Довольно часто приходится сталкиваться с вопросами в сети о том, как построить модель угроз. Такие вопросы возникают, как в связи с активизацией работ по приведению информационных систем в соответствие с ФЗ 152 "О персональных данных", так и проcто сами по себе.

Хочу заметить, что составление модели угроз и мер по противодействиям, это кропотливая работа, сложная и объемная, во многом опирается на экспертную оценку профессионалов, методологически и инструментально вооруженных.

Однако бывают моменты, когда требуется произвести быструю оценку текущего состояния дел и дать эту оценку для руководителя или для самого себя безотносительно к требованиям государственных органов.
Для таких случаев и только для таких случаев можно применить данный документ.

Заполняя вероятности реализации для разных групп нарушителей, можно получить усредненный коэффициент опасности. В даннном документе использован радикально(!!!) упрощенный вариант подсчета конечной вероятности, дающий лишь обзорную картину и не учитывающий множество различных факторов.

В первую очередь, документ предназначен для начинающих системных администраторов, которые только входят в проблематику информационной безопасности и для которых Fstec.Ru: "Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных" от 15 февраля 2008 года(выписка) слишком сложна.

Документ оформлен в виде электронной таблицы пакета OpenOffice, в котором используется условное форматирование для подсветки фоном уровня опасности на основе введенной пользователем вероятности.

Еще раз отмечаю, что данный документ не является точным инструментом для оценки положения, а предназначен лишь для быстрой, наглядной и упрощенной ориентировки.

[Скачать документ]
В данном документе рассмотрены следующе типы и риски:

По горизонтали описаны типы нарушителей:

По вертикали следующие риски и кратко, неисчерпывающе, описаны методики их возможной реализации, более подробно см. документ ФСТЭК: "Fstec.Ru: "Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных" от 15 февраля 2008 года(выписка)"


Угрозы утечки акустической информации


Угрозы утечки видовой информации

Угрозы утечки информации по каналам ПЭМИН
Угрозы несанкционированного доступа к информации
Угрозы уничтожения, хищения аппаратных средств ИС носителей информации путем физического доступа к элементам ИС

Угрозы хищения, несанкционированной модификации или блокирования информации за счет несанкционированного доступа (НСД) с применением программно-аппаратных и программных средств (в том числе программно-математических воздействий);

Угрозы не преднамеренных действий пользователей и нарушений безопасности функционирования обработки данных в ее составе из-за сбоев в программном обеспечении, а также от угроз неатропогенного (сбоев аппаратуры из-за ненадежности элементов, сбоев электропитания) и стихийного (ударов молний, пожаров, наводнений и т.п.) характера.

Угрозы преднамеренных действий внутренних нарушителей

Угрозы несанкционированного доступа по каналам связи
Угрозы перехвата при передаче по проводным (кабельным) линиям связи
[Скачать документ]


Hosted by uCoz