Затем оцениваются уровни угроз и уязвимостей на основе экспертного опроса по специально составленным анкетам и учета таким образом разнообразных косвенных факторов, таких как:
статистика по зарегистрированным инцидентам безопасности информации (нарушениям);
тенденции в статистике по нарушениям;
наличие в системе информации, представляющей интересах для возможных внутренних и внешних нарушителей;
моральные качества персонала;
возможность извлечь выгоду из изменения обрабатываемой в системе информации;
наличие альтернативных способов доступа к информации;
количество рабочих мест операторов в системе;
осведомленность руководства о действиях сотрудников;
полномочия пользователей и др.
Примеры заполнения ответов и выставления баллов по ответам приведены в табл. 3.15 и 3.16.
Затем баллы по результатам оценки угрозы суммируются и оценивается степень угрозы по количеству баллов следующим образом:
|
до 9 |
- очень низкая; |
от 10 до 19 |
- низкая; |
от 20 до 29 |
- средняя; |
от 30 до 39 |
- высокая: |
|
40 и более |
- очень высокая. |
Таблица 3.15 Пример оценки угроз выполнения несанкционированных действий по балльной шкале
по ответам экспертов
|
Вопрос |
Ответ |
Количе- |
|
|
|
ство бал- |
|
|
|
лов |
|
Сколько раз сотрудники в последние |
Ни разу |
0 |
|
три года пытались получить НСД к |
Один или два раза |
10 |
|
информации в системе |
|
|
|
В среднем раз в год |
20 |
|
|
В среднем чаще одного раза в год |
30 |
|
|
|
|
|
|
Неизвестно |
10 |
|
Какова тенденция в статистике такого |
К возрастанию |
10 |
|
рода попыток НСД? |
Оставаться постоянной |
0 |
|
|
К снижению |
-10 |
|
Хранится ли в информационной си- |
Да |
5 |
|
стем информация, которая может |
|
|
|
представлять интерес для сотрудников |
Нет |
0 |
|
организации? |
|
|
|
Известны ли случаи нападения, угроз, |
Да |
10 |
|
шантажа, давления на сотрудников со |
|
|
|
Нет |
0 |
|
стороны посторонних лиц? |
|
|
|
|
Есть ли среди персоналы лица с недо- |
Нет |
0 |
|
статочно высокими моральными каче- |
|
|
|
Есть, но это вряд ли может спрово- |
5 |
|
ствами? |
|
цировать их на НСД в систему |
|
|
|
|
|
|
Есть и они вполне способны совер- |
10 |
|
|
шить действия по НСД |
|
|
Хранится ли в системе информация, |
Да |
5 |
|
несанкционированное изменение кото- |
|
|
|
Нет |
0 |
|
рой может принести прямую выгоду |
|
|
|
|
сотрудникам? |
|
|
|
Имеются ли в системе программные и |
Нет |
0 |
|
иные средства, способствующие со- |
|
|
|
Да |
5 |
|
вершению НСД? |
|
|
|
|
Имеются ли другие способы измене- |
Да |
-10 |
|
ния информации, позволяющие зло- |
Нет |
0 |
|
умышленнику получить выгоду более |
|
|
|
простым способом, чем НСД? |
|
|
|
Сколько раз в последние три года со- |
Ни разу |
0 |
|
трудники пытались получить НСД к |
Один ил два раза |
5 |
|
информации, хранящейся в других си- |
В среднем раз в год |
10 |
|
стемах организации? |
Чаще одного раза в год |
15 |
|
|
|
|
|
|
Неизвестно |
10 |
|
|
|
|
Таблица 3.16 Пример оценки уязвимостей по балльной шкале по ответам экспертов
|
|
|
Вопрос |
|
|
Ответ |
Количество |
|
|
|
|
|
|
|
|
|
|
баллов |
|
Сколько |
людей |
имеют |
От 1 до 10 |
0 |
|
право |
пользоваться |
си- |
|
|
|
От 11 до 50 |
4 |
|
стемой? |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
От 51 до 200 |
10 |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
От 200 до 1000 |
14 |
|
|
|
|
|
|
|
|
|
Свыше 1000 |
|
|
Будет |
ли |
руководство |
Да |
0 |
|
осведомлено, |
что сотруд- |
|
|
|
Нет |
10 |
|
ники ведут себя необыч- |
|
|
|
|
ным образом? |
|
|
|
|
|
|
|
Какие устройства и про- |
Только терминалы или сетевые контроллеры, |
-5 |
|
граммы доступны пользо- |
ответственные за предоставление и маршрути- |
|
|
вателю? |
|
|
|
|
|
зацию информации |
|
|
|
|
|
|
|
|
|
|
Только стандартные офисные устройства и |
0 |
|
|
|
|
|
|
|
|
|
программы, а также управляемые с помощью |
|
|
|
|
|
|
|
|
|
|
меню подчиненные прикладные программы? |
|
|
|
|
|
|
|
|
|
|
Пользователи могут получить доступ к опера- |
5 |
|
|
|
|
|
|
|
|
|
ционной системе, но не к компьютеру |
|
|
|
|
|
|
|
|
|
|
Пользователи могут получить доступ к компи- |
10 |
|
|
|
|
|
|
|
|
|
ляторам |
|
|
Возможны |
ли |
ситуации, |
Да |
10 |
|
когда сотрудники, преду- |
|
|
|
прежденные |
о |
предстоя- |
|
|
|
Нет |
0 |
|
|
|
|
|
|
|
|
|
|
щем |
сокращении |
или |
|
|
|
увольнении, имеют до- |
|
|
|
ступ к системе? |
|
|
|
|
|
|
Каковы в среднем разме- |
Менее 10 человек |
0 |
|
ры рабочих групп сотруд- |
|
|
|
От 11 до 20 человек |
5 |
|
ников |
в |
подразделении, |
|
Свыше 20 человек |
10 |
|
имеющих доступ к систе- |
|
|
|
|
ме? |
|
|
|
|
|
|
|
|
|
|
Станет ли факт изменения |
Да |
0 |
|
информации |
в |
системе |
|
|
|
Нет |
10 |
|
очевидным сразу для не- |
|
|
|
|
скольких человек? |
|
|
|
|
|
Насколько велики офици- |
Официальное право предоставлено всем поль- |
-2 |
|
ально |
предоставленные |
зователям |
|
|
пользователям |
возможно- |
Официальное право предоставлено только не- |
0 |
|
сти |
по |
просмотру |
всех |
которым пользователям |
|
|
хранящихся |
в |
|
системе |
|
|
|
данных? |
|
|
|
|
|
|
|
|
Насколько |
|
необходимо |
Всем пользователям необходимо знать всю |
-4 |
|
пользователям |
знать |
всю |
информацию, хранящуюся в системе |
|
|
информацию, |
хранящую- |
Отдельным пользователям необходимо знать |
0 |
|
ся в системе |
|
|
|
|
всю информацию, хранящуюся в системе |
|
Аналогичным образом оценивается по баллам сте-
пень уязвимости: |
|
|
до 9 |
- низкая; |
от 10 до 19 |
- средняя; |
|
20 и более |
- высокая. |
Далее определяется показатель цены потери по вербальной шкале:
N (Negligible) – воздействие можно пренебречь;
Mi (Minor) – незначительные последствия (легко устранимы, с малыми затратами на ликвидацию);
Mo (Moderate) – последствия умеренны, не связаны с крупными затратами, не затрагивает критически важные задачи;
S (Serious) – серьезные последствия со значительными затратами, влияющими на выполнение критически важных задач;
C (Critical) – невозможно решение критически важных задач.
На основе проведенных оценок определяется показатель риска, например, по десятибалльной шкале в соответствии с табл. 3.17, а затем с его учетом – опасность угрозы (табл. 3.18).
Таблица 3.17
Показатель информационного риска
Цена |
|
|
|
|
Уровень угрозы |
|
|
|
|
потери |
|
Н |
|
|
|
С |
|
|
В |
|
|
Уровни уязвимости |
Уровни уязвимости |
Уровни уязвимости |
|
Н |
С |
В |
Н |
|
С |
|
В |
Н |
С |
В |
N |
0 |
1 |
3 |
1 |
|
3 |
|
5 |
2 |
4 |
6 |
Mi |
1 |
2 |
4 |
2 |
|
4 |
|
6 |
3 |
5 |
7 |
Mo |
2 |
3 |
5 |
3 |
|
5 |
|
7 |
4 |
6 |
8 |
S |
3 |
4 |
6 |
4 |
|
6 |
|
8 |
5 |
7 |
9 |
C |
4 |
5 |
7 |
5 |
|
7 |
|
9 |
6 |
8 |
10 |
*Н – низкий, С – средний, В – высокий
|
|
|
|
Таблица 3.18 |
|
|
Оценка опасности угрозы по вербальной шкале |
Показатель информаци- |
Интерпретация оценки риска в |
Вербальная оценка опас- |
онного риска в баллах |
вербальной шкале |
ности угрозы |
1 |
балл и менее |
Очень низкий риск |
Опасность очень низкая |
2 |
или 3 |
балла |
Низкий риск |
Опасность низкая |
4 |
или 6 |
баллов |
Средний риск |
Опасность средняя |
7-9 баллов |
Высокий риск |
Опасность высокая |
10 баллов |
Недопустимый риск |
Опасность чрезвычайная |
4. ОБОСНОВАНИЕ ТРЕБОВАНИЙ ПО ЗАЩИТЕ ИНФОРМАЦИИ В ПРОЕКТИРУЕМЫХ ИНФОРМАЦИОННОТЕЛЕКОММУНИКАЦИОННЫХ СИСТЕМАХ 4.1. Система требований по защите информации
Требования по защите информации в ИТКС предъявляются в интересах формирования условий, при которых в случае их выполнения достигается определенный уровень защищенности информации, достаточный для недопущения нанесения существенного ущерба государству или обществу. Системой таких требований регулируются различные аспекты деятельности органов, организаций и предприятий в области защиты информации (рис. 4.1). Ниже рассматриваются не все требования, а лишь те, которые касаются технических аспектов организации защиты информации в информационных системах.
В последнее десятилетие в России сложилось два направления нормативного регулирования деятельности по защите информации в информационных системах:
первое направление связано с нормативными правовыми актами, издаваемыми уполномоченными федеральными органами исполнительной власти, такими как ФСБ России, ФСТЭК России, Роскомнадзор;
второе направление связано с активным внедрением в России международных стандартов в виде аутентичных переводов и принятия их в качестве национальных.
Первое направление характеризуется тем, что требования по защите информации формируются применительно к заранее определенному классу (уровню) защищенности информационной системы.
Терминологические аспекты
|
Законы РФ |
Указы Прези- |
Постановления |
Национальные |
Международные |
Глоссарии |
Специальные нормативные и |
|
дента РФ |
Правительства РФ |
стандарты |
стандарты |
методические документы |
|
|
|
Аспекты организации защиты информации от несанкционированного доступа Оценка обстановки: категорирование ИТКС и информационных ресурсов
Оценка обстановки: выявление и оценка опасности угроз безопасности информации, оценка защищенности информации
Обоснование требований по защите информации
Выбор способов и средств защиты информации Разработка перспективных способов и средств защиты информации
Построение систем защиты информации, оценка эффективности защиты
Аттестация систем защиты, ИТКС в защищенном исполнении и сертификация средств защиты
Контроль ТЗИ
|
Организация |
Оценка возможностей |
Обоснование требований |
Выбор способов и средств |
Разработка способов, |
|
и эффективности кон- |
к средствам и системам |
контроля, построение систем |
средств и систем кон- |
|
контроля |
|
троля |
контроля |
контроля |
троля |
|
|
Рис. 4.1. Основные аспекты защиты информации, регулируемые нормативными и методическими документами
337
Класс (уровень) защищенности определяется путем классификации информационных систем по правилам (методикам), введенным в соответствующем документе. При этом каждому классу (уровню) защищенности ставится в соответствие определенный набор подлежащих применению в этой информационной системе мер и средств защиты. Прежде всего, такое регулирование проводится в системах, где обрабатывается информация ограниченного доступа, содержащая сведения, составляющие государственную, служебную, коммерческую тайны (если это затрагивает государственные интересы) или персональные данные граждан России.
Второе направление характеризуется тем, что в стандартах излагается заранее сформированный каталог требований, на основе которого разрабатываются разнообразные «профили защиты» – специальные документы, содержащие требования к различным классам, типам, экземплярам информационных систем. При проектировании конкретной информационной системы в защищенном исполнении разработчик выбирает необходимый профиль защиты, в соответствии с которым задаются требования по защите и разрабатывается система защиты (создается ИТКС в защищенном исполнении).
Следует отметить, что, если первое направление может применяться для любых ИТКС в России (указанных в соответствующем нормативно-правовом акте), то второе направление применяется в основном для трансграничных информационных систем, систем, развертываемым за рубежом отечественными разработчиками, систем совместных предприятий на территории России и иных систем, где не требуется нормативное регулирование деятельности в области защиты информации со стороны государства.
Сегодня наблюдается тенденция к некоторому сближению этих двух направлений.
Ниже рассматриваются требования, формируемые
всоответствии с первым направлением нормативного регулирования. Второе направление раскрывается в разде-
ле 3.5.
Все множество требований, предъявляемых к ИТКС
вобласти защиты информации (их называют «требованиями к защите», «требованиями по защиты» или в некоторых документах – «требованиями о защите»), можно разделить на требования к системе защиты (включающие в себя требования к организации защиты), требования к технической составляющей системы защиты и требования к мерам и средствам защиты (рис. 4.2).
При этом под системой защиты здесь понимается совокупность «экономических, организационно-правовых и административных мер, нормативных процедур (методов и способов), органов и/или исполнителей, используемой ими техники защиты информации, а также объектов защиты, организованная и функционирующая по правилам и нормам, установленным соответствующими документами
вобласти защиты информации» [10].
Вобщем случае под средством защиты информации понимается техническое, программное, программнотехническое средство, вещество и (или) материал, предназначенные или используемые для защиты информации
[10].
Таким образом, средством защиты информации от НСД может быть оборудование с возможно установленными на нем программами или программа (совокупность программ, программный комплекс), предназначенные для парирования угроз НСД.
Требования к защите информации
Требования к системе защиты информации
Требования к организации защиты информации
Требования к порядку организации(общие требования к организации)
Требования к организационным мерам защиты информации
Требования к обеспечению защиты информации
Требования к персоналу Требования
к материальномуТребованияобеспечению
Требования к финансовому обеспечению
Требования к методическому обеспечению
Требования к технической составляющей системы защиты информации
Требования к реализуемым в системе технологиям защиты информации
Требования к реализуемым в системе защиты функциям безопасности
Требования к составу и структуре (построению) системы защиты информации
Требования к интерфейсу администратора и пользователей системы защиты
Требования к программно-аппаратному обеспечению системы защиты
Требования к управлению защитой информации в системе защиты
Требования к техническим мерам и средствам защиты информации
Требования к техническим мерам защиты информации
Требования к средствам защиты информации
Рис. 4.2. Структура системы требований по защите информации в информационных системах
340