14590 Особенности автоматизации процессов проведения и управления аудитом информационной безопасности на основе требований СТО БР ИББС-1.1-2007

Созданный план рекомендуется согласовать со всеми лицами, чье участие потребуется для его реализации.Еще одним, уже необязательным, но порой необходимым шагом на данном этапе является подготовка рабочих документов, в которых будут фиксироваться сведения о собранных свидетельствах и выставленных оценках. Образец формы для сбора свидетельств самооценки представлен в РС БР ИББС-2.1-2007 Приложение А. Рабочие документы могут вестись в электронном виде либо от них можно совсем отказаться, если используется программное средство для автоматизации самооценки (подробнее см. "Методы и средства автоматизации").Сбор необходимых свидетельств. Основными источниками свидетельств самооценки ИБ являются:документы, содержащие необходимые свидетельства для выставления оценок;устные высказывания сотрудников проверяемых подразделений;результаты наблюдений членов рабочей группы за деятельностью по реализации требований нормативных документов в области обеспечения ИБ.Таким образом, чтобы выставить объективные оценки для частных показателей, потребуется прежде всего собрать и проанализировать все принятые в организации документы. К таковым относятся как документы, устанавливающие требования и правила (политики, порядки, регламенты, инструкции и проч.), так и документы, содержащие результаты осуществляемой деятельности (протоколы, акты, реестры, журналы и проч.). Общий перечень возможных документов представлен в РС БР ИББС-2.1-2007 Приложение Б. Важно подчеркнуть, что в качестве источников свидетельств самооценки могут рассматриваться только действующие в организации документы (утвержденные соответствующими приказами).Помимо сбора и анализа документов, также потребуется провести интервью с представителями различных подразделений организации, по итогам которых должны быть составлены протоколы. В рамках интервьюирования определяется степень осведомленности персонала в вопросах информационной безопасности, понимание ими их ролевых функций и соответствие выполняемых ими действий правилам, установленным во внутренних документах организации.Еще одним возможным источником свидетельств самооценки могут быть наблюдения, проведенные членами рабочей группы. К наблюдениям относятся различные мероприятия, связанные с посещением проверяемых объектов, осмотром помещений, наблюдением за деятельностью сотрудников по выполнению тех или иных операций (выполняемых в том числе по просьбе представителей рабочей группы). Итоги таких наблюдений также рекомендуется оформлять соответствующим протоколом.Оценка частных показателей. Собрав все необходимые свидетельства, предстоит выполнить самую трудоемкую фазу самооценки – провести оценку уточняющих вопросов и частных показателей. Частных показателей в методике проведения самооценки более 400, и для каждого из них требуется выставить оценку: н/о; 0; 0,25; 0,5; 0,75 или 1, в зависимости от наличия или отсутствия необходимых свидетельств. Подробнее методика оценки частных показателей описана в стандарте СТО БР ИББС-1.2-2010. С учетом объема оцениваемых показателей и используемых при этом математических расчетов для получения итоговых оценок соответствия выполнение данной работы вручную представляется довольно нетривиальной задачей.Подготовка отчета по результатам самооценки. Результаты проведенной работы по самооценке должны быть оформлены в виде отчета, в который необходимо включить:сведения об организации БС РФ, проводившей самооценку ИБ;сведения о руководителе и членах проверяющей группы;сроки проведения самооценки;краткое изложение процесса самооценки;любые неразрешенные разногласия;заявление о конфиденциальном характере содержанияотчета с результатами самооценки ИБ;лист рассылки отчета с результатами самооценки ИБ.Отчет с результатами самооценки ИБ должен быть утвержден ответственным за процесс самооценки ИБ и представлен руководителем рабочей группы всем заинтересованным лицам в формате итогового совещания.3.2 Автоматизация аудита ИБДля обеспечения автоматизации аудита ИБ кредитных организаций была решена задача формализации процесса оценки ИБ, основанного на методике СТО БР ИББС 1.2., сформирован алгоритм и разработано программное обеспечение «Аудит кредитных организаций». Методика СТО БР ИББС 1.2 – 2014 учитывает специфику кредитных организаций РФ и позволяет объективно оценить следующие направления оценки: текущий уровень ИБ (10 групп – 250 частных показателей), менеджмент ИБ (17 групп – 160 частных показателей) и уровень осознания ИБ руководством организации (7 групп – 81 частный показатель)[13]. Итого: 3 направления, 34 группы, 491 частный показатель. После определения уровня соответствия трех направлений, рассчитывается итоговый уровень R по формуле: R = min(EV1, EV2, EV3), (1)где EV1 — оценка степени выполнения требований СТО БР ИББС-1.0 по направлению «текущий уровень ИБ организации»; EV2 — оценка степени выполнения требований СТО БР ИББС-1.0 по направлению «менеджмент ИБ организации»; EV3 — оценка степени выполнения требований СТО БР ИББС-1.0 по направлению «уровень осознания ИБ организации». Для оценки каждого направления нужно ответить на вопросы. Один вопрос – один частный показатель Mij. Частные показатели делятся на две группы: обязательные и рекомендуемые. Обязательным показателям могут быть присвоены следующие значения: 1. «нет» - 0; 2. «частично» - 0.25, 0.5, 0.75; 3. «да» - 1;4. «н/о» - нет оценки (вопрос не относится к деятельности организации). Рекомендуемым показатели могут быть присвоены значения: 1. «нет» - 0; 2. «да» - 1; 3. «н/о» - нет оценки. Частные показатели разбиты по группам. Всего 34 группы. Оценка группового показателя EVmi вычисляется из оценок входящих в него частных показателей EVmij по формуле: EVmi = EVmij j j , (2)где EVmi – групповой показатель; EVmij – частный показатель i–ой группы. Если в рамках группового показателя все входящие в него частные показатели определены как неоцениваемые, указанный групповой показатель также определяется как неоцениваемый и не учитывается в формировании дальнейших результатов оценки. Текущий уровень ИБ организации вычисляется по формуле: EV1 = min (EVБИТП, EVБПТП, EV2 ОЗПД, EVООПД), (3)где EVБИТП — степень выполнения требований банковского информационного технологического процесса, которая рассчитывается по формуле: EVБИТП = k 1 БИТП EVmi +EVm8 j 7 , i = 1÷6. (4)EVБПТП — степень выполнения требований банковского платежного технологического процесса, которая рассчитывается по формуле: EVБПТП = k 1 БПТП EVmi +EVm7 j 7 , i = 1÷6. (5)EV2 ОЗПД — степень выполнения требований? регламентирующих защиту ПД в ИСПД, с учетом оценки степени выполнения требований по обеспечению ИБ при использовании СКЗИ, которая рассчитывается по формуле: EV2 ОЗПД= k 1 ОЗПД2 EV m i +EV m 8 j + EV m 10 8 , i = 1÷6. (6)EVООПД — степень выполнения требований, регламентирующих обработку ПД, которая рассчитывается по формуле: EVООПД = k 1 ООПД* EVm9 (7)Корректирующие коэффициенты k1 БПТП, k 1 БИТП, k1 ОЗПД2 и k1 ООПД определяются в соответствии с таблицей3.1.Таблица 3.1. – Корректирующие коэффициенты Оценка менеджмента ИБ рассчитывается по формуле: EV2 =k2 𝐸𝑉𝑚𝑖 27 𝑖=11 17 (8)где EV2 – уровень менеджмента ИБ; k2 – корректирующий коэффициент, который определяется из таблицы 3.1; EVMi – значения группового показателя i- ой группы. Уровень осознания ИБ организации рассчитывается по формуле: EV3 =k3 𝐸𝑉𝑚𝑖 34 𝑖=28 7 (9)где EV3 – уровень осознания ИБ организации. k3 – корректирующий коэффициент, который определяется из таблицы 3.1. EVMi – значения группового показателя i- ой группы. В соответствии с рассмотренной методикой был сформирован алгоритм расчета уровня соответствия ИБ кредитных организаций стандарту Банка России. На основе сформированного алгоритма было разработано ПО «Аудит кредитных организаций». В качестве среды разработки была выбрана среда «MicrosoftVisualStudio 2013», язык реализации – C#. На рисунке 3.1 представлена главная форма программы [52]. Рисунок 3.1. – Главная форма программы Она включает 4 элемента управления: 1. «Добавить новый аудит» – активирует форму для создания нового проекта аудита. 2. «Начать аудит» – открывает проект аудита, который был выбран из списка проектов. 3. «Изменить параметры аудита» – открывает форму для изменения параметров аудита. 4. «Удалить аудит» – удаление выбранного проекта аудита и всех его данных. На рисунке 3.2 представлена форма для создания проекта аудита.Рисунок 3.2. – Форма создания проекта аудита Она содержит два элемента управления: 1. «Создать» - осуществляется проверка правильности заполнения полей. Если все поля заполнены, осуществляется запись информации о проекте в ресурсы программы. 2. «Отмена» - отмена создания аудита и закрытие формы. На рисунке 3.3 представлена форма для изменения основных параметров аудита. Рисунок 3.3. – Форма изменения параметров аудита Форма содержит два элемента управления: 1. «Изменить» - осуществляется запись измененных данных в ресурсы программы. 2. «Отмена» - отмена внесения изменений и закрытие формы. На рисунке 3.4 представлена вкладка «Аудит». Рисунок 3.4. – Вкладка «Аудит» На данной вкладке осуществляется процесс присвоения значений частным показателям. Описание областей вкладки. Область 1 содержит частные показатели, которые разбиты по группам, а группы, разбиты по направлениям оценки. В области 2 отображается номер текущего частного показателя, его группа, а также направление оценки к которой принадлежит данная группа. Также в этой области отображается статистика: скольким частным показателям присвоено значение, завершенность аудита в процентах. Область 3 – это область отображения содержания частного показателя (вопроса). Область 4 предназначена для выбора значения, которое следует присвоить частному показателю. В области 3.5 аудитор может оставить комментарий к текущему частному показателю. На рисунке 3.5 представлена вкладка «Оценка» на которой осуществляется расчет уровня соответствия ИБ. Рисунок 3.5. – Результаты оценки Элементы управления: 1) «Расчет» - расчет уровня соответствия ИБ кредитной организации требованиям стандарта Банка России. 2) «Отчет» - автоматическое формирования отчета по проведенному аудиту в формате MS Word. 3)«Завершить» - автоматическое сохранение и закрытие проекта.Вкладка содержит область, в которой отображаются результаты расчетов: 1. Итоговый уровень соответствия ИБ организации стандарту СТО БР ИББС 1.0. 2. Рассчитанные значения и уровни основных направлений оценки. 3. Степень выполнения EVБИТП, EVБПТП, EV2 ОЗПД, EVООПД. 4. Оценку групповых показателей. Также на данной вкладке отображаются графики значений групповых показателей и направлений оценки. В таблице 3.2 приведены результаты замеров времени, затраченного на проведение аудита с использованием программы «Аудит кредитных организаций» и проведение аудита «Вручную». Таблица 3.2. – Временные затраты Из таблицы 3.2 следует, что время на проведение аудита вручную затрачивается больше в шесть раз, чем с использованием ПО «Аудит кредитных организаций» [5]. ЗаключениеТаким образом, в дипломной работе мы решили задачи, поставленные в начале работы. Был проведен анализ структуры информационной безопасности банковских информационных ресурсов. Было выявлено, что система информационной безопасности сочетает в себе принципы и методы защиты информации, направленные на разные стороны существования информации в рамках кредитного учреждения.Анализ аудита информационной безопасности и потенциальных информационных угроз показал, что аудит преследует разнообразные цели, включающие в себя изучение и анализ информационной системы в целом и методов защиты информации в конкретном банковском учреждении, а также были выявлены основные аспекты угроз, которые возникают как по причине внутренних проблем, так и из вне.Также существуют определенные стандарты проведения аудита в отношении информационной безопасности в кредитном учреждении. Данные стандарты имеют международное значение, что обеспечивает единство проведения аудитов по всему миру. Автоматизированный способ аудита в банковской системе представляется более оптимальным решением вопросов аудита, поскольку, рассматривая этапы проведения аудита в общем, можно отметить, что данная процедура довольно трудоемкая и длительная. При помощи автоматизации проведения аудита ИБ сокращается не только длительность процесса аудита, но и его качества, так как здесь почти отсутствует человеческий фактор. На примере программы, предназначенной для проведения аудита ИБ, мы показали, каким образом автоматизированный процесспроведения и управления аудитом в значительной степени сокращает трудоемкость деятельности в данной области. Так, было выявлено, что автоматизация аудита сокращает временные затраты в шесть раз.Введение автоматизированных систем самоконтроля и аудита в кредитных организациях способствуют высвобождению времени при работе и контроле информационной безопасности.Библиографический список«Гражданский кодекс Российской Федерации (часть вторая)» от 26.01.1996 № 14-ФЗ (ред. от 29.06.2015) (с изм. и доп., вступ. в силу с 01.07.2015).«Уголовный кодекс Российской Федерации» от 13.06.1996 № 63-ФЗ (ред. от 30.03.2016)Федеральный закон от 27.07.2006 № 149-ФЗ (ред. от 13.07.2015) «Об информации, информационных технологиях и о защите информации» (с изм. и доп., вступ. в силу с 10.01.2016).Федеральный закон от 02.12.1990 № 395-1 (ред. от 29.12.2015) «О банках и банковской деятельности» (с изм. и доп., вступ. в силу с 09.02.2016)Федеральный закон от 27.07.2006 № 152-ФЗ (ред. от 21.07.2014) «О персональных данных» (с изм. и доп., вступ. в силу с 01.09.2015)Федеральный закон от 28.12.2010 № 390-ФЗ (ред. от 05.10.2015) «О безопасности».Доктрина информационной безопасности Российской Федерации. Указ Президента РФ № 1895 от 09.09.2000 г. // Российская газета. - 2000.Приказ Центрального банка Российской Федерации «О введении в действие Временных требований по обеспечению безопасности технологий обработки электронных платежных документов в системе Центрального банка Российской Федерации»№02-144 от 03.04.97 г.ГОСТ 34.601-90 Автоматизированные системы. Стадии создания. М.: ИПК Издательство стандартов, 1992.ГОСТ 34.201-89 Информационная технология. Комплекс стандартов на автоматизированные системы. Виды, комплектность и обозначение документов при создании автоматизированных систем. М.: ИПК Издательство стандартов, 2002.ГОСТ Р 51275-2006. Защита информации. Объект информатизации. Факторы воздействующие на информацию. М.: Издательство стандартов, 2006."Стандарт Банка России "Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения" СТО БР ИББС-1.0-2014" (принят и введен в действие Распоряжением Банка России от 17.05.2014 N Р-399) Стандарт СТО БР ИББС – 1.2 – 2014. Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Методика оценки соответствия информационной безопасности организаций банковской системы Российской Федерации требованиям СТО БР ИББС 1.0 –2014. – М. Изд-во стандартов, 2014. – 101с. Стандарт Банка России. Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Аудит информационной безопасности СТО БР ИББС-1.1-2007", от 01.05.2007 г. - М. 2007.Международный стандарт 1SO/IEC27006: 2007 "Информационные технологии. Методы обеспечения безопасности. Требования к органам аудита и сертификации систем управления информационной безопасностью".Бойцев О.М. Защити свой компьютер от вирусов и хакеров. / О.М. Бойцев СПб.: Питер, 2010.Будовских И.А. Формирование алгоритма расчета уровня соответствия информационной безопасности кредитных организаций стандарту Банка России [Электронный ресурс] / И.А. Будовских, Л.Д. Алферова // Горизонты образования. – 2015. - №17.Вентцель Е.С., Овчаров Л.А. Теория вероятностей и ее инженерные приложения: Учебное пособие для вузов / - З-е изд., перераб. и доп. - М.: Издательский центр "Академия", 2011 г.Вентцель Е.С. Теория вероятностей. Учеб. для вузов / Е.С. Вентцель - М.: Высшая школа, 2011 г.Вихорев С.В. Кобцев Р.Ю. Как узнать откуда напасть, или откуда исходит угроза безопасности информации / С.В. Вихорев, Р.Ю. Кобцев - СПб.: Конфидент, 2012.Гамза В. Концепция банковской безопасности: структура и содержание / Гамза В., Ткачук И.И. // Аналитический банковский журнал, № 5 с. 2012 г.Герасименко В.А. Основы защиты информации. / В.А. Герасименко, А.А. Малюк М.: 2009 г.Губенков А.А. Информационная безопасность. / А.А. Губенков, Байбурин В.Б. - М.: ЗАО "Новый издательский дом", 2009 г.Девянин П.Н., Михальский О.О., Правиков Д.И., Щербаков А.Ю. Теоретические основы компьютерной безопасности. М.: Радио и связь, 2009г.Домарев В.В. Защита информации и безопасность компьютерных систем. / В.В. Домарев - К.: Издательство "Диа-Софт", 2009 г.Ерохин С.С. Модель нарушителей для информационных систем электронной коммерции. Научная сессия ТУСУР - 2009: Материалы докладов Всероссийской научно-технической конференции студентов, аспирантов и молодых ученых, Томск, 2009 г.Жигулин Г.П. Информационная безопасность. / Г.П. Жигулин, С.Г. Новосадов, А.Д. Яковлев СПб: СПб ГИТМО (ТУ), 2012 г.Забелин П.В. Информационная безопасность Российского государства: социально-политические и социально-культурные проблемы. / П.В. Забелин М.: Грошев - Дизайн, 2011 г.Згурский А.С. Комплексное обеспечение безопасности кредитных организаций // Актуальные проблемы гуманитарных и естественных наук. Выпуск №5. - М.: 2010 г.Згурский А.С., Корбаинова Е.В. Система обеспечения информационной безопасности кредитных организаций. Метод создания политики информационной безопасности // Сборник тезисов VIII Всероссийской межвузовской конференции молодых ученых. Выпуск №1. - СПб.: СПбГУ ИТМО, 2011 г.Згурский А.С., Корбаинова Е.В. Определение степени потребности активов центра обработки данных кредитной организации в свойствах безопасности // Научно-технический вестник Поволжья, Том №3 - К., 2011 г.Згурский А.С. Корбаинова Е.В. Определение уровня уязвимости и оценка влияния свойства безопасности актива на деятельность центра обработки данных // Проблемы информационной безопасности. Компьютерные системы. Выпуск №3, - СПб., 2011 г.Калугин Н.М., Кудрявцев А.В., Савинская Н.А. Банковская коммерческая безопасность: Учебное пособие. - СПб.: СПбГИЭУ, 2006 г.Куранов А. К вопросу о защите коммерческой тайны. // Банки и технологии. Вып. № 1, 2008 г.Курило А.П. Вопросы укрепления безопасности банковской системы в современных условиях. - Материалы учебно-практической конференции «Актуальные проблемы безопасности банковского дела в условиях финансового кризиса», М., 2009 г.Лукацкий, А. Аудит информационной безопасности: какой, кому, зачем? [Электронный ресурс] / А. Лукацкий. Режим доступа: http://bosfera.ru/bo/audit-informatsionnojbezopasnosti (13.01.2016) — Загл. с экрана.Малюк А.А. Информационная безопасность: концептуальные и методологические основы защиты информации: Учеб. пособие для вузов./ А.А. Малюк. - М., 2004 г.Милославская, Н.Г. Серия «Вопросы управления информационной безопасностью". Выпуск 5: учебное пособие / Н.Г. Милославская, М.Ю. Сенаторов, А.И. Толстой. — Электрон.данные. — М.: Горячая линия-Телеком, 2012.Романец Ю.В. Защита информации в компьютерных системах и сетях. / Ю.В. Романец, П.А. Тимофеев, В.Ф. Шаньгин - М.: "Радио и связь", 2011 г.Сайт Центрального банка Российской Федерации www.cbr.ru.ПриложенияПриложение АУгрозы информационной безопасности ЦОДТаблица А.1 - Угрозы информационной безопасности ЦОД Отказ в обслуживанииПереполнение информационного ресурсаТехнические источникиСлучайностьЧеловекСлучайность ПреднамеренностьУгрозы, связанные с потребляемыми услугамиПревышение допустимой нагрузки на человеческие, сетевые ресурсы системы и персоналТехнические источникиСлучайностьЧеловекСлучайность ПреднамеренностьВзаимозависимость от партнеров/клиентовНесоблюдение требований ИБЧеловекСлучайностьНедостаточный уровень обеспечения ИБПреднамеренностьОшибки, при заключении контрактов с провайдерами внешних услугНеудовлетворительные договорные обязательствас провайдерами внешних услугЧеловекСлучайностьНевыполнение договорных требований и требований ИБ внешними клиентами кредитной организацииЧеловекСлучайность ПреднамеренностьРазглашение данных третьим сторонам провайдером услугПреднамеренное разглашение данныхЧеловекПреднамеренностьРазглашение данных из-за отсутствия в договоре на предоставление услуг требований по защите данныхЧеловекСлучайностьОшибки передачи электронных сообщенийНеправильная маршрутизация сообщенийТехнически е средстваСлучайностьЧеловекСлучайность ПреднамеренностьНеправильный режим отправки сообщенийЧеловекСлучайностьСлучайностьПерегрузка трафикаТехнически е средстваСлучайностьЧеловекПреднамеренностьВыход из строя средствтелекоммуникацииНарушение предоставления телекоммуникационных услуг, связанное со сбоем ИТ-систем провайдера услугВнешние условияЧеловекСлучайностьПовреждение телекоммуникационного оборудования/саботажЧеловекПреднамеренностьУгрозы со стороны обслуживающего персоналаОшибки или несанкционированные действия при выполнении работ, связанных с уборкой помещений, ремонтом помещений, мебели, коммуникаций, техническим обслуживанием оборудованияЧеловекСлучайность ПреднамеренностьОшибки руководства организации в связи снедостаточным уровнем осознания ИБИзоляция функций ИБ от бизнес - процессовЧеловекСлучайностьОшибки при разработке стратегии и концепции ИБНесогласованность рисков ИБ с операционными и финансовыми рисками организацииОшибки при оказании административной, финансовой, кадровой поддержки процессов ИБНесогласованность действий служб обеспечения ИБ со службами информатизацииНедостаточное или неправильно адресуемое инвестированиеОшибки менеджментаОтсутствие или неправильное распределение ролей ИБ и ответственности персоналаЧеловекСлучайностьИспользование новых технологий без адекватных решение по ИБИзбыточность реализуемых функций обеспечения ИБНедостаток реализуемых функций обеспечения ИБНесовместимость реализуемых функций ИБ с нормативными документамиОтсутствие или неадекватный менеджмент инцидентов ИБОшибки организации аудита и мониторинга ИБНеадекватная модернизация процесса обеспечения ИБУгрозы, связанные с потребляемыми услугамиВзаимозависимость от партнеров/клиентовНесоблюдение требований ИБЧеловекСлучайностьНедостаточный уровень обеспечения ИБПреднамеренностьОшибки, допущенные при заключении контрактов с провайдерами внешних услугНеудовлетворительные договорные обязательствас провайдерами внешних услугЧеловекСлучайностьНарушение договорных обязательствНарушение договорных обязательств разработчиками/поставщиками программно-технических средств и услугЧеловекСлучайность ПреднамеренностьНевыполнение договорных требований и требований ИБ внешними клиентами кредитной организацииЧеловекСлучайность ПреднамеренностьРазглашение данных третьим сторонам провайдером услугПреднамеренное разглашение данныхЧеловекПреднамеренность СлучайностьРазглашение данных из-за отсутствия в договоре на предоставление услуг требований по защите данныхОшибки передачи электронных сообщенийНеправильная маршрутизация сообщенийТехнически е средстваСлучайностьЧеловекСлучайность ПреднамеренностьНеправильный режим отправки сообщенийЧеловекСлучайность ПреднамеренностьОшибки передачи электронных сообщенийПерегрузка трафикаЧеловекСлучайностьТехнически е средстваПреднамеренностьВыход из строя средствтелекоммуникацииНарушение предоставления телекоммуникационных услуг, связанное со сбоем ИТ-систем провайдера услугВнешние условияЧеловекСлучайностьЧеловекПреднамеренностьПовреждение телекоммуникационного оборудования/саботажЧеловекПреднамеренностьУгрозы со стороны обслуживающего персоналаОшибки или несанкционированные действия при выполнении работ, связанных с уборкой помещений, ремонтом помещений, мебели, коммуникаций, техническим обслуживанием оборудованияЧеловекСлучайность ПреднамеренностьОшибки руководства организации в связи снедостаточным уровнем осознания ИБИзоляция функций ИБ от бизнес - процессовЧеловекСлучайностьОшибки при разработке стратегии и концепции ИБНесогласованность рисков ИБ с операционными и финансовыми рисками организацииОшибки при оказании административной, финансовой, кадровой поддержки процессов ИБНесогласованность действий служб обеспечения ИБ со службами информатизацииНедостаточное или неправильно адресуемое инвестированиеОшибки менеджментаОтсутствие или неправильное распределение ролей ИБ и ответственности персоналаЧеловекСлучайностьИспользование новых технологий без адекватных решение по ИБИзбыточность реализуемых функций обеспечения ИБНедостаток реализуемых функций обеспечения ИБНесовместимость реализуемых функций ИБ с нормативными документамиОшибки менеджментаОтсутствие или неадекватный менеджмент инцидентов ИБЧеловекСлучайностьОшибки организации аудита и мониторинга ИБНеадекватная модернизация процесса обеспечения ИБНарушение технологии обработки данныхВыполнение недокументированных технологических операций по обработке, хранению, передаче данныхЧеловекСлучайность ПреднамеренностьНевыполнение предписанных технологических операций по обработке, хранению, передаче данныхЧеловекСлучайность ПреднамеренностьОшибочное выполнение предписанных технологических операций по обработке, хранениюЧеловекСлучайностьНарушение персоналом организационных мер по защите ИБНарушение правил "Чистого стола"ЧеловекСлучайность/ПреднамеренностьНенадежная транспортировка носителей информации конфиденциальной информацииЗамена компонентов во время ремонтаНеправильное обращение с утилизируемыми документамиНарушение требований безопасности при удаленной работе Ошибки кадровой работыПрием на работу нелояльных/неблагонадежных сотрудников; без подписки о неразглашении конфиденциальной информацииЧеловекСлучайностьУвольнение сотрудников без надлежащих мер ИБИгнорирование тренингов и проверок персоналаОшибки в обеспечении безопасности информационных систем на стадиях жизненного цикла (ЖЦ) На стадии разработкиНа стадии эксплуатацииНа стадии сопровожденияНа стадии снятия с эксплуатацииЧеловекПреднамеренностьОшибки в организации управления доступом и регистрацииОтсутствие стратегии сетевого менеджмента и системного менеджментаЧеловекСлучайность/ ПреднамеренностьНесогласованность требований управления доступа с требованиями бизнесаОтсутствие управления или умышленно неправильное управление привилегиямиОтсутствие или неправильная организация доступа на сетевом уровнеОтсутствие или неправильная организация контроля доступаОтсутствие управления или умышленно неправильное управление данными мониторинга и аудитаОтсутствие или умышленно неправильная организация парольной защитыРазработка и использование некачественной документацииНекачественное выполнение документированного описания технологических процессов обработки, хранения, передачи данныхЧеловекСлучайностьНекачественная разработка руководств для персонала, участвующего в обработке, хранении, передачи данныхНекачественное выполнение документированного описания средств обеспечения ИБ и руководства по их пользованиюУгрозы, связанные с человеческим факторомПроблемы, создаваемые крупными публичными событиямиНарушение общественного порядкаЧеловекСлучайность ПреднамеренностьИнсайдерская деятельностьЗлоупотребление полномочиямиСаботаж в отношении электронных информационных систем обработки, хранения и передачи информации. Мошенничество ШпионажУтечка информацииШпионажПодглядываниеЧеловекПреднамеренностьПрослушиваниеВредоносный кодХищениеКража носителей или документовЧеловекПреднамеренностьУтечка информацииУмышленное разглашение информацииЧеловекПреднамеренностьСкрытые и потайные каналыПерехват помеховых сигналовПерехват сообщений в каналах связиПотеря конфиденциальность через остаточные данныеСаботажПовреждение оборудования или носителей информацииЧеловекПреднамеренностьНанесение ущерба зданию (инфраструктуре) Нанесение ущерба коммуникациямНанесение ущерба программного обеспечениюВандализмХалатностьНевыполнение требований по обеспечению ИБЧеловекСлучайностьПовреждение оборудования или носителейНанесение ущерба программному обеспечениюИспользование программных средств и информации без гарантии источникаИнформация без гарантии источникаЧеловекСлучайностьПреднамеренностьИспользование нелицензионного или скопированного программного обеспеченияНесанкционированные действияНесанкционированный доступ в помещения, требующие защитыЧеловекСлучайностьПреднамеренностьНесанкционированное использование оборудованияНесанкционированные копирование носителей информацииНесанкционированное копирование программного обеспеченияИскажение данныхНесанкционированная обработкаЗлоупотребленияЗлоупотребление правами пользователяЧеловекПреднамеренностьЗлоупотребление правами администратораЗлоупотребление правом доступаНезаконное присвоение прав доступаНеконтролируемая установка сменных носителейОбман (ложная тревога,дезинформация) Ложное сообщение об угрозеЧеловекПреднамеренностьОшибки при использовании и администрировании систем и средств ИТОшибки при использовании программных или аппаратных средствЧеловекСлучайностьОшибки администрирования систем и средств ИТОтсутствие или неадекватность реализации механизмов безопасности СУБД, ОС и приложенийОтсутствие или неадекватность процедур тестирования и поставки ПО и аппаратного обеспеченияОшибки в документацииВоздействие вредоносного кодаИнфицирование ПО и разрушение информации (например, вирусами начальной загрузки, файловыми вирусами, макро-вирусами, "черви", "троянские кони") ЧеловекСлучайность ПреднамеренностьНарушение функциональности и доступности персоналаПотеря ресурсов персонала (болезнь, катастрофа, несчастный случай) ЧеловекСлучайностьПреднамеренностьТехногенные причиныСлучайностьПриродные явленияСлучайностьНарушение функциональности криптографической системыНарушение требований нормативных документов по эксплуатации систем и средств криптографической защитыЧеловекСлучайностьПреднамеренностьНарушение регламента использования ключевых носителей информацииФизическое уничтожение и нарушение целостности ПО средств криптографической защиты информацииРеализация криптопротоколов на основе алгоритмов, не соответствующих стандартам РФ в области обеспечения ИБНесовместимость или недостаточная унифицированностьКриптопротоколовОшибки организации мониторинга событий связанных с штатным и нештатным функционированием СКЗИНарушение функциональности архивной системыФизические дефекты компонентов архивной системы и носителейОкружающая физическая средаСлучайностьТехнические средстваСлучайностьЧеловекСлучайностьПреднамеренностьНеадекватное управление обновлением и модернизацией программно-аппаратных средств архивных системЧеловекСлучайность ПреднамеренностьУстаревание компонентов архивной системыЧеловекТехнически е средстваСлучайностьУстаревание криптографических мер защиты для обеспечения конфиденциальности и целостности хранящихся данныхЧеловекСлучайностьПриложение БМодель угроз нарушения свойств безопасности технических активов центра обработкиТаблица Б.1 - Модель угроз нарушения свойств безопасности технических активов центра обработки Наименование активаСтепень потребности актива в свойстве безопасностиНаименование угрозыВозможные последствия от реализации угрозы1234Технические средстваОчень высокаяВысокаяСредняяНизкаяУничтожение оборудования и нарушение безопасности персоналаНарушение деятельности ЦОД, вплоть до полного ее нарушенияНарушение договорных обязательствТехногенные факторы Дополнительные материальные, финансовые ивременные затраты (привлечение сотрудников сторонних организаций для ликвидации последствий инцидента)Применение дисциплинарных и/или материальных мер наказания к ответственным сотрудникам и/или руководящему составу среднего звенаТехнические средстваОчень высокаяВысокаяСредняяНизкаяБлокировка доступа пользователей, искажение или Сбои и отказы программ - уничтожение обрабатываемой информацииПриложение ГНарушение отдельных видов деятельности ЦОДПрименение дисциплинарных и/или материальных мер.Уничтожение информации.Нарушение договорных обязательствПрименение дисциплинарных и/или материальных наказания к ответственным сотрудникам и/или руководящему составу среднего звенаДополнительные материальные затратыТехнические средстваОчень высокаяВысокаяСредняяНизкаяНарушение персоналом организационных мер по защите информационной безопасностиРазглашение информации. Искажение информации. Снижение эффективности деятельности ЦОД, вплоть до полного ее нарушения. Уничтожение информации. Нарушение требований нормативной документацииНарушение договорных обязательств.Применение дисциплинарных и/или материальных мер наказания к ответственным сотрудникам и/или руководящему составу среднего звена. Дополнительные материальные затратыТехнические средстваОчень высокаяВысокаяСредняяНизкаяОшибки в обеспечении безопасности информационных систем на стадиях жизненного циклаРазглашение информацииИскажение информацииСнижение эффективности деятельности ЦОД вплоть до полного ее нарушенияУничтожение информацииНарушение требований нормативной документации, наказания к ответственным сотрудникам и/или руководящему составу среднего звенаТехнические средстваОчень высокаяВысокаяСредняяНизкаяВзаимозависимость от партнеров/клиентовНарушение договорных обязательств:Блокировка доступа пользователейСнижение эффективности ЦОД, вплоть до полного ее нарушенияТехнические средстваОчень высокаяВысокаяСредняяНизкаяУгрозы со стороны обслуживающего персоналаРазрушение зданийНарушение деятельности ЦОД на всех уровняхНарушение требований нормативной документацииНарушение договорных обязательствДополнительные материальные, финансовые и временные затраты (привлечение сотрудников сторонних организаций для ликвидации последствий инцидента)Применение дисциплинарных и/или материальных мер наказания к ответственным сотрудникам и/или руководящему составу среднего звенаТехнические средстваОчень высокаяВысокаяСредняяНизкаяОшибки менеджмента информационной безопасностиРазглашение информацииИскажение информацииСнижение эффективности деятельности ЦОД вплоть до полного ее нарушенияНарушение договорных обязательствПрименение дисциплинарных и/или материальных мер наказания к ответственным сотрудникам и/или руководящему составу среднего звенаДополнительные материальные и финансовые затраты