636331914074638560 (1210021), страница 5

Просмтор этого файла доступен только зарегистрированным пользователям. Но у нас супер быстрая регистрация: достаточно только электронной почты!

Текст из файла (страница 5)

Пример выбора приведен в таблице1.2.Таблица 1.2 – 18 Выбор угроз безопасности информации, с 18 учетомуязвимости информационной системыИдентификаторУБИНазвание УБИУязвимости, используемыепри реализации угрозыУБИ.004 Угроза аппаратного сброса пароля BIOSОрганизационныеуязвимостиУБИ.009Угроза восстановления предыдущейуязвимой версии BIOSОрганизационныеуязвимостиУБИ.012Угроза деструктивного измененияконфигурации/среды окруженияпрограммОрганизационныеуязвимости;Уязвимости вобщесистемном (общем)программном обеспечении.С учетом 10 структурно-функциональных характеристик, особенностейфункционирования информационной системы и 4 данных о ее возможныхнарушителях были определены следующие возможные способы реализацииугроз безопасности информации:путем НСД и ( или) воздействия на объекты на общесистемном уровне; 18путем НСД и ( или) воздействия на объекты на прикладном уровне; 18путем НСД и (или) воздействия на линии связи, технические средства,машинные носители информации;путем воздействия на пользователей, администраторов безопасности,администраторов информационной системы или обслуживающийперсонал (социальная инженерия).

18Таким образом, из таблицы 1.2 были отобраны угрозы, соответствующиеопределенным возможным способам реализации УБИ. Пример перечня УБИприведен в таблице 1.3.Таблица 1.3 – Пример перечня УБИ, выбранных в соответствии свозможными способами их реализацииИдентификаторУБИНазвание УБИВозможные способыреализации угрозыУБИ.009Угроза восстановленияпредыдущей уязвимойверсии BIOSза счет 18несанкционированногодоступа и (или) воздействияна объекты наобщесистемном уровне 18УБИ.012Угроза деструктивногоизмененияконфигурации/средыокружения программ 4за счет 18несанкционированногодоступа и (или) воздействияна объекты наобщесистемном уровне; 18за счет 18несанкционированногодоступа и (или) воздействияна объекты на прикладномуровне. 18УБИ.013Угроза деструктивногоиспользованиядекларированногофункционала BIOSза счет 18несанкционированногодоступа и (или) воздействияна объекты наобщесистемном уровне 18Далее проводилась оценка уровня проектной защищенностиинформационной системы 18Под уровнем проектной защищенности (Y1П) 18 понимается исходнаязащищенность информационной системы, 18 обусловленная заданными припроектировании структурно-функциональными характеристиками и условиямиее функционирования.

Уровень проектной защищенности определяется наоснове анализа проектных структурно-функциональных характеристик,приведенных в таблице 1.4.Таблица 1.4 – Показатели 18 проектной защищенности информационнойсистемы 20 Лечебного учрежденияСтруктурно-функциональныехарактеристики 20 ИС, условия ее эксплуатацииУровень проектной защищенности 20 ИС (Y1П) 18Высокий Средний НизкийПо структуре 20 ИС:– автономное автоматизированноерабочее место;– локальная 20 ИС;– распределенная ИС +По архитектуре информационнойсистемы:системы на основе «тонкого клиента»;системы на основе одноранговой сети;файл-серверные системы; +центры обработки данных;системы с удаленным доступомпользователей; 20использование прикладных программ,независимых от операционных систем;использование выделенных каналовсвязиПо наличию (отсутствию) взаимосвязейс иными информационными системами:взаимодействующая с системами; +– невзаимодействующая с системамиПо наличию (отсутствию) взаимосвязей(подключений) к сетям связи общегопользования:– подключенная; +– подключенная через выделеннуюинфраструктуру (gov.ru или иную);– неподключеннаяПо размещению технических средств:– расположенные в пределах однойконтролируемой зоны;– расположенные в пределах несколькихконтролируемых зон;+– расположенные вне контролируемойзоныПо режимам обработки информации в 18ИС:– многопользовательский; +– однопользовательскийОкончание таблицы 1.4Структурно-функциональныехарактеристики 20 ИС, условия ее эксплуатацииУровень проектной защищенности 20 ИС(Y1П) 18Высокий Средний Низкий– 20 без разграничения;– с разграничением +По режимам разделения функций поуправлению информационной системой: 20– без разделения; +– выделение рабочих мест дляадминистрирования в отдельный домен;– использование различных сетевыхадресов;– использование выделенных каналовдля администрирования– 20 без сегментирования;– с сегментированием +Общее количество решений 5 14 16Сумма положительных решений 0 3 6Величина в % одного положительногорешения20% 7,14% 6,25%% характеристик, соответствующихуровню «высокий»0%% характеристик, соответствующихуровню «средний»21,43%% характеристик, соответствующихуровню «низкий»37,5%По результатам анализа структурно – функциональных характеристик изтаблицы 1.4 в соответствии с Методикой определения угроз безопасностиинформации в информационных системах [10] на основании того, что менее90% характеристик информационной системы соответствуют уровню не ниже«средний», а 18 также менее 80% характеристик информационной системысоответствуют уровню «высокий», 18 информационной системе был присвоеннизкий уровень проектной защищенности.Перечень угроз, выбранных в соответствии с определенныминарушителями, уязвимостями и возможным способам реализации, былизменен с учетом информационных технологий и структурных характеристикИС.

Пример угроз, выбранных в соответствии информационнымитехнологиями и структурно-функциональными характеристиками,представленный в таблице 1.5.Таблица 1.5 – Пример угроз, выбранных в соответствииинформационными технологиями и структурно-функциональнымихарактеристикамиИдентификаторУБИНазвание УБИИнформационныетехнологии, с помощьюкоторых реализуетсяУБИУБИ.006Угроза внедрения кода илиданныхраспределенная ИСУБИ.009Угроза восстановленияпредыдущей уязвимой версииBIOSраспределенная ИСУБИ.012Угроза деструктивногоизмененияконфигурации/средыокружения программ 4распределенная ИС;подключенная к сетямобщего пользования.Далее была определена возможность реализации 18 угроз безопасностиинформации в информационной системе.

18Возможность реализации j – ой угрозы безопасности информации (Yj) 18оценивается, исходя из уровня проектной защищенности информационнойсистемы (Y1П) и потенциала нарушителя (Y2), необходимого для реализацииэтой угрозы безопасности информации в информационной системе сзаданными структурно-функциональными характеристиками и особенностямифункционирования: 38Yj = [уровень проектной защищенности (Y1П); потенциал нарушителя (Y2)].Пример угроз выбранных на основе возможности их реализации винформационной системе Лечебного учреждения приведен в таблице 1.6.Таблица 1.6 – Пример угроз выбранных на основе возможности ихреализации в информационной системе Лечебного учрежденияИдентификаторугрозыНазваниеугрозыИсточникугрозыУровеньпроектнойзащищенности 18ИС 18Возможностьреализацииугрозы 18УБИ.006Угрозавнедрения кода илиданныхНарушитель:Внешний;Потенциал:Базовый(низкий).Уровеньпроектнойзащищенности- НизкийВысокаяУБИ.012Угрозадеструктивногоизмененияконфигурации/среды окруженияпрограммНарушитель:Внутренний;Потенциал:Базовый(низкий).Уровеньпроектнойзащищенности- НизкийВысокаяУБИ.014УгрозадлительногоудержаниявычислительныхресурсовпользователямиНарушитель:Внешний;Потенциал:Базовый(низкий)Нарушитель:Внутренний;Потенциал:Базовый(низкий).Уровеньпроектнойзащищенности- 18 НизкийВысокаяСтепень возможного ущерба от реализации угрозы безопасностиинформации 20 определяется степенью 4 негативных последствий от нарушенияконфиденциальности, 4 целостности или доступности каждого видаинформации, содержащейся в информационной системе.Степень негативных последствий от нарушения конфиденциальности,целостности или доступности информации 25 определялась для каждого видаущерба в зависимости от целей и задач, решаемых информационнойсистемой.

В качестве единой шкалы измерения степени негативныхпоследствий были приняты значения «незначительные», «умеренные» и«существенные» негативные последствия, в свою очередь степень ущербаопределялась как «низкая», «средняя» и «высокая» в зависимости отпоказателей степени негативных последствий.Пример определения степени возможного ущерба от реализации угрозбезопасности информации в 20 информационной системы 18 Лечебногоучреждения представлены в таблице 1.7.Таблица 1.7 – Пример определения степени возможного ущерба отреализации угроз безопасности информации в 20 информационной системе 18Лечебного учрежденияНазвание угрозыПДн ( Сведения офактах, событияхи обстоятельствахчастной жизнигражданина,позволяющиеидентифицироватьего личность) 71Сведения,связанные спрофессиональнойдеятельностью( 68 врачебная,нотариальная,адвокатская тайна,тайна переписки,телефонныхпереговоров,почтовыхотправлений,телеграфных илииных сообщений ит.д) 71ИтоговаястепеньущербаУБИ.006 Угрозавнедрения кода илиданныхВысокая Высокая ВысокаяУБИ.012 Угрозадеструктивногоизмененияконфигурации/средыокружения программВысокая Высокая ВысокаяУБИ.014 Угрозадлительного удержаниявычислительныхресурсовпользователямиВысокая Высокая ВысокаяАктуальные угрозы определялись в соответствии с возможностью ихреализации и степенью возможного ущерба от их реализации.Пример определения актуальности угроз безопасности информации дляинформационной системы Лечебного учреждения представлен в таблице 1.8.Таблица 1.8 – Пример определения актуальности угроз безопасностиинформации для информационной системы Лечебного учрежденияИдентификатор/ Название угрозы АктуальностьУБИ.006 Угроза внедрения кода или данных АктуальнаяУБИ.012 Угроза деструктивного измененияконфигурации/среды окружения программ 13АктуальнаяУБИ.014 Угроза длительного удержаниявычислительных ресурсов пользователямиАктуальнаяОпределение актуальных угроз 21 утечки информации по техническимканалам 21 для информационной системы Лечебного учреждения.Определение показателя уровня проектной защищенности 18 для уточнениявозможности реализации угроз 18 утечки информации по техническим каналами их актуальности относительно информационной системы основывается нарезультатах инструментальных проверок на выполнение требований позащите информации от утечки по техническим каналам и 99 выполненииорганизационных мер по защите информации 16 от утечки.Далее были определены возможные каналы утечки информации исоответствующие им угрозы для информационной системы Лечебногоучреждения.

Исходный перечень угроз и потенциальные каналы утечкиинформации приведен в таблице 1.9.Таблица 1.9 – Исходный перечень угроз и потенциальные каналы утечкиинформацииНазвание угрозыКанал утечки, за счёткоторого реализуетсяугрозаВид канала утечкиТА.001 Угроза утечки информацииза счет распространенияинформативного акустическогосигнала в воздушной среде.Каналы утечкиакустической (речевой)информацииВоздушныеОкончание таблицы 1.9Название угрозыКанал утечки, за счёткоторого реализуетсяугрозаВид канала утечкиТА.002 Угроза утечки информациипо виброакустическому каналу засчет распространенияинформативного сигнала винженерных коммуникациях (трубыводоснабжения, отопления,вентиляции и т.д) и ограждающихстроительных конструкциях (стены,потолки, полы).Каналы утечкиакустической (речевой)информации 16ВибрационныеТА.003 Угроза утечки информациипо 16 виброакустическому каналу засчет перехвата информативногосигнала с использованиемзакладных устройств.Каналы утечкиакустической (речевой)информацииВибрационныеДалее производилось определение потенциала нарушителя, необходимогодля реализации угроз утечки информации по ТКУИ в информационнойсистеме Лечебного учреждения.На основании значений определенных потенциалов принимается решениео дальнейшем рассмотрении/нерассмотрении угроз утечки информации потехническим каналам относительно информационной системы Лечебногоучреждения (таблица 1.10), исходя из результатов сравнения двухпотенциалов по следующим правилам:если значение потенциала нарушителя, определенного для реализацииугрозы утечки информации по ТКУИ выше значения потенциала,определенного в п.

Характеристики

Список файлов ВКР