Вони, у свою чергу, можуть поділятися на санкціоновані та випадкові. Зовнішню небезпеку можуть надавати терористи, закордонні спецслужби, кримінальні угруповання, конкуренти тощо, які можуть блокувати, копіювати і навіть знищувати інформацію, що має цінність для обох сторін.
Базова модель загроз
Внутрішня загроза витоку інформації – це така загроза, яку створюють співробітникипевного підприємства. Вони можуть санкціоновано зламати та використовувати її в особистих інтересах. Таке можливо, якщо в компанії не налагоджено технічного заходу та контролю доступу до .
Право на захист особистої інформації, гарантоване Конституцією РФ кожному громадянинові.
Рівні захисту
Сама система захисту інформації може мати чотири. Зауважимо, що вибір коштів визначає оператор на підставі нормативних актів (частина 4 статті 19 ФЗ «Про персональні дані»).
- організація повинна створити режим, що перешкоджає проникненню до приміщень осіб, які не мають до них доступу;
- потрібно подбати про збереження персональних файлів;
- керівник повинен затвердити оператора, а також документи, в яких полягав би перелік осіб, яким дозволено через службові обов'язки звертатися до конфіденційної інформації інших співробітників;
- використання засобів захисту інформації, які пройшли процедуру оцінки у сфері забезпечення безпеки інформації.
Для забезпечення третього рівня захищеності необхідно дотримання всіх вимог четвертого рівнята додається ще один – обов'язково призначається посадова особа (працівник), відповідальний за забезпечення безпеки персональних даних.
Для другого рівня захищеності характерне положення про те, що може мати доступ сам оператор або співробітник, якому це дозволяють його службові обов'язки. А також до нього належать усі вимоги третього рівня безпеки.
І, нарешті, для забезпечення першого рівня безпеки необхідно дотриматися всіх вищеперелічених вимог та забезпечити дотримання наступних пунктів:
- встановлення в електронному журналі безпеки такої системи, яка могла б автоматично замінювати доступ співробітника до зміни зміни його повноважень;
- призначення відповідальної людини (співробітника) за забезпечення безпеки персональних даних в інформаційній системі, або покладання на один із структурних підрозділів функцій щодо забезпечення такої безпеки.
Контроль безпеки оператор повинен проводити більше одного разу на три роки.
Він має право доручити цю справу юридичній особі або особам, які мають на це ліцензію, уклавши з ними договір («Вимоги до захисту персональних даних при їх обробці в інформаційних системах персональних даних від 1 листопада 2012 р. №1119).
Забезпечення високого рівня захисту
Законом надано право юридичним особам самим визначати міру захисту своєї конфіденційної інформації. Не будьте вразливими – вживіть необхідних заходів.
УДК 004.056
І. В. Бондар
МЕТОДИКА ПОБУДУВАННЯ МОДЕЛІ ЗАГРОЗ БЕЗПЕКИ ІНФОРМАЦІЇ ДЛЯ АВТОМАТИЗОВАНИХ СИСТЕМ*
Розглядається методика побудови моделі загроз для безпеки інформації. Метою моделювання є контроль рівня захищеності інформаційної системи методами аналізу ризику та розробка ефективної системи захисту інформації, що забезпечує нейтралізацію передбачуваних загроз відповідними захисними заходами.
Ключові слова: модель загрози, інформаційна система, модель системи захисту інформації.
В даний час особливої актуальності набуває розробка методології, що дозволяє в рамках єдиного підходу вирішувати завдання проектування автоматизованих систем у захищеному виконанні з дотриманням вимог нормативно-методичних документів та автоматичною генерацією переліку захисних заходів та пошуку оптимального набору засобів захисту інформації (СЗІ), що відповідають даному переліку.
Одним із основних завдань забезпечення інформаційної безпеки є визначення переліку загроз та оцінка ризиків впливу актуальних загроз, що дозволяє обґрунтувати раціональний склад системи захисту інформації. Хоча завдання такого роду вже вирішуються (див., наприклад, ), у тому числі і в рамках єдиної методології, всі вони не позбавлені обмежень і спрямовані на формування моделі загроз, придатної для вирішення приватного завдання. Особливо хочеться відзначити рідкість спроб візуалізації моделей загроз.
У цій статті представлена методика моделювання загроз безпеці інформації для автоматизованих систем, заснована на геометричній моделі. Ця методика цікава насамперед універсальністю обліку негативних впливів, що раніше зустрічалося лише у роботі , де модель будувалася з урахуванням теорії збурень, і можливість візуалізації результату . Звичайний шлях візуалізації – використання карт Кохонена з властивими їм обмеженнями та недоліками – автором не розглядається, що підвищує універсальність рішення.
Геометрична модель СЗІ. Нехай Р = (р Р2, ■ ■ -, Р2) - безліч засобів захисту, а А = (АЬ а2, ..., ап) - безліч атак. Ті атаки, які можуть бути виражені комбінаціями атак, назвемо незалежними. Їх множина А є підмножиною множини А - базисом атак. Виберемо для побудови геометричної моделі СЗІ простір К1, розмірність якого збігається з потужністю множини А.
Будь-якій атаці АеА поставлені у відповідність певні засоби захисту (р"ь р"2, ..., р"к) з Р. Позначимо це безліч (р"ьр"2, ..., р"і) = Рп-.
Якщо засіб не належить безлічі РГІ, то для нього атака АІ не небезпечна.
Осі координат у просторі Кп є класами загроз. Одиниця виміру на осях координат є незалежною атакою, якою поставлено у відповідність засіб захисту. Для кожної атаки значення координат відповідного вектора вказують засоби захисту, що входять до складу досліджуваної системи.
Як приклад, розглянемо атаку «НСД до інформації, що зберігається на АРМ, зовнішнім порушником» у декартовому просторі, де вісь х – загрози, пов'язані з фізичною охороною; у - погрози, пов'язані з програмно-апаратним захистом; z – загрози, пов'язані з організаційно-правовим захистом (рис. 1). Атака може бути реалізована у разі невиконання трьох заходів захисту: «Сторонній у контрольованій зоні», «Незаблокований сеанс ОЗ» та «Порушення ПБ».
Мал. 1. Модель атаки "НСД до інформації, що зберігається на АРМ, зовнішнім порушником"
Ця атака може бути реалізована й іншими способами, такими як «Підключення до технічних засобів та систем ОІ», «Використання закладних засобів», «Маскування під зареєстрованого користувача», «Дефекти та вразливості ПЗ», «Внесення програмних закладок», «Застосування вірусів» та іншого шкідливого програмного коду», «Розкрадання носія інформації, що захищається», «Порушення функціонування ТЗ обробки інформації» (рис. 2).
*Робота виконана в рамках реалізації ФЦП «Дослідження та розробки за пріоритетними напрямками розвитку науково-технологічного комплексу Росії на 2007-2013 роки» (ДК № 07.514.11.4047 від 06.10.2011).
Спочатку кожен вектор Р1 знаходиться у першому координатному октанті. Побудуємо в Я поверхню опуклого багатогранника £ так, щоб кожна з його вершин збігалася з кінцем одного з векторів р1, р2, рг. Поверхня багатогранника £ разом з векторами р1, р2, ., р2 будемо розглядати в якості геометричної моделі СЗІ.
Мал. 2. Модель атаки "НСД до інформації, що зберігається на АРМ, зовнішнім порушником"
Результат впливу будь-якої атаки А (природно формалізувати відображенням вектора вздовж осі з невиконаним заходом захисту. Завдяки такому способу моделювання вектори, відповідні засобам, для яких ця атака не є небезпечною, не змінять свого положення (рис. 3).
Отже, після впливу атаки А при запропонованому способі моделювання зміниться лише і-я координата векторів р1, р2, ..., рг, що входять в геометричну модель, а всі інші координати залишаться без зміни.
За результатами моделювання атак можна судити про чутливість або нечутливість інформаційної системи (ІС) до впливів, що обурюють. Якщо координати багатогранника належать
першому координатному октанту, робиться висновок про нечутливість ІВ до обурювального впливу, в іншому випадку робиться висновок про недостатність захисних заходів. Міра стійкості зводиться до проведення такої кількості ітерацій, при якому ІС залишається незворушеним до впливів комбінацій атак.
Модель загроз. Первинний перелік загроз формується комбінаціями різноманітних факторів, що впливають на інформацію, що захищається, категоріями засобів захисту та рівнями впливу порушників (рис. 4).
Виявлення та облік факторів, які впливають або можуть впливати на інформацію, що захищається в конкретних умовах, становлять основу для планування та проведення ефективних заходів, що забезпечують захист інформації на об'єкті інформатизації. Повнота і достовірність виявлення факторів досягається шляхом розгляду багатьох факторів, що впливають на всі елементи об'єкта інформатизації на всіх етапах обробки інформації. Перелік основних підкласів (груп, підгруп тощо) факторів відповідно до їх класифікації представлений у розділі 6 ГОСТ 51275-2006 «Захист інформації. Об'єкт інформатизації. Чинники, що впливають на інформацію. Загальні положення".
Загрози витоку інформації з технічних каналів однозначно описуються характеристиками джерела інформації, середовища (шляху) поширення та приймача інформативного сигналу, тобто визначаються характеристиками технічного каналу витоку інформації.
Формування вторинного переліку загроз відбувається за рахунок його поповнення на основі статистики про інциденти, що мали місце, і виходячи з умовного ступеня їх деструктивного впливу.
Ступінь обурювального впливу може бути визначений:
Ймовірністю виникнення небезпеки;
Втратою від загрози;
Час відновлення системи.
Мал. 3. Результати моделювання
Рівень впливу порушників
Мал. 4. БЯ-модель бази даних моделі загроз у нотації Чена
Обурювальна дія може навести:
До порушення конфіденційності інформації (копіювання або несанкціонованого поширення), коли при реалізації загроз не здійснюється безпосереднього впливу на зміст інформації;
Несанкціонованого, у тому числі випадкового, впливу на зміст інформації, внаслідок якого здійснюється зміна інформації або її знищення;
Несанкціонованого, у тому числі випадкового, впливу на програмні або програмно-апаратні елементи ІС, в результаті якого відбувається блокування інформації;
Втрата підзвітності користувачів системи або суб'єктів, що діють від імені користувача, що є особливо небезпечним для розподілених систем;
Втрата автентичності даних;
Втрата достовірності систем.
Мера ризику, що дозволяє порівняти загрози та вибудовувати їх за пріоритетністю, може бути визначена загальною шкодою від кожного виду проблем.
Результатом оцінки ризику виникнення кожної загрози має бути:
Комплексне застосування відповідних засобів захисту;
Розумне та цільове прийняття ризиків, що забезпечує повне задоволення вимог політик організації та її критеріїв прийняття ризиків;
Максимально можлива відмова від ризиків, перенесення пов'язаних бізнес-ризиків на інші сторони, наприклад на страховиків, постачальників та ін.
Розглянута методика побудови моделі загроз дозволяє вирішувати завдання розробки приватних моделей загроз безпеці інформації у конкретних системах з урахуванням їх призначення, умов та особливостей функціонування. Метою такого моделювання є контроль за рівнем захищеності ІВ методами аналізу ризику та розробка ефективної системи захисту інформації, що забезпечує нейтралізацію передбачуваних загроз.
Надалі дана методика може бути основою для розробки універсальних алгоритмічних, а потім і математичних моделей безпеки, що ефективно поєднують у собі вимоги нормативно-методичних документів, методологію побудови моделей загроз, моделей порушника тощо. Наявність подібного методологічного забезпечення
дозволить перейти на якісно вищий рівень проектування, розробки та оцінки захищеності систем захисту інформації.
1. Кобозєва А. А., Хорошко В. А. Аналіз інформаційної безпеки: монографія. Київ: Вид-во Держ. ун-ту інформ.-комунікац. технологій, 2009.
2. Васильєв В. І., Машкіна І. В., Степанова Є. С. Розробка моделі загроз на основі побудови нечіткої когнітивної картки для чисельної оцінки ризику порушень інформаційної безпеки // Ізв. Пд. федер. ун-ту. Технічні науки. 2010. Т. 112, № 11. С. 31-40.
3. Operationally Critical Threat, Asset, і Vulnerability Evaluation (Octave) Framework: Techn. Rep. CMU/SEI-SS-TR-017 / C. J. Alberts, S. G. Behrens, R. D. Pethia, W. R. Wilson; Carnegie Mellon Univ. Pittsburgh, PA, 2005.
4. Burns S. F. Threat Modeling: Process to Ensure Application Security // GIAC Security Essentials
Certification Practical Assignment. Version 1.4c/SANS Inst. Bethesola, Md, 2005.
5. Попов А. М., Золотарьов В. В., Бондар І. В. Методика оцінки захищеності інформаційної системи за вимогами стандартів інформаційної безпеки // Інформатика та системи упр. / Тихо-океан. держ. ун-т. Хабаровськ, 2010. № 4 (26). З. 3-12.
6. Аналіз надійності та ризику спеціальних систем: монографія / М. Н. Жукова, В. В. Золотарьов, І. А. Панфілов та ін; Сиб. держ. аерокосміч. ун-т. Красноярськ, 2011.
7. Жуков У. Р., Жукова М. М., Стефаров А. П.
Модель порушника прав доступу до автоматизованої системи // Програм. продукти та системи / НДІ Центрпрограмсистем. Твер, 2012. Вип. 2.
8. Система підтримки прийняття рішень щодо захисту інформації «ОАЗІС» / І. В. Бондар, В. В. Золотарьов, А. В. Гуменнікова, А. М. Попов // Програм. продукти та системи / НДІ Центрпрограмсистем. Твер, 2011. Вип. 3. С. 186-189.
CONSTRUCTION METHOD FOR INFORMATION SECURITY THREAT MODELS
OF AUTOMATED SYSTEMS
Автори розглядають technique of threat models constructing. Принцип моделювання полягає в тому, щоб контролювати інформаційну систему безпеки рівень з ризиком аналізу методів і розкриває розвиток ефективного інформаційного захисту системи, що забезпечує неперевіреність спричинених threats with appropriate security measures.
Keywords: threat model, information system, information security system model.
© Бондар І. В., 2012
В. В. Буряченко
СТАБІЛІЗАЦІЯ ВІДЕО ДЛЯ СТАТИЧНОЇ СЦЕНИ НА БАЗІ МОДИФІКОВАНОГО МЕТОДУ ВІДПОВІДНОСТІ БЛОКІВ
Розглянуто основні підходи до стабілізації відеоматеріалів, зокрема, перебування глобального руху кадру, викликаного зовнішніми впливами. Побудовано алгоритм стабілізації відеоматеріалів на основі модифікованого методу відповідності блоків для послідовних кадрів.
Ключові слова: стабілізація відео, метод відповідності блоків, розподіл гауса.
Цифрова система стабілізації зображення в першу чергу оцінює небажані рухи, а потім виправляє послідовності зображень, компенсуючи вплив зовнішніх факторів: нестабільності зйомки, погодних умов тощо. Цілком ймовірно, що апаратні системи захоплення руху включатимуть стабілізацію зображення, тому дане дослідження зосереджено на моделюванні та реалізації алгоритмів, які можуть ефективно працювати на апаратних платформах.
Існує два основних підходи до вирішення проблеми стабілізації відеоматеріалів: механічний підхід (оптична стабілізація) та цифрова обробка зображень. Механічний підхід застосовується в оптичних системах для налаштування датчиків руху під час тремтіння відеокамери і означає використання стійкого встановлення відеокамери або наявність гіроскопічних стабілізаторів. Незважаючи на те, що цей підхід може добре працювати на практиці, він майже не використовується через високу вартість приладів стабілізації та наявності
Тож торкнемося третього з цих документів ФСТЕК - "Базової моделі загроз безпеці персональних даних". Цей стасторінковий документ вражає своїм відставанням від сучасної ситуації років на 10-15.
Коли я тільки-но починав читати цей манускрипт, у мене склалося враження, що все це я вже десь читав. І справді дійшовши до кінця, я зрозумів, що відсотків на 80 "Базова модель" є творчою переробкою статей та матеріалів з мережі Інтернет, присвячених безпеці, мережевим атакам, вірусам тощо. Щоправда, всі ці матеріали були опубліковані на початку-середині 90-х років. Чого тільки варте згадування таких сучасних атак, як Land, Smurf, Ping of Death тощо.
Розділ про віруси вражає своїм інтелектом - згадка перехоплення переривання INT 13H, як основного каналу влучення вірусів в систему, розповідь про звукові та відеоефекти та зміну палітри екрану, заміна символів при введенні, форматування дискет (я давно не бачив комп'ютерів з Floppy-накопичувачами), зараження OBJ-файлів. Як вам така фраза із документа, датованого 2008 роком: " Найбільш поширені компаньйон-віруси, що використовують особливість DOS першим виконувати файли з розширенням.Який COM, який DOS? Про що говорять ці люди, які відповідають у країні за інформаційну безпеку?
Великий розділ присвячений мережевим атакам. Все б нічого, якби він не застарів ще до свого опублікування. Згадка Back Orifice, NetBus, Nuke каже сама за себе. Розповідь про те, як перехоплюються дані за рахунок підміни адрес та вразливостей в ARP-протоколі було б цікавим, якби не нагадувало книгу "Атака з Інтернету", випущену в середині 90-х і викладену в Інтернет у той же час.
Про сучасні мережеві хробаки, DDoS-атаки, витоки даних через IM або e-mail, обхід засобів захисту, атаки на прикладному рівні в даній моделі загроз ні слова. Натомість повно згадувань таких "відомих" у світі ІБ компаній, як Axent, CyberSafe, L-3, BindView тощо. Пам'ятаю, коли я згадував ці компанії у своїх статтях та книжці кінця 90-х, я ще тоді написав, що ці компанії вже не існують. були поглинені більшими гравцями ринку ІБ. Автори документа перебувають у щасливому невіданні про цей факт.
Вражають знання авторів документа у сфері шкідливих програм. Серед їх носіїв серед відеоадаптерів та звукових плат, які чомусь названі вбудованим носієм інформації, також вказано блок живлення! Чому блок живлення став не тільки носієм інформації, а й носієм шкідливого програмного забезпечення я так і не зміг зрозуміти. Мабуть, це результат закритих досліджень, що проводяться шановним регулятором.
Що ще сказати про цей документ? Загалом-то й нема чого;-(Згадані факти говорять самі за себе.
На даний момент займаюся переглядом приватної політики щодо ризиків порушення інформаційної безпеки та оновленням моделі загроз ІБ.
У ході роботи я зіткнувся з деякими складнощами. Про те, як я їх вирішив і розробив приватну модель загроз, і йтиметься далі.
Раніше багато банків використовували Галузеву модель загроз безпеки ПДн, взяту з Рекомендації в галузі стандартизації ЦБР РС БР ІББС-2.4-2010 "Забезпечення інформаційної безпеки організацій банківської системи Російської Федерації. Галузева приватна модель загроз безпеки персональних даних при їх обробці в інформаційних системах персональних даних організацій банківської системи Російської Федерації" (РС БР ІББС-2.4-2010). Але у зв'язку з виданням інформації Банку Росії від 30.05.2014 документ втратив чинність. Тепер її необхідно розробляти самому.
Не багато хто знає, що з виходом Рекомендації в галузі стандартизації Банку Росії "Забезпечення інформаційної безпеки організацій банківської системи Російської Федерації. Запобігання витоку інформації" РС БР ІББС-2.9-2016 (РС БР ІББС-2.9-2016) відбулася підміна понять. Тепер при визначенні переліку категорій інформації та переліку типів інформаційних активіврекомендується орієнтуватися на зміст п.6.3 та 7.2 РС БР ІББС-2.9-2016. Раніше це був п.4.4 Рекомендацій у галузі стандартизації Банку Росії "Забезпечення інформаційної безпеки організацій банківської системи Російської Федерації. Методика оцінки ризиків порушення інформаційної безпеки" РС БР ІББС-2.2-2009 (РС БР ІББС-2.2-2009). Я навіть звертався до ЦП за роз'ясненнями:
Основні джерела загрозперераховані у п.6.6 Стандарті Банку Росії «Забезпечення інформаційної безпеки організацій банківської системи Російської Федерації. Загальні положення» СТО БР ІББС-1.0-2014 (СТО БР ІББС-1.0-2014). Потенціал порушникаможна взяти звідси.
У загальному випадку, при визначенні актуальних загроз ІБНеобхідно брати до уваги інциденти ІБ, які відбувалися в організації, відомості з аналітичних звітів регуляторів та компаній, що надають послуги із забезпечення інформаційної безпеки, та експертну думку фахівців компанії.
Також загрози ІБвизначаються відповідно до Вказівки Банку Росії від 10.12.2015 N 3889-У "Про визначення загроз безпеці персональних даних, актуальних при обробці персональних даних в інформаційних системах персональних даних (3889-У), додатком 1 РС БР ІББС-2.2-2009, таблицею 1 РС БР ІББС-2.9-2016 (її я зробив окремим додатком), Банком даних загроз безпеці інформації ФСТЕК Росії (БДУ).
До речі, зауважив, що деякі погрози з 3889-У дублюють погрози з БДУ:
- загроза впливу шкідливого коду, зовнішнього по відношенню до інформаційної системи персональних даних - УБІ.167, УБІ.172, УБІ.186, УБІ.188, УБІ.191;
- загроза використання методів соціального інжинірингу до осіб, які мають повноваження в інформаційній системі персональних даних - УБИ.175;
- загроза несанкціонованого доступу до персональних даних особами, які не мають повноваження в інформаційній системі персональних даних, з використанням уразливостей у програмному забезпеченні інформаційної системи персональних даних - УБІ.192;
У зв'язку з цим виключив дублюючі загрози з 3889-У на користь УБІ, т.к. в їх описі міститься додаткова інформація, яка полегшує заповнення таблиць із моделлю загроз та оцінкою ризиків ІБ.
Актуальні погрози джерела загроз "Несприятливі події природного, техногенного та соціального характеру"статистику МНС РФ про надзвичайні ситуації та пожежі.
Актуальні погрози джерела загроз "Терористи та кримінальні елементи"можна визначити, орієнтуючись на статистику МВС РФ про стан злочинності та розсилку новин "Злочини у банківській сфері".
На даному етапі ми визначились із джерелами загроз ІБ та актуальними загрозами ІБ. Тепер перейдемо до створення таблиці із моделлю загроз ІБ.
За основу я взяв таблицю "Галузева модель загроз безпеки ПДн" із РС БР ІББС-2.4-2010. Колонки "Джерело загрози" та "Рівень реалізації загрози" заповнюються відповідно до вимог п.6.7 та п.6.9 СТО БР ІББС-1.0-2014. У нас залишаються порожніми колонки "Типи об'єктів середовища" та "Загроза безпеки". Останню я перейменував на "Наслідки реалізації загрози", як у БДУ (на мій погляд, так вірніше). Для їх заповнення нам буде потрібний опис наших загроз з БДУ.
Як приклад розглянемо "УБИ.192: Загроза використання вразливих версій програмного забезпечення":
Опис загрози: загроза полягає у можливості здійснення порушником деструктивного впливу на систему шляхом експлуатації вразливостей програмного забезпечення. Ця загроза обумовлена ??слабкостями механізмів аналізу програмного забезпечення на наявність уразливостей. Реалізація цієї загрози можлива за відсутності перевірки перед застосуванням програмного забезпечення на наявність у ньому вразливостей.
Джерела загрози: внутрішній порушник із низьким потенціалом; зовнішній порушник із низьким потенціалом.
Об'єкт впливу: прикладне програмне забезпечення, мережеве програмне забезпечення, системне програмне забезпечення.
Наслідки реалізації загрози: порушення конфіденційності, порушення цілісності, порушення доступності.
Для зручності я розподілив типи об'єктів середовища(Об'єкти впливу) за рівнями реалізації загрози ( рівням інформаційної інфраструктури банку).
Список об'єктів середовищая скомпонував з п.7.3 РС БР ІББС-2.9-2016, п.4.5 РС БР ІББС-2.2-2009 та з опису УБІ. Рівні реалізації загрозипредставлені у п.6.2 СТО БР ІББС-1.0-2014.
Т.о. ця загроза зачіпає такі рівні: рівень мережевих додатків та сервісів; рівень банківських технологічних процесів та додатків.
Те саме зробив з іншими загрозами ІБ.
В результаті вийшла така таблиця.
Навіщо вона потрібна і як її розробити?! Відповіді на ці запитання Ви знайдете у цій статті.
Модель погроз- Це перелік можливих загроз.
Все просто та ясно. Хоча у ГОСТ Р 50922-2006 – «Захист інформації. Основні терміни та визначення» дано більш ємне визначення:
Модель загроз (безпеки інформації)– фізичне, математичне, описове подання властивостей чи характеристик загроз безпеці інформації.
Отже, модель погроз– це документ, який у той чи інший спосіб описує можливі загрози безпеці персональних даних.
Тепер розберемося що таке загроза безпеці інформації (персональних даних).
«Базова модель»містить систематизований перелік загроз безпеці персональних даних під час їх обробки в інформаційних системах персональних даних. Багато експертів із захисту інформації дуже скептично ставляться до цього документа. Загрози, наведені в базовій моделі, застаріли і далеко не всеосяжні. Однак через відсутність кращого доводиться задовольнятися поточною редакцією документа.
Документ «Методика визначення актуальних загроз»містить алгоритм оцінки небезпеки. Шляхом нескладних розрахунків визначається статус кожної можливої небезпеки.
Якщо Ви вирішили розробляти модель загроз самостійно, ми рекомендуємо Вам скористатися нашим онлайн-сервісом для підготовки пакету документів із захисту персональних даних. Це дозволить уникнути помилок та скоротити час підготовки документів.
Наш сервіс вже містить усі загрози безпеці з "Базової моделі". Вам досить просто проставити їх характеристики та загальні характеристики Вашої СПДН. Алгоритм розрахунку актуальності загроз повністю автоматизовано. В результаті Ви отримаєте готовий документ у форматі RTF