней) – например, ПЭВМ сотрудников банка, которые работают параллельно;

Д 4 - временные задержки при доступе к задаче практически не лимитированы (допустимая задержка несколько недель – например, ПЭВМ буфета, хозслужбы, и тд.)

Ф	К1	К2	К3
Ц1
Ц2
Ц3

 

Категория	Д1	Д2	Д3	Д4
Ф1
Ф2
Ф3
Ф4

 

Категорирование

· Категория 1 – максимальная степень защиты

· Категория 2 – высокая степень защиты

· Категория 3 – средняя степень защиты

· Категория 4 – низкая степень защиты

 

Решение об отнесении ресурса к категориям информации принимает руководство или начальник отдела.

 

Угроза – возможные воздействия на ИО, приводящие к ущербу

 

Классификация угроз

· по аспекту информационной безопасности, против которого угрозы направлены в первую очередь (доступность, целостность, конфиденциальность, собственность);

· по компонентам информационных систем, на которые угрозы нацелены (данные, программы, аппаратура, поддерживающая инфраструктура);

· по способу осуществления (случайные/преднамеренные, природные/техногенного характера);

· по расположению источника угроз (внутренние/внешние).

 

Примеры угроз

Угрозы доступности:

· отказ пользователей;

· внутренний отказ информационной системы;

· отказ поддерживающей инфраструктуры.

Угрозы целостности:

· ввод неверных данных;

· изменение данных;

· нарушение атомарности транзакций, переупорядочение, кража, дублирование или внесение дополнительных сообщений

Угрозы конфиденциальности:

· Перехват паролей.

· Размещение и передача конфиденциальных данных в небезопасной среде.

· Доступ к резервным копиям.

· Кражи оборудования.

· Социальный инжиниринг

· Злоупотребления полномочиями.

Одним из способов идентификации угроз является построение модели нарушителя

При составлении перечня угроз и оценке их уровня используются списки классов угроз различных организаций и информация об их рейтингах либо средних значениях вероятности реализации данной угрозы. The Federal Computer Incident Response Center (FedCIRC), Federal Bureau of Investigation’s National Infrastructure Protection Center, SecurityFocus, и др. Существуют системы мониторинга состояния кибер-ИБ в мире (Symantec). В основном относятся к кибер-угрозам.

http://www.bdu.fstec.ru/threat?size=100 - База данных угроз ФСТЭК

Приложения ISO 27005.

Идентификация уязвимостей.

 

Уязвимости – это слабые места активов, делающие возможной реализацию угрозы. Они связаны с природой активов или окружающими условиями (в т.ч. с используемыми контролями).

Составляется список потенциальных уязвимостей данной ИС и возможные результаты их реализации (источники - сетевые сканеры уязвимостей, каталоги уязвимостей разных организаций, примерные списки уязвимостей ISO 27005 и др.). При оценке уровня уязвимости принимаются во внимание существующие процедуры и методы обеспечения режима информационной безопасности, данные внутреннего аудита и результаты анализа имевших место инцидентов.

 

Определение ценности активов (возможные последствия от потери конфиденциальности, целостности и доступности активов). Информация о ценности актива может быть получена от его владельца или же от лица, которому владелец делегировал все полномочия по данному активу, включая обеспечение его безопасности.

e) Оценка риска.

Оценка ущерба, который может быть нанесен бизнесу от потери конфиденциальности, целостности и доступности активов.

Оценка вероятности реализации угроз через существующие уязвимости с учетом имеющихся средств управления ИБ и возможного наносимого ущерба;

Определение уровня риска.

Применение критериев принятия риска (приемлемый/требующий обработки).

 

Оценивание рисков

Аспекты:

· Шкалы и критерии, по которым можно измерять риски.

· Оценку вероятностей событий.

· Технологии измерения рисков.