Созданный план рекомендуется согласовать со всеми лицами, чье участие потребуется для его реализации. Еще одним, уже необязательным, но порой необходимым шагом на данном этапе является подготовка рабочих документов, в которых будут фиксироваться сведения о собранных свидетельствах и выставленных оценках. Образец формы для сбора свидетельств самооценки представлен в РС БР ИББС-2.1−2007.
Приложение А. Рабочие документы могут вестись в электронном виде либо от них можно совсем отказаться, если используется программное средство для автоматизации самооценки (подробнее см. «Методы и средства автоматизации»).Сбор необходимых свидетельств. Основными источниками свидетельств самооценки ИБ являются:
документы, содержащие необходимые свидетельства для выставления оценок;
устные высказывания сотрудников проверяемых подразделений;
результаты наблюдений членов рабочей группы за деятельностью по реализации требований нормативных документов в области обеспечения ИБ. Таким образом, чтобы выставить объективные оценки для частных показателей, потребуется прежде всего собрать и проанализировать все принятые в организации документы. К таковым относятся как документы, устанавливающие требования и правила (политики, порядки, регламенты, инструкции и проч.), так и документы, содержащие результаты осуществляемой деятельности (протоколы, акты, реестры, журналы и проч.). Общий перечень возможных документов представлен в РС БР ИББС-2.1−2007.
Приложение Б. Важно подчеркнуть, что в качестве источников свидетельств самооценки могут рассматриваться только действующие в организации документы (утвержденные соответствующими приказами).Помимо сбора и анализа документов, также потребуется провести интервью с представителями различных подразделений организации, по итогам которых должны быть составлены протоколы. В рамках интервьюирования определяется степень осведомленности персонала в вопросах информационной безопасности, понимание ими их ролевых функций и соответствие выполняемых ими действий правилам, установленным во внутренних документах организации. Еще одним возможным источником свидетельств самооценки могут быть наблюдения, проведенные членами рабочей группы. К наблюдениям относятся различные мероприятия, связанные с посещением проверяемых объектов, осмотром помещений, наблюдением за деятельностью сотрудников по выполнению тех или иных операций (выполняемых в том числе по просьбе представителей рабочей группы). Итоги таких наблюдений также рекомендуется оформлять соответствующим протоколом. Оценка частных показателей.
Собрав все необходимые свидетельства, предстоит выполнить самую трудоемкую фазу самооценки — провести оценку уточняющих вопросов и частных показателей. Частных показателей в методике проведения самооценки более 400, и для каждого из них требуется выставить оценку: н/о; 0; 0,25; 0,5; 0,75 или 1, в зависимости от наличия или отсутствия необходимых свидетельств. Подробнее методика оценки частных показателей описана в стандарте СТО БР ИББС-1.2−2010. С учетом объема оцениваемых показателей и используемых при этом математических расчетов для получения итоговых оценок соответствия выполнение данной работы вручную представляется довольно нетривиальной задачей. Подготовка отчета по результатам самооценки. Результаты проведенной работы по самооценке должны быть оформлены в виде отчета, в который необходимо включить:
сведения об организации БС РФ, проводившей самооценку ИБ;сведения о руководителе и членах проверяющей группы;
сроки проведения самооценки;
краткое изложение процесса самооценки;
любые неразрешенные разногласия;
заявление о конфиденциальном характере содержанияотчета с результатами самооценки ИБ;лист рассылки отчета с результатами самооценки ИБ. Отчет с результатами самооценки ИБ должен быть утвержден ответственным за процесс самооценки ИБ и представлен руководителем рабочей группы всем заинтересованным лицам в формате итогового совещания.
3.2 Автоматизация аудита ИБДля обеспечения автоматизации аудита ИБ кредитных организаций была решена задача формализации процесса оценки ИБ, основанного на методике СТО БР ИББС 1.
2., сформирован алгоритм и разработано программное обеспечение «Аудит кредитных организаций». Методика СТО БР ИББС 1.2 — 2014 учитывает специфику кредитных организаций РФ и позволяет объективно оценить следующие направления оценки: текущий уровень ИБ (10 групп — 250 частных показателей), менеджмент ИБ (17 групп — 160 частных показателей) и уровень осознания ИБ руководством организации (7 групп — 81 частный показатель)[13]. Итого: 3 направления, 34 группы, 491 частный показатель. После определения уровня соответствия трех направлений, рассчитывается итоговый уровень R по формуле: R = min (EV1, EV2, EV3), (1)где EV1 — оценка степени выполнения требований СТО БР ИББС-1.0 по направлению «текущий уровень ИБ организации»; EV2 — оценка степени выполнения требований СТО БР ИББС-1.0 по направлению «менеджмент ИБ организации»; EV3 — оценка степени выполнения требований СТО БР ИББС-1.0 по направлению «уровень осознания ИБ организации». Для оценки каждого направления нужно ответить на вопросы. Один вопрос — один частный показатель Mij. Частные показатели делятся на две группы: обязательные и рекомендуемые. Обязательным показателям могут быть присвоены следующие значения: 1.
&# 171;нет" - 0; 2. &# 171;частично" - 0.25, 0.5, 0.75; 3. &# 171;да" - 1;4. «н/о» — нет оценки (вопрос не относится к деятельности организации). Рекомендуемым показатели могут быть присвоены значения: 1.
&# 171;нет" - 0; 2. &# 171;да" - 1; 3. &# 171;н/о" - нет оценки. Частные показатели разбиты по группам. Всего 34 группы.
Оценка группового показателя EVmi вычисляется из оценок входящих в него частных показателей EVmij по формуле: EVmi = EVmij j j, (2)где EVmi — групповой показатель; EVmij — частный показатель i-ой группы. Если в рамках группового показателя все входящие в него частные показатели определены как неоцениваемые, указанный групповой показатель также определяется как неоцениваемый и не учитывается в формировании дальнейших результатов оценки. Текущий уровень ИБ организации вычисляется по формуле: EV1 = min (EVБИТП, EVБПТП, EV2 ОЗПД, EVООПД), (3)где EVБИТП — степень выполнения требований банковского информационного технологического процесса, которая рассчитывается по формуле: EVБИТП = k 1 БИТП EVmi +EVm8 j 7, i = 1÷6. (4)EVБПТП — степень выполнения требований банковского платежного технологического процесса, которая рассчитывается по формуле: EVБПТП = k 1 БПТП EVmi +EVm7 j 7, i = 1÷6. (5)EV2 ОЗПД — степень выполнения требований? регламентирующих защиту ПД в ИСПД, с учетом оценки степени выполнения требований по обеспечению ИБ при использовании СКЗИ, которая рассчитывается по формуле: EV2 ОЗПД= k 1 ОЗПД2 EV m i +EV m 8 j + EV m 10 8, i = 1÷6. (6)EVООПД — степень выполнения требований, регламентирующих обработку ПД, которая рассчитывается по формуле: EVООПД = k 1 ООПД* EVm9 (7)Корректирующие коэффициенты k1 БПТП, k 1 БИТП, k1 ОЗПД2 и k1 ООПД определяются в соответствии с таблицей3.
1.Таблица 3.
1. — Корректирующие коэффициенты Оценка менеджмента ИБ рассчитывается по формуле: EV2 =k2 𝐸𝑉𝑚𝑖 27 𝑖=11 17 (8)где EV2 — уровень менеджмента ИБ; k2 — корректирующий коэффициент, который определяется из таблицы 3.1; EVMi — значения группового показателя iой группы. Уровень осознания ИБ организации рассчитывается по формуле: EV3 =k3 𝐸𝑉𝑚𝑖 34 𝑖=28 7 (9)где EV3 — уровень осознания ИБ организации. k3 — корректирующий коэффициент, который определяется из таблицы 3.
1. EVMi — значения группового показателя iой группы. В соответствии с рассмотренной методикой был сформирован алгоритм расчета уровня соответствия ИБ кредитных организаций стандарту Банка России. На основе сформированного алгоритма было разработано ПО «Аудит кредитных организаций». В качестве среды разработки была выбрана среда «MicrosoftVisualStudio 2013», язык реализации — C#. На рисунке 3.1 представлена главная форма программы [52]. Рисунок 3.
1. — Главная форма программы Она включает 4 элемента управления: 1. &# 171;Добавить новый аудит" - активирует форму для создания нового проекта аудита. 2. &# 171;Начать аудит" - открывает проект аудита, который был выбран из списка проектов. 3. &#.
171;Изменить параметры аудита" - открывает форму для изменения параметров аудита. 4. &# 171;Удалить аудит" - удаление выбранного проекта аудита и всех его данных. На рисунке 3.2 представлена форма для создания проекта аудита. Рисунок 3.
2. — Форма создания проекта аудита Она содержит два элемента управления: 1. «Создать» — осуществляется проверка правильности заполнения полей. Если все поля заполнены, осуществляется запись информации о проекте в ресурсы программы. 2. «Отмена» — отмена создания аудита и закрытие формы. На рисунке 3.3 представлена форма для изменения основных параметров аудита. Рисунок 3.
3. — Форма изменения параметров аудита Форма содержит два элемента управления: 1. «Изменить» — осуществляется запись измененных данных в ресурсы программы. 2. «Отмена» — отмена внесения изменений и закрытие формы. На рисунке 3.4 представлена вкладка «Аудит». Рисунок 3.
4. — Вкладка «Аудит» На данной вкладке осуществляется процесс присвоения значений частным показателям. Описание областей вкладки. Область 1 содержит частные показатели, которые разбиты по группам, а группы, разбиты по направлениям оценки. В области 2 отображается номер текущего частного показателя, его группа, а также направление оценки к которой принадлежит данная группа.
Также в этой области отображается статистика: скольким частным показателям присвоено значение, завершенность аудита в процентах. Область 3 — это область отображения содержания частного показателя (вопроса). Область 4 предназначена для выбора значения, которое следует присвоить частному показателю. В области 3.5 аудитор может оставить комментарий к текущему частному показателю. На рисунке 3.5 представлена вкладка «Оценка» на которой осуществляется расчет уровня соответствия ИБ. Рисунок 3.
5. — Результаты оценки Элементы управления: 1) «Расчет» — расчет уровня соответствия ИБ кредитной организации требованиям стандарта Банка России. 2) «Отчет» — автоматическое формирования отчета по проведенному аудиту в формате MS Word. 3)"Завершить" - автоматическое сохранение и закрытие проекта. Вкладка содержит область, в которой отображаются результаты расчетов: 1. Итоговый уровень соответствия ИБ организации стандарту СТО БР ИББС 1.
0. 2. Рассчитанные значения и уровни основных направлений оценки. 3. Степень выполнения EVБИТП, EVБПТП, EV2 ОЗПД, EVООПД. 4. Оценку групповых показателей. Также на данной вкладке отображаются графики значений групповых показателей и направлений оценки. В таблице 3.2 приведены результаты замеров времени, затраченного на проведение аудита с использованием программы «Аудит кредитных организаций» и проведение аудита «Вручную». Таблица 3.
2. — Временные затраты Из таблицы 3.2 следует, что время на проведение аудита вручную затрачивается больше в шесть раз, чем с использованием ПО «Аудит кредитных организаций» [5].
Заключение
.
Таким образом, в дипломной работе мы решили задачи, поставленные в начале работы. Был проведен анализ структуры информационной безопасности банковских информационных ресурсов. Было выявлено, что система информационной безопасности сочетает в себе принципы и методы защиты информации, направленные на разные стороны существования информации в рамках кредитного учреждения. Анализ аудита информационной безопасности и потенциальных информационных угроз показал, что аудит преследует разнообразные цели, включающие в себя изучение и анализ информационной системы в целом и методов защиты информации в конкретном банковском учреждении, а также были выявлены основные аспекты угроз, которые возникают как по причине внутренних проблем, так и из вне. Также существуют определенные стандарты проведения аудита в отношении информационной безопасности в кредитном учреждении. Данные стандарты имеют международное значение, что обеспечивает единство проведения аудитов по всему миру. Автоматизированный способ аудита в банковской системе представляется более оптимальным решением вопросов аудита, поскольку, рассматривая этапы проведения аудита в общем, можно отметить, что данная процедура довольно трудоемкая и длительная. При помощи автоматизации проведения аудита ИБ сокращается не только длительность процесса аудита, но и его качества, так как здесь почти отсутствует человеческий фактор. На примере программы, предназначенной для проведения аудита ИБ, мы показали, каким образом автоматизированный процесспроведения и управления аудитом в значительной степени сокращает трудоемкость деятельности в данной области. Так, было выявлено, что автоматизация аудита сокращает временные затраты в шесть раз.
Введение
автоматизированных систем самоконтроля и аудита в кредитных организациях способствуют высвобождению времени при работе и контроле информационной безопасности. Библиографический список"Гражданский кодекс Российской Федерации (часть вторая)" от 26.
01.1996 № 14-ФЗ (ред. от 29.
06.2015) (с изм. и доп., вступ. в силу с 01.
07.2015)."Уголовный кодекс Российской Федерации" от 13.
06.1996 № 63-ФЗ (ред. от 30.
03.2016)Федеральный закон от 27.
07.2006 № 149-ФЗ (ред. от 13.
07.2015) «Об информации, информационных технологиях и о защите информации» (с изм. и доп., вступ. в силу с 10.
01.2016).Федеральный закон от 02.
12.1990 № 395−1 (ред. от 29.
12.2015) «О банках и банковской деятельности» (с изм. и доп., вступ. в силу с 09.
02.2016)Федеральный закон от 27.
07.2006 № 152-ФЗ (ред. от 21.
07.2014) «О персональных данных» (с изм. и доп., вступ. в силу с 01.
09.2015)Федеральный закон от 28.
12.2010 № 390-ФЗ (ред. от 05.
10.2015) «О безопасности».Доктрина информационной безопасности Российской Федерации. Указ Президента РФ № 1895 от 09.
09.2000 г. // Российская газета. — 2000.
Приказ Центрального банка Российской Федерации «О введении в действие Временных требований по обеспечению безопасности технологий обработки электронных платежных документов в системе Центрального банка Российской Федерации"№ 02−144 от 03.
04.97 г. ГОСТ 34.601−90 Автоматизированные системы. Стадии создания. М.: ИПК Издательство стандартов, 1992. ГОСТ 34.201−89 Информационная технология. Комплекс стандартов на автоматизированные системы. Виды, комплектность и обозначение документов при создании автоматизированных систем. М.: ИПК Издательство стандартов, 2002. ГОСТ Р 51 275−2006.
Защита информации. Объект информатизации. Факторы воздействующие на информацию. М.: Издательство стандартов, 2006." Стандарт Банка России «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения» СТО БР ИББС-1.0−2014″ (принят и введен в действие Распоряжением Банка России от 17.
05.2014 N Р-399) Стандарт СТО БР ИББС — 1.2 — 2014.
Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Методика оценки соответствия информационной безопасности организаций банковской системы Российской Федерации требованиям СТО БР ИББС 1.0 -2014. — М. Изд-во стандартов, 2014.
— 101с. Стандарт Банка России. Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Аудит информационной безопасности СТО БР ИББС-1.1−2007″, от 01.
05.2007 г. — М. 2007.
Международный стандарт 1SO/IEC27006: 2007 «Информационные технологии. Методы обеспечения безопасности. Требования к органам аудита и сертификации систем управления информационной безопасностью» .Бойцев О. М. Защити свой компьютер от вирусов и хакеров. / О. М. Бойцев СПб.: Питер, 2010.
Будовских И. А. Формирование алгоритма расчета уровня соответствия информационной безопасности кредитных организаций стандарту Банка России [Электронный ресурс] / И. А. Будовских, Л. Д. Алферова // Горизонты образования. — 2015. — № 17.Вентцель Е. С., Овчаров Л. А. Теория вероятностей и ее инженерные приложения: Учебное пособие для вузов / - З-е изд., перераб. и доп. — М.: Издательский центр «Академия», 2011 г. Вентцель Е. С. Теория вероятностей. Учеб. для вузов / Е. С. Вентцель — М.: Высшая школа, 2011 г. Вихорев С. В. Кобцев Р.Ю. Как узнать откуда напасть, или откуда исходит угроза безопасности информации / С. В. Вихорев, Р. Ю. Кобцев — СПб.: Конфидент, 2012.
Гамза В. Концепция банковской безопасности: структура и содержание / Гамза В., Ткачук И. И. // Аналитический банковский журнал, № 5 с. 2012 г. Герасименко В. А. Основы защиты информации. / В. А. Герасименко, А. А. Малюк М.: 2009 г. Губенков А. А. Информационная безопасность.
/ А. А. Губенков, Байбурин В. Б. — М.: ЗАО «Новый издательский дом», 2009 г. Девянин П. Н., Михальский О. О., Правиков Д. И., Щербаков А. Ю. Теоретические основы компьютерной безопасности. М.: Радио и связь, 2009 г. Домарев В. В. Защита информации и безопасность компьютерных систем. / В. В. Домарев — К.: Издательство «Диа-Софт», 2009 г. Ерохин С. С. Модель нарушителей для информационных систем электронной коммерции. Научная сессия ТУСУР — 2009: Материалы докладов Всероссийской научно-технической конференции студентов, аспирантов и молодых ученых, Томск, 2009 г. Жигулин Г. П. Информационная безопасность. / Г. П. Жигулин, С. Г. Новосадов, А. Д. Яковлев СПб: СПб ГИТМО (ТУ), 2012 г. Забелин П. В. Информационная безопасность Российского государства: социально-политические и социально-культурные проблемы.
/ П. В. Забелин М.: Грошев — Дизайн, 2011 г. Згурский А. С. Комплексное обеспечение безопасности кредитных организаций // Актуальные проблемы гуманитарных и естественных наук. Выпуск № 5. — М.: 2010 г. Згурский А. С., Корбаинова Е. В. Система обеспечения информационной безопасности кредитных организаций. Метод создания политики информационной безопасности // Сборник тезисов VIII Всероссийской межвузовской конференции молодых ученых. Выпуск № 1. — СПб.: СПбГУ ИТМО, 2011 г. Згурский А. С., Корбаинова Е. В. Определение степени потребности активов центра обработки данных кредитной организации в свойствах безопасности // Научно-технический вестник Поволжья, Том № 3 — К., 2011 г. Згурский А. С. Корбаинова Е.В. Определение уровня уязвимости и оценка влияния свойства безопасности актива на деятельность центра обработки данных // Проблемы информационной безопасности. Компьютерные системы. Выпуск № 3, — СПб., 2011 г. Калугин Н. М., Кудрявцев А. В., Савинская Н. А. Банковская коммерческая безопасность: Учебное пособие. ;
СПб.: СПбГИЭУ, 2006 г. Куранов А. К вопросу о защите коммерческой тайны. // Банки и технологии. Вып. № 1, 2008 г. Курило А. П. Вопросы укрепления безопасности банковской системы в современных условиях. ;
Материалы учебно-практической конференции «Актуальные проблемы безопасности банковского дела в условиях финансового кризиса», М., 2009 г. Лукацкий, А. Аудит информационной безопасности: какой, кому, зачем? [ Электронный ресурс] / А. Лукацкий. Режим доступа:
http://bosfera.ru/bo/audit-informatsionnojbezopasnosti (13.
01.2016) — Загл. с экрана. Малюк А. А. Информационная безопасность: концептуальные и методологические основы защиты информации: Учеб. пособие для вузов./ А. А. Малюк. — М., 2004 г. Милославская, Н. Г. Серия «Вопросы управления информационной безопасностью». Выпуск 5: учебное пособие / Н. Г. Милославская, М. Ю. Сенаторов, А. И. Толстой. — Электрон.
данные. — М.: Горячая линия-Телеком, 2012.
Романец Ю. В. Защита информации в компьютерных системах и сетях. / Ю. В. Романец, П. А. Тимофеев, В. Ф. Шаньгин — М.: «Радио и связь», 2011 г. Сайт Центрального банка Российской Федерации www.cbr.ru.Приложения.
Приложение АУгрозы информационной безопасности ЦОДТаблица А.1 — Угрозы информационной безопасности ЦОД Отказ в обслуживании.
Переполнение информационного ресурса.
Технические источники.
СлучайностьЧеловек.
Случайность Преднамеренность.
Угрозы, связанные с потребляемыми услугами.
Превышение допустимой нагрузки на человеческие, сетевые ресурсы системы и персонал.
Технические источники.
СлучайностьЧеловек.
Случайность Преднамеренность.
Взаимозависимость от партнеров/клиентов.
Несоблюдение требований ИБЧеловек.
СлучайностьНедостаточный уровень обеспечения ИБПреднамеренность.
Ошибки, при заключении контрактов с провайдерами внешних услуг.
Неудовлетворительные договорные обязательствас провайдерами внешних услуг.
ЧеловекСлучайность.
Невыполнение договорных требований и требований ИБ внешними клиентами кредитной организации.
ЧеловекСлучайность Преднамеренность.
Разглашение данных третьим сторонам провайдером услуг.
Преднамеренное разглашение данных.
ЧеловекПреднамеренность.
Разглашение данных из-за отсутствия в договоре на предоставление услуг требований по защите данных.
ЧеловекСлучайность.
Ошибки передачи электронных сообщений.
Неправильная маршрутизация сообщений.
Технически е средства.
СлучайностьЧеловек.
Случайность Преднамеренность.
Неправильный режим отправки сообщений.
ЧеловекСлучайность.
СлучайностьПерегрузка трафика.
Технически е средства.
СлучайностьЧеловек.
ПреднамеренностьВыход из строя средствтелекоммуникации.
Нарушение предоставления телекоммуникационных услуг, связанное со сбоем ИТ-систем провайдера услуг.
Внешние условия.
ЧеловекСлучайность.
Повреждение телекоммуникационного оборудования/саботаж.
ЧеловекПреднамеренность.
Угрозы со стороны обслуживающего персонала.
Ошибки или несанкционированные действия при выполнении работ, связанных с уборкой помещений, ремонтом помещений, мебели, коммуникаций, техническим обслуживанием оборудования.
ЧеловекСлучайность Преднамеренность.
Ошибки руководства организации в связи снедостаточным уровнем осознания ИБИзоляция функций ИБ от бизнес — процессов.
ЧеловекСлучайность.
Ошибки при разработке стратегии и концепции ИБНесогласованность рисков ИБ с операционными и финансовыми рисками организации.
Ошибки при оказании административной, финансовой, кадровой поддержки процессов ИБНесогласованность действий служб обеспечения ИБ со службами информатизации.
Недостаточное или неправильно адресуемое инвестирование.
Ошибки менеджмента.
Отсутствие или неправильное распределение ролей ИБ и ответственности персонала.
ЧеловекСлучайность.
Использование новых технологий без адекватных решение по ИБИзбыточность реализуемых функций обеспечения ИБНедостаток реализуемых функций обеспечения ИБНесовместимость реализуемых функций ИБ с нормативными документами.
Отсутствие или неадекватный менеджмент инцидентов ИБОшибки организации аудита и мониторинга ИБНеадекватная модернизация процесса обеспечения ИБУгрозы, связанные с потребляемыми услугами.
Взаимозависимость от партнеров/клиентов.
Несоблюдение требований ИБЧеловек.
СлучайностьНедостаточный уровень обеспечения ИБПреднамеренность.
Ошибки, допущенные при заключении контрактов с провайдерами внешних услуг.
Неудовлетворительные договорные обязательствас провайдерами внешних услуг.
ЧеловекСлучайность.
Нарушение договорных обязательств.
Нарушение договорных обязательств разработчиками/поставщиками программно-технических средств и услуг.
ЧеловекСлучайность Преднамеренность.
Невыполнение договорных требований и требований ИБ внешними клиентами кредитной организации.
ЧеловекСлучайность Преднамеренность.
Разглашение данных третьим сторонам провайдером услуг.
Преднамеренное разглашение данных.
ЧеловекПреднамеренность Случайность.
Разглашение данных из-за отсутствия в договоре на предоставление услуг требований по защите данных.
Ошибки передачи электронных сообщений.
Неправильная маршрутизация сообщений.
Технически е средства.
СлучайностьЧеловек.
Случайность Преднамеренность.
Неправильный режим отправки сообщений.
ЧеловекСлучайность Преднамеренность.
Ошибки передачи электронных сообщений.
Перегрузка трафика.
ЧеловекСлучайность.
Технически е средства.
ПреднамеренностьВыход из строя средствтелекоммуникации.
Нарушение предоставления телекоммуникационных услуг, связанное со сбоем ИТ-систем провайдера услуг.
Внешние условия.
ЧеловекСлучайность.
ЧеловекПреднамеренность.
Повреждение телекоммуникационного оборудования/саботаж.
ЧеловекПреднамеренность.
Угрозы со стороны обслуживающего персонала.
Ошибки или несанкционированные действия при выполнении работ, связанных с уборкой помещений, ремонтом помещений, мебели, коммуникаций, техническим обслуживанием оборудования.
ЧеловекСлучайность Преднамеренность.
Ошибки руководства организации в связи снедостаточным уровнем осознания ИБИзоляция функций ИБ от бизнес — процессов.
ЧеловекСлучайность.
Ошибки при разработке стратегии и концепции ИБНесогласованность рисков ИБ с операционными и финансовыми рисками организации.
Ошибки при оказании административной, финансовой, кадровой поддержки процессов ИБНесогласованность действий служб обеспечения ИБ со службами информатизации.
Недостаточное или неправильно адресуемое инвестирование.
Ошибки менеджмента.
Отсутствие или неправильное распределение ролей ИБ и ответственности персонала.
ЧеловекСлучайность.
Использование новых технологий без адекватных решение по ИБИзбыточность реализуемых функций обеспечения ИБНедостаток реализуемых функций обеспечения ИБНесовместимость реализуемых функций ИБ с нормативными документами.
Ошибки менеджмента.
Отсутствие или неадекватный менеджмент инцидентов ИБЧеловек.
СлучайностьОшибки организации аудита и мониторинга ИБНеадекватная модернизация процесса обеспечения ИБНарушение технологии обработки данных.
Выполнение недокументированных технологических операций по обработке, хранению, передаче данных.
ЧеловекСлучайность Преднамеренность.
Невыполнение предписанных технологических операций по обработке, хранению, передаче данных.
ЧеловекСлучайность Преднамеренность.
Ошибочное выполнение предписанных технологических операций по обработке, хранению.
ЧеловекСлучайность.
Нарушение персоналом организационных мер по защите ИБНарушение правил «Чистого стола» Человек.
Случайность/Преднамеренность.
Ненадежная транспортировка носителей информации конфиденциальной информации.
Замена компонентов во время ремонта.
Неправильное обращение с утилизируемыми документами.
Нарушение требований безопасности при удаленной работе Ошибки кадровой работы.
Прием на работу нелояльных/неблагонадежных сотрудников; без подписки о неразглашении конфиденциальной информации.
ЧеловекСлучайность.
Увольнение сотрудников без надлежащих мер ИБИгнорирование тренингов и проверок персонала.
Ошибки в обеспечении безопасности информационных систем на стадиях жизненного цикла (ЖЦ) На стадии разработки.
На стадии эксплуатации.
На стадии сопровождения.
На стадии снятия с эксплуатации.
ЧеловекПреднамеренность.
Ошибки в организации управления доступом и регистрации.
Отсутствие стратегии сетевого менеджмента и системного менеджмента.
ЧеловекСлучайность/ Преднамеренность.
Несогласованность требований управления доступа с требованиями бизнеса.
Отсутствие управления или умышленно неправильное управление привилегиями.
Отсутствие или неправильная организация доступа на сетевом уровне.
Отсутствие или неправильная организация контроля доступа.
Отсутствие управления или умышленно неправильное управление данными мониторинга и аудита.
Отсутствие или умышленно неправильная организация парольной защиты.
Разработка и использование некачественной документации.
Некачественное выполнение документированного описания технологических процессов обработки, хранения, передачи данных.
ЧеловекСлучайность.
Некачественная разработка руководств для персонала, участвующего в обработке, хранении, передачи данных.
Некачественное выполнение документированного описания средств обеспечения ИБ и руководства по их пользованию.
Угрозы, связанные с человеческим фактором.
Проблемы, создаваемые крупными публичными событиями.
Нарушение общественного порядка.
ЧеловекСлучайность Преднамеренность.
Инсайдерская деятельность.
Злоупотребление полномочиями.
Саботаж в отношении электронных информационных систем обработки, хранения и передачи информации. Мошенничество Шпионаж.
Утечка информации.
ШпионажПодглядывание.
ЧеловекПреднамеренность.
ПрослушиваниеВредоносный код.
ХищениеКража носителей или документов.
ЧеловекПреднамеренность.
Утечка информации.
Умышленное разглашение информации.
ЧеловекПреднамеренность.
Скрытые и потайные каналы.
Перехват помеховых сигналов.
Перехват сообщений в каналах связи.
Потеря конфиденциальность через остаточные данные.
СаботажПовреждение оборудования или носителей информации.
ЧеловекПреднамеренность.
Нанесение ущерба зданию (инфраструктуре) Нанесение ущерба коммуникациям.
Нанесение ущерба программного обеспечению.
ВандализмХалатность.
Невыполнение требований по обеспечению ИБЧеловек.
СлучайностьПовреждение оборудования или носителей.
Нанесение ущерба программному обеспечению.
Использование программных средств и информации без гарантии источника.
Информация без гарантии источника.
ЧеловекСлучайность.
ПреднамеренностьИспользование нелицензионного или скопированного программного обеспечения.
Несанкционированные действия.
Несанкционированный доступ в помещения, требующие защиты.
ЧеловекСлучайность.
ПреднамеренностьНесанкционированное использование оборудования.
Несанкционированные копирование носителей информации.
Несанкционированное копирование программного обеспечения.
Искажение данных.
Несанкционированная обработка.
ЗлоупотребленияЗлоупотребление правами пользователя.
ЧеловекПреднамеренность.
Злоупотребление правами администратора.
Злоупотребление правом доступа.
Незаконное присвоение прав доступа.
Неконтролируемая установка сменных носителей.
Обман (ложная тревога, дезинформация) Ложное сообщение об угрозе.
ЧеловекПреднамеренность.
Ошибки при использовании и администрировании систем и средств ИТОшибки при использовании программных или аппаратных средств.
ЧеловекСлучайность.
Ошибки администрирования систем и средств ИТОтсутствие или неадекватность реализации механизмов безопасности СУБД, ОС и приложений.
Отсутствие или неадекватность процедур тестирования и поставки ПО и аппаратного обеспечения.
Ошибки в документации.
Воздействие вредоносного кода.
Инфицирование ПО и разрушение информации (например, вирусами начальной загрузки, файловыми вирусами, макро-вирусами, «черви», «троянские кони») Человек.
Случайность Преднамеренность.
Нарушение функциональности и доступности персонала.
Потеря ресурсов персонала (болезнь, катастрофа, несчастный случай) Человек.
СлучайностьПреднамеренность.
Техногенные причины.
СлучайностьПриродные явления.
СлучайностьНарушение функциональности криптографической системы.
Нарушение требований нормативных документов по эксплуатации систем и средств криптографической защиты.
ЧеловекСлучайность.
ПреднамеренностьНарушение регламента использования ключевых носителей информации.
Физическое уничтожение и нарушение целостности ПО средств криптографической защиты информации.
Реализация криптопротоколов на основе алгоритмов, не соответствующих стандартам РФ в области обеспечения ИБНесовместимость или недостаточная унифицированность.
КриптопротоколовОшибки организации мониторинга событий связанных с штатным и нештатным функционированием СКЗИНарушение функциональности архивной системы.
Физические дефекты компонентов архивной системы и носителей.
Окружающая физическая среда.
СлучайностьТехнические средства.
СлучайностьЧеловек.
СлучайностьПреднамеренность.
Неадекватное управление обновлением и модернизацией программно-аппаратных средств архивных систем.
ЧеловекСлучайность Преднамеренность.
Устаревание компонентов архивной системы.
ЧеловекТехнически е средства.
СлучайностьУстаревание криптографических мер защиты для обеспечения конфиденциальности и целостности хранящихся данных.
ЧеловекСлучайность.
Приложение БМодель угроз нарушения свойств безопасности технических активов центра обработки.
Таблица Б.1 — Модель угроз нарушения свойств безопасности технических активов центра обработки Наименование актива.
Степень потребности актива в свойстве безопасности.
Наименование угрозы.
Возможные последствия от реализации угрозы1234.
Технические средства.
Очень высокая.
ВысокаяСредняя.
НизкаяУничтожение оборудования и нарушение безопасности персонала.
Нарушение деятельности ЦОД, вплоть до полного ее нарушения.
Нарушение договорных обязательств.
Техногенные факторы Дополнительные материальные, финансовые ивременные затраты (привлечение сотрудников сторонних организаций для ликвидации последствий инцидента) Применение дисциплинарных и/или материальных мер наказания к ответственным сотрудникам и/или руководящему составу среднего звена.
Технические средства.
Очень высокая.
ВысокаяСредняя.
НизкаяБлокировка доступа пользователей, искажение или Сбои и отказы программ — уничтожение обрабатываемой информации.
Приложение ГНарушение отдельных видов деятельности ЦОДПрименение дисциплинарных и/или материальных мер. Уничтожение информации.Нарушение договорных обязательств.
Применение дисциплинарных и/или материальных наказания к ответственным сотрудникам и/или руководящему составу среднего звена.
Дополнительные материальные затраты.
Технические средства.
Очень высокая.
ВысокаяСредняя.
НизкаяНарушение персоналом организационных мер по защите информационной безопасности.
Разглашение информации. Искажение информации. Снижение эффективности деятельности ЦОД, вплоть до полного ее нарушения. Уничтожение информации. Нарушение требований нормативной документации.
Нарушение договорных обязательств. Применение дисциплинарных и/или материальных мер наказания к ответственным сотрудникам и/или руководящему составу среднего звена. Дополнительные материальные затраты.
Технические средства.
Очень высокая.
ВысокаяСредняя.
НизкаяОшибки в обеспечении безопасности информационных систем на стадиях жизненного цикла.
Разглашение информации.
Искажение информации.
Снижение эффективности деятельности ЦОД вплоть до полного ее нарушения.
Уничтожение информации.
Нарушение требований нормативной документации, наказания к ответственным сотрудникам и/или руководящему составу среднего звена.
Технические средства.
Очень высокая.
ВысокаяСредняя.
НизкаяВзаимозависимость от партнеров/клиентов.
Нарушение договорных обязательств:
Блокировка доступа пользователей.
Снижение эффективности ЦОД, вплоть до полного ее нарушения.
Технические средства.
Очень высокая.
ВысокаяСредняя.
НизкаяУгрозы со стороны обслуживающего персонала.
Разрушение зданий.
Нарушение деятельности ЦОД на всех уровнях.
Нарушение требований нормативной документации.
Нарушение договорных обязательств.
Дополнительные материальные, финансовые и временные затраты (привлечение сотрудников сторонних организаций для ликвидации последствий инцидента) Применение дисциплинарных и/или материальных мер наказания к ответственным сотрудникам и/или руководящему составу среднего звена.
Технические средства.
Очень высокая.
ВысокаяСредняя.
НизкаяОшибки менеджмента информационной безопасности.
Разглашение информации.
Искажение информации.
Снижение эффективности деятельности ЦОД вплоть до полного ее нарушения.
Нарушение договорных обязательств.
Применение дисциплинарных и/или материальных мер наказания к ответственным сотрудникам и/или руководящему составу среднего звена.
Дополнительные материальные и финансовые затраты.
