Меню

Таблица возможность силы угрозы возможности организации

Таблица возможность силы угрозы возможности организации

Защита данных
на базе системы

П остроение систем защиты информации начинается с создания модели угроз. Для предприятий риски зависят от сферы деятельности и готовности информационной системы к отражению атак. Модель необходимо строить, с учетом результатов анализа угроз информационной безопасности и после классификации типов нарушителей.

Понятие и источники рисков

Под угрозой ИБ понимается совокупность условий и факторов, реализация которых приводит к ситуации, в которой информационная безопасность организации оказывается в зоне риска. Результатом реализации риска оказывается событие, наступление которого имеет экономические или иные неблагоприятные последствия для человека, организации или государства. Формат ущерба для информации может быть трояким – утечка, изменение или нарушение уровня доступности. Но последствия оказываются разнообразными – от техногенных аварий до потери средств с карточных счетов или разглашения компрометирующей информации.

В процессе анализа угроз информации необходимо оценить:

  • источник риска;
  • зону риска;
  • гипотетическую фигуру злоумышленника;
  • вероятность реализации риска;
  • степень ущерба от его реализации;
  • соотношение расходов, необходимых для минимизации риска, и убытка, причиняемого в случае его реализации.

Анализировать позиции можно качественными и количественными методами.

Источники

Традиционно основным источником угроз считаются международные или национальные хакерские группировки. Однако на практике ситуация иная, все чаще на первый план выходят криминальные группировки или иностранные технические разведки. Эксперты выделяют называют три группы источников:

  • антропогенные (внутренние и внешние);
  • техногенные;
  • стихийные.

Антропогенные источники угроз информационной безопасности – это граждане или организации, случайные или намеренные действия или бездействие которых приводят к реализации рисков ИБ, с ними можно связать до 95% инцидентов. По данным исследований, до 80 % утечек имеют внутреннее, инсайдерское, происхождение.

Если риски, инициируемые сотрудниками, прогнозируемы и могут быть устранены очевидными программными и техническими средствами, внешние источники непредсказуемы, к ним относятся:

  • хакеры;
  • конкуренты;
  • криминальные структуры;
  • недобросовестные поставщики и подрядчики;
  • консалтинговые, оценочные компании, иные бизнес-структуры, оказывающие услуги на аутсорсинге;
  • провайдеры облачных услуг, при этом атака хакеров на их инфраструктуру одновременно окажется атакой на клиентов;
  • проверяющие организации, ФНС и силовые структуры.

Чем более квалифицирован специалист и чем выше его позиция в табели о рангах организации, тем больше возможностей он имеет для причинения ущерба предприятию, на страницах СМИ часто появляются ситуации, когда топ-менеджер похищает доверенную ему информацию, как произошло в конфликте Google, чьи разработки беспилотных автомобилей были переданы Uber.

Техногенные угрозы сложнее спрогнозировать, но проще предотвратить. К ним относятся технические средства, внутренние и внешние.

К внутренним относятся:

  • несертифицированное и нелицензионное ПО;
  • лицензионное ПО, имеющее известные хакерам изъяны или незадекларированные возможности;
  • средства контроля за работоспособностью информационных сетей со слабыми возможностями мониторинга, отказ от своевременного и четкого реагирования на их сигналы;
  • некачественные средства наблюдения за помещениями и сотрудниками;
  • неисправное или некачественное оборудование.
  • каналы связи;
  • инженерно-технические сети;
  • провайдеры интернет-услуг и облачных технологий.

Чтобы нивелировать риски, связанные с техническими источниками угроз, следует обращать внимание на рекомендации ФСТЭК и ФСБ при выборе программных и технических средств.

Для контроля событий в программных и аппаратных источниках удобно использовать SIEM-систему. «СёрчИнформ SIEM» обрабатывает поток событий, выявляет угрозы и собирает результаты в едином интерфейсе, что ускоряет внутренние расследования.

Стихийные источники угроз наименее прогнозируемы, к ним относятся стихийные бедствия и иные форс-мажорные обстоятельства.

Зона риска

При анализе зоны риска нужно установить объект, на который направлена гипотетическая угроза. С технической точки зрения объектами становятся информация, оборудование, программы, каналы связи, системы управления и контроля.

Классическими «жертвами» злоумышленников становятся признаки доброкачественности информации:

  • конфиденциальность. Этот риск реализуется при неправомерном доступе к данным и их последующей утечке;
  • целостность. В результате реализации риска данные могут быть утрачены, модифицированы, искажены, и принимаемые на их основе решения, управленческие или технические, окажутся неверными;
  • доступность. Доступ к данным и услуге блокируется или утрачивается.

При определении сектора реализации угрозы требуется дополнительно оценить степень важности данных, их стоимость. Это позволит провести более точный анализ угроз информационной безопасности.

При анализе зон риска нужно также принимать во внимание:

  • объем текущей зоны контроля за информационной безопасностью и перспективы ее расширения в случае увеличения организации, появления новых предприятий или сфер деятельности;
  • особенности функционирования программно-технических средств и их совместимость, перспективы возникновения новых угроз, новых требований регуляторов, направлений развития рынка информационных технологий;
  • возникновение зон информационного периметра, вне защитных мер;
  • непредсказуемость точек атаки, их количество и рост;
  • особенности управления сложными, многообъектными сетями.

Факторы реализации риска изменчивы, поэтому их анализ должен происходить с установленной в компании регулярностью.

Классификация нарушителей

Провести анализ угроз информационной безопасности невозможно, если не опираться на понимание типов и роли нарушителей ИБ. В России существует две классификации нарушителей, они предложены регуляторами – ФСТЭК РФ и ФСБ. Объединение классификаций позволит создать оптимальную модель, учитывающую большинство рисков, и поможет разработать методику устранения большинства угроз. Если компания работает с криптографическими средствами, сертифицируемыми ФСБ РФ, ей придется учитывать в своей модели угроз характеристики нарушителя, предложенные этим ведомством. В большинстве случаев при защите персональных данных или коммерческой тайны, при анализе угроз конфиденциальности информации модель ФСТЭК окажется исчерпывающей.

Ведомство классифицирует нарушителей по их потенциалу (низкий, средний, высокий). Он влияет на набор возможностей, перечень используемых технических, программных и интеллектуальных средств.

Большинство угроз генерируется нарушителями с низким потенциалом. Они связаны с возможностью получения ресурсов для неправомерного доступа к информации только из общедоступных источников. Это инсайдеры и взломщики, использующие интернет-ресурсы, для мониторинга работоспособности системы, распространяющие вредоносные программы.

Нарушители со средним потенциалом способны проводить анализ кода прикладного программного обеспечения, кода сайта, самостоятельно находить в нем ошибки и уязвимости и использовать их для организации утечек. К этим группам ФСТЭК относит хакерские группировки, конкурентов, применяющих незаконные методы добычи информации, системных администраторов, компании, по заказу разрабатывающие программное обеспечение.

Высокий потенциал характеризуется способностью вносить «закладки» в программно-техническое обеспечение системы, организовывать научные исследования, направленные на сознательное создание уязвимостей, применять специальные средства проникновения в информационные сети для добычи информации.

Ведомство считает, что к категории нарушителей с высоким потенциалом могут относятся только иностранные разведки. Практика добавляет к ним еще и военные ведомства зарубежных стран, по чьему заказу иногда действуют хакеры.

ФСБ классифицирует нарушителей информационной безопасности по возможностям и степени нарастания угроз:

1. Атаки на данные могут проводиться только вне зоны криптозащиты.

2. Атаки организовываются без физического доступа к средствам вычислительной техники (СВТ), но в пределах зоны криптозащиты, например, при передаче данных по каналам связи.

3. Атаки реализуются при доступе к СВТ и в зоне работы криптозащиты.

4. Нарушители обладают перечисленными возможностями и могут прибегать к помощи экспертов, имеющих опыт в области анализа сигналов линейной передачи и ПЭМИН (побочных электромагнитных излучений и наводок).

5. Нарушители также могут привлечь специалистов, способных находить и использовать незадекларированные возможности (НДВ) прикладного ПО.

6. Злоумышленники работают с экспертами, способными находить и применять НДВ аппаратного и программного компонентов среды функционирования средств криптографической защиты.

Исходя из предполагаемого класса нарушителя, необходимо выбрать класс применяемых СКЗИ, они также классифицируются по уровню злоумышленников. При анализе угроз информационной безопасности и формировании модели угроз параметры ФСТЭК и ФСБ могут быть объединены.

В большинстве случаев компании не угрожают злоумышленники с высоким потенциалом по классификации ФСТЭК и из 4-6 групп по классификации ФСБ. Поэтому, анализ производится исходя из низкого или среднего потенциала инсайдеров или хакеров. Для государственных информационных систем уровень рисков окажется выше.

Иногда при анализе вероятности реализации угрозы требуется еще несколько категорий угроз конфиденциальности информации:

  • по степени воздействия на ИС. При реализации пассивных угроз архитектура и наполнение системы не меняются, при активных они частично уничтожаются или модифицируются;
  • по природе возникновения – естественные и искусственные. Первые крайне редки, вторые наиболее вероятны, при этом ущерб от реализации первых оказывается выше, часто проявляясь в полной гибели данных и оборудования. Такие угрозы при их вероятности, например, в сейсмоопасных районах создают необходимость постоянного резервного копирования;
  • непреднамеренные и преднамеренные.

Целесообразно опираться на статистику, показывающую вероятность реализации того или иного риска.

Анализ вероятности реализации угрозы и ущерба от ее возникновения

На первых этапах анализа используются качественные методы, исследование, сравнение, обращение к собранным экспертами данным позволит оценить реальные риски для бизнеса.

Количественные методы анализа помогут в ситуации, когда нужно определить:

  • какова вероятность возникновения угрозы того или иного типа;
  • какой ущерб может быть причинен компании, если риск окажется серьезным.

Для решения первой задачи потребуется статистика. В отчетах компаний, оказывающих информационные услуги, приводится квартальная или полугодовая статистика по тем рискам, которые наиболее часто реализовывались в истекшем периоде и прогнозируются на будущий. Часто такая статистика предоставляется по отраслям. В этих отчетах могут быть представлены цифры ущерба, причиненного экономике, отрасли или отдельному предприятию при реализации угрозы. Эти цифры далеко не всегда верны, многие компании утаивают реальные данные, опасаясь репутационных рисков. Но даже в усеченном виде открытые цифры помогут оценить реальный риск утечки данных.

Читайте также:  Сводная таблица шаг за шагом

В случае утраты доступности информации можно посчитать убытки или неполученную прибыль и понять, какая сумма может быть потеряна, если меры обеспечения информационной безопасности не будут приняты своевременно. Также анализ поможет понять, насколько экономически эффективно применять более сложные системы защиты,

При анализе угроз информационной безопасности, необходимо опираться на рекомендации регуляторов и реальную ситуацию в бизнесе или в государственной организации. Это сделает результат исследования релевантным и позволит избежать ненужных или незапланированных расходов. Бюджет, потраченный на анализ рисков, возвратится, позволив сократить расходы на оборудование или программы, которые не будут необходимыми в реальных условиях.

Проверить, все ли в порядке с защитой данных в компании, можно во время 30-дневного бесплатного теста «СёрчИнформ КИБ».

Источник



SWOT-анализ предприятия: что это такое и как его делать — методы проведения, примеры, выявление слабых сторон компании

Сегодня мы предлагаем рассмотреть, что это такое – SWOT-анализ, определение и способы проведения. Ведь каждый бизнес должен постоянно адаптироваться под меняющиеся условия рынка и тренды. Но, прежде чем меняться, стоит изучить свое предприятие и проанализировать некоторые важные стороны функционирования отделов. Без качественного составления плана и сбора данных не получится определиться, в каком направлении дальше двигаться и как обойтись без ненужного повышения затрат. С помощью комплекса маркетинговых действий можно принимать решения относительно будущего всей организации. Давайте изучим этот термин подробнее и научимся с ним работать.

swot анализ это

SWOT (СВОТ): что это такое, расшифровка аббревиатуры

Некоторые предприниматели предпочитают не заниматься проведением подобных исследований. Как результат – их компании часто оказываются в застое или начинают серьезно терять в выручке, потому что тот товар, который был на вершине спроса два года назад, теперь неинтересен покупателям. Рынок пресытился. Если руководитель такой фирмы потратил немного времени и изучил, что происходит в этот момент вокруг его предприятия, то не оказался бы на грани разорения.

Обычно все не так утрировано и не так быстро, но если не следить за переменами и не искать путей для развития, то организации будет тяжело удерживаться на плаву. Важно своевременно менять направление деятельности, вводить новые товары в ассортиментную матрицу, расширять группы или, наоборот, ликвидировать их.

В этом хорошо помогает СВОТ. Как расшифровывается SWOT-анализ фирмы, предприятия — это 4 направления, по первым буквам которых составили название квадрата:

  • S – сильные стороны, в которых компания может быть уверена;
  • W – слабые, которые следует исправлять и помнить о них;
  • O – возможности, их стоит развивать, чтобы увеличить прибыль;
  • T – угрозы, необходимо минимизировать их влияние или избавляться, если это доступно.

Чтобы его составить, потребуется несколько часов, а результатом можно будет пользоваться долгое время. Это минимум полгода, если не появится новых вводных, а потом придется проводить свежее исследование.

Детальный разбор

Можно провести простой анализ:

В каждой из ячеек расписываются соответствующие параметры фирмы, затем руководителю предстоит принимать решения относительно всех сторон: как усилить то, что уже есть, избавиться от опасностей и превратить слабости в силу.

Можно провести и более сложный его вид.

Уже на пересечении придется подумать над каждым вариантом развития событий, о том, как исправить угрожающий параметр или превратить его в силу фирмы.

Конечно, из того, что написано выше, сложно сразу приступить к созданию этого вида исследования. Поэтому предлагаем рассмотреть его более подробно.

Готовые решения для всех направлений

Магазины

Мобильность, точность и скорость пересчёта товара в торговом зале и на складе, позволят вам не потерять дни продаж во время проведения инвентаризации и при приёмке товара.

Склады

Ускорь работу сотрудников склада при помощи мобильной автоматизации. Навсегда устраните ошибки при приёмке, отгрузке, инвентаризации и перемещении товара.

Маркировка

Обязательная маркировка товаров — это возможность для каждой организации на 100% исключить приёмку на свой склад контрафактного товара и отследить цепочку поставок от производителя.

E-commerce

Скорость, точность приёмки и отгрузки товаров на складе — краеугольный камень в E-commerce бизнесе. Начни использовать современные, более эффективные мобильные инструменты.

Учреждения

Повысь точность учета имущества организации, уровень контроля сохранности и перемещения каждой единицы. Мобильный учет снизит вероятность краж и естественных потерь.

Производство

Повысь эффективность деятельности производственного предприятия за счет внедрения мобильной автоматизации для учёта товарно-материальных ценностей.

ЕГАИС

Исключи ошибки сопоставления и считывания акцизных марок алкогольной продукции при помощи мобильных инструментов учёта.

RFID

Первое в России готовое решение для учёта товара по RFID-меткам на каждом из этапов цепочки поставок.

Сертификация

Получение сертифицированного статуса партнёра «Клеверенс» позволит вашей компании выйти на новый уровень решения задач на предприятиях ваших клиентов..

Инвентаризация

Используй современные мобильные инструменты для проведения инвентаризации товара. Повысь скорость и точность бизнес-процесса.

Другое

Используй современные мобильные инструменты в учете товара и основных средств на вашем предприятии. Полностью откажитесь от учета «на бумаге».

4 кита СВОТ-анализа

Как мы уже говорили выше, здесь задействованы 4 основных направления, в отношении которых следует исследовать любой бизнес.

S – strengths или сильные стороны

Это факторы, которые положительно сказываются на развитии фирмы. Сюда обычно включают все, что превращает функционирование в успешную и конкурентную работу. Это все преимущества и достоинства.

  • известный бренд;
  • репутацию;
  • ассортимент;
  • высокое качество товаров;
  • удобство расположения офиса или магазина;
  • клиентов, широкую базу;
  • отлично продуманную и действующую систему бонусов;
  • уровень сервиса и обслуживания посетителей;
  • профессиональный персонал.

Это только часть пунктов, которые можно считать в этой группе. Стоит подумать и включить все, что делает привлекательным организацию в глазах покупателей.

свот анализ это

W – weaknesses отрицательные качества

По аналогии – это минусы внутренней среды, которые тормозят развитие, сдерживают экономический рост и негативно влияют на репутацию компании. Обычно это внутренние факторы.

При SWOT-анализе слабыми сторонами предприятия считают:

  • завышенные цены;
  • отсутствие бюджета для маркетинговых действий;
  • текучка кадров;
  • низкая или слишком высокая зарплата персонала;
  • условия труда не соответствуют требованиям по должностной инструкции;
  • организации плохо представлена на рынке;
  • управляющие не разбираются в своей работе;
  • отдел продаж не справляется с задачами;
  • плохая или испорченная репутация;
  • низкое или сомнительное качество продукции;
  • минимальный ассортимент (не для всех).

Таких негативных точек может быть намного больше, все зависит от сферы, в которой функционирует фирма. Например, если нет своего автопарка, то доставка будет медленной. Но если это компания, которая торгует созданием сайтов, то им грузовые машины не требуются и минусом это не будет.

O – opportunities области развития или возможности

Факторы из внешней среды, которые при правильном использовании раскроют потенциал организации. Это нюансы, о которых руководителям надо знать, но пока не показывать конкурентам. Все это подготавливается в течение длительного времени, а потом уже используется.

Что сюда входит:

  • вероятность работы за рубежом – выходы на неисследованные, зарубежные, рынки, есть все необходимое для этого;
  • открытие свежего направления – захват новых ниш, быстрое расширение;
  • конкурент оставил нишу, вышел из нее – можно воспользоваться этим и разработать продукт;
  • рассмотрение ранее незадействованных поставщиков, заключение выгодных контрактов;
  • появление партнеров и делегирование отдельных задач им;
  • внедрение новейших технологий – ускорение и удешевление производства, введение оборудования, автоматизации некоторых процессов;
  • использование налоговых льгот – снижение обременений, высвобождение части капитала для развития предприятия.

T – threats опасности и угрозы

Здесь рассматривают отрицательные факторы внешней среды фирмы. Этот блок должен отражать все риски, которые будут осложнять деятельность компании, тормозить ее и снижать выручку.

Что относится к этой части:

  • конкуренция в цене – новый участник демпингует или предлагает товары по компромиссной стоимости;
  • сложности с поставщиками – не предоставляют нужную продукцию или делают это несвоевременно;
  • сырье растет в себестоимости;
  • серьезная зависимость от грузоперевозчиков – задерживают доставку, создают дополнительные затраты;
  • национальная валюта становится слабее (если расчеты производятся в других деньгах);
  • форс-мажорные обстоятельства – пожары, наводнения, смерчи и так далее.

Последний пункт из списка следует изучать перед тем, как возводить здание предприятия. Желательно выбрать место без повышенной опасности возникновения нестандартных ситуаций. Это делается для каждого нового здания.

Как провести SWOT-анализ: методика и кому пригодится

Это исследование, которое пригодится абсолютно любому бизнесу, независимо от его разновидности или размера. Он поможет новичку разобраться, чего опасаться, а что стоит выдвинуть на первый план. Даже серьезному игроку на рынке следует изучать свою фирму изнутри и снаружи хотя бы раз в полгода, чтобы вовремя менять тактику и стратегию.

Если в процессе оценки вы заметили недочеты в системе ведения своего дела, мы советуем обратиться в «Клеверенс». Наши сотрудники помогут решить проблемы с правильным учетом и его организацией, найдут оборудование или ПО, которое автоматизирует часть бизнеса. Это поможет ускориться, увеличить прибыль и минимизировать одну из угроз.

Разновидности SWOT-анализа

Есть 3 основных метода:

  • экспресс – первый, который мы рассматривали, с простым изучением 4-х факторов, в результате получаются наглядные характеристики;
  • сводный – использует основные показатели деятельности организации в составлении, в итоге — более точные количественные и качественные значения, которые можно применять в стратегических целях;
  • смешанный – здесь используются особенности первых двух вариантов, задействуется алгоритм, по которому проводится минимум 3 исследования.

что такое swot анализ

Преимущества

Когда мы уже разобрались, как переводится и составляется СВОТ-анализ возможностей фирмы или компании, советуем обратить внимание на положительные стороны.

Универсальность

Вне зависимости от доли рынка, на котором функционирует организация, можно применить этот метод. Он подходит для онлайн- и офлайн-магазинов, предприятий разного размера, производств и оптовых перекупщиков.

Простота

Его нетрудно сделать, если потратить несколько часов на выписывание пунктов в каждый блок. Заняться этим может менеджер или управляющий. Здесь нет сложных математических вычислений или длинных расчетов. Достаточно знать о реальной картине положения дел.

Комплексный подход

Решения, которые можно с его помощью принять, будут полными. Распределять их по отделам и ставить задачи конкретным людям будет уже руководящее лицо. Аналитика помогает понять внутренние и внешние факторы, а не судить о состоянии предприятия однобоко.

Недостатки

Конечно, как и у других методов, у этого есть свои отрицательные стороны. Но их немного. Поэтому, если работать в комплексе с ABC или XYZ, то эффект будет заметным.

Субъективность

Нет такого набора параметров, которые точно надо изучить. Поэтому каждый раз приходится полагаться на мнение аналитиков, а оно всегда будет субъективным.

Размытость результатов

Не будет такого итога, в котором появится четкий путь, что нужно сделать и как это правильно выполнить. Никаких количественных значений, только общее представление о том, как следует действовать. Нельзя четко разметить, какой фактор влияет больше, а что только способствует развитию.

Как использовать анализ

Сначала требуется четко распределить для себя цели, которые преследует фирма. Это необходимо, чтобы проводить все остальные исследования. Учитывать следует только действительно значимые параметры, минимальные отличия от конкурентов можно не включать в отчет.

5 правил эффективного SWOT

1. Выполнять проверку по каждому сегменту, продукту, отделу для получения более объективной картины.

2. Не путать возможности с преимуществами, как и не смешивать угрозы с отрицательными сторонами.

3. Смотреть на ситуацию с точки зрения покупателя, проводить анкетирование клиентов.

4. Проставлять исключительно точные формулировки.

5. Для каждого фактора советуем искать пути исправления или укрепления.

Источник

Как определить уровень защищенности информационных систем

Верное определение уровня защищенности персональных данных важно для принятия адекватных мер защиты. Если уровень завышен — деньги потрачены зря. Учреждения здравоохранения используют множество информационных систем персональных данных, поэтому рассмотрим параметры определения уровня защищенности на примере медиков.

Правительство Российской Федерации устанавливает перечень мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом от 27.07.2006 N 152-ФЗ «О персональных данных».

На данный момент требования к защите персональных данных при их обработке в информационных системах установлены постановлением Правительства РФ от 01.11.2012 N 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных». Постановление пришло на смену утратившему силу постановлению Правительства РФ от 17.11.2007 N 781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных» и приказу ФСТЭК России, ФСБ России и Мининформсвязи России от 13 февраля 2008 г. N 55/86/20, который утверждал порядок классификации ИСПДн.

Таким образом, сейчас перечень обязательных организационных и технических мер по обеспечению безопасности персональных данных определяется в соответствии с установленным для информационной системы уровнем защищенности персональных данных.

В свою очередь уровни защищенности персональных данных при их обработке в информационных системах определяются исходя из следующих условий:

1) категория субъектов персональных данных, чьи персональные данные обрабатываются в информационной системе: сотрудники или иные лица;

2) количество субъектов персональных данных, чьи персональные данные обрабатываются в информационной системе: до 100 000 или более 100 000;

3) категория персональных данных, обрабатываемых в информационной системе:

  • специальные,
  • биометрические,
  • общедоступные,
  • иные;

4) тип актуальных угроз безопасности персональных данных:

  • актуальны угрозы, связанные с наличием недокументированных возможностей в системном программном обеспечении;
  • актуальны угрозы, связанные с наличием недокументированных возможностей в прикладном программном обеспечении;
  • актуальны угрозы, не связанные с наличием недокументированных возможностей в системном и прикладном программном обеспечении.

Чем выше определен уровень защищенности персональных данных, тем больше мер по обеспечению безопасности персональных данных требуется выполнить. Если по ошибке определить более высокий уровень защищенности, то, соответственно, придется строить более дорогую систему защиты персональных данных. Рассмотрим типовые варианты информационных систем, которые используются в большинстве медицинских учреждений.

Защита типовой системы: скромно и со вкусом

Организация защиты информации в медицинском учреждении строится на общих принципах защиты ИСПДн. Например, практически в любом учреждении здравоохранения установлена типовая информационная система персональных данных для учета кадров и расчета зарплаты.

Субъекты обработки персональных данных в этом случае — сотрудники организации, а цель обработки ПДн — обеспечение соблюдения в отношении сотрудника законодательства Российской Федерации в сфере трудовых и непосредственно связанных с ними отношений. В такой информационной системе не ведется обработка биометрических или специальных категорий персональных данных, а значит, определение уровня защищенности будет зависеть от актуальных угроз безопасности персональных данных, определенных для данной информационной системы. В большинстве случаев для подобного рода информационных систем актуальны угрозы, не связанные с наличием недокументированных (недекларированных) возможностей в системном и прикладном программном обеспечении, а следовательно, в информационной системе необходимо будет обеспечить четвертый уровень защищенности персональных данных, т. е. потребуется выполнение минимального перечня организационных и технических мер.

ИС федерального масштаба: все, как у людей

Федеральный регистр медицинских работников (ФРМР) — система, предназначенная для сбора, хранения и обработки данных учета медицинского персонала субъектов Российской Федерации, а также для контроля распределения и перемещений медперсонала. Как и в описанной выше информационной системе, в ФРМР не ведется обработка биометрических или специальных категорий персональных данных, и при схожих характеристиках в ФРМР требуется обеспечить такой же уровень защищенности.

Несмотря на то что категория субъектов ПДн и обрабатываемые данные в обеих системах практически аналогичны, объединять их в одну ИС все же не стоит, поскольку цели обработки ПДн в первом случае — это исполнение требований трудового законодательства, а во втором — требований Министерства здравоохранения и социального развития Российской Федерации.

Медицинские информационные системы: зона особого внимания

С помощью медицинских информационных систем сотрудники медицинских организаций решают целый ряд задач:

  • ведут электронные амбулаторные карты, электронную регистратуру;
  • обрабатывают данные медицинских исследований в цифровой форме;
  • собирают и хранят данные мониторинга состояния пациента с медицинских приборов;
  • используют как средство общения между сотрудниками;
  • анализируют финансовую и административную информацию.

При определении уровня защиты для медицинских информационных систем следует принимать во внимание ряд факторов:

  • в МИС обрабатываются ПДн специальной категории (состояние здоровья, диагнозы, данные с медицинских приборов и т. д.);
  • субъекты ПДн не являются сотрудниками организации, и их количество может варьироваться.

В зависимости от количества обрабатываемых субъектов персональных данных и типа актуальных угроз безопасности в МИС требуется обеспечить второй или третий уровень защищенности персональных данных.

Прочие информационные системы в сфере здравоохранения

В зависимости от инфраструктуры и задач учреждения в организации могут функционировать и иные ИС. Для них действует точно такой же алгоритм определения требуемого уровня защищенности ПДн, что и для систем, речь о которых шла выше.

Если субъекты и цель обработки ПДн в нескольких информационных системах совпадают, то их можно объединить и выстроить для них единую систему защиты персональных данных.

В заключение напомним, что уровень защищенности персональных данных в информационных системах определяется оператором персональных данных самостоятельно, а следовательно, и выбор организационных и технических мер по защите персональных данных лежит на плечах оператора. Однако не стоит забывать, что завышение уровня защищенности приведет к увеличению стоимости системы защиты персональных данных, а занижение уровня защищенности персональных данных является нарушением. Дабы не ломать себе голову вопросом «а правильно ли я классифицировал ИС?», доверьтесь профессионалам.

Источник

Анализ угроз информационной безопасности

Защита данных
на базе системы

П остроение систем защиты информации начинается с создания модели угроз. Для предприятий риски зависят от сферы деятельности и готовности информационной системы к отражению атак. Модель необходимо строить, с учетом результатов анализа угроз информационной безопасности и после классификации типов нарушителей.

Понятие и источники рисков

Под угрозой ИБ понимается совокупность условий и факторов, реализация которых приводит к ситуации, в которой информационная безопасность организации оказывается в зоне риска. Результатом реализации риска оказывается событие, наступление которого имеет экономические или иные неблагоприятные последствия для человека, организации или государства. Формат ущерба для информации может быть трояким – утечка, изменение или нарушение уровня доступности. Но последствия оказываются разнообразными – от техногенных аварий до потери средств с карточных счетов или разглашения компрометирующей информации.

В процессе анализа угроз информации необходимо оценить:

  • источник риска;
  • зону риска;
  • гипотетическую фигуру злоумышленника;
  • вероятность реализации риска;
  • степень ущерба от его реализации;
  • соотношение расходов, необходимых для минимизации риска, и убытка, причиняемого в случае его реализации.

Анализировать позиции можно качественными и количественными методами.

Источники

Традиционно основным источником угроз считаются международные или национальные хакерские группировки. Однако на практике ситуация иная, все чаще на первый план выходят криминальные группировки или иностранные технические разведки. Эксперты выделяют называют три группы источников:

  • антропогенные (внутренние и внешние);
  • техногенные;
  • стихийные.

Антропогенные источники угроз информационной безопасности – это граждане или организации, случайные или намеренные действия или бездействие которых приводят к реализации рисков ИБ, с ними можно связать до 95% инцидентов. По данным исследований, до 80 % утечек имеют внутреннее, инсайдерское, происхождение.

Если риски, инициируемые сотрудниками, прогнозируемы и могут быть устранены очевидными программными и техническими средствами, внешние источники непредсказуемы, к ним относятся:

  • хакеры;
  • конкуренты;
  • криминальные структуры;
  • недобросовестные поставщики и подрядчики;
  • консалтинговые, оценочные компании, иные бизнес-структуры, оказывающие услуги на аутсорсинге;
  • провайдеры облачных услуг, при этом атака хакеров на их инфраструктуру одновременно окажется атакой на клиентов;
  • проверяющие организации, ФНС и силовые структуры.

Чем более квалифицирован специалист и чем выше его позиция в табели о рангах организации, тем больше возможностей он имеет для причинения ущерба предприятию, на страницах СМИ часто появляются ситуации, когда топ-менеджер похищает доверенную ему информацию, как произошло в конфликте Google, чьи разработки беспилотных автомобилей были переданы Uber.

Техногенные угрозы сложнее спрогнозировать, но проще предотвратить. К ним относятся технические средства, внутренние и внешние.

К внутренним относятся:

  • несертифицированное и нелицензионное ПО;
  • лицензионное ПО, имеющее известные хакерам изъяны или незадекларированные возможности;
  • средства контроля за работоспособностью информационных сетей со слабыми возможностями мониторинга, отказ от своевременного и четкого реагирования на их сигналы;
  • некачественные средства наблюдения за помещениями и сотрудниками;
  • неисправное или некачественное оборудование.
  • каналы связи;
  • инженерно-технические сети;
  • провайдеры интернет-услуг и облачных технологий.

Чтобы нивелировать риски, связанные с техническими источниками угроз, следует обращать внимание на рекомендации ФСТЭК и ФСБ при выборе программных и технических средств.

Для контроля событий в программных и аппаратных источниках удобно использовать SIEM-систему. «СёрчИнформ SIEM» обрабатывает поток событий, выявляет угрозы и собирает результаты в едином интерфейсе, что ускоряет внутренние расследования.

Стихийные источники угроз наименее прогнозируемы, к ним относятся стихийные бедствия и иные форс-мажорные обстоятельства.

Зона риска

При анализе зоны риска нужно установить объект, на который направлена гипотетическая угроза. С технической точки зрения объектами становятся информация, оборудование, программы, каналы связи, системы управления и контроля.

Классическими «жертвами» злоумышленников становятся признаки доброкачественности информации:

  • конфиденциальность. Этот риск реализуется при неправомерном доступе к данным и их последующей утечке;
  • целостность. В результате реализации риска данные могут быть утрачены, модифицированы, искажены, и принимаемые на их основе решения, управленческие или технические, окажутся неверными;
  • доступность. Доступ к данным и услуге блокируется или утрачивается.

При определении сектора реализации угрозы требуется дополнительно оценить степень важности данных, их стоимость. Это позволит провести более точный анализ угроз информационной безопасности.

При анализе зон риска нужно также принимать во внимание:

  • объем текущей зоны контроля за информационной безопасностью и перспективы ее расширения в случае увеличения организации, появления новых предприятий или сфер деятельности;
  • особенности функционирования программно-технических средств и их совместимость, перспективы возникновения новых угроз, новых требований регуляторов, направлений развития рынка информационных технологий;
  • возникновение зон информационного периметра, вне защитных мер;
  • непредсказуемость точек атаки, их количество и рост;
  • особенности управления сложными, многообъектными сетями.

Факторы реализации риска изменчивы, поэтому их анализ должен происходить с установленной в компании регулярностью.

Классификация нарушителей

Провести анализ угроз информационной безопасности невозможно, если не опираться на понимание типов и роли нарушителей ИБ. В России существует две классификации нарушителей, они предложены регуляторами – ФСТЭК РФ и ФСБ. Объединение классификаций позволит создать оптимальную модель, учитывающую большинство рисков, и поможет разработать методику устранения большинства угроз. Если компания работает с криптографическими средствами, сертифицируемыми ФСБ РФ, ей придется учитывать в своей модели угроз характеристики нарушителя, предложенные этим ведомством. В большинстве случаев при защите персональных данных или коммерческой тайны, при анализе угроз конфиденциальности информации модель ФСТЭК окажется исчерпывающей.

Ведомство классифицирует нарушителей по их потенциалу (низкий, средний, высокий). Он влияет на набор возможностей, перечень используемых технических, программных и интеллектуальных средств.

Большинство угроз генерируется нарушителями с низким потенциалом. Они связаны с возможностью получения ресурсов для неправомерного доступа к информации только из общедоступных источников. Это инсайдеры и взломщики, использующие интернет-ресурсы, для мониторинга работоспособности системы, распространяющие вредоносные программы.

Нарушители со средним потенциалом способны проводить анализ кода прикладного программного обеспечения, кода сайта, самостоятельно находить в нем ошибки и уязвимости и использовать их для организации утечек. К этим группам ФСТЭК относит хакерские группировки, конкурентов, применяющих незаконные методы добычи информации, системных администраторов, компании, по заказу разрабатывающие программное обеспечение.

Высокий потенциал характеризуется способностью вносить «закладки» в программно-техническое обеспечение системы, организовывать научные исследования, направленные на сознательное создание уязвимостей, применять специальные средства проникновения в информационные сети для добычи информации.

Ведомство считает, что к категории нарушителей с высоким потенциалом могут относятся только иностранные разведки. Практика добавляет к ним еще и военные ведомства зарубежных стран, по чьему заказу иногда действуют хакеры.

ФСБ классифицирует нарушителей информационной безопасности по возможностям и степени нарастания угроз:

1. Атаки на данные могут проводиться только вне зоны криптозащиты.

2. Атаки организовываются без физического доступа к средствам вычислительной техники (СВТ), но в пределах зоны криптозащиты, например, при передаче данных по каналам связи.

3. Атаки реализуются при доступе к СВТ и в зоне работы криптозащиты.

4. Нарушители обладают перечисленными возможностями и могут прибегать к помощи экспертов, имеющих опыт в области анализа сигналов линейной передачи и ПЭМИН (побочных электромагнитных излучений и наводок).

5. Нарушители также могут привлечь специалистов, способных находить и использовать незадекларированные возможности (НДВ) прикладного ПО.

6. Злоумышленники работают с экспертами, способными находить и применять НДВ аппаратного и программного компонентов среды функционирования средств криптографической защиты.

Исходя из предполагаемого класса нарушителя, необходимо выбрать класс применяемых СКЗИ, они также классифицируются по уровню злоумышленников. При анализе угроз информационной безопасности и формировании модели угроз параметры ФСТЭК и ФСБ могут быть объединены.

В большинстве случаев компании не угрожают злоумышленники с высоким потенциалом по классификации ФСТЭК и из 4-6 групп по классификации ФСБ. Поэтому, анализ производится исходя из низкого или среднего потенциала инсайдеров или хакеров. Для государственных информационных систем уровень рисков окажется выше.

Иногда при анализе вероятности реализации угрозы требуется еще несколько категорий угроз конфиденциальности информации:

  • по степени воздействия на ИС. При реализации пассивных угроз архитектура и наполнение системы не меняются, при активных они частично уничтожаются или модифицируются;
  • по природе возникновения – естественные и искусственные. Первые крайне редки, вторые наиболее вероятны, при этом ущерб от реализации первых оказывается выше, часто проявляясь в полной гибели данных и оборудования. Такие угрозы при их вероятности, например, в сейсмоопасных районах создают необходимость постоянного резервного копирования;
  • непреднамеренные и преднамеренные.

Целесообразно опираться на статистику, показывающую вероятность реализации того или иного риска.

Анализ вероятности реализации угрозы и ущерба от ее возникновения

На первых этапах анализа используются качественные методы, исследование, сравнение, обращение к собранным экспертами данным позволит оценить реальные риски для бизнеса.

Количественные методы анализа помогут в ситуации, когда нужно определить:

  • какова вероятность возникновения угрозы того или иного типа;
  • какой ущерб может быть причинен компании, если риск окажется серьезным.

Для решения первой задачи потребуется статистика. В отчетах компаний, оказывающих информационные услуги, приводится квартальная или полугодовая статистика по тем рискам, которые наиболее часто реализовывались в истекшем периоде и прогнозируются на будущий. Часто такая статистика предоставляется по отраслям. В этих отчетах могут быть представлены цифры ущерба, причиненного экономике, отрасли или отдельному предприятию при реализации угрозы. Эти цифры далеко не всегда верны, многие компании утаивают реальные данные, опасаясь репутационных рисков. Но даже в усеченном виде открытые цифры помогут оценить реальный риск утечки данных.

В случае утраты доступности информации можно посчитать убытки или неполученную прибыль и понять, какая сумма может быть потеряна, если меры обеспечения информационной безопасности не будут приняты своевременно. Также анализ поможет понять, насколько экономически эффективно применять более сложные системы защиты,

При анализе угроз информационной безопасности, необходимо опираться на рекомендации регуляторов и реальную ситуацию в бизнесе или в государственной организации. Это сделает результат исследования релевантным и позволит избежать ненужных или незапланированных расходов. Бюджет, потраченный на анализ рисков, возвратится, позволив сократить расходы на оборудование или программы, которые не будут необходимыми в реальных условиях.

Проверить, все ли в порядке с защитой данных в компании, можно во время 30-дневного бесплатного теста «СёрчИнформ КИБ».

Источник

Adblock
detector