СЗПДн. Анализ. Выбор мер обеспечения безопасности общедоступных ПДн 2

В одной из предыдущих заметок я приводил демонстрацию анализа и выбора мер защиты по новому комплекту документов (ПП 1119, Приказ ФСТЭК №21) на примере ИСПДн с общедоступными ПДн.

В комментариях к заметке было интересное обсуждение с читателями, в результате которого было высказано мнение, что исключать лишние меры можно на этапе адаптации базового набора мер, исходя из особенностей функционирования ИС в которой не актуальны угрозы для нейтрализации которых применяется данная мера.

Я решил рассмотреть ещё раз ту же задачу с теми же исходными данными и с приведенным выше подходом.

В варианте, когда модель угроз делается по собственной корпоративной методике и приводит к тому что все угрозы будут неактуальны – нам не интересен (перечень мер будет нулевым) и я далее его не рассматриваю.

Будем делать МУ по методическому документу ФСТЭК. Для данного примера я использую базовый перечень угроз + дополняю его парой угроз связанных с НДВ. Для примера их будет достаточно. А в реальной ИС, вы дополните всеми необходимыми угрозами, специфичными для Вас.

Напоминаю, что уровень исходной защищенности у меня получился низкий (Y1=10). Деталей расчета не привожу. Там всё очевидно и для своей ИС вы легко посчитаете.

Так-же я не привожу промежуточный анализ угроз и столбцы связанные с актуальными источником угроз, уязвимостями ИСПДн, способами реализации угроз, описанием объектов возможного воздействия угроз, описанием возможных деструктивных действий и последствий, перечень исходно применяемых контрмер и реализуемость угрозы (у меня нет цели давать вам готовый шаблон по моделированию, в место этого хочу показать алгоритм и возможные результаты). 
Перехожу к результатам моделирования угроз для ИСПДн в которой обрабатываются общедоступные ПДн:

Базовые угрозы довольно крупные и далее их будет неудобно использовать (вы это увидите), так как с одной крупной угрозой связано слишком много мер.

Далее мы определяем базовый набор мер, делаем его адаптацию и уточнение, как в предыдущей заметке, только ещё отказываемся от лишних мер, не связанных с актуальными угрозами.
Результат выкладываю по ссылке, так как документ большой.



Комментарии

Популярные сообщения из этого блога

СКЗИ. НПА. Некоторые вопросы применения криптографии

Модель угроз безопасности клиента финансовой организации

КИИ. Категорирование объектов, часть 3