Методика принятия решения на защиту от утечки информации в организации
|
|
Обоснование |
|
Формулирование |
|
Разработка |
Оценка |
|
|
|
|||
обстановки |
|
требований |
|
задач ТЗИ |
|
замысла или |
|
|
по защите |
|
|
|
концепции |
|
|
|
||||
|
|
информации |
|
|
|
ТЗИ |
|
|
|
|
|||
|
|
|
|
|
|
|
Проведение |
|
Планирование |
|
Решение вопросов |
|
Выбор способов |
НИОКР по |
|
ТЗИ |
|
управления и |
|
(мер и средств) |
разработке |
|
|
|
обеспечения ТЗИ |
|
ТЗИ |
|
|
|
||||
СЗИ |
|
|
|
|
|
|
|
|
|
|
|
||
|
|
|
|
|
|
|
Привлечение подразделений |
|
Разработка |
|
Развертывание и |
организации, |
|
документации |
|
ввод в опытную |
специализированных сторонних |
|
по вопросам |
|
эксплуатацию |
организаций к разработке и |
|
организации |
|
системы ТЗИ |
развертыванию системы ТЗИ |
|
ТЗИ |
|
|
|
|
|
||
|
|
|
|
|
Оценка обстановки
-оцениваются потенциальные возможности
вероятного противника (злоумышленника) -свои силы и возможности
-условия, в которых придется решать поставленные
задачи
Порядок организации ТЗИ на этапе
оценки обстановки
|
|
|
|
|
|
|
|
|
|
Инвентаризация информационных и технических ресурсов |
||
|
Оценка обстановки |
|||||||||||
|
|
|
|
|
|
|
|
|||||
|
|
|
|
|
|
|
||||||
|
|
|
|
Категорирование информации по видам тайн и уровням |
||||||||
|
|
|
|
|
|
|
|
|
|
|||
|
|
|
|
|
|
|
|
|
|
конфиденциальности |
||
|
|
|
|
Анализ информационных |
|
|
|
|||||
|
|
|
|
|
|
|
|
|
|
|
||
|
|
|
|
|
|
|
|
|
|
|
||
|
|
|
|
|
|
|
|
Оценка времени устаревания информации |
||||
|
|
|
|
ресурсов |
|
|
|
|
||||
|
|
|
|
|
|
|
|
|
|
|
||
|
|
|
|
|
|
|
|
|
|
Определение условий допуска должностных лиц к |
||
|
|
|
|
|
|
|
|
|
|
информационным ресурсам и фактической их реализации |
||
|
|
|
|
|
|
|
|
|
|
|
||
|
|
|
|
|
|
|
|
|
|
|||
|
|
|
|
|
|
|
|
|
Оценка возможности физического доступа в помещения и к СВТ |
|||
|
|
|
|
|
|
|
|
|
||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Выявление |
|
возможных технических каналов утечки информации |
|
|
|
|
|
|
|
|
|
|
|
|||
|
|
|
|
|
|
|
|
|
|
|
||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Анализ уязвимых |
|
|
|
|
Оценка |
|
возможности несанкционированного доступа к |
|
|
|
|
|
|
|
|
||||||
|
|
|
|
|
|
|
|
|
||||
|
|
|
|
звеньев и возможных |
|
|
|
|
информации (непосредственного и удаленного) |
|||
|
|
|
|
|
|
|
|
|||||
|
|
|
|
угроз безопасности |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||
|
|
|
|
|
|
|
|
Анализ возможностей программно-математического воздействия |
||||
|
|
|
|
|
|
|
|
|||||
|
|
|
|
информации |
|
|
|
|
||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Анализ возможностей непреднамеренного электромагнитного |
|||
|
|
|
|
|
|
|
|
|
||||
|
|
|
|
|
|
|
|
|
||||
|
|
|
|
|
|
|
|
|
воздействия на информационные ресурсы |
|||
|
|
|
|
|
|
|
|
|
|
|||
|
|
|
|
|
|
|
|
|
|
|||
|
|
|
|
|
|
|
|
|
Анализ возможности реализации угроз техногенного характера |
|||
|
|
|
|
|
|
|
|
|
||||
|
|
|
|
Анализ имеющихся в |
|
|
|
|
Анализ рисков от реализации угроз |
|||
|
|
|
|
|
|
|
|
|||||
|
|
|
|
распоряжении мер и |
|
|
|
|
||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
По направлениям защиты: от физического доступа, от утечки по |
||||
|
|
|
|
средств защиты |
|
|
|
|
||||
|
|
|
|
информации |
|
|
|
|
ТКУИ, от НСД,, от ПМВ, от ЭМИ, от техногенных угроз и др. |
|||
|
|
|
|
|
|
|
|
|
|
|
|
|
Оценка возможностей вероятного противника
-моделирование способов физического
проникновения злоумышленника к источникам информации;
-моделирование технических каналов утечки информации.
Возможные виды квалификации злоумышленников
неподготовленный, который ограничивается внешним осмотром объекта, проникает в организацию через двери и окна, при срабатывании тревожной сигнализации убегает; подготовленный, изучающий систему охраны объекта и готовящий несколько вариантов проникновения в организацию, в основном путем взлома инженерных конструкций; квалифицированный, который тщательно готовится к проникновению, выводит из строя технические средства охраны, применяет наиболее эффективные способы проникновения.
Внешние |
Внутренние |
нарушители |
нарушители |
Конкуренты |
Администраторы |
Клиенты |
Сотрудники отделов |
(представители |
разработки и |
сторонних |
сопровождения ПО |
организаций, |
(прикладные |
граждане) |
и системные |
|
программисты) |
Посетители |
Пользователи |
|
(операторы) |
|
системы |
Хакеры |
Руководители |
|
различных уровней |
|
должностной |
|
иерархии |
Преступные |
Технический |
–граждане – лояльные служащие, которые очень редко (если вообще когда- нибудь) нарушают корпоративную политику и в основном не являются угрозой безопасности;
–нарушители – составляют большую часть служащих организации. Эти
сотрудники позволяют себе небольшие фамильярности, работают с персональной веб-почтой, играют в компьютерные игры и т.д.;
– отступники – работники, которые проводят большую часть дня, делая то, что они делать не должны. Эти служащие злоупотребляют своими привилегиями по доступу к интернету, самовольно устанавливают и используют P2P-клиенты и FTP-серверы. Более того, такие сотрудники могут отсылать конфиденциальную информацию компании внешним адресатам, заинтересованным в ней. Таким образом, «отступники»
представляют серьезную угрозу безопасности информации;
– предатели – служащие, умышленно и регулярно подвергающие конфиденциальную информацию компании опасности. Обычно за финансовое вознаграждение от заинтересованной стороны. Такие сотрудники представляют самую большую угрозу, их сложнее всего поймать.
Оценка своей организации как возможного источника информации для противника
Видовая (графическая) информация
Естественные каналы
Искусственно созданные каналы
Порядок организации ТЗИ на этапе
определения задач защиты
Формулирование целей и задач защиты
Формулирование цели 
Целевые установки
Предотвращение материального (экономического, финансового) ущерба, трудозатрат Обеспечение устойчивого функционирования объекта
информатизации, его элементов, программного обеспечения
Исключение или снижение возможности возникновения, реализации угроз и др.
Формулирование задач защиты
|
|
|
|
|
|
По направлениям защиты |
|
|
|
|
|
||||
Детализация цели |
|
|
|||||
|
|
|
|
По защищаемым информационным |
|||
|
|
||||||
|
|
|
|
|
|
ресурсам |
|
|
|
|
|
|
|
По угрозам и т.д. |
|
|
|
|
|
|
|||
Определение |
|
|
|
|
По уязвимым звеньям |
||
|
|
|
|
||||
|
|
|
|
||||
состава объектов |
|
|
|
|
По категории информации |
||
|
|
|
|
||||
защиты |
|
|
|
|
По принадлежности |
||
|
|
|
|
||||
|
|
|
|
|
На установленный период |
||
Определение |
|
|
|
|
|||
|
|
|
|
||||
времени защиты |
|
|
|
|
На период проведения |
||
|
|
|
|
||||
|
|
|
|
|
|
мероприятий |
|
|
|
|
|
|
|
||
|
|
|
|
|
|
На период существования угрозы |
|
|
|
|
|
|
|
||
|
|
|
|
|
|
и т.д. |
|
|
Определение требуемой |
|
|
|
|
||
|
эффективности решения задачи |
|
|||||
|
|
|
|
|
|
|
|