Субъекты и объекты воздействия угроз безопасности

Автор Itworkroom

Третья часть документа МОДЕЛЬ УГРОЗ БЕЗОПАСНОСТИ ИНФОРМАЦИИ Автоматизированной системы.

1. СУБЪЕКТЫ И ОБЪЕКТЫ ВОЗДЕЙСТВИЯ УГРОЗ

Для проведения оценки и определения состава потенциальных угроз безопасности информации, обрабатываемой в АС, необходимо идентифицировать все объекты данной системы, подлежащие защите (далее объекты защиты). Состав объектов защиты определяется на основе анализа субъектов и объектов АС, на которые могут воздействовать или в границах которых могут иметь место проявления потенциальными угроз.

К субъектам и объектам воздействия потенциальных угроз (субъекты и объекты воздействия угроз) относятся:

  • процессы функционирования АС;
  • оборудование, включая СВТ и компоненты, входящее в состав АС;
  • используемое программное обеспечение;
  • особые зоны (контролируемая территория, коммуникации, помещения);
  • субъекты воздействия угроз (персонал АС);
  • информационные ресурсы, как носители конфиденциальной информации и иной защищаемой информации, в том числе:
  • информации о состоянии процессов функционирования АС;
  • информации, обрабатываемая в АС в ходе выполнения персоналом своих функциональных обязанностей;
  • сведений о коммерческой деятельности;
  • технологической и управляющей информации (конфигурационные файлы, таблицы маршрутизации, настройки систем защиты и пр.);
  • аутентификационной информации (ключи, пароли, ключевая документация и т.д.);
  • специальное ПО, а также резервные копии (дистрибутивы) используемого системного и прикладного ПО, инструментальные средства (утилиты и т.п.) систем управления (администрирования), чувствительные по отношению к случайным и/или несанкционированным воздействиям;
  • информация о подсистемах и СЗИ, их структуре, принципах функционирования, используемых технических решениях и процедурах управления (администрирования);
  • информация, хранимая в файловых и иных электронных хранилищах о состоянии подсистем жизнеобеспечения и физической защиты, о событиях, произошедших в АС, а также о планах и регламентах обеспечения ее бесперебойной работы и восстановления в случае сбоев и отказов.

3.1. Процессы функционирования

3.1.1. Процессы прикладного уровня

Состав процессов прикладного уровня определяется процедурами обработки информации субъектами доступа с правами пользователей АС.

К ним относятся процессы:

  • создание ключей электронных подписей и запросов на сертификаты по заявкам пользователей Удостоверяющего центра ОАО «ИнфоТеКС Интернет Траст» (далее – Пользователи);
  • формирование ключевых документов, содержащих ключевую информацию сетевого узла  либо ключ электронной подписи и сертификат ключа проверки электронной подписи;
  • регистрация сформированного ключевого документа в реестре ключевых документов;
  • формирование документов на бумажных носителях, необходимых для документального сопровождения выдачи Пользователям ключевых документов и сертификатов ключей проверки электронных подписей;
  • выдача Пользователям ключевых документов и сертификатов ключей проверки электронных подписей, в том числе в форме документов на бумажных носителях;
  • формирование и передача пользователям копий дистрибутивов средств криптографической защиты информации.

3.1.2. Процессы организации (управления) обеспечением безопасности информации

Состав процессов управления обеспечением безопасностью информации определяется следующими видами деятельности:

  • управления персоналом, в части выполнения требований документов политики безопасности;
  • принятия (не принятия) мер, в том числе решений и постановки задач, касающихся процессов обеспечения безопасности информации;
  • регулярного выполнение процедур внутреннего и внешнего обследования процедур обеспечения безопасности защищаемых ресурсов АС;
  • оценки состояния защищенности АС (оценка эффективности принятых мер, оценка рисков, оценка соответствия требованиям политики безопасности, другие мероприятия по совершенствованию защиты информации);
  • регламентации и актуализация мер защиты в процедурах управления, обработки, передачи и защиты информации, в том числе в процедурах взаимодействия между пользователями, администраторами и руководителями, в частности по вопросам совершенствования используемых систем и средств защиты.

3.1.3. Процессы управления инфраструктурными компонентами

Состав процессов управления инфраструктурными компонентами АС определяется следующими видами деятельности:

  • в части эксплуатации программно-аппаратных средств АС: процессами:
  • администрирования программно-аппаратных комплексов (СВТ);
  • планирования и учета технических и программных средств;
  • организации и проведения обслуживания технических средств;
  • организации ремонта (гарантийного ремонта) технических средств, с целью восстановления их работоспособности и/или исправности;
  • обеспечения хранения технических и программных средств в установленных местах с применением специальных средств и методов защиты с целью их поддержания в постоянной готовности к применению;
  • организации списания технических и программных средств;
  • участия в разработке и ведение необходимой технической и эксплуатационной документации.
  • в части работ по сопровождению и технической поддержки: процессами:
  • контроля состояния (мониторинг) состояния подсистем АС;
  • анализа и устранения инцидентов безопасности;
  • восстановления АС в случае сбоев или отказов;
  • разработки и ведения отчетной документации;
  • организации и обеспечение доступа к ресурсам АС.
  • в части участия в создании, вводе в действие и модернизации АС: процессами:
  • сбора, обобщения и анализа информации о состоянии СВТ АС;
  • разработки предложений по улучшению эксплуатационных характеристик и повышению показателей качества функционирования АС;
  • определения технической политики в области совершенствования АС;
  • участия в работах по созданию (проектированию, поставке, монтажу и пуско-наладке, вводу в действие) СВТ (компонентов и технологий) АС;
  • участия в проведении модернизации АС;
  • проведения автономных и предварительных испытаний, опытной эксплуатации, приемочных испытаний и ввода в промышленную эксплуатацию СВТ АС в целом по результатам работ по модернизации.
  • в части выполнения мероприятий по обеспечению безопасности информации: процессами:
  • обеспечения безопасности информации, внутриобъектового и пропускного режимов при проведении работ по эксплуатации технических средств и программных продуктов;
  • обеспечения сохранности информации конфиденциальной информации (ограниченного доступа), а также выполнение комплекса мероприятий по реализации мер, направленных на защиту информации;
  • участия в реализации организационных мер по обеспечению безопасности и защиты информации.

3.1.4. Процессы управления каналами связи и передачи данных

Состав процессов управления каналами связи и передачи данных определяется следующими видами деятельности:

  • в части применения по назначению технических средств и программных продуктов, используемых в среде передачи данных, процессами:
  • организации ответственным за сопровождение и техническую поддержку защищенных каналов связи с внешними системами (информационно-телекоммуникационными сетями);
  • контроля состояния используемых технических средств и программных продуктов;
  • контроля качества предоставляемых сетевых сервисов;
  • контроля качества арендуемых каналов связи и взаимодействие с провайдерами телекоммуникационных услуг;
  • анализа и устранения нештатных ситуаций в процессах функционирования средств и систем телекоммуникации и связи;
  • подготовки и выдачи отчетных документов;
  • разработки и ведения установленной документации.
  • в части оперативно-технического управления СВТ (техническими средствами и программными продуктами), используемыми в АС, процессами:
  • разграничения прав и зон ответственности в процессе эксплуатации;
  • мониторинга состояния и управления параметрами СВТ;
  • управления ресурсами, производительностью и конфигурацией СВТ;
  • изменения конфигурации технических средств и программных продуктов с целью восстановления их работоспособности.
  • в части технической эксплуатации телекоммуникационного оборудования и каналов связи: процессами:
  • проведения систематического контроля и анализа текущего состояния, сбор, обработка и анализ статистических данных по эксплуатации, подготовки предложений по решению выявленных проблем, совершенствования, повышения надежности и развития систем (сетей), подсистем, технических средств и программных продуктов, используемых в АС для обеспечения передачи данных;
  • планирования и учет технических средств и программных продуктов;
  • организации и проведения опытной эксплуатации, приемочных испытаний и ввод в промышленную эксплуатацию технических средств и программных продуктов;
  • организации технического обслуживания в части согласования планов — графиков выполнения работ, допуска на объекты, сопровождения работ по техническому обслуживанию;
  • организации проведения планового и текущего ремонта технических средств и программных продуктов с целью восстановления их работоспособности;
  • организации и проведения освидетельствования технических средств и программных продуктов (при необходимости);
  • обеспечения хранения закрепленных технических средств в установленных местах с применением специальных средств и методов защиты с целью их поддержания в постоянной готовности к применению;
  • доработок технических средств и программных продуктов, с целью устранения обнаруженных в процессе эксплуатации ошибок и конструктивных недоработок, а также повышения надежности функционирования средств телекоммуникации и связи;
  • организация списания технических средств;
  • ведения технической и эксплуатационной документации.
  • в части обеспечения развития систем и средств телекоммуникации и связи: процессами:
  • сбора, обобщения и анализа данных о потребностях в ресурсах для обеспечения работы информационных и специальных СВТ, используемых в процессах передачи данных.
  • планирования развития (реконструкции, модернизации) закрепленных технических средств и программных продуктов с учетом перспективного оборудования, технологий и услуг современного рынка и потребностей АС;
  • подготовки и согласования исходных данных, заданий на проектирование и строительно-монтажные работы;
  • сопровождения проектных работ;
  • надзора за пуско-наладочными работами.

Отдельную категорию объектов воздействия угроз составляют применяемые в АС технические политики, политики обеспечения безопасности, а также стандарты протоколов информационного обмена, нарушение целостности, а в ряде случаев и конфиденциальности которых может привести к срывам в процессах функционирования АС.

3.2. Оборудование

Состав оборудования, используемого в АС, включает в себя следующие группы технических и аппаратных средств:

  • Компоненты среды передачи — оборудование структурированной кабельной система (СКС):
  • кабеля;
  • розетки;
  • кроссы, панели.
  • Сетевое оборудования:
  • коммутаторы;
  • маршрутизаторы (межсетевые экраны).
  • АРМ и рабочие станции:
  • АРМ пользователей.
  • Периферийные устройства ввода вывода программно-аппаратных платформ:
  • клавиатуры;
  • манипуляторы типа «мышь»;
  • мониторы.
  • Другие устройства и оборудование:
  • съемные накопители.
  • оборудование систем управления доступом в защищаемые помещения;
  • средства защиты физического доступа в помещения и к оборудованию;
  • оборудование систем и средств обеспечения бесперебойного питания.

3.3. Программное обеспечение

Программное обеспечение оборудования СВТ, входящего в состав АС, включает в себя:

  • Низкоуровневое ПО: в составе:
  • ПО устройств сопряжения, управления, обмена.
  • Системное ПО: в составе:
  • загрузчик операционной системы;
  • драйверы устройств;
  • ПО ядра операционной системы;
  • ПО программных кодеков;
  • ПО локальных и сетевых утилит, служб и сервисов.
  • Прикладное ПО: в составе:
  • пакет офисных приложений;
  • специализированное ПО.

3.4. Особые зоны

В границах АС имеют место следующие виды особых зон:

  • контролируемая территория, в границах которой расположена оборудование СВТ АС;
  • защищаемые помещения (особые зоны) с размещенными в ней СВТ, сетевым оборудованием, компонентами СКС (кроссы, кабели и т.д.), программными и программно-аппаратными СЗИ и СКЗИ;
  • хранилища (шкафы, сейфы) бумажных и съемных электронных носителей информации.

 

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *