- •Южно-уральский государственный университет
- •Курс лекций
- •Челябинск
- •Введение
- •Стандарты обеспечения информационной безопасности.
- •Раздел 1. Информация и ее свойства.
- •1.1 Основные определения. Законы информации1
- •1.2 Свойства информации
- •Раздел 2. Информационные технологии
- •2.1 Содержание информационной технологии
- •2.1.1 Определение информационной технологии4
- •2.1.2 Инструментарий информационной технологии
- •2.1.3 Информационная технология и информационная система
- •2.2 Этапы развития информационных технологий
- •2.3 Особенности современных информационных технологий
- •2.4 Проблемы использования информационных технологий
- •Раздел 3. Система информационной безопасности
- •3.1 Информационная безопасность – определение, цель, компоненты.
- •3.2 Место подсистемы иб в общей системе безопасности организации
- •Раздел 4. Нормативно-правовое обеспечение информационной безопасности
- •4.1 Нормативно-правовые акты в области защиты информации.
- •4.2 Стандарты обеспечения информационной безопасности
- •4.3 Виды и способы защиты информации
- •4.4 Виды тайн, предусмотренные законодательством России.
- •4.5 Ответственность за нарушения правил обращения с конфиденциальной информацией
- •4.5.1 Трудовой кодекс рф от 30.12.2001 № 195-фз.
- •4.5.2 Кодекс рф об административных правонарушениях от 30.12.2001 № 195-фз.
- •4.5.3 Уголовный кодекс Российской Федерации от 13.06.1996 № 63-фз.
- •Раздел 5. Нормативно-методическое обеспечение информационной безопасности
- •5.1 Значение нормативно-методического обеспечения
- •8.2 Модель угроз и модель нарушителя. 23
- •8.3 Методология формирования модели угроз
- •1 Этап - описать информационную систему.
- •Раздел 6. Организационно-техническое обеспечение информационной безопасности
- •6.1 Основные организационные мероприятия по обеспечению иб.
- •6.2 Технические методы обеспечения иб.
- •Раздел 7. Психологическое обеспечение информационной безопасности
- •7.1 Особенности использования полиграфа - детектора лжи.
- •7.2 Признаки сотрудника, работающего на злоумышленника.
- •Раздел 8 Документирование деятельности по обеспечению иб организации.31
- •Порядок проведения врутреннего служебного расследования34
- •Экспертное заключение
- •Служебная записка на имя директора
- •Приказ о создании комиссии по расследованию инцидента
- •Объяснительная записка нарушителя
- •Характеристика непосредственного руководителя нарушителя
- •Протокол заседания комиссии по расследованию
- •Заключение комиссии
- •Приказ о дисциплинарном взыскании
- •Приложение
8.3 Методология формирования модели угроз
Разработка модели угроз должна базироваться на следующих принципах:
1. Безопасность информации при ее обработке в ИС обеспечивается с помощью СЗИ.
2. При формировании модели угроз необходимо учитывать как угрозы, реализация которых нарушает ИБ (прямая угроза), так и угрозы, создающие условия для появления прямых угроз (косвенные угрозы) или косвенных угроз.
3. Информация обрабатывается и хранится в ИС с использованием определенных информационных технологий и технических средств, порождающих объекты защиты различного уровня, атаки на которые создают прямые или косвенные угрозы ИБ.
4. СЗИ не может обеспечить ЗИ от действий, выполняемых в рамках предоставленных полномочий субъекту действий (например, СЗИ не может обеспечить ЗИ от раскрытия лицами, которым предоставлено право на доступ к этой информации).
Для разработки модели угроз необходимо последовательно осуществить 8 этапов:
описать ИС;
определить пользователей ИС;
определить тип ИС;
определить исходный уровень защищенности ИС;
определить вероятность реализации угроз в ИС;
определить возможность реализации угроз в ИС;
оценить опасность угроз;
определить актуальность угроз в ИС.
1 Этап - описать информационную систему.
Описание ИС осуществляется на этапе сбора и анализа исходных данных и состоит из следующих пунктов:
- описание условий создания и использования информации;
- описание форм представления информации;
- описание структуры ИС;
- описание характеристик безопасности.
Описание условий создания и использования информации включает цель обработки; состав; действия, осуществляемые с информацией в ходе ее обработки; условия прекращения обработки; субъекты, формирующие информацию; субъекты, которым информация предназначена; правила доступа к защищаемой информации; информационные технологии, базы данных (БД), технические средства, используемые для создания и обработки информации; используемые в процессе создания и использования информации объекты, которые могут быть объектами угроз, создающими условия для появления угроз информации. Такими объектами могут быть - технические и программные средства.
Описание структуры информационной системы включает технические и программные средства, используемые каналы связи, технические средства и принципы защиты, циркулирующие в ИС информационные потоки.
Технические средства (ТС) :
описание серверов БД. Если сервера БД, имеют уникальную программную, техническую или логическую структуру, необходимо описание каждого сервера;
описание серверов БД, расположенных вне пределов контролируемой зоны24 (КЗ) или являющихся частью других ИС, с которыми ваша ИС обменивается данными.
описание АРМ пользователей. Если в вашей ИС АРМ пользователей унифицированы, то достаточно перечислить программное обеспечение (ПО), используемое при обработке информации, и установленные средства безопасности.
Программные средства (ПС):
используемые операционные системы;
используемые программно-аппаратные комплексы, участвующие в обработке;
основное пользовательское программное обеспечение, участвующие в обработке;
ПО собственной разработки или стандартные программы, специально доработанные под нужды организации;
антивирусную защиту.
Каналы связи, с помощью которых ИС обменивается данными с другими системами:
характеристика канала (выделенный канал, модемное подключение и т.п.);
получатели данных;
характер и вид пересылаемых данных.
Каналом связи так же является подключение всей ИС или ее элементов к сети международного обмена Интернет, даже если режим работы ИС не предполагает служебной необходимости передачи данных по сетям общего пользования и международного обмена.
Технические средства и принципы защиты:
межсетевые экраны;
граничное телекоммуникационное оборудование;
оборудование формирующие виртуальные частные сети (VPN);
разделение на виртуальные локальные сети (VLAN, Virtual Local Area Network).
2 этап - определить пользователей ИС (администратор, разработчик, пользователь);
Типовая роль |
Уровень доступа к информации |
Разрешенные действия |
Администратор |
- обладает полной информацией о системном и прикладном программном обеспечении ИС - обладает полной информацией о технических средствах и конфигурации ИС. - имеет доступ ко всем техническим средствам обработки информации и данным ИС. - обладает правами конфигурирования и административной настройки технических средств ИС. |
- сбор - систематизация - накопление - хранение - уточнение - использование - распространение - обезличивание - блокирование - уничтожение |
Разработчик |
- обладает информацией об алгоритмах и программах обработки информации на ИС. - обладает правами внесения изменений в ПО ИС на стадии ее разработки, внедрения и сопровождения. - располагает всей информаций о топологии ИС и технических средствах обработки и защиты информации, обрабатываемых в ИС. |
- систематизация - накопление - хранение - уточнение - обезличивание - блокирование - уничтожение
|
Пользователь |
- обладает правами доступа к подмножеству данных. - располагает информацией о топологии ИС на базе локальной и (или) распределенной информационной системы, через которую он осуществляет доступ; - располагает информацией о составе технических средств ИС. |
- сбор - систематизация - накопление - хранение - уточнение - использование - распространение - обезличивание |
3 этап - определить тип ИС:
по структуре – автономная (АРМ), локальная (комплекс АРМ), распределенная (комплекс АРМ с использованием технологии удаленного доступа);
по режиму обработки данных в ИС - однопользовательская и многопользовательская;
по разграничению прав доступа пользователей ИС - системы без разграничения прав доступа и системы с разграничением прав доступа.
4 этап - определить исходный уровень защищенности ИС.
Под общим уровнем защищенности (Y1) понимается обобщенный показатель, зависящий от технических и эксплуатационных характеристик ИС.
5 этап - определить вероятность реализации угроз в ИС.
Под вероятностью реализации угрозы (Y2) понимается определяемый экспертным путем показатель, характеризующий, насколько вероятным является реализация конкретной угрозы безопасности информации для ИС в складывающихся условиях обстановки.
6 этап - определить возможность реализации угроз в ИС.
По итогам оценки уровня защищенности (Y1) и вероятности реализации угрозы (Y2), рассчитывается коэффициент реализуемости угрозы (Y) и определяется возможность реализации угрозы. Коэффициент реализуемости угрозы Y будет определяться соотношением Y= (Y1+ Y2)/20
7 этап - оценить опасность угроз.
Оценка опасности производится на основе опроса специалистов по защите информации и определяется вербальным показателем опасности, который имеет три значения:
низкая опасность - если реализация угрозы может привести к незначительным негативным последствиям для субъектов персональных данных;
средняя опасность - если реализация угрозы может привести к негативным последствиям для субъектов персональных данных;
высокая опасность - если реализация угрозы может привести к значительным негативным последствиям для субъектов персональных данных.
8 этап - определить актуальность угроз в ИС.
В соответствии с правилами отнесения угрозы безопасности к актуальной, для ИС определяются актуальные и неактуальные угрозы. После определения перечня актуальных угроз выбираются мероприятия организационного, физического технического и контролирующего характера по снижению опасности актуальных угроз. Перечень возможных мероприятий должен быть представлен в Плане мероприятий по обеспечению защиты информации.
После прохождения всех этапов будет сформирована частная модель угроз. Модель угроз составляется для каждой выявленной ИС и оформляется в виде документа. Например, «Модель угроз безопасности персональных данных».