Угрозы безопасности информации

original

Для идентификации угроз необходима:
– информация об угрозах, полученная результате анализа выявленных инцидентов;
– информация об угрозах, полученная из любых источников, включая внешние доступные реестры угроз.
Любые сведения об угрозах относятся к области знаний, постоянной пополняемой и развивающейся.
То, что Вы не осведомлены о какой-либо угрозе, вовсе не означает, что её нет или она не является для Вас актуальной, а означает лишь то, что в случае её реализации Вы будете к ней не готовы.
Поэтому сведения по угрозам, используемые в практической деятельности, должны постоянно и на регулярной основе пополняться, что позволит принимать наиболее рациональные и эффективные решения.

Угроза может проистекать из организации, или находиться вне ее пределов.

Угрозы необходимо идентифицировать, как в общем, так и по виду (например, неавторизованные действия, физический ущерб, технические сбои), а затем, где это необходимо, отдельные угрозы необходимо идентифицировать внутри родового класса. Это позволит не упустить из рассмотрения ни одну угрозу, включая неожиданные.
Некоторые угрозы могут воздействовать более чем на один актив. В таких случаях они могут являться причиной различных влияний, в зависимости от того, на какие активы оказывается воздействие.
В соответствии с методологией ФСТЭК России угрозы классифицируются в соответствии со следующими признаками:
– по виду защищаемой от воздействия угроз информации;
– по видам возможных источников угроз;
– по типу информационной системы, на которые направлена реализация угроз;
– по способу реализации угроз;
– по виду нарушаемого свойства информации (виду несанкционированных действий, осуществляемых с информацией);
– по используемой уязвимости;
– по объекту воздействия.
При идентификации и оценке угроз должны быть учтены опыт, полученный в результате работы с инцидентами в рамках организации, и ранее полученные результаты идентификации и оценки угроз.
Целесообразно применять любые доступные каталоги угроз (имеющие отношение к сфере деятельности организации), чтобы сформировать перечень общих угроз.
Используя каталоги угроз или результаты прежних оценок угроз, не следует забывать о том, что происходит постоянная смена значимых угроз, особенно, если изменяются среда деятельности и (или) применяемые средства.
Каталог угроз является информационной базой, содержащей описания всех известных на текущий момент времени угроз.
В Российской Федерации Банк данных угроз безопасности информации поддерживается ФСТЭК России на своем сайте в сети Интернет.
За рубежом свои банки угроз поддерживают различные профильные институты, общественные организации, международные организации, а также производители программных продуктов в области защиты информации.
Отдельные каталоги угроз включены в международные стандарты, например, ISO/IEC 27005:2011 Information technology — Security techniques — Information security risk management (его редакция от 2005г. Гармонизирована в России как ГОСТ Р ИСО/МЭК 27005 2010 Информационные технологии. Методы и средства обеспечения безопасности. Менеджмент риска информационной безопасности).
Банк данных угроз безопасности информации сформирован в соответствии с подпунктом 21 пункта 8 Положения о Федеральной службе по техническому и экспортному контролю, утвержденного Указом Президента Российской Федерации от 16 августа 2004 г. N 1085, Федеральной службой по техническому и экспортному контролю (ФСТЭК России) совместно с заинтересованными федеральными органами исполнительной власти и организациями.
Доступ к банку данных осуществляется через сеть «Интернет» (адрес: www.bdu.fstec.ru).

Хотя Банк данных угроз безопасности информации включает информацию об угрозах и уязвимостях наиболее характерных для государственных информационных систем, информационных систем персональных данных и автоматизированных систем управления производственными и технологическими процессами на критически важных объектах, тем не менее, вполне может браться за основу финансовыми организациями для целей моделирования угроз.
Информация, размещенная в Банке данных угроз безопасности информации, является общедоступной и может распространяться на безвозмездной основе с указанием источника информации. Использование информации, размещенной в Банке данных угроз безопасности информации, в автоматизированных средствах контроля защищенности информации (сканерах безопасности), создаваемых и распространяемых в коммерческих целях, осуществляется по согласованию с ФСТЭК России.

Идентификация и аутентификация объекта

Идентификация и аутентификация объектаИдентификация и аутентификация объекта

Идентификация — это присвоение уникальному образу, имени или номера объекта или субъекта. Аутентификация осуществляется в проверке того, действительно ли проверяемый объект (субъект) тот, за кого себя выдает. Объекты (субъекты) аутентификации

Стратегия допустимого использованияСтратегия допустимого использования

Целью стратегии приемлемого использования является установление стандартов безопасности использования компьютерного оборудования и услуг компании, а также соответствующих мер безопасности сотрудников для защиты корпоративных ресурсов и личной информации. Злоупотребление компьютерным оборудованием

Служебные носители: флешки

Служебные носители: флешкиСлужебные носители: флешки

Пример технического средства, в отношении которого постоянно ведутся разговоры о непреодолимости «человеческого фактора», — это разного рода носители информации. В первую очередь, конечно, флешки. Однако недалеко отстоят и, например, токены