Пояснительная записка Шикова И.А. 24Б (1208568), страница 3
Текст из файла (страница 3)
Итак информационная система персональных данных «ВЗМ-Строй» по результатам анализа присвоен низкий уровень проектной защищенности.
1.3.2.2 Определение потенциала нарушителя
Потенциал нарушителя (Y2) это комплексный показатель для определения которого необходимо определить:
-
вид нарушителя и соответствующий ему тип;
-
на основании полученных данных определить потенциал и возможности по реализации угроз безопасности информации.
В завершении устанавливается итоговый потенциал нарушителя по наивысшим значениям потенциала.
Нарушители (при учете прав доступа к информации, доступ к которой ограничивается в соответствии с ФЗ) разделяются на два типа:
-
Тип I – Внешние нарушители. Это лица не имеющие права доступа к ИС, ее отдельным компонентам и реализующие угрозы безопасности информации из-за границ информационной системы;
-
Тип II – Внутренние нарушители. Это лица имеющие право постоянного или разового доступа к ИС, ее отдельным компонентам.
Нарушители (при учете потенциала, требующегося для реализации УБИ):
-
нарушитель с базовым (низким) потенциалом;
-
нарушитель с базовым повышенным (средним) потенциалом;
-
нарушитель с высоким потенциалом.
Вид нарушителя и соответствующий ему тип для ИСПДн «ВЗМ-Строй» определялся в соответствии с таблицей 1.3.2.2.1.
Таблица 1.3.2.2.1 – Определение вида и типа нарушителя
| Устанавливаемый вид нарушителя | Соответствующий тип нарушителя | Мотивация реализации угроз |
| Спец службы иностранных государств | Внутренний Внешний | Дестабилизация деятельности органов гос. власти, организаций. |
| Экстремистские, террористические группировки | Внешний | Террористические акты, урон государству, сферам его деятельности, секторам экономики |
| Криминальные структуры | Внешний | Нанесение имущественного ущерба выявляя уязвимости или преступным путем |
| Физические лица | Внешний | Нанесение имущественного ущерба. Политические (идеологические) причины. Обнаружение уязвимостей с целью продажи. |
| Конкурентные организации | Внешний | Нанесение имущественного ущерба. Использование конкурентных преимуществ |
| Персонал выполняющий наладку, монтаж | Внутренний | Неосторожные, непреднамеренные действия. Нанесение имущественного ущерба (обманным путем). |
Окончание таблицы 1.3.2.2.1
| Устанавливаемый вид нарушителя | Соответствующий тип нарушителя | Мотивация реализации угроз |
| Производители, разработчики ПО | Внешний | Нанесение имущественного ущерба. Включение недокументированных возможностей в разрабатываемое ПО. |
| Персонал обслуживающий ИС оператора | Внутренний | Неосторожные, непреднамеренные действия. Нанесение имущественного ущерба (обманным путем). |
| Пользователи ИС | Внутренний | Нанесение имущественного ущерба. Желание самореализоваться (подтвердить статус). Обнаружение уязвимостей с целью продажи. Реализация мести из корыстных побуждений. |
| Администраторы ИС и безопасности | Внутренний | Нанесение имущественного ущерба (обманным путем). Желание самореализоваться (подтвердить статус). Реализация мести из корыстных побуждений. Обнаружение уязвимостей с целью продажи. |
| Бывшие пользователи | Внешний | Нанесение имущественного ущерба (обманным путем). Реализация мести из корыстных побуждений. |
Выявленные типы и соответствующие им виды нарушителей для ИСПДн «ВЗМ-Строй» с учетом особенностей функционирования и заданных структурно-функциональных характеристик определенных согласно таблице 1.3.2.2.1 представлены ниже:
-
конкурирующие организации (внешний тип нарушителя);
-
физические лица (внешние субъекты);
-
бывшие работники (внешний тип нарушителя);
-
криминальные структуры (внешний тип нарушителя);
-
лица обеспечивающие функционирование ИС (уборщики, охрана) (внутренний тип нарушителя).
На основании полученных данных о видах нарушителей для ИС определялся потенциал нарушителя и возможность реализации угрозы безопасности информации. Итак для ИСПДн «ВЗМ-Строй» характерен потенциал нарушителя и возможность реализации угрозы безопасности представленные в таблице 1.3.2.2.2.
Таблица 1.3.2.2.2 – Потенциал нарушителя характерный для ИСПДн
| Потенциал нарушителя | Вид нарушителя | Возможность реализации угроз |
| Нарушитель с базовым повышенным (средним потенциалом) | Внешний нарушитель: 1.Конкурирующие организации 2. Криминальные структуры | Включают все возможности нарушителя с базовым потенциалом, а так же осведомлены о мерах ЗИ применяемых в ИС. Способны получить информацию об отдельных компонентах и их уязвимостях путем использования программ имеющихся в свободном доступе, анализируя код прикладного и общесистемного ПО. |
| Нарушитель с базовым (низким) потенциалом | Внешний нарушитель: 1. Физические лица 2. Бывшие работники Внутренний нарушитель: 1.Лица обеспечивающие функционирование ИС | Получение информации о уязвимостях информационной системы. Получение информации о средствах и методах реализации угроз из общедоступных источников, самостоятельное создание средств и методов реализующих атаки на информационную систему. |
Итак итоговый потенциал устанавливается в соответствии с наивысшими значениями показателей потенциала которые определены в таблице 1.3.2.2.2.
Таким образом, установлено, что для ИСПДн характерен потенциал внешнего нарушителя – базового повышенного (среднего), внутренний нарушитель – базового (низкого).
1.3.2.3 Оценка возможности реализации угрозы (Yj)
На основании данных полученных в пунктах Оценка уровня проектной защищённости (Y1п) и Оценка потенциала нарушителя (Y2) для информационной системы персональных данных «ВЗМ-Строй» определяется возможность реализации угрозы (Yj). Определение возможности УБИ представлено в таблице 1.3.2.3.1.
Таблица 1.3.2.3.1 – Реализация угроз безопасности информации для ИСПДн
| Уровень защищён- Потенциал | Высокий | Средний | Низкий |
| Базовый | Низкая | Средняя | Высокая |
| Базовый повышенный | Средняя | Высокая | Высокая |
| Высокий | Высокая | Высокая | Высокая |
Итак в ИСПДн «ВЗМ-Строй» реализация угроз безопасности информации имеет Высокую степень.
1.3.2.4 Определение степени ущерба
Степень ущерба для ИСПДн определяется в зависимости от возможности реализации угроз безопасности информации которые воздействуют на целостность, конфиденциальность и доступность информации содержащейся в информационной системе.
В соответствии с таблицей 1.3.2.4.1 определяется результат реализации угроз безопасности информации на каждое из свойств безопасности. Так как в ИСПДн «ВЗМ-Строй» обрабатываются Персональные данные, следовательно воздействие на конфиденциальность, доступности и целостность определяется только для них.
Таблица 1.3.2.4.1 – Свойства безопасности и воздействие угроз на них
| Свойство безопасности информации | Определяемый результат реализации угрозы | |
| Не оказывающий воздействие | Оказывающий воздействие | |
| Конфиденциальность | Возможности неправомерного доступа, предоставления копирования, или распространения информации в результате реализации УБИ нет | В ходе неправомерного доступа, копирования, предоставления или распространения информации есть возможность реализации УБИ |
| Целостность | Возможности модифицирования или уничтожения информации в результате реализации УБИ нет | В ходе модифицирования или уничтожения информации есть возможность реализации УБИ |
| Доступность | Возможности блокирования информации в результате реализации УБИ нет | В ходе блокирования информации есть возможность реализации УБИ |
Для того, чтоб определить степень возможного ущерба очень важно принимать во внимание задачи и цели для которых предназначена информационная система, информацию которая в ней циркулирует и обрабатывается, необходимо учитывать воздействие на конфиденциальность, целостность или доступность каждого вида информации, содержащейся в ней, так как для каждого из Операторов характерные виды ущерба будут различными.
В таблице 1.3.2.4.2 представлены возможные негативные последствия и виды ущерба к которым может привести нарушение одного из свойств информации.
Таблица 1.3.2.4.2 – Возможные виды ущерба и негативные последствия от них
| Тип (вид) ущерба | Последствия (нарушения конфиденциальности, целостности, доступности) |
| Финансовый (экономический) | Использование незапланированных затрат на восстановление деятельности. Утрата клиентов. Утрата конкурентного преимущества. Прогнозируемая прибыль не поступает. Происходит использование дополнительных затрат на выплаты штрафов или компенсаций, а так же на закупку товаров, работ или услуг (в том числе закупка ПО, ТС). |
| Социальный | Отказ в предоставлении социальных услуг. Увольнение. Большое количество жалоб. Обнародование негативных публикаций в общедоступных источниках. Нарушение функционирования объектов обеспечения жизнедеятельности граждан. Появление предпосылок для нанесения вреда здоровью граждан. |
| Политический | Появление предпосылок к внутриполитическому кризису. Нарушение выборного процесса. Отсутствие возможности выполнения международных (двусторонних) договорных обязательств. Появление предпосылок к обострению отношений в международных отношениях. |
| Репутационный | Отсутствие возможности выполнения договорных обязательств. Отсутствие доверия. Дискредитация работников. |
| Ущерб в области безопасности, обороны и правопорядка | Существует вероятность потери или снижения уровня контроля за общественным правопорядком. Оперативное оповещение населения о чрезвычайной ситуации не возможно. Нарушение правопорядка в обществе. |
Окончание Таблицы 1.3.2.4.2
| Тип (вид) ущерба | Последствия (нарушения конфиденциальности, целостности, доступности) |
| Ущерб субъект персональных данных | Возникновение угрозы личной безопасности. Потеря репутации. Нанесение морального вреда. Угроза здоровью. Возможность вторжения в частную жизнь. Появление предпосылок к финансовым и (или) иным материальным потерям физического лица. |
| Технологический | Возможность принятия неправильных решений. Простой сегмента ИС или ИС. Появление необходимости изменения (перестроения) внутренних процедур для достижения целей, решения задач (реализации функций). Отсутствие возможности решения задач или снижение эффективности решения задач (реализации функций). |
Определение степени возможного ущерба от реализации угроз безопасности информации проводится с учетом степени негативных последствий от нарушения свойства каждого вида информации, содержащейся в ИС на основании экспертного метода и в соответствии с таблицей 1.3.2.4.3.
Таблица 1.3.2.4.3 – Степень ущерба и ее характеристики
| Степень ущерба | Характеристики |
| Высокая | Возможны существенные негативные последствия в результате нарушения свойств безопасности информации. ИС или обладатель информации не могут выполнять возложенные на них функции. |
| Средняя | Возможны умеренные негативные последствия в результате нарушения свойств безопасности информации. ИС или обладатель информации не могут выполнять возложенные на них функций. |
| Низкая | Возможны незначительные негативные последствия в результате нарушения свойств безопасности информации. ИС или обладатель информации могут выполнять возложенные на них функции с недостаточной эффективностью. |
Итак для принятия решения об актуальности угрозы безопасности информации УБИjА для информационной системы необходимо учесть определенную ранее возможность реализации угрозы безопасности Yj и степень возможного ущерба Хj в результате ее реализации в информационной системе.
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
