Базовая Модель Угроз Информационной Безопасности
Специалист по защите информации
ВалерийБезгузиков
технический директор ЦЗИ
ЕгорКожемяка
директор ЦЗИ
Необходимость разработки частной модели угроз безопасности информационных систем персональных данных (ИСПД) определяется действующими руководящими документами по защите персональных данных (ПД), к числу которых относятся:
- "Положение об обеспечении безопасности ПД при их обработке в ИСПД" [1];
- "Базовая модель угроз безопасности ПД при их обработке в ИСПД [2].
В "Положении" (п. 12) указано, что мероприятия по обеспечению безопасности ПД при их обработке в ИСПД включают в себя определение угроз безопасности ПД при их обработке, формирование на их основе частной модели угроз.
В "Базовой модели" (п. 2) разъясняется, что частная модель угроз для ИСПД разрабатывается на основе базовой модели угроз и служит для конкретизации действующих угроз.
Рекомендации по разработке частной модели угроз
Рекомендации по разработке частной модели угроз содержатся в "Методике определения актуальных угроз безопасности ПД при их обработке в ИСПД" [3]. Согласно этому документу, разработка частной модели угроз предполагает:
- Определение исходных данных для построения частной модели угроз.
- Выявление угроз ПД.
- Составление перечня источников угроз.
- Формирование перечня актуальных угроз.
Актуальность угрозы безопасности ПД определяется на основе возможности реализации угрозы и показателя опасности угрозы. При этом для каждой угрозы вычисляется возможность реализации угрозы (Y):
Y = (Y1 + Y2)/20,
где
Y1 – числовой коэффициент, определяющий исходную степень защищенности;
Y2 – числовой коэффициент, определяющий вероятность возникновения угрозы;
20 – нормирующий коэффициент.
Коэффициент Y1 определяется, исходя из набора технических и эксплуатационных характеристик, общих для всех ИСПД. Коэффициент Y2 определяется на основе экспертной (субъективной) оценки вероятности возникновения угрозы.
Во многих случаях частная модель угроз разрабатывается после проведения аудита информационной безопасности. В этом случае имеется дополнительная информация, полученная в ходе аудита, которая может быть использована для уточнения частной модели угроз. Методика учета этой информации рассмотрена ниже.
Учет данных аудита информационной безопасности при разработке частной модели угроз
После проведения аудита информационной безопасности обычно имеется следующая информация:
- Информация о внедренных на предприятии организационно-технических мероприятиях, которые повышают реальную степень защищенности ИСПД.
- Информация о качестве администрирования параметров безопасности ИСПД.