ИСПДн имеет средний уровень исходной защищенности, если не выполняются условия по пункту 1 и не менее 70% характеристик ИСПДн соответствуют уровню не ниже «средний», а остальные – низкому уровню защищенности.

Каждой  угрозе степень исходной защищенности ставится в соответствие числовой коэффициент  Y1 :

0 – для  высокой СтИсхЗ;

5 – для средней СтИсхЗ;

10 – для низкой СтИсхЗ.

Вероятность реализации угрозы - определяемый экспертным путем показатель, характеризующий, насколько вероятным является реализация конкретной угрозы безопасности ПДн для данной ИСПДн в складывающихся условиях обстановки.

Вводятся  четыре вербальных градации этого показателя:

маловероятно  – отсутствуют объективные предпосылки  для осуществления угрозы;

низкая  вероятность – объективные предпосылки  для реализации угрозы существуют, но принятые меры существенно затрудняют ее реализацию;

средняя вероятность - объективные предпосылки  для реализации угрозы существуют, но принятые меры обеспечения безопасности ПДн недостаточны;

высокая вероятность - объективные предпосылки  для реализации угрозы существуют и меры по обеспечению безопасности ПДн не приняты.

Вероятность возникновения угрозы Y 2:

0 – для  маловероятной угрозы;

2 – для  низкой вероятности угрозы;

5 – для средней вероятности  угрозы;

10 – для  высокой вероятности угрозы.

Коэффициент реализуемости угрозы Y будет определяться соотношениемY =(Y1 + Y2)/20.

По значению коэффициента реализуемости угрозы Y формируется вербальная интерпретация  реализуемости угрозы следующим  образом:

если 0 ≤ Y ≤ 0,3, то возможность реализации угрозы низкая;

если 0,3 ≤ Y ≤ 0,6, то возможность реализации угрозы средняя;

если 0,6 ≤ Y ≤ 0,8, то возможность реализации угрозы высокая;

если Y ≤ 0,8, то возможность реализации угрозы очень высокая.

 

Далее оценивается  опасность каждой угрозы.

При оценке опасности на основе опроса экспертов  определяется вербальный показатель опасности  для рассматриваемой ИСПДн:

-низкая опасность – если реализация угрозы может привести к незначительным негативным последствиям для субъектов персональных данных;

-средняя опасность – если реализация угрозы может привести к негативным последствиям для субъектов персональных данных;

-высокая опасность – если реализация угрозы может привести к значительным негативным последствиям для субъектов персональных данных.

 

 

 

 

 

 

Угроза утечки видовой информации

 

Маловероятно – отсутствуют объективные предпосылки для осуществления угрозы.

0 – для  маловероятной угрозы;

Y = 0,25.

0 ≤ Y ≤ 0,3, возможность реализации  угрозы низкая;

Средняя опасность – если реализация угрозы может привести к негативным последствиям для субъектов персональных данных.

Угроза неактуальна.

 

Угрозы доступа в операционную среду компьютера с использованием штатного программного обеспечения

 

Низкая вероятность – объективные предпосылки для реализации угрозы существуют, но принятые меры существенно затрудняют ее реализацию.

2 – для  низкой вероятности угрозы;

Y = 0,35.

0,3 ≤  Y ≤ 0,6, возможность реализации  угрозы средняя;

Средняя опасность – если реализация угрозы может привести к негативным последствиям для субъектов персональных данных.

Угроза актуальная.

 

 

 

 

 

 

 

5 ВНУТРЕННИХ И ВНЕШНИХ НАРУШИТЕЛЕЙ УБПДН

 

По наличию  права постоянного или разового доступа в контролируемую зону (КЗ) ИСПДн нарушители подразделяются на два типа:

− нарушители, не имеющие доступа к ИСПДн, реализующие угрозы

из внешних  сетей связи общего пользования  и (или) сетей международного

информационного обмена, – внешние нарушители;

− нарушители, имеющие доступ к ИСПДн, включая пользователей ИСПДн, реализующие угрозы непосредственно в ИСПДн, – внутренние нарушители.

Внешними  нарушителями могут быть:

− разведывательные службы государств;

− криминальные структуры;

− конкуренты (конкурирующие организации);

− недобросовестные партнеры;

− внешние субъекты (физические лица).

Внешний нарушитель имеет следующие возможности:

  − осуществлять несанкционированный доступ к каналам связи, выходящим за пределы служебных помещений;

− осуществлять несанкционированный доступ через  автоматизированные рабочие места, подключенные к сетям связи общего пользования и (или) сетям международного информационного обмена;

− осуществлять несанкционированный доступ к информации с использованием специальных программных  воздействий посредством программных  вирусов, вредоносных программ, алгоритмических  или программных закладок;

− осуществлять несанкционированный доступ через  элементы информационной инфраструктуры ИСПДн, которые в процессе своего жизненного цикла (модернизации, сопровождения, ремонта, утилизации) оказываются за пределами контролируемой зоны;

− осуществлять несанкционированный доступ через  информационные системы взаимодействующих  ведомств, организаций и учреждений при их подключении к ИСПДн.

Внутренние потенциальные нарушители подразделяются на восемь категорий  в зависимости от способа доступа  и полномочий доступа к ПДн.

К первой категории относятся лица, имеющие санкционированный доступ к ИСПДн, но не имеющие доступа к ПДн. К этому типу нарушителей относятся должностные лица, обеспечивающие нормальное функционирование ИСПДн.

Лицо этой категории, может:

иметь доступ к фрагментам информации, содержащей ПДн и распространяющейся но внутренним каналам связи ИСПДн;

располагать фрагментами информации о топологии ИСПДн (коммуникационной части подсети) и об используемых коммуникационных протоколах и их сервисах;

располагать именами и вести  выявление паролей зарегистрированных пользователей;

изменять конфигурацию технических  средств ИСПДн, вносить в нее профаммно-апиарагные закладки и обеспечивать съем информации, используя непосредственное подключение к техническим средствам ИСПДн.

Ко второй категории относятся  зарегистрированные пользователи ИСПДн, осуществляющие ограниченный доступ к ресурсам ИСПДн с рабочего места.

Лицо этой категории:

обладает всеми возможностями  лиц первой категории; знаег, по меньшей мере, одно легальное имя доступа; обладает всеми необходимыми атрибутами (например, паролем), обеспечивающими доступ к некоторому подмножеству ПДн;

располагает конфиденциальными данными, к которым имеет доступ.

Его доступ, аутентификация и права  по доступу к некоторому подмножеству ПДн должны регламентироваться соответствующими правилами разграничения доступа.

К третьей категории относятся  зарегистрированные пользователи ИСПДн, осуществляющие удаленный доступ к ПДн по локальным и (или) распределенным информационным системам.

Лицо этой категории:

обладает всеми возможностями  лиц первой и второй категорий; располагает  информацией о топологии ИСПДн на базе локальной и (или) распределенной информационной системы, через которую осуществляется доступ, и о составе технических средств ИСПДн;

имеет возможность прямого (физического) доступа к фрагментам технических  средств ИСПДн.

К четвертой категории относятся  зарегистрированные пользователи ИСПДн с полномочиями администратора безопасности сегмента (фрагмента) ИСПДн.

Лицо этой категории:

обладает всеми возможностями  лиц предыдущих категорий; обладает полной информацией о системном  и прикладном программном обеспечении, используемом в сегменте (фрагменте) ИСПДн;

обладает полной информацией о  технических средствах и конфигурации сегмента (фрагмента) ИСПДн;

имеет доступ к средствам защиты информации и протоколирования, а  также к отдельным элементам, используемым в сегменте (фрагменте) ИСПДн;

имеет доступ ко всем техническим  средствам сегмента (фрагмента) ИСПДн;

обладает правами конфигурирования и административной настройки некоторого подмножества технических средств  сегмента (фрагмента) ИСПДн.

К пятой категории относятся  зарегистрированные пользователи с  полномочиями системного администратора ИСПДн.

Лицо этой категории:

обладает всеми возможностями  лиц предыдущих категорий;

обладает полной информацией о  системном и прикладном программном  обеспечении ИСПДн;

обладает полной информацией о  технических средствах и конфигурации ИСПДн;

имеет доступ ко всем техническим  средствам обработки информации и данным ИСПДн;