Опубликован: 23.02.2018 | Уровень: для всех | Доступ: платный
Лекция 13:

Формирование требований по защите информации на объектах информатизации

< Лекция 12 || Лекция 13: 1234 || Лекция 14 >

1. Определение актуальных угроз безопасности информации

Краткая аннотация: принципы определения актуальных угроз безопасности информации, составление модели угроз и модели нарушителя.

Цель: получить навык определения актуальных угроз безопасности информации и умение составлять модель угроз и модель нарушителя.

В рамках проведения работ по аттестации посредством выполнения комплекса организационных и технических мероприятий необходимо исключить нарушение целостности, доступности и конфиденциальности информации за счет:

  • утечки по техническим каналам,
  • несанкционированного доступа к информации,
  • преднамеренных программно-технических воздействий
  • нарушения работоспособности технических средств.

Для любого объекта информатизации, обрабатывающего информацию ограниченного доступа существуют угрозы безопасности информации, реализация которых может привести к несанкционированному доступу к защищаемой информации, ее модификации, разглашению, блокированию или уничтожению. Поэтому на объекте информатизации защите подлежит:

  • информация, обрабатываемая с использованием технических средств;
  • информация, представленная в виде информативных электрических сигналов, физических полей;
  • носители информации на бумажной, магнитной, оптической и иной основе;
  • информация, представленная в виде информационных массивов и баз данных;
  • речевая информация.

После того, как заявитель определился с необходимым количеством и видом объектов информатизации, необходимо сформировать перечень актуальных угроз безопасности информации. В качестве исходных данных для определения угроз безопасности информации используется банк данных угроз безопасности информации, сформированный ФСТЭК России и размещенный по адресу: http://bdu.fstec.ru, а также иные источники, содержащие сведения об уязвимостях и угрозах безопасности информации.

В соответствии с Рекомендациями по стандартизации Р 50.1.056-2005 "Техническая защита информации. Основные термины и определения", угроза безопасности информации – совокупность условий и факторов, создающих потенциальную или реально существующую опасность нарушения безопасности информации.

Перечень факторов, которые могут создать предпосылки возникновения угроз, определен в ГОСТ Р 51275-2006 "Защита информации. Объект информатизации. Факторы, воздействующие на информацию". Условия возникновения угрозы определяются структурой и составом объекта информатизации, режимами обработки информации, применяемыми программными и техническими средствами, наличием взаимодействий с другими системами и сетями общего доступа, а также иными характеристиками объекта информатизации. Если объект информатизации имеет распределенную структуру, то необходимо также учесть физические, логические, функциональные и технологические взаимосвязи как объекта целом, так и между его сегментами. Для формирования угроз безопасности необходимо оценить возможности внутренних и внешних нарушителей, провести анализ возможных уязвимостей объекта информатизации, выявить возможные способы реализации угроз безопасности информации, а также оценить последствия в случае реализации угроз безопасности. Таким образом, необходимо оценить наличие условий, при которых факторы, воздействующие на информацию, могут повлиять на безопасность информации и привести к возникновению канала утечки информации. Либо воспользоваться готовым банком данных угроз, либо применить оба способа.

При необходимости, по результатам определения угроз безопасности информации органом по аттестации разрабатываются рекомендации по корректировке структурно-функциональных характеристик объекта информатизации с целью нейтрализации отдельных угроз безопасности информации. При необходимости, может быть разработана "Модель нарушителя" - абстрактное (формализованное или неформализованное) описание нарушителя правил разграничения доступа. Определение "Модели нарушителя приведено в руководящем документе "Защита от несанкционированного доступа к информации. Термины и определения", утвержденном решением председателя Гостехкомиссии России от 30 марта 1992 г.

Категории и характеристики нарушителей определены в руководящем документе "Концепция защиты средств вычислительной техники и автоматизированных систем от несанкционированного доступа к информации", утвержденном решением Государственной технической комиссии при Президенте Российской Федерации от 30.03.1992 г.

< Лекция 12 || Лекция 13: 1234 || Лекция 14 >
Анатолий Зимиров
Анатолий Зимиров

 

 

Екатерина Крысанова
Екатерина Крысанова

Уважаемые экзаменаторы, возможно, я ошибаюсь, но вопрос 6 звучал как 
Может ли автоматизированной системе, обрабатывающей персональные данные, присвоен класс 1Г

Вместе с тем, в ответах этот вопрос звучит иначе:

Задание 6 (Вы ответили неверно):

Может ли автоматизированной системе, обрабатывающей персональные данные, присвоен класс 1В

Я ошибаюсь?

Алексей Федосеев
Алексей Федосеев
Россия, Белгород, Белгородский государственный национальный исследовательский университет
Зоя Костромина
Зоя Костромина
Россия, г.Шадринск, ШГБОУ ВО Шадринский государственный педагогический университет