Рекомендаций по обеспечению безопасности конфиденциальной информации в ОС Windows 10
В связи с появившейся информацией о том, что компания Microsoft собирает персональные и иные конфиденциальные данные пользователей, были проведены исследования, полученные в ходе исследования сведения были использованы для разработки рекомендаций по обеспечению безопасности конфиденциальной информации пользователя путём настройки ОС и задания правил межсетевого экранирования.
Результаты исследования и рекомендации по противодействию утечкам конфиденциальных данных приведены далее.
Собираемая системой информация
Для подготовки настоящего раздела использовались сведения, полученные из открытых источников в сети Интернет. (далее…)
МОДЕЛЬ УГРОЗ БЕЗОПАСНОСТИ ИНФОРМАЦИИ Автоматизированной системы
В данной статье приведен пример модели угроз безопасности информации разработанной для автоматизированной системы (АС) не являющейся ИСПДн, в рассматриваемой АС обрабатываются конфиденциальная информация (в числе защищаемых данных присутствуют, в том числе и персональные данные пользователей), но при всем при этом, АС не классифицирована как ИСПДн. Для удобства ознакомления, материал разбит на главы, а каждая глава на отдельную запись.
Источником информации об угрозах используется «Банк данных угроз безопасности информации ФСТЭК России«. В качестве методики построения модели угроз применяется не утвержденный и не опубликованный проект документа ФСТЭК России ‘Методика определения угроз безопасности в информационных системах’ (2015), поэтому не рекомендуется использовать её пока она не утверждена.
Весь представленный материал имеет информативный характер, и может использоваться только для ознакомления с методикой построения модели угроз для АС не являющейся ИСПДн.
Документ имеет классическую иерархическую структуру, и состоит из 7 разделов:
- Общие положения
- Классификация угроз безопасности
- Субъекты и объекты воздействия угроз безопасности
- Модель нарушителей безопасности
- Общая характеристика угроз безопасности
- Оценка потенциальных угроз безопасности в АС
- Определение актуальных угроз безопасности информации в АС
Также в документе имеются следующие разделы:
Термины и определения, Перечень сокращений, нормативные ссылки, заключение и приложения.
Седьмая (заключительная) часть документа МОДЕЛЬ УГРОЗ БЕЗОПАСНОСТИ ИНФОРМАЦИИ Автоматизированной системы.
1. Определение актуальных угроз БЕЗОПАСНОСТИ ИНФОРМАЦИИ в АС
Угроза безопасности информации является актуальной (УБИjА), если для АС существует вероятность реализации рассматриваемой угрозы нарушителем с соответствующим потенциалом и ее реализация приведет к неприемлемым негативным последствиям (ущербу) от нарушения конфиденциальности, целостности или доступности информации. В качестве показателя актуальности угрозы безопасности информации (УБИjА) принимается двухкомпонентный вектор, первый компонент которого характеризует вероятность реализации угрозы (Рj), а второй – степень возможного ущерба в случае ее реализации (Хj)
УБИj А = [вероятность реализации угрозы (Рj); степень ущерба (Хj)], (далее…)
Шестая часть документа МОДЕЛЬ УГРОЗ БЕЗОПАСНОСТИ ИНФОРМАЦИИ Автоматизированной системы.
1. ОЦЕНКА ПОТЕНЦИАЛЬНЫХ УГРОЗ БЕЗОПАСНОСТИ ИНФОРМАЦИИ В АС
6.1. Оценка значимости объектов защиты
Проведение оценки возможности реализации потенциальных угроз существенно зависит от значимости объектов защиты[1].
Оценка значимости объектов защиты включала в себя категорирования[2] защищаемой информации по установленным градациям важности базовых свойств защищаемой информации: конфиденциальности, целостности и доступности. Каждое свойство в зависимости от его важности в процессах защиты информации принимало одно из четырех возможных значений:
- Высокий уровень важности оцениваемого свойства защищаемой информации «3» — нарушение свойства защищаемой информации на объекте защиты приводит к существенным негативным последствиям, связанным со значительным материальным и/или моральным ущербом.
- Средний уровень важности оцениваемого свойства защищаемой информации «2» — нарушение свойства защищаемой информации на объекте защиты приводит к негативным последствиям, связанным с незначительным материальным и/или моральным ущербом.
- Низкий уровень важности оцениваемого свойства защищаемой информации «1» — нарушение свойства защищаемой информации на объекте защиты приводит к нарушениям штатного режима функционирования СВТ (негативным последствиям), не связанным с материальным и/или моральным ущербом обладателя информации.
- Нулевой уровень важности оцениваемого свойства защищаемой информации «0» — нарушение свойства защищаемой информации на объекте защиты не приводит к каким-либо негативным последствиям, связанным с проявлением угроз.
0