Механизмы защиты информации являются достаточно специфичными и направленными на решение ограниченного круга задач безопасности. Поэтому необходимо сопоставить те свойства информации, которые предполагается обеспечивать в первую очередь, и возможные пути нарушения этих свойств. Результат такого сопоставления может быть представлен в виде таблицы А.4:
Таблица А.4 - Способы нанесения ущерба
| Способы нанесения ущерба
| Объекты воздействий
|
| Оборудование
| Программы
| Данные
| Персонал
|
| Раскрытие (утечка) информации
| Хищение носителей информации, подключение к линии связи, несанкционированное использование ресурсов
| Несанкциони-рованное копирование перехват
| Хищение, копирование,
перехват
| Передача сведений о защите, разглашение,
халатность
|
| Потеря целостности информации
| Подключение, модификация, спец. вложения, изменение режимов работы, несанкционированное использование ресурсов
| Внедрение “троянских коней” и “жучков”
| Искажение, модификация
| Вербовка персонала, “маскарад”
|
| Нарушение работоспособ-ности автоматизиро-ванной системы
| Изменение режимов функционирования, вывод из строя, хищение, разрушение
| Искажение, удаление, подмена
| Искажение, удаление, навязывание ложных данных
| Уход, физи-ческое устране-ние
|
| Незаконное тиражирование (воспроизве-дение) информации
| Изготовление аналогов без лицензий
| Использование незаконных копий
| Публикация без ведома авторов
|
|
Основу любой СЗИ составляет совокупность некоторых механизмов защиты информации, которые можно выделить на основе различных критериев. Обычно выделяют следующие механизмы (или организационные и технические меры безопасности):
- идентификацию и аутентификацию, обеспечение доверенной загрузки,
- управление доступом,
- криптографию,
- ограничение программной среды
- протоколирование и аудит,
- обеспечение целостности
- экранирование,
- защиту от вторжения;
- антивирусную защиту.
Выбор способа реализации механизмов защиты информации и решения задач защиты заключается в выборе типа средств, которые планируется использовать для решения каждого из механизмов (организационные; инженерно-технические (физические); программно-аппаратные; криптографические), и занесение их в Частную модель угроз ИСПДн (таблица А5).
Таблица А5.Частная модель угроз безопасности
информационной системы персональных данных
| Наименование угрозы
| Меры по противодействию угрозе
|
| Технические
| Организационные
|
| 1. Угрозы от утечки по техническим каналам
| |
| 1.1. Угрозы утечки акустической информации
| Виброгенераоры, генераторы шумов, звукоизоляция.
| Инструкция пользователя
|
| Технологический процесс
|
| 1.2. Угрозы утечки видовой информации
| Жалюзи на окна
| Пропускной режим
|
| Инструкция пользователя
|
| 1.3. Угрозы утечки информации по каналам ПЭМИН
| Генераторы пространственного зашумления
| Технологический процесс обработки
|
| Генератор шума по цепи электропитания
| Контур заземления
|
| 2. Угрозы несанкционированного доступа к информации
| |
| 2.1. Угрозы уничтожения, хищения аппаратных средств ИСПДн носителей информации путем физического доступа к элементам ИСПДн
| |
| 2.1.1. Кража ПЭВМ
| Охранная сигнализация
| Пропускной режим
|
| Решетки на окна
| Охрана
|
| Металлическая дверь
| Акт установки средств защиты
|
| Кодовый замок
|
|
| Шифрование данных
|
|
| 2.1.2. Кража носителей информации
| Охранная сигнализация
| Акт установки средств защиты
|
| Хранение в сейфе
| Учет носителей информации
|
| Шифрование данных
|
|
|
2.2. Угрозы хищения, несанкционированной модификации или блокирования информации за счет несанкционированного доступа (НСД) с применением программно-аппаратных и программных средств (в том числе программно-математических воздействий);
| |
| 2.2.1. Действия вредоносных программ (вирусов)
| Антивирусное ПО
| Инструкция пользователя Акт установки средств защиты
|
| 2.2.2. Недекларированные возможности системного ПО и ПО для обработки персональных данных
|
| Сертификация
|
| 2.2.3. Установка ПО не связанного с исполнением служебных обязанностей
| Настройка средств защиты
| Инструкция пользователя
|
| Инструкция ответственного
|
|
|
| 2.3. Угрозы непреднамеренных действий пользователей и нарушений безопасности функционирования ИСПДн в ее составе из-за сбоев в программном обеспечении, а также от угроз неантропогенного (сбоев аппаратуры из-за ненадежности элементов, сбоев электропитания) и стихийного (ударов молний, пожаров, наводнений и т.п.) характера.
| |
| 2.3.1. Утрата ключей и атрибутов доступа
|
| Инструкция пользователя
|
| Инструкция администратора безопасности
|
| 2.3.6. Стихийное бедствие
| Пожарная сигнализация
|
|
| 2.4. Угрозы преднамеренных действий внутренних нарушителей
| |
| 2.4.1. Доступ к информации, модификация, уничтожение лицами не допущенных к ее обработке
| Система защиты от НСД
| Акт установки средств защиты
|
| Разрешительная система допуска
|
| Технологический процесс обработки
|
|
|
| 2.4.2. Разглашение информации, модификация, уничтожение сотрудниками допущенными к ее обработке
|
| Договор о не разглашении
|
| Инструкция пользователя
|
| 2.5. Угрозы несанкционированного доступа по каналам связи
| |
| 2.5.1. Угроза «Анализ сетевого трафика» с перехватом передаваемой из ИСПДн и принимаемой из внешних сетей информации:
|
| |
| 2.5.1.1. Перехват за переделами с контролируемой зоны;
| Шифрование
| Технологический процесс
|
| ……….
|
|
|
| 2.5.9. Угрозы внедрения по сети вредоносных программ.
| Антивирусное ПО
| Технологический процесс
|
| Инструкция пользователя
|
