четверг, 18 июля 2013 г.

СЗПДн. Анализ. Выбор мер обеспечения безопасности общедоступных ПДн 2

В одной из предыдущих заметок я приводил демонстрацию анализа и выбора мер защиты по новому комплекту документов (ПП 1119, Приказ ФСТЭК №21) на примере ИСПДн с общедоступными ПДн.

В комментариях к заметке было интересное обсуждение с читателями, в результате которого было высказано мнение, что исключать лишние меры можно на этапе адаптации базового набора мер, исходя из особенностей функционирования ИС в которой не актуальны угрозы для нейтрализации которых применяется данная мера.

Я решил рассмотреть ещё раз ту же задачу с теми же исходными данными и с приведенным выше подходом.

В варианте, когда модель угроз делается по собственной корпоративной методике и приводит к тому что все угрозы будут неактуальны – нам не интересен (перечень мер будет нулевым) и я далее его не рассматриваю.

Будем делать МУ по методическому документу ФСТЭК. Для данного примера я использую базовый перечень угроз + дополняю его парой угроз связанных с НДВ. Для примера их будет достаточно. А в реальной ИС, вы дополните всеми необходимыми угрозами, специфичными для Вас.

Напоминаю, что уровень исходной защищенности у меня получился низкий (Y1=10). Деталей расчета не привожу. Там всё очевидно и для своей ИС вы легко посчитаете.

Так-же я не привожу промежуточный анализ угроз и столбцы связанные с актуальными источником угроз, уязвимостями ИСПДн, способами реализации угроз, описанием объектов возможного воздействия угроз, описанием возможных деструктивных действий и последствий, перечень исходно применяемых контрмер и реализуемость угрозы (у меня нет цели давать вам готовый шаблон по моделированию, в место этого хочу показать алгоритм и возможные результаты). 
Перехожу к результатам моделирования угроз для ИСПДн в которой обрабатываются общедоступные ПДн:

Базовые угрозы довольно крупные и далее их будет неудобно использовать (вы это увидите), так как с одной крупной угрозой связано слишком много мер.

Далее мы определяем базовый набор мер, делаем его адаптацию и уточнение, как в предыдущей заметке, только ещё отказываемся от лишних мер, не связанных с актуальными угрозами.
Результат выкладываю по ссылке, так как документ большой.



Комментариев нет: