Название: Комплексні системи захисту інформації. Проектування, впровадження, супровід
Автор: Вадим Гребенніков
Издательство: Издательские решения
Жанр: Компьютеры: прочее
isbn: 9785449315052
isbn:
– інші.
Перелік суттєвих загроз має бути максимально повним і деталізованим. Для кожної з загроз необхідно визначити її спрямованість, джерело, механізм реалізації та можливі наслідки.
По-перше, на порушення яких властивостей інформації або ІТС загроза спрямована:
– конфіденційності – несанкціоноване ознайомлення з інформацією;
– цілісності – несанкціонована модифікація (спотворення, фальсифікація, викривлення) інформації;
– доступності – порушення можливості використання ІТС або оброблюваної інформації (відмова в обслуговуванні користувача);
– спостереженості ІТС – відмова в ідентифікації, автентифікації та реєстрації небезпечних дій.
По-друге, джерела виникнення загрози (які суб’єкти ІТС або суб’єкти, зовнішні по відношенню до неї, можуть ініціювати загрозу):
– персонал і користувачі;
– технічні засоби;
– моделі, алгоритми, програми;
– технологія функціонування;
– зовнішнє середовище.
По-третє, можливі способи здійснення (механізм реалізації) загроз:
– шляхом підключення до апаратури та ліній зв’язку,
– маскування під зареєстрованого користувача,
– подолання заходів захисту з метою використання інформації або нав’язування хибної інформації,
– застосування закладних пристроїв чи програм, впровадження шкідливих кодів і вірусів.
По-четверте, опис моделі загроз (у частині, що стосується переліку можливих способів реалізації загроз та їх класифікації) має бути викладений настільки детально, щоб дозволяти (на етапі аналізу ризиків, пов’язаних з реалізацією загроз) однозначне визначення як можливих наслідків у разі реалізації загрози, так і ймовірності її реалізації в певний спосіб.
Потрібно скласти «Перелік загроз для інформації в ІТС» з визначенням порушень властивостей інформації та ІТС (див. таблиці).
Зробимо розрахунок загроз з урахуванням 3-х рівнів ризиків і збитків: якщо реалізація загрози надає великих збитків – високий – 3 бали; помірних збитків – середній – 2 бали; незначних збитків – низький – 1 бал. Отримаємо «Модель загроз з визначенням рівня ризиків і збитків» у вигляді 4-х таблиць (загрози конфіденційності, цілісності, доступності та спостереженості).
6. Формування завдання та варіанту побудови КСЗІ
Останні кроки 1-го етапу «Формування вимог до КСЗІ в ІТС» складаються СКАЧАТЬ