Формирование требований по защите информации на объектах информатизации

1. Определение актуальных угроз безопасности информации

Краткая аннотация: принципы определения актуальных угроз безопасности информации, составление модели угроз и модели нарушителя.

Цель: получить навык определения актуальных угроз безопасности информации и умение составлять модель угроз и модель нарушителя.

В рамках проведения работ по аттестации посредством выполнения комплекса организационных и технических мероприятий необходимо исключить нарушение целостности, доступности и конфиденциальности информации за счет:

• утечки по техническим каналам,
• несанкционированного доступа к информации,
• преднамеренных программно-технических воздействий
• нарушения работоспособности технических средств.

Для любого объекта информатизации, обрабатывающего информацию ограниченного доступа существуют угрозы безопасности информации, реализация которых может привести к несанкционированному доступу к защищаемой информации, ее модификации, разглашению, блокированию или уничтожению. Поэтому на объекте информатизации защите подлежит:

• информация, обрабатываемая с использованием технических средств;
• информация, представленная в виде информативных электрических сигналов, физических полей;
• носители информации на бумажной, магнитной, оптической и иной основе;
• информация, представленная в виде информационных массивов и баз данных;
• речевая информация.

После того, как заявитель определился с необходимым количеством и видом объектов информатизации, необходимо сформировать перечень актуальных угроз безопасности информации. В качестве исходных данных для определения угроз безопасности информации используется банк данных угроз безопасности информации, сформированный ФСТЭК России и размещенный по адресу: http://bdu.fstec.ru, а также иные источники, содержащие сведения об уязвимостях и угрозах безопасности информации.

В соответствии с Рекомендациями по стандартизации Р 50.1.056-2005 "Техническая защита информации. Основные термины и определения", угроза безопасности информации – совокупность условий и факторов, создающих потенциальную или реально существующую опасность нарушения безопасности информации.

Перечень факторов, которые могут создать предпосылки возникновения угроз, определен в ГОСТ Р 51275-2006 "Защита информации. Объект информатизации. Факторы, воздействующие на информацию". Условия возникновения угрозы определяются структурой и составом объекта информатизации, режимами обработки информации, применяемыми программными и техническими средствами, наличием взаимодействий с другими системами и сетями общего доступа, а также иными характеристиками объекта информатизации. Если объект информатизации имеет распределенную структуру, то необходимо также учесть физические, логические, функциональные и технологические взаимосвязи как объекта целом, так и между его сегментами. Для формирования угроз безопасности необходимо оценить возможности внутренних и внешних нарушителей, провести анализ возможных уязвимостей объекта информатизации, выявить возможные способы реализации угроз безопасности информации, а также оценить последствия в случае реализации угроз безопасности. Таким образом, необходимо оценить наличие условий, при которых факторы, воздействующие на информацию, могут повлиять на безопасность информации и привести к возникновению канала утечки информации. Либо воспользоваться готовым банком данных угроз, либо применить оба способа.

При необходимости, по результатам определения угроз безопасности информации органом по аттестации разрабатываются рекомендации по корректировке структурно-функциональных характеристик объекта информатизации с целью нейтрализации отдельных угроз безопасности информации. При необходимости, может быть разработана "Модель нарушителя" - абстрактное (формализованное или неформализованное) описание нарушителя правил разграничения доступа. Определение "Модели нарушителя приведено в руководящем документе "Защита от несанкционированного доступа к информации. Термины и определения", утвержденном решением председателя Гостехкомиссии России от 30 марта 1992 г.

Категории и характеристики нарушителей определены в руководящем документе "Концепция защиты средств вычислительной техники и автоматизированных систем от несанкционированного доступа к информации", утвержденном решением Государственной технической комиссии при Президенте Российской Федерации от 30.03.1992 г.