Рубрики
Зачем вообще понадобилось разрабатывать новую методику моделирования угроз?
По смыслу нормативных документов ФСТЭК модель угроз должна показать, достаточно ли базовых мер защиты для успешного противодействия нарушителю. И если их недостаточно, модель угроз должны показать, чем именно эти меры защиты нужно дополнить или усилить. Но что мы видим в тех «моделях угроз», которые разрабатываются сейчас?
Аннотация угрозы: осуществление несанкционированного ознакомления, модификации и блокировки целевой информации, хранимой и обрабатываемой в ИС.
Возможные источники угрозы: пользователи ИС, сотрудники организации, имеющие [...]
На время отвлечемся от очевидного для околоайтишной аудитории удаленного доступа и поговорим об угрозах и их последствиях.
Довольно часто мы произносим и пишем повседневные выражения и жаргонизмы, не задумываясь над их смыслом. Например, “обеспечить информационную безопасность” или, как теперь принято писать в нормативке, “обеспечить безопасность информации”. В теории (ГОСТ 50922):
угроза безопасности информации – это “совокупность условий и факторов, создающих потенциальную или реально существующую опасность нарушения безопасности информации”; безопасность информации – это “состояние защищенности информации [данных], при котором обеспечены ее [их] [...]Но для начала давайте [...]
29.2. Средства защиты информации, оценка соответствия которых проводится в форме испытаний или приемки, должны соответствовать требованиям к функциям безопасности, установленным в соответствии с подпунктом «ж» пункта 10 настоящих Требований.
Напомню, средствами защиты информации считаются все компоненты информационной системы и инфраструктуры, функции безопасности которых используются для защиты этой системы. На объекте КИИ можно использовать сертифицированные средства [...]
Для события преступления по этим составам требуется два фактора: должен быть причинен вред КИИ и причиной этого вреда должно являться невыполнение виновником правил эксплуатации «средств хранения, обработки или передачи охраняемой компьютерной информации, содержащейся в КИИ«. КИИ определена в [...]
Вернемся к тому требованию, которое через полтора месяца вступят в силу для финансовых организаций:
Кредитные организации должны обеспечить использование для осуществления банковских операций прикладного программного обеспечения автоматизированных систем и приложений, распространяемых кредитной организацией клиентам для совершения действий в целях осуществления банковских операций, а также программного обеспечения, обрабатывающего защищаемую информацию на участках, используемых для приема электронных сообщений, к исполнению в автоматизированных системах и приложениях с использованием информационно-телекоммуникационной сети «Интернет» [...]
