2.Модель угроз (1208533), страница 12
Текст из файла (страница 12)
б) ИС имеет средний уровень проектной защищенности, если результаты инструментальных проверок ИС на соответствие требованиям по защите информации от утечки по техническим каналам отрицательные, но организационными мерами затруднен свободный доступ к компонентам ИС, к ограждающим строительным конструкциям помещений, в которых они установлены, а также к инженерным коммуникациям;
в) ИС имеет низкий уровень проектной защищенности, если не выполняются условия по пунктам а) и б).
Таблица 8.4. – Перечень угроз утечки информации по ТКУИ и возможности их реализации в «ИСПДн отдела бухгалтерского учета и отчетности»
| № п/п | Название угрозы | Потенциал нарушителя, необходимый для реализации угрозы | Уровень проектной защищенности информационной системы | Возможность реализации угрозы |
| 1 | ТС.001 Угроза утечки информации по электромагнитному каналу с использованием портативных средств радиоразведки | Базовый повышенный (средний) | Низкий | Высокая |
8.5. Определение степени возможного ущерба от реализации угроз утечки информации по ТКУИ в «ИСПДн отдела бухгалтерского учета и отёчности»
Результаты оценки степени ущерба от реализации угроз утечки информации по техническим каналам относительно «ИСПДн отдела бухгалтерского учета и отёчности» представлены в таблице 8.5.
Таблица 8.5.- Степень возможного ущерба от реализации угроз утечки информации по техническим каналам в «ИСПДн отдела бухгалтерского учета и отёчности»
| Название угрозы | ПДн (Сведения о фактах, событиях и обстоятельствах частной жизни гражданина, позволяющие идентифицировать его личность) | Служебная тайна | Коммерческая тайна | Сведения, связанные с профессиональной деятельностью (врачебная, нотариальная, адвокатская тайна, тайна переписки, те-лефонных переговоров, почтовых отправлений, телеграфных или иных сообщений и т.д) | Сведения, составляющие тайну следствия и судопроизводства | Государственный информационный ресурс | Итоговая степень ущерба |
| ТС.001 Угроза утечки информации по электромагнитному каналу с использованием портативных средств радиоразведки | Высокая | Высокая | Высокая | Высокая | Высокая | Высокая | Высокая |
8.6. Определение актуальности угроз утечки информации по техническим каналам относительно «ИСПДн отдела бухгалтерского учета и отёчности»
Определение актуальности выбранных угроз утечки информации по техническим каналам для «ИСПДн отдела бухгалтерского учета и отёчности» производится по данным таблицы 6.1. п.6 настоящего документа в соответствии с полученными результатами возможностей реализации этих угроз в информационной системе и степеней ущерба от их реализации.
Результаты определения актуальности выбранных угроз утечки информации относительно «ИСПДн отдела бухгалтерского учета и отёчности» приведены в таблице 8.6.
Таблица 8.6. - Актуальность угроз утечки информации по техническим каналам для «ИСПДн отдела бухгалтерского учета и отёчности»
| № п/п | Название угрозы | Актуальность |
| 1 | ТС.001 Угроза утечки информации по электромагнитному каналу с использованием портативных средств радиоразведки | Актуальная |
9. Определение актуальных угроз безопасности информации в случае принятия решения об использовании в информационной системе СКЗИ для обеспечения безопасности конфиденциальной информации
9.1 Определение актуальности использования СКЗИ для обеспечения безопасности персональных данных
Результаты экспертного опроса по определению актуальности использования СКЗИ в «ИСПДн отдела бухгалтерского учета и отчетности» представлены в таблице 9.1.1.
Таблица 9.1.1 – Определение актуальности использования СКЗИ
| Запрос эксперта | Да/нет |
| Осуществляется ли передача конфиденциальной информации по каналам связи, не защищенным от перехвата нарушителем передаваемой по ним информации или от несанкционированных воздействий на эту информацию (например, при передаче персональных данных по информационно-телекоммуникационным сетям общего пользования) ? | да |
| Осуществляется ли хранение персональных данных на носителях информации, несанкционированный доступ к которым со стороны нарушителя не может быть исключен с помощью некриптографических методов и способов ? | да |
| Применяются ли на настоящий момент в ИС СКЗИ для обеспечения безопасности ПДн и другой конфиденциальной информации ? | да |
| Планируется ли применение СКЗИ для обеспечения безопасности ПДн и другой конфиденциальной информации ? | да |
9.2 Определение обобщенных возможностей источников атак
Определение актуальных угроз безопасности информации, обрабатываемой с использованием СКЗИ начинается с определения экспертной группой максимальной обобщенной возможности атак относительно ИСПДн отдела бухгалтерского учета и отчетности с учетом условий ее функционирования и реализованных мер защиты.
Выбор обобщенных возможностей источников атак обосновывается результатами определения потенциала нарушителя, характерного для информационной системы, его способностями реализовать атаку.
Определение обобщенных возможностей источников атак представлено в таблице 9.2.1.
Таблица 9.2.1. - Выбор обобщенных возможностей источников атак для ИСПДн отдела бухгалтерского учета и отчетности.
| Обобщенные возможности источников атак | Нарушители, способные реализовать возможность (таблица 1.2 подраздела 1.1 раздела 1) | Да/Нет |
| 1 возможность самостоятельно осуществлять создание способов атак, подготовку и проведение атак только за пределами контролируемой зоны | нарушитель с высоким потенциалом | нет |
| 2 возможность самостоятельно осуществлять создание способов атак, подготовку и проведение атак в пределах контролируемой зоны, но без физического доступа к аппаратным средствам, на которых реализованы СКЗИ и среда их функционирования | нарушитель с высоким потенциалом | нет |
| 3 возможность самостоятельно осуществлять создание способов атак, подготовку и проведение атак в пределах контролируемой зоны с физическим доступом к аппаратным средствам, на которых реализованы СКЗИ и среда их функционирования | нарушитель с базовым (низким) и нарушители с базовым повышенным (средним) потенциалом | Да |
| 4 возможность привлекать специалистов, имеющих опыт разработки и анализа СКЗИ (включая специалистов в области анализа сигналов линейной передачи и сигналов побочного электромагнитного излучения и наводок СКЗИ) | нарушитель с высоким потенциалом | Нет |
| 5 возможность привлекать специалистов, имеющих опыт разработки и анализа СКЗИ (включая специалистов в области использования для реализации атак недокументированных возможностей прикладного программного обеспечения) | нарушитель с высоким потенциалом | Нет |
| 6 возможность привлекать специалистов, имеющих опыт разработки и анализа СКЗИ (включая специалистов в области использования для реализации атак недокументированных возможностей аппаратного и программного компонентов среды функционирования СКЗИ) | нарушитель с высоким потенциалом | Нет |
9.3 Определение класса СКЗИ для обеспечения безопасности персональных данных, обрабатываемых в информационной системе
Выбор класса СКЗИ основывается на уровне защищенности персональных данных, типе актуальных угроз и возможностях нарушителей для проведения атак.
В таблице 9.3.1. приведены требования к классу СКЗИ, применяемым для нейтрализации атак, при создании, подготовке и проведению которых используются определенные возможности нарушителя, в соответствии с уровнем защищенности ПДн и типом актуальных угроз.
Таблица 9.3.1. – Определение класса СКЗИ, необходимых для обеспечения безопасности ИСПДн отдела бухгалтерского учета и отчетности.
| Номер уточненной возможности нарушителей и направления атак | Уточнённые возможности нарушителей и направления атак (соответствующие актуальные угрозы) | Требования к классу СКЗИ, применяемым для нейтрализации атак, при создании, подготовке и проведению которых используются возможности нарушителей, в соответствии с уровнем защищенности ПДн, типом актуальных угроз | ||||||||||||||||
| уровень защищенности ПДн | ||||||||||||||||||
| 4 | 3 | 2 | 1 | |||||||||||||||
| тип актуальных угроз | тип актуальных угроз | тип актуальных угроз | ||||||||||||||||
| 3 | 2 | 3 | 2 | 1 | 2 | 1 | ||||||||||||
| В случае отсутствия возможности | КС1 и выше | КС1 и выше | КВ и выше | КС1 и выше | КВ и выше | КА | КВ и выше | КА | ||||||||||
| 1.0 | проведение атаки за пределами контролируемой зоны; | КС1 | КС1 | КВ | КС1 | КВ | КА | КВ | КА | |||||||||
| 1.1 | проведение атаки при нахождении в пределах контролируемой зоны | КС2 | КС2 | КВ | КС2 | КВ | КА | КВ | КА | |||||||||
| 1. 2 | проведение атак на этапе эксплуатации СКЗИ на следующие объекты: - документацию на СКЗИ и компоненты СФ; - помещения, в которых находится совокупность программных и технических элементов систем обработки данных, способных функционировать самостоятельно или в составе других систем (далее - СВТ), на которых реализованы СКЗИ и СФ; | КС2 | КС2 | КВ | КС2 | КВ | КА | КВ | КА | |||||||||
| | получение в рамках предоставленных полномочий, а также в результате наблюдений следующей информации: сведений о физических мерах защиты объектов, в которых размещены ресурсы информационной системы; сведений о мерах по обеспечению контролируемой зоны объектов, в которых размещены ресурсы информационной системы; - сведений о мерах по разграничению доступа в помещения, в которых находятся СВТ, на которых реализованы СКЗИ и СФ; | КС2 | КС2 | КВ | КС2 | КВ | КА | КВ | КА | |||||||||
| 1.4 | использование штатных средств ИС, ограниченное мерами, реализованными в информационной системе, в которой используется СКЗИ, и направленными на предотвращение и пресечение несанкционированных действий | КС2 | КС2 | КВ | КС2 | КВ | КА | КВ | КА | |||||||||
| 2.1 | физический доступ к СВТ, на которых реализованы СКЗИ и СФ | КС3 | КС3 | КВ | КС3 | КВ | КА | КВ | КА | |||||||||
| 2.2 | возможность воздействовать на аппаратные компоненты СКЗИ и СФ, ограниченная мерами, реализованными в информационной системе, в которой используется СКЗИ, и направленными на предотвращение и пресечение несанкционированных действий; | КС3 | КС3 | КВ | КС3 | КВ | КА | КВ | КА | |||||||||
| 3.1 | создание способов, подготовка и проведение атак с привлечением специалистов в области анализа сигналов, сопровождающих функционирование СКЗИ и СФ, и в области использования для реализации атак недокументированных (недекларированных) возможностей прикладного ПО | КВ | КВ | КВ | КВ | КВ | КА | КВ | КА | |||||||||
| 3.2 | проведение лабораторных исследований СКЗИ, используемых вне контролируемой зоны, ограниченное мерами, реализованными в информационной системе, в которой используется СКЗИ, и направленными на предотвращение и пресечение несанкционированных действий; | КВ | КВ | КВ | КВ | КВ | КА | КВ | КА | |||||||||
| 3.3 | проведение работ по созданию способов и средств атак в научно-исследовательских центрах, специализирующихся в области разработки и анализа СКЗИ и СФ, в том числе с использованием исходных текстов входящего в СФ прикладного ПО, непосредственно использующего вызовы программных функций СКЗИ | КВ | КВ | КВ | КВ | КВ | КА | КВ | КА | |||||||||
| 4.1 | создание способов, подготовка и проведение атак с привлечением специалистов в области использования для реализации атак недокументированных (недекларированных) возможностей системного ПО; | КА | КА | КА | КА | КА | КА | КА | КА | |||||||||
| 4.2 | возможность располагать сведениями,содержащимися в конструкторской документации на аппаратные и программные компоненты СФ | КА | КА | КА | КА | КА | КА | КА | КА | |||||||||
| 4.3 | возможность воздействовать на любые компоненты СКЗИ и СФ | КА | КА | КА | КА | КА | КА | КА | КА | |||||||||
1.39.4. Определение уточненных возможностей источников атак
С учетом номера максимально выбранной обобщенной возможности атак с номером 3, соответствующего максимально выбранной обобщенной возможности источников атак в соответствии с таблицей 9.4.1 был отобран перечень уточненных возможностей нарушителей и направлений атак (соответствующих актуальным угрозам), которые должны быть рассмотрены для ИСПДн отдела бухгалтерского учета и отчетности (по данным таблицы 9.4.2).
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
