2.Модель угроз (1208533), страница 10
Текст из файла (страница 10)
Вероятность реализации угрозы Pj рассчитывается на основании формул теории вероятности, – как отношение числа благоприятствующих событию (реализации угрозы) исходов m к общему числу исходов n:
| | (7.1) |
Под числом исходов m, благоприятствующих событию реализации j – ой техногенной угрозы понимается количество мер, не реализованных в информационной системе для предотвращения данной угрозы, соответственно общее число исходов n – это общее количество мер, необходимых для реализации в информационной системе в целях предотвращения или нейтрализации j – ой угрозы.
Оценка вероятности реализации техногенных УБИ осуществляется по данным таблицы 7.1.
Таблица 7.1. – Определение вероятности реализации техногенных угроз
| Значение Pj | Определение вероятности реализации техногенных угроз |
| 0 | Маловероятна |
| | Низкая |
| 0,5 | Средняя |
| | Высокая |
По результатам обследования информационной системы было установлено, что в ней реализуются следующие меры по защите от техногенных угроз безопасности информации:
-Применение лицензионного программного обеспечения
-Применение систем резервного питания обеспечивающих работу при краткосрочном пропадании электроэнергии (ИБП) и обеспечение возможности корректного завершения работы при долговременном пропадании электроэнергии (электрогенераторы, дублирование линий питания)
-Применение сетевых фильтров электропитания, предотвращающих сбои и отказы технических средств от скачка электропитания
-Применение лицензионного программного обеспечения
-Применение систем резервного питания обеспечивающих работу при краткосрочном пропадании электроэнергии (ИБП) и обеспечение возможности корректного завершения работы при долговременном пропадании электроэнергии (электрогенераторы, дублирование линий питания)
-Применение сетевых фильтров электропитания, предотвращающих сбои и отказы технических средств от скачка электропитания
На основании реализованных мер по защите информации и формулы 7.1 были определены значения вероятностей реализации техногенных угроз относительно «ИСПДн отдела бухгалтерского учета и отчетности» (таблица 7.2).
Таблица 7.2. - Вероятность реализации техногенных угроз безопасности информации относительно «ИСПДн отдела бухгалтерского учета и отчетности»
| № п/п | Название угрозы | Число исходов, благоприятствующих реализации угрозы | Общее число исходов | Значение Pj | Вероятность реализации угрозы |
| 1 | Угроза отказа и неисправности технических средств, обрабатывающих информацию | 3 | 5 | 1 | 0,6 (Высокая) |
| 2 | Угроза отказа и неисправности технических средств, обеспечивающих работоспособность средств обработки информации (вспомогательных технических средств) | 3 | 5 | 1 | 0,6 (Высокая) |
| 3 | Угроза отказа и неисправности технических средств, обеспечивающих охрану и контроль доступа | 1 | 3 | 1 | 0,33 (Низкая) |
| 4 | Угроза, связанная со старением и размагничиванием размагничиванием технических средств обработки информации носителей информации | 1 | 3 | 1 | 0,33 (Низкая) |
| 5 | Угроза сбоя общесистемного программного обеспечения | 1 | 2 | 1 | 0,5 (Средняя) |
| 6 | Угроза сбоя прикладного программного обеспечения (сервисных программ, антивирусного программного обеспечения и т.д) или систем управления базами данных | 1 | 3 | 1 | 0,33 (Низкая) |
7.2. Определение степени возможного ущерба от реализации техногенных угроз безопасности информации в «ИСПДн отдела бухгалтерского учета и отчетности»
В таблице 7.3. представлены результаты определения степеней ущербов от реализации техногенных угроз безопасности информации в информационной системе, полученные на основе экспертных оценок.
Таблица 7.3.– Степень ущерба в результате реализации техногенных угроз безопасности информации в «ИСПДн отдела бухгалтерского учета и отчетности»
| Название угрозы | ПДн (Сведения о фактах, событиях и обстоятельствах частной жизни гражданина, позволяющие идентифицировать его личность) | Итоговая степень ущерба |
| ТУ.003 Угроза отказа и неисправности технических средств, обеспечивающих охрану и контроль доступа | Высокая | Высокая |
| ТУ.005 Угроза сбоя общесистемного программного обеспечения | Низкая | Низкая |
| ТУ.006 Угроза сбоя прикладного программного обеспечения (сервисных программ, антивирусного программного обеспечения и т.д) или систем управления базами данных | Высокая | Высокая |
7.3. Определение актуальности техногенных угроз безопасности информации относительно «ИСПДн отдела бухгалтерского учета и отчетности»
Актуальность техногенных УБИ определяется в соответствии с таблицей 7.4.
Таблица 7.4. – Порядок определения актуальности техногенных угроз безопасности информации.
| Вероятность реализации угрозы (Yj) | Степень возможного ущерба (Хj) | ||
| Низкая | Средняя | Высокая | |
| Маловероятна | неактуальная | неактуальная | неактуальная |
| Низкая | неактуальная | неактуальная | актуальная |
| Средняя | неактуальная | актуальная | актуальная |
| Высокая | актуальная | актуальная | актуальная |
Результаты определения актуальности техногенных угроз безопасности информации относительно «ИСПДн отдела бухгалтерского учета и отчетности» представлены в таблице 7.5.
Таблица 7.5. – Результаты определения актуальности техногенных УБИ относительно «ИСПДн отдела бухгалтерского учета и отчетности»
| № п/п | Название угрозы. | Актуальность угрозы |
| 1 | ТУ.001 Угроза отказа и неисправности технических средств, обрабатывающих информацию | Актуальная |
| 2 | ТУ.002 Угроза отказа и неисправности технических средств, обеспечивающих работоспособность средств обработки информации (вспомогательных технических средств) | Актуальная |
| 3 | ТУ.003 Угроза отказа и неисправности технических средств, обеспечивающих охрану и контроль доступа | Актуальная |
| 4 | ТУ.004 Угроза, связанная со старением и размагничиванием размагничиванием технических средств обработки информации носителей информации | Неактуальная |
| 5 | ТУ.005 Угроза сбоя общесистемного программного обеспечения | Неактуальная |
| 6 | ТУ.006 Угроза сбоя прикладного программного обеспечения (сервисных программ, антивирусного программного обеспечения и т.д) или систем управления базами данных | Неактуальная |
8. Определение актуальных угроз утечки информации по техническим каналам для «ИСПДн отдела бухгалтерского учета и отёчности»
Определение показателя уровня проектной защищенности для уточнения возможности реализации угроз утечки информации по техническим каналам и их актуальности относительно информационной системы основывается на результатах инструментальных проверок на выполнение требований по защите информации от утечки по техническим каналам и выполнении организационных мер по защите информации от утечки.
8.1. Выявление возможных каналов утечки информации и соответствующих им угроз для «ИСПДн отдела бухгалтерского учета и отёчности»
Для информационной системы были определены потенциальные каналы утечки информации и соответствующие им угрозы. Перечень угроз приведен в таблице 8.1.
Таблица 8.1. – Исходный перечень угроз утечки информации, характерных для «ИСПДн отдела бухгалтерского учета и отёчности»
| № п/п | Название угрозы | Канал утечки, за счёт которого реализуется угроза | Вид канала утечки |
| 1 | ТА.001 Угроза утечки информации за счет распространения информативного акустического сигнала в воздушной среде. | Каналы утечки акустической (речевой) информации | Воздушные |
| 2 | ТА.002 Угроза утечки информации по виброакустическому каналу за счет распространения информативного сигнала в инженерных коммуникациях (трубы водоснабжения, отопления, вентиляции и т.д) и ограждающих строительных конструкциях (стены, потолки, полы). | Каналы утечки акустической (речевой) информации | Вибрационные |
| 3 | ТА.003 Угроза утечки информации по виброакустическому каналу за счет перехвата информативного сигнала с использованием закладных устройств. | Каналы утечки акустической (речевой) информации | Вибрационные |
| 4 | ТА.004 Угроза утечки информации по акустоэлектрическому каналу, возникающему за счет акустоэлектрических преобразований («микрофонного эффекта») элементов ВТСС. | Каналы утечки акустической (речевой) информации | Акустоэлектрические |
| 5 | ТА.005 Угроза утечки информации через ВТСС по акустоэлектрическому каналу, осуществляемому путем «высокочастотного навязывания». | Каналы утечки акустической (речевой) информации | Акустоэлектрические |
| 6 | ТП.001 Угроза утечки информации за счет побочных электромагнитных излучений (ПЭМИ) ТСПИ, возникающих при прохождении тока по их токоведущим элементам ТСПИ. | Каналы побочных электромагнитных излучений и наводок | Электромагнитные |
| 7 | ТП.002 Угроза утечки информации за счет побочных электромагнитных излучений (ПЭМИ), возникающих на частотах работы высокочастотных генераторов ТСПИ. | Каналы побочных электромагнитных излучений и наводок | Электромагнитные |
| 8 | ТП.003 Угроза утечки информации за счет побочных электромагнитных излучений (ПЭМИ) на частотах самовозбуждения усилителей низкой частоты ТСПИ. | Каналы побочных электромагнитных излучений и наводок | Электромагнитные |
| 9 | ТП.004 Угроза утечки информации за счет наводок электромагнитных излучений (ЭМИ) ТСПИ на соединительные линии ВТСС и посторонние проводники, выходящие за пределы КЗ. | Каналы побочных электромагнитных излучений и наводок | Электромагнитные |
| 10 | ТП.005 Угроза утечки информативных сигналов за счет их просачивания в линии электропитания и цепи заземления ТСПИ. | Каналы побочных электромагнитных излучений и наводок | Электромагнитные |
| 11 | ТП.006 Угроза утечки информации за счет съема информации, обрабатываемой ТСПИ, путем использования закладных устройств. | Каналы побочных электромагнитных излучений и наводок | Электромагнитные |
| 12 | ТП.007 Угроза утечки информации за счет перехвата информативного сигнала путем «высокочастотного облучения» ТСПИ. | Каналы побочных электромагнитных излучений и наводок | Электромагнитные |
| 13 | ТА.007 Угроза утечки акустической информации по параметрическому каналу, образованному за счет «высокочастотного облучения» помещения, где установлены закладные устройства, имеющие элементы, параметры которых изменяются под действием акустического сигнала. | Каналы утечки акустической (речевой) информации | Параметрические |
| 14 | ТА.008 Угроза перехвата акустической информации по параметрическому каналу путем приема модулированных информативных сигналов побочных электромагнитных излучений (ПЭМИ) ТСПИ и ВТСС. | Каналы утечки акустической (речевой) информации | Параметрические |
| 15 | ТА.006 Угроза утечки акустической ин-формации по оптико-электронному каналу за счет об-лучения лазерным лучом отражающих поверхностей (оконные стекла, зеркала и т.д), вибрирующих под действием информативного акустического сигнала. | Каналы утечки акустической (речевой) информации | Оптико-электронный (лазерный) |
| 16 | ТС.001 Угроза утечки информации по электромагнитному каналу с использованием портативных средств радиоразведки | Каналы перехвата информации при её передаче по каналам связи | Электромагнитные |
| 17 | ТВ.001 Угроза утечки видовой информации путем наблюдения за объектами с использованием специальных технических средств ( оптические приборы, телевизионные камеры, приборы ночного видения, тепловизоры и т.д) | Каналы утечки видовой информации | Наблюдение и съёмка объектов и документов |
| 18 | ТВ.002 Угроза утечки видовой информации путем съемки объектов с использованием телевизионных и фотографических средств. | Каналы утечки видовой информации | Наблюдение и съёмка объектов и документов |
| 19 | ТВ.003 Угроза утечки видовой информации путем съемки документов с использованием портативных фотоаппаратов | Каналы утечки видовой информации | Наблюдение и съёмка объектов и документов |
8.2. Определение потенциала нарушителя, необходимого для реализации угроз утечки информации по ТКУИ в «ИСПДн отдела бухгалтерского учета и отёчности»
Потенциал, необходимый нарушителю для реализации каждой из угроз утечки информации по техническим каналам, представленных в таблице 8.1, в «ИСПДн отдела бухгалтерского учета и отчетности», определяется по результатам экспертных оценок.
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
