ковий вихід в мережу загального пользованіясредній3По вбудованим (легальним) операціями з записами баз ПДнмодіфікація, передачанізкій4По розмежуванню доступу до ПДнІСПДн, до якої має доступ певний перелік співробітників ІАС ЦА МЗРсредній5По наявності сполук з іншими базами ПДН інших ІСПДнінтегрірованная ІСПДн (ІАС ЦА МЗР використовує кілька баз ПДнІСПДн, при цьому не будучи власником всіх використовуваних баз ПДН) нізкій6По рівнем узагальнення (знеособлення) ПДнІСПДн, в якій надаються користувачеві дані не є знеособленими, тобто присутня інформація, що дозволяє ідентифікувати суб'єкт ПДннізкій7По обсягом ПДН, які надаються стороннім користувачам ІСПДн без попередньої обработкіІСПДн, що надає частину ПДнсредній
З аналізу результатів вихідної захищеності (Таблиця 2) випливає, що менше 70% характеристик ІСПДн ІАС ЦА МЗРФ відповідають рівню не нижче «середній». Отже, відповідно до «Методики визначення актуальних загроз безпеці персональних даних при їх обробці в інформаційних системах персональних даних» [1] ІСПДн ІАС ЦА МЗР має низький рівень вихідної захищеності і числовий коефіцієнт Y 1=10.
Визначення ймовірності реалізації загроз в ІСПДнІАС ЦА МЗР
Під ймовірністю реалізації загрози піднімається визначається експертним шляхом показник, що характеризує, наскільки вірогідним є реалізації конкретної загрози безпеці ПДН для даної ІСПДн в умовах, що складаються обстановки.
Числовий коефіцієнт (Y 2) для оцінки ймовірності виникнення загрози визначається по чотирьох вербальним градаціях цього показника:
малоймовірно - відсутні об'єктивні передумови для здійснення загрози (Y2=0);
низька ймовірність - об'єктивні передумови для реалізації загрози існують, але вжиті заходи істотно ускладнюють її реалізацію (Y2=2);
середня ймовірність - об'єктні передумови для реалізації загрози існують, але вжиті заходи забезпечення безпеки ПДН недостатні (Y2=5);
висока ймовірність - об'єктивні передумови для реалізації загрози існують і заходи щодо забезпечення безпеки ПДН не прийняті (Y2=10).
Оцінка ймовірності реалізації загроз безпеки для ІСПДн ІАС ЦА МЗР виявленими категоріями потенційних порушників И0, И1, И2, И3, И7, И8 наведена в таблиці 2.
Таблиця 2
Загроза безпеки ПДнВероятность реалізації загрози (Y 2) Иi джерелом загрози - порушником категорії Иi (Y 2) И0 (Y 2) И1 (Y 2) И2 (Y 2) И3 (Y 2) И7 ( Y 2) И8 Підсумок Y 2=max (Y 2) Иi Загрози, реалізовані в ході завантаження операційної сістеми0222222Угрози, реалізовані після завантаження операційної сістеми0222222Угрози впровадження шкідливих программ0222222Угрози «Аналіз мережевого трафіку» з перехопленням переданої по мережі інформаціі2222002Угрози сканування, спрямовані на виявлення типу або типів використовуваних операційних систем, мережевих адрес робочих станцій ІСПДн, топології мережі, відкритих портів і служб, відкритих з'єднань і др.2222222Угрози впровадження помилкового об'єкта як в ІСПДн, так і в зовнішніх сетях0222222Угрози виявлення паролей0200222Угрози отримання НСД шляхом підміни довіреної об'єкта сеті0222222Угрози типу «Відмова в обслуговуванні »2222222Угрози віддаленого запуску пріложеній5222225Угрози впровадження по мережі шкідливих программ5222225Угрози нав'язування хибного маршруту шляхом несанкціонованого зміни маршрутно-адресних даних як всередині мережі, так і в зовнішніх сетях2222222Угрози, що реалізуються за рахунок вразливостей мережевих протоколів при здійсненні термінального доступа2222222
Визначення можливості реалізації загроз в ІСПДнІАС ЦА МЗР
За підсумками оцінки рівня вихідної захищеності (Y1) та ймовірності реалізації загрози (Y2) розраховується коефіцієнт реалізованості загрози (Y) і визначається можливість реалізації загрози (Таблиця 3).
Коефіцієнт реалізованості загрози розраховується за формулою:
Y=(Y 1 + Y 2)/20.
За значенням коефіцієнта реалізованості загрози Y формулюється вербальна інтерпретація реалізованості загрози наступним чином:
якщо 0? Y? 0.3, то можливість загрози визнається низькою;
якщо 0.3? Y? 0.6, то можливість загрози визнається середньої;
якщо 0.6? Y? 0.8, то можливість загрози визнається високою;
якщо Y gt; 0.8, то можливість загрози визнається дуже високою.
Таблиця 3
Загроза безпеки ПДнКоеффіціент реалізованості загрози (Y) Можливість реалізації угрозиугрози, реалізовані в ході завантаження операційної сістеми0,6средняяугрози, реалізовані після завантаження операційної сістеми0,6средняяугрози впровадження шкідливих...
