1. Пояснительная записка (1209954), страница 3
Текст из файла (страница 3)
Для того, чтобы оценить возможность реализации угрозы безопасности информации, были определены два показателя: исходный уровень защищённости информационной системы и вероятность реализации угрозы.
На основе технических и эксплуатационных характеристик исследуемой информационной системы, приведенных в таблице 1.1, был получен обобщенный показатель, определяющий исходный уровень проектной защищенности ГИС.
Таблица 1.1 – Показатели, характеризующие проектную защищенность информационной системы
| Структурно-функциональные характеристики информационной системы, условия её эксплуатации | Уровень защищенности | ||
| Высокий | Средний | Низкий | |
| По территориальному размещению | |||
| локальная (кампусная) ИС, развернутая в пределах нескольких близко расположенных зданий | + | ||
| По наличию соединения с сетями общего пользования | |||
| ИС, имеющая многоточечный выход в сеть общего пользования | + | ||
| По встроенным (легальным) операциям с записями баз персональных данных | |||
| чтение, поиск, запись, удаление, сортировка, модификация, передача | + | ||
| По разграничению доступа к персональным данным | |||
| ИС, к которой имеют доступ определенные перечнем сотрудники организации, являющейся владельцем ИС | + | ||
| По наличию соединений с другими базами ПДн иных ИС | |||
| ИС, в которой используется одна база ПДн, принадлежащая организации – владельцу данной ИС | + | ||
| По уровню обобщения (обезличивания) ПДн | |||
| Окончание таблицы 1.1 | |||
| Структурно-функциональные характеристики информационной системы, условия её эксплуатации | Уровень защищенности | ||
| Высокий | Средний | Низкий | |
| ИС, в которой предоставляемые пользователю данные не являются обезличенными (т.е. присутствует информация, позволяющая идентифицировать субъекта ПДн) | + | ||
| По объему ПДн, которые представляются сторонним пользователям ИС без предварительной обработки | |||
| ИС, представляющая часть ПДн | + | ||
В таблице 1.2 представлены значения характеристик в процентном соотношении.
Таблица 1.2 – Значения характеристик в процентном соотношении.
| Значение характеристики (уровень защищенности) | Количество значений | Процент значений не ниже данного уровня |
| Высокий | 1 | 14% |
| Средний | 3 | 43% |
| Низкий | 3 | 43% |
Вывод: По результатам анализа структурно-функциональных характеристик из таблицы 1.1 и их процентном соотношении из таблицы 1.2, в соответствии с методикой определения актуальных угроз [16], в связи с тем, что уровню не ниже среднего не соответствуют более 70% характеристик, «Системе-112» был присвоен низкий уровень проектной защищенности.
Уровню исходной защищенности ставится в соответствие числовой коэффициент Y1, а именно:
-
для высокой степени исходной защищенности – 0;
-
для средней степени исходной защищенности – 5;
-
для низкой степени исходной защищенности – 10.
В соответствии с таблицей 1.2 и выводом, коэффициент Y1 = 10.
Для того, чтобы определить, является ли рассматриваемая угроза актуальной для конкретной ГИС, определяется числовой коэффициент Y2, который соответствует ее вероятности.
Учитывая вышеизложенное, коэффициент возможности реализации угрозы Y будет определяться по формуле (1.1):
Y = (Y1 + Y2) / 20, (1.1)
где Y1 = 10 – низкий уровень защищенности,
Y2 – коэффициент вероятности угрозы.
По значению коэффициента возможности реализации угрозы формировалась вербальная интерпретация реализуемости угрозы.
На основании низкого уровня проектной защищенности ГИС можно сделать вывод, что в соответствии порядком определения возможности реализации угроз безопасности информации (далее – УБИ) (таблица 1.3), определяется высокая возможность реализации угрозы в рассматриваемой ГИС.
Таблица 1.3 – Порядок определения возможности реализации УБИ
| Уровень защищенности (Y1П) Потенциал нарушителя (Y2) | Высокий | Средний | Низкий |
| Базовый (низкий) | Низкая | Средняя | Высокая |
| Базовый повышенный (средний) | Средняя | Высокая | Высокая |
| Высокий | Высокая | Высокая | Высокая |
Ввиду того, что вероятность реализации угрозы безопасности информации высокая, в рассмотрение степени возможного ущерба нет необходимости, так как даже при низком ущербе, угроза будет считаться актуальной.
Для исследуемой государственной информационной системы были определены актуальными угрозы третьего типа.
На основании всего вышеуказанного, был определен итоговый перечень актуальных угроз безопасности информации, обрабатываемой в ГИС «Система-112», который приведен в таблице 1.4.
Таблица 1.4 – Итоговый перечень актуальных угроз безопасности информации, характерных для ГИС «Система-112»
| Идентификатор угрозы | Название угрозы | Актуальность |
| УБИ.006 | Угроза внедрения кода или данных | Актуальна |
| УБИ.007 | Угроза воздействия на программы с высокими привилегиями | Актуальна |
| УБИ.012 | Угроза деструктивного изменения конфигурации/среды окружения программ | Актуальна |
| УБИ.017 | Угроза доступа/перехвата/изменения HTTP cookies | Актуальна |
| УБИ.019 | Угроза заражения DNS-кеша | Актуальна |
| УБИ.023 | Угроза изменения компонентов системы | Актуальна |
| УБИ.027 | Угроза искажения вводимой и выводимой на периферийные устройства информации | Актуальна |
| УБИ.028 | Угроза использования альтернативных путей доступа к ресурсам | Актуальна |
| УБИ.030 | Угроза использования информации идентификации/аутентификации, заданной по умолчанию | Актуальна |
| УБИ.031 | Угроза использования механизмов авторизации для повышения привилегий | Актуальна |
| УБИ.034 | Угроза использования слабостей протоколов сетевого/локального обмена данными | Актуальна |
| УБИ.041 | Угроза межсайтового скриптинга | Актуальна |
| УБИ.049 | Угроза нарушения целостности данных кеша | Актуальна |
| УБИ.053 | Угроза невозможности управления правами пользователей BIOS | Актуальна |
| Продолжение таблицы 1.4 | ||
| Идентификатор угрозы | Название угрозы | Актуальность |
| УБИ.061 | Угроза некорректного задания структуры данных транзакции | Актуальна |
| УБИ.067 | Угроза неправомерного ознакомления с защищаемой информацией | Актуальна |
| УБИ.069 | Угроза неправомерных действий в каналах связи | Актуальна |
| УБИ.071 | Угроза несанкционированного восстановления удалённой защищаемой информации | Актуальна |
| УБИ.074 | Угроза несанкционированного доступа к аутентификационной информации | Актуальна |
| УБИ.088 | Угроза несанкционированного копирования защищаемой информации | Актуальна |
| УБИ.090 | Угроза несанкционированного создания учётной записи пользователя | Актуальна |
| УБИ.093 | Угроза несанкционированного управления буфером | Актуальна |
| УБИ.094 | Угроза несанкционированного управления синхронизацией и состоянием | Актуальна |
| УБИ.103 | Угроза определения типов объектов защиты | Актуальна |
| УБИ.104 | Угроза определения топологии вычислительной сети | Актуальна |
| УБИ.111 | Угроза передачи данных по скрытым каналам | Актуальна |
| УБИ.113 | Угроза перезагрузки аппаратных и программно-аппаратных средств вычислительной техники | Актуальна |
| УБИ.116 | Угроза перехвата данных, передаваемых по вычислительной сети | Актуальна |
| УБИ.122 | Угроза повышения привилегий | Актуальна |
| УБИ.130 | Угроза подмены содержимого сетевых ресурсов | Актуальна |
| Окончание таблицы 1.4 | ||
| Идентификатор угрозы | Название угрозы | Актуальность |
| УБИ.140 | Угроза приведения системы в состояние «отказ в обслуживании» | Актуальна |
| УБИ.143 | Угроза программного выведения из строя средств хранения, обработки и (или) ввода/вывода/передачи информации | Актуальна |
| УБИ.145 | Угроза пропуска проверки целостности программного обеспечения | Актуальна |
| УБИ.153 | Угроза усиления воздействия на вычислительные ресурсы пользователей при помощи сторонних серверов | Актуальна |
| УБИ.155 | Угроза утраты вычислительных ресурсов | Актуальна |
| УБИ.165 | Угроза включения в проект не достоверно испытанных компонентов | Актуальна |
| УБИ.166 | Угроза внедрения системной избыточности | Актуальна |
| УБИ.167 | Угроза заражения компьютера при посещении неблагонадёжных сайтов | Актуальна |
| УБИ.168 | Угроза «кражи» учётной записи доступа к сетевым сервисам | Актуальна |
| УБИ.171 | Угроза скрытного включения вычислительного устройства в состав бот-сети | Актуальна |
| УБИ.172 | Угроза распространения «почтовых червей» | Актуальна |
-
Разработка методов и способов защиты персональных данных
-
Основание для разработки
Необходимость создания системы информационной безопасности определена следующими основными документами:
– Федеральный закон Российской Федерации от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации» (с изменениями и дополнениями);
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
