Мы поможем в написании ваших работ!



ЗНАЕТЕ ЛИ ВЫ?

Определение вероятности реализации УБПДн

Поиск

Под вероятностью реализации угрозы понимается определяемый экспертным путем показатель, характеризующий, насколько вероятным является реализация конкретной угрозы безопасности ПДн для ИСПДн в складывающихся условиях обстановки.

Числовой коэффициент (Y2) для оценки вероятности возникновения угрозы определяется по 4 вербальным градациям этого показателя:

маловероятно - отсутствуют объективные предпосылки для осуществления угрозы (Y2 = 0);

низкая вероятность- объективные предпосылки для реализации угрозы существуют, но принятые меры существенно затрудняют ее реализацию (Y2 = 2);

средняя вероятность - объективные предпосылки для реализации угрозы существуют, но принятые меры обеспечения безопасности ПДн недостаточны (Y2 = 5);

высокая вероятность - объективные предпосылки для реализации угрозы существуют и меры по обеспечению безопасности ПДн не приняты (Y2 = 10).

 


Модель угроз для ПЕРВОГО ТИПА ИС

Наименование угрозы Вероятность реализации угрозы (Y2) Возможность реализации угрозы (Y) Опасность угрозы Актуальность угрозы  
 
1. Угрозы от утечки по техническим каналам  
1.1. Угрозы утечки акустической информации   0.35 средняя неактуальная  
1.2. Угрозы утечки видовой информации   0.35 средняя Неактуальная  
1.3. Угрозы утечки информации по каналам ПЭМИН   0.5 Средняя Неактуальная  
2. Угрозы несанкционированного доступа к информации  
2.1. Угрозы уничтожения, хищения аппаратных средств ИСПДн носителей информации путем физического доступа к элементам ИСПДн  
2.1.1. Кража ПЭВМ   0.25 Низкая неактуальная  
2.1.2. Кража носителей информации   0.35 Средняя неактуальная  
2.1.3. Кража ключей доступа   0.25 Низкая неактуальная  
2.1.4. Кражи, модификации, уничтожения информации.   0.35 средняя неактуальная  
2.1.5. Вывод из строя узлов ПЭВМ, каналов связи   0.5 Средняя неактуальная  
2.1.6. Несанкционированное отключение средств защиты       Оч.высокая актуальная  
2.2. Угрозы хищения, несанкционированной модификации или блокирования информации за счет несанкционированного доступа (НСД) с применением программно-аппаратных и программных средств (в том числе программно-математических воздействий);  
2.2.1. Действия вредоносных программ (вирусов)     Оч.высокая актуальная  
2.2.2. Недекларированные возможности системного ПО и ПО для обработки персональных данных     Оч.высокая актуальная  
2.2.3. Установка ПО не связанного с исполнением служебных обязанностей     Оч.высокая актуальная  
2.3. Угрозы не преднамеренных действий пользователей и нарушений безопасности функционирования ИСПДн и СЗПДн в ее составе из-за сбоев в программном обеспечении, а также от угроз неантропогенного (сбоев аппаратуры из-за ненадежности элементов, сбоев электропитания) и стихийного (ударов молний, пожаров, наводнений и т.п.) характера.  
2.3.1. Утрата ключей и атрибутов доступа   0.5 средняя актуальная  
 
2.3.2. Непреднамеренная модификация (уничтожение) информации сотрудниками   0.5 Средняя актуальная  
2.3.3. Непреднамеренное отключение средств защиты     Оч.высокая актуальная  
 
2.3.4. Выход из строя аппаратно-программных средств   0.5 Средняя актуальная  
2.3.5. Сбой системы электроснабжения     Оч.высокая актуальная  
2.3.6. Стихийное бедствие     Оч.высокая Актуальная  
2.4. Угрозы преднамеренных действий внутренних нарушителей  
2.4.1. Доступ к информации, модификация, уничтожение лицами не допущенных к ее обработке   0.5 Средняя актуальная  
2.4.2. Разглашение информации, модификация, уничтожение сотрудниками допущенными к ее обработке   0.5 Средняя Актуальная  
 
2.5. Угрозы несанкционированного доступа по каналам связи  
2.5.1. Угроза «Анализ сетевого трафика» с перехватом передаваемой из ИСПДн и принимаемой из внешних сетей информации:  
2.5.1.1. Перехват за переделами с контролируемой зоны;     Оч.высокая актуальная  
2.5.1.2. Перехват в пределах контролируемой зоны внешними нарушителями;     Оч.высокая актуальная  
2.5.1.3. Перехват в пределах контролируемой зоны внутренними нарушителями.     Оч.высокая Актуальная  
2.5.2.Угрозы сканирования, направленные на выявление типа или типов используемых операционных систем, сетевых адресов рабочих станций ИСПДн, топологии сети, открытых портов и служб, открытых соединений и др.     Оч.высокая актуальная  
2.5.3. Угрозы выявления паролей по сети.     Оч.высокая Актуальная  
2.5.4. Угрозы навязывание ложного маршрута сети.     Оч.высокая актуальная  
2.5.5. Угрозы подмены доверенного объекта в сети.     Оч.высокая Актуальная  
2.5.6. Угрозы внедрения ложного объекта как в ИСПДн, так и во внешних сетях.     Актуальная  
2.5.7. Угрозы типа «Отказ в обслуживании».      
2.5.8. Угрозы удаленного запуска приложений      
2.5.9. Угрозы внедрения по сети вредоносных программ.      

 

* При составлении перечня актуальных угроз безопасности персональных данных каждой градации вероятности возникновения угрозы ставится в соответствие числовой коэффициент , а именно:

0 – для маловероятной угрозы;

2 – для низкой вероятности угрозы;

5 – для средней вероятности угрозы;

10 – для высокой вероятности угрозы.

** Коэффициент реализуемости угрозы Y определяется соотношением:

при этом каждой степени исходной защищенности ставится в соответствие числовой коэффициент , а именно:

0 – для высокой степени исходной защищенности;

5 – для средней степени исходной защищенности;

10 – для низкой степени исходной защищенности.

По значению коэффициента реализуемости угрозы Y формируется вербальная интерпретация реализуемости угрозы следующим образом:

если , то возможность реализации угрозы признается низкой;

если , то возможность реализации угрозы признается средней;

если , то возможность реализации угрозы признается высокой;

если , то возможность реализации угрозы признается очень высокой.

*** Опасность угрозы оценивается на основе опроса экспертов (специалистов в области защиты информации):

низкая опасность – если реализация угрозы может привести к незначительным негативным последствиям для субъектов персональных данных;

средняя опасность – если реализация угрозы может привести к негативным последствиям для субъектов персональных данных;

высокая опасность – если реализация угрозы может привести к значительным негативным последствиям для субъектов персональных данных.

**** Выбор актуальных для данной ИСПД угроз осуществляется в соответствии с правилами, приведенными в таблице:

Возможность реализации угрозы Показатель опасности угрозы
Низкая Средняя Высокая
Низкая Неактуальная неактуальная актуальная
Средняя Неактуальная актуальная актуальная
Высокая Актуальная актуальная актуальная
Очень высокая Актуальная актуальная актуальная

 

 



Поделиться:


Последнее изменение этой страницы: 2016-06-26; просмотров: 2634; Нарушение авторского права страницы; Мы поможем в написании вашей работы!

infopedia.su Все материалы представленные на сайте исключительно с целью ознакомления читателями и не преследуют коммерческих целей или нарушение авторских прав. Обратная связь - 18.223.159.237 (0.006 с.)