3342
.pdfПосле определения активов и требований безопасности осуществляется определение ценности активов. В целом, можно выделить следующие этапы определения ценности активов:
определение шкалы ценности активов;
определение критериев оценки ущерба;
получение исходных данных для оценки от владельцев и пользователей актива;
определение последствие для бизнеса в результате нарушения целостности, конфиденциальности и доступности актива; 
определение ценности актива отдельно для каждого из трех свойств.
Для определения ценности активов может использоваться как количественная, так и качественная шкала. Типичные термины, используемые для качественного установления ценности активов: пренебрежимо малая, очень низкая, низкая, средняя, высокая, очень высокая, критичная. Критерии, используемые в качестве основы для присвоения ценности каждому активу, должны быть записаны в однозначных выражениях. Возможные критерии, используемые для определения ценности актива, включают его исходную стоимость, стоимость его замены или воссоздания, или ценность, которая может быть абстрактной, например, ценность репутации организации. Еще одной основой для установления ценности активов являются расходы, понесенные из-за потери конфиденциальности, целостности и доступности в результате инцидента.
Перечень критериев для оценки возможного ущерба в результате осуществления угроз в отношении активов может выглядеть следующим образом:
У1 – ущерб коммерческим интересам партнеров и третьих лиц;
У2 – санкции со стороны правоохранительных и регулирующих органов (штрафы, административная и
31
уголовная ответственность)
УЗ – ущерб коммерческим интересам организации; У4 – финансовые потерн; У5 – ущерб репутации организации;
У6 – дезорганизация деятельности, ухудшение морального климата в коллективе, снижение эффективности работы.
Для оценки величины возможного ущерба может использоваться пятибалльная качественная шкала (табл. 1.7, 1.8).
Таблица 1.7 Пример шкалы для оценки ущерба репутации организации
Величина |
Ущерб репутации организации |
|
ущерба |
||
|
||
0 |
Недовольство со стороны некоторых клиентов |
|
|
Потеря доверия некоторых клиентов или |
|
1 |
потенциальных клиентов, снижение уровня доверия |
|
|
со стороны некоторых партнером |
|
|
Локальное распространение негативной |
|
2 |
информации о компании, снижение уровня доверия |
|
|
со стороны партнеров и клиентов |
|
|
Негативная информация о компании распространя- |
|
3 |
ется через СМИ. Потеря доверия со стороны некото- |
|
рой части клиентов и/или партнеров, отказ некото- |
||
|
||
|
рых партнеров или клиентов от участия в программе |
|
|
Серьезное ухудшение имиджа организации, потеря |
|
4 |
доверия со стороны значительной части клиентов |
|
|
и/или партнеров, широкая негативная известность |
Примечание: 0 - минимально возможный (незначительный) ущерб, 4 - максимальный ущерб (разрушительные последствия для организации). Оценка ущерба дается для каждого свойства актива (конфиденциальности, целостности и доступности) независимо.
Результаты оценки ущерба сводятся в таблицу ценности активов (табл. 1.9).
32
Таблица 1.8
Пример шкалы для оценки прямого финансового ущерба и ущерба коммерческим интересам организации
|
Величина |
Ущерб коммерческим интересам организации |
|
Финансовые потери |
|
|
|
|
|||||||||
|
ущерба |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
0 |
Представляет интерес для конкурентов, но не |
|
Менее 100 000 руб. |
|
|
|
|
|||||||||
|
приносит коммерческой выгоды |
|
|
|
|
|
|
|
|
|
|
|
|
||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||||
|
|
Представляет интерес для конкурентов и приносит |
От 100 000 до 1 000 000 руб. |
||||||||||||||
|
1 |
им коммерческую выгоду на сумму менее 1 000 |
|
|
|
|
|
|
|
|
|
|
|||||
|
|
000 руб. |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Представляет интерес для конкурентов и приносит |
От 1 000 000 до 10 000 000 руб. |
||||||||||||||
|
2 |
им коммерческую выгоду на сумму от 1 000 000 до |
|
|
|
|
|
|
|
|
|
||||||
|
|
10 000 000 руб. |
|
|
|
|
|
|
|
|
|
|
|
|
|
||
|
|
Представляет интерес для конкурентов и приносит |
От 10 000 000 до 100 000 000 руб. |
||||||||||||||
|
3 |
им коммерческую выгоду на сумму от 10 000 000 |
|
|
|
|
|
|
|
|
|
||||||
|
до 100 000 000 руб. (упущенная выгода |
|
|
|
|
|
|
|
|
|
|
|
|||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|||||
|
|
организации) |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Коммерческие интересы или финансовое |
|
|
Более 100 000 000 руб., |
|
|
||||||||||
|
4 |
положение организации могут быть существенно |
банкротство и прекращение |
|
|||||||||||||
|
|
подорваны, потеря основной доли рынка |
|
|
бизнеса |
|
|
|
|
|
|
|
|||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Таблица 1.9 |
||
|
|
|
Оценка величины возможного ущерба и ценности активов |
|
|
|
|
|
|||||||||
|
Название |
|
Последствие |
Требование |
Тип |
Ценность |
|
|
|
|
Примечание |
|
|
|
|
||
|
актива |
|
угрозы |
безопасности |
ущерба |
актива |
(описание возможных последствий угрозы и |
||||||||||
|
|
|
|
|
|
(величина |
|
|
|
|
ущерба) |
|
|
|
|
||
|
|
|
|
|
|
ущерба) |
|
|
|
|
|
|
|
|
|
|
|
|
Корпоративный |
К |
|
– |
– |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|||||||
|
веб-сайт |
|
Ц |
|
У5 |
1 |
Незначительные |
затруднения |
в |
установлении |
|||||||
|
|
|
|
отношений с новыми партнерами |
|
|
|
||||||||||
|
|
|
|
|
|
|
|
|
|
||||||||
|
|
|
Д |
|
У5 |
0 |
Посещаемость сайта незначительна |
|
|
||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Сайт проекта X |
К |
|
– |
– |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||||||||||
|
|
|
|
|
|
|
Существенный ущерб имиджу компании, потеря |
||||||||||
|
|
|
Ц |
|
У5 |
3 |
доверия |
со |
стороны |
значительной |
части |
||||||
|
|
|
|
|
|
|
клиентов |
|
|
|
|
|
|
|
|
||
|
|
|
|
|
|
|
Невозможность |
получения |
|
информации |
|||||||
|
|
|
|
|
|
|
клиентами |
|
|
|
|
|
|
|
|
||
|
|
|
д |
|
У5 |
3 |
При |
недоступности |
сайта |
более |
1 |
часа, |
|||||
|
|
|
|
|
|
|
репутации компании может быть нанесен |
||||||||||
|
|
|
|
|
|
|
серьезный ущерб |
|
|
|
|
|
|
|
|||
|
Персональные |
|
|
|
|
В |
случае |
несанкционированного |
раскрытия |
||||||||
|
данные |
|
к |
|
У2.У5 |
3 |
информации |
из |
базы |
персональных |
данных |
||||||
|
клиентов |
|
|
|
|
|
возможна потеря значительной части клиентов |
||||||||||
|
|
|
|
|
|
|
Возможен срыв маркетинговых мероприятий в |
||||||||||
|
|
|
ц |
|
У2 |
2 |
случае |
несанкционированного |
|
изменения |
|||||||
|
|
|
|
персональных данных клиентов (email, почтовый |
|||||||||||||
|
|
|
|
|
|
|
|||||||||||
|
|
|
|
|
|
|
адрес, SMS) |
|
|
|
|
|
|
|
|
||
|
|
|
|
|
У6 |
3 |
В случае недоступности |
базы |
персональных |
||||||||
|
|
|
|
|
данных более 1 дня |
|
|
|
|
|
|
||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|||||
Примечание: последствия угрозы оцениваются с точки зрения утраты конфиденциальности (К), целостности (Ц) и доступности (Д) актива; среди требований безопасности выделяют законодательные и нормативные требования (Т1), контрактные обязательства (Т2), требования бизнеса (Т3).
33
Таким образом, в результате идентификации активов получаем перечень активов, подлежащих менеджменту риска, и перечень бизнеспроцессов, связанных с активами, а также их значимость.
2. Определение угроз
Активы являются объектом для многих видов угроз. Угрозы могут быть природного или человеческого происхождения, они могут быть случайными или умышленными. Угрозы могут проистекать как из самой организации, так и из источника вне ее пределов. Должны быть идентифицированы и случайные и умышленные источники угроз и оценена вероятность их возникновения.
Формально угрозу можно описать, используя понятия профиля и жизненного цикла угрозы.
Профиль угрозы определяется следующими статичными атрибутами:
название угрозы (в соответствии с принятой классификацией);
общее описание угрозы;
источник угрозы, описываемый моделью нарушителя;
вид угрозы – указывает на принадлежность к тому или иному известному виду угроз согласно их классификации;
способ реализации – указывает на принадлежность к тому или иному известному способу реализации данного вида угрозы согласно их классификации;
объект защиты (виды активов, на которые направлена угроза);
последствия (результат) осуществления угрозы; 
уязвимости (предпосылки возникновения угрозы, такие как наличие определенных изъянов защиты, нарушения технологического процесса проектирования и разработки ПО и т. п.).
34
Этапы реализации большинства угроз безопасности (жизненный цикл угроз), включают в себя следующие процессы:
зарождение;
развитие;
проникновение в АС;
проникновение в критичную информацию;
инициализация;
результат действия; 
регенерация.
В качестве примера рассмотрим профиль угроз безопасности, связанных с получением внутренними злоумышленниками несанкционированного доступа (НСД) к информационным активам организации. Профиль угрозы:
название угрозы – НСД к информации;
общее описание угрозы – пользователь может получить доступ к ресурсам АС или выполнить операции, на которые ему не было предоставлено соответствующих прав;
источник угрозы – можно выделить следующие категории потенциальных нарушителей:
операторы, обладающие самым низким уровнем возможностей, предоставляемых им штатными средствами АС, – запуск задач (программ) из фиксированного набора, реализующих заранее предусмотренные функции по обработке информации;
прикладные программисты, которым предоставляется возможность создания и запуска собственных программ с новыми функциями по обработке информации; 
администраторы АС и системные программисты,
которым предоставляется возможность управления функционированием АС, то есть воздействия на базовое программное обеспечение системы, а также состав и конфигурацию ее оборудования;
35
разработчики АС и лица, обладающие всем объемом возможностей по проектированию, реализации и ремонту технических средств АС, вплоть до включения в ее состав собственных технических средств по обработке информации;
вид угрозы – использование штатных средств для осуществления НСД к информации АС;
способ реализации – подбор или воровство пароля, использование слабостей защиты;
объект защиты – база данных;
последствия – утечка конфиденциальной информации из базы данных;
уязвимости – ошибка в настройке правил разграничения доступа к базе данных, нарушение сотрудниками правил парольной политики, уязвимости программного обеспечения базы данных или операционной системы.
Жизненный цикл угрозы:
зарождение – возникновение предпосылок для НСД;
развитие – выявление возможностей и способов НСД к информационным ресурсам АС;
проникновение в АС – НСД к ресурсам АС при помощи штатных средств;
проникновение в критичную информацию – путем обхода средств разграничения доступа;
инициализация – копирование конфиденциальной информации;
результат действия – в соответствии с целями НСД; регенерация – при повторном НСД.
Существуют различные способы классификации угроз безопасности: по объекту воздействия, по источнику угрозы, способам ее осуществления, возможным последствиям и видам ущерба. Одновременно могут использоваться несколько
критериев |
классификации, |
например, |
угрозы, |
|
36 |
|
|
классифицированные по объекту воздействия, дополнительно, внутри каждого класса, могут классифицироваться по видам ущерба и источникам угрозы.
По виду активов, на которые они направлены (объектам воздействия), угрозы делятся на:
угрозы, направленные против информационных активов;
угрозы, направленные против программного обеспечения;
угрозы, направленные против технических средств;
угрозы кадровым ресурсам; 
угрозы помещениям организации.
По источнику угрозы можно разделить, например, на следующие классы:
угрозы со стороны различных классов внешних нарушителей;
угрозы со стороны различных классов внутренних нарушителей;
угрозы со стороны партнеров и подрядчиков;
антропогенные катастрофы (терроризм, взрывы, массовые беспорядки);
техногенные аварии (сбои технических средств);
природные катаклизмы (землетрясение, наводнение, ураганы и т.п.); 
несчастные случаи (пожар, обрушение здания и т.п.).
По типу нарушения угрозы можно разделить на следующие классы:
угрозы нарушения конфиденциальности информации;
угрозы нарушения целостности информации;
угрозы нарушения доступности информации; угрозы отказа от совершенных действий с информацией (угрозы неотказуемости);
37
угрозы, связанные с невозможностью установления авторства электронных документов (угрозы аутентичности); угрозы нарушения требований законодательства.
Далее более подробно рассмотрим некоторые основные классы угроз опасности.
Угрозы, реализуемые при помощи программных средств
Угрозы информационной безопасности, реализуемые с использованием программных средств – наиболее много-
численный класс угроз в отношении конфиденциальности, целостности и доступности информационных активов, связанный с получением внутренними или внешними нарушителями несанкционированного логического доступа к информации, а также блокированием или разрушением этой информации с использованием. Возможностей, предоставляемых общесистемным и прикладным программным обеспечением. К этому классу угроз относится, например, следующее:
использование ошибок проектирования, кодирования, либо конфигурации для получения НСД;
использование закладок в ПО, оставленных для отладки, либо умышленно внедренных;
сбои в работе средств защиты информации;
маскарад, перехват паролей или взлом паролей пользователей;
нецелевое использование ПО;
анализ сетевого трафика с целью перехвата информации;
замена, вставка, удаление или изменение данных пользователей в информационном потоке;
ошибки пользователей и технического персонала;
внедрение вредоносного ПО; утечка конфиденциальной информации но
электронным каналам связи (электронная почта,
38
системы мгновенных сообщений и т.п.) либо на внешние устройства и носители информации; и т.п.
Большинство рассматриваемых в этом классе угроз реализуется путем осуществления локальных или удаленных атак на информационные активы системы внутренними и внешними нарушителями. Результатом успешного осуществления этих угроз становится получение НСД к информации электронного архива, управляющей информации, хранящимся на рабочих местах администраторов, конфигурационной информации активного сетевого оборудования, а также к данным, передаваемым по каналам связи.
Угрозы утечки информации по техническим каналам
Утечка информации по техническим каналам связи —
это специфический класс угроз, требующий для своей реализации специальных навыков и оборудования для проведения технической разведки. Такие методы пускаются в ход, когда перехватываемая информации имеет очень большую ценность, что характерно для деятельности разведслужб.
К данному классу угроз относится следующее: 
побочные электромагнитные излучения;
наводки сигнала на провода и линии связи, заземления, электропитания;
радиоизлучения, модулированные информативным сигналом, паразитные излучения;
радиоизлучения, обусловленные воздействием на технические средства высокочастотных сигналов, создаваемых при помощи разведывательной аппаратуры;
аппаратные закладки;
акустическое излучение речевого сигнала; виброакустические излучения речевого сигнала;
39
просмотр информации с экранов дисплеев при помощи оптических средств; телевизионная и фотографическая разведка.
Угрозы в отношении программных средств
Программное обеспечение выступает в трех ипостасях. Во-первых, оно является средством обработки информации, которое может использоваться для нарушения безопасности информационных активов. Во-вторых, исходные тексты и исполняемые файлы программ сами по себе являются информационными активами, подверженными тем же угрозам безопасности, что и любые другие активы. В-третьих, программное обеспечение выступает в качестве объекта интеллектуальной собственности, нуждающегося в юридической защите.
В отношении программных средств могут реализовываться следующие виды угроз:
порча ПО и резервных копий;
внесение несанкционированных изменений в исходные тесты ПО;
использование нелицензионного ПО;
нарушение лицензионных соглашений; 
нарушение конфиденциальности программных кодов.
Угрозы техническим средствам
К данному классу относятся угрозы доступности, целостности и, в некоторых случаях, конфиденциальности информации, хранимой, обрабатываемой и передаваемой по каналам связи, связанные с повреждениями и отказами технических средств системы и повреждением линий связи.
В этом классе целесообразно рассмотреть следующие
основные виды угроз:
умышленное или неумышленное физическое повреждение технических средств внутренними нарушителями;
40