Комплексні системи захисту інформації. Проектування, впровадження, супровід. Вадим Гребенніков

Чтение книги онлайн.

СКАЧАТЬ та використання забороненого політикою безпеки ПЗ або несанкціоноване використання ПЗ, за допомогою якого можна одержати доступ до критичної інформації (наприклад, аналізаторів безпеки мереж);

      – інші.

      Перелік суттєвих загроз має бути максимально повним і деталізованим. Для кожної з загроз необхідно визначити її спрямованість, джерело, механізм реалізації та можливі наслідки.

      По-перше, на порушення яких властивостей інформації або ІТС загроза спрямована:

      – конфіденційності – несанкціоноване ознайомлення з інформацією;

      – цілісності – несанкціонована модифікація (спотворення, фальсифікація, викривлення) інформації;

      – доступності – порушення можливості використання ІТС або оброблюваної інформації (відмова в обслуговуванні користувача);

      – спостереженості ІТС – відмова в ідентифікації, автентифікації та реєстрації небезпечних дій.

      По-друге, джерела виникнення загрози (які суб’єкти ІТС або суб’єкти, зовнішні по відношенню до неї, можуть ініціювати загрозу):

      – персонал і користувачі;

      – технічні засоби;

      – моделі, алгоритми, програми;

      – технологія функціонування;

      – зовнішнє середовище.

      По-третє, можливі способи здійснення (механізм реалізації) загроз:

      – шляхом підключення до апаратури та ліній зв’язку,

      – маскування під зареєстрованого користувача,

      – подолання заходів захисту з метою використання інформації або нав’язування хибної інформації,

      – застосування закладних пристроїв чи програм, впровадження шкідливих кодів і вірусів.

      По-четверте, опис моделі загроз (у частині, що стосується переліку можливих способів реалізації загроз та їх класифікації) має бути викладений настільки детально, щоб дозволяти (на етапі аналізу ризиків, пов’язаних з реалізацією загроз) однозначне визначення як можливих наслідків у разі реалізації загрози, так і ймовірності її реалізації в певний спосіб.

      Потрібно скласти «Перелік загроз для інформації в ІТС» з визначенням порушень властивостей інформації та ІТС (див. таблиці).

      Зробимо розрахунок загроз з урахуванням 3-х рівнів ризиків і збитків: якщо реалізація загрози надає великих збитків – високий – 3 бали; помірних збитків – середній – 2 бали; незначних збитків – низький – 1 бал. Отримаємо «Модель загроз з визначенням рівня ризиків і збитків» у вигляді 4-х таблиць (загрози конфіденційності, цілісності, доступності та спостереженості).

      6. Формування завдання та варіанту побудови КСЗІ

      Останні кроки 1-го етапу «Формування вимог до КСЗІ в ІТС» складаються СКАЧАТЬ