Москва
+7-929-527-81-33
Вологда
+7-921-234-45-78
Вопрос юристу онлайн Юридическая компания ЛЕГАС Вконтакте

Особенности формирования требований к эффективности защиты информации в информационных системах

  • Печать
Обновлено 16.06.2025 09:26

 

Сегодня в стране действуют более 80 нормативных правовых документов и более 40 государственных стандартов в области ТЗИ в ИС. 

Структура системы таких требований весьма обширна, поскольку они охватывают самые различные аспекты регулирования деятельности по защите информации, такие как формирование терминологии в предметной области, категорирование ИС и информационных ресурсов, построение систем защиты в функционирующих ИС и вновь создаваемых ИС в защищенном исполнении, создание программных и программно-аппаратных средств защиты и контроля защищенности информации в ИС и др. Охватить все эти аспекты в одной работе не представляется возможным, поэтому в данной монографии рассматривается только то, что касается требований к эффективности защиты информации в ИС.

Сегодня формирование требований по ТЗИ в ИС фактически не связывается с количественной оценкой эффективности защиты. При этом защита считается эффективной, если выполняются требования, установленные действующим нормативным правовым документом государственного регулятора или стандартами (международными или национальными), а неэффективной, - если эти требования не выполняются. Состав требований сформирован экспертно без каких-либо количественных обоснований достигаемой защищенности информации в ИС.

Несомненным достоинством такого подхода является простота и ясность процедуры формирования требований. Однако ему присущи весьма существенные недостатки, к основным из которых относятся:

наличие лишь опосредованной связи требований с оценками возможностей реализации угроз (по сути, угроза рассматривается как актуальная, если экспертно определено, что она реализуема в данной ИС и наносит значимый ущерб для обладателя информации);

отсутствие учета фактора времени при задании требований; отсутствие какого-либо обоснования при соотнесении классов защищенности ИС и классов защиты применяемых или подлежащих применению в ИС средств защиты информации;

неопределенности, возникающие при попытке применения новых мер и средств защиты в интересах парирования новых угроз безопасности информации, не известных при создании данного нормативного документа;

неопределенности, возникающие при настройках программных или программно-аппаратных средств и систем защиты30 (с указанными настройками, как правило, не связываются установленные требования по ТЗИ в ИС) и т.д.

К таким системам часто относят, например, распределенные по ИС системы антивирусной защиты, системы обнаружения вторжений, DLP-системы, SIEM-системы, SOC-системы ит.д. [].

В этих условиях несомненно важной является разработка количественных методов обоснования требований по ТЗИ в ИС и, в частности, требований к эффективности ТЗИ, которые учитывали бы возможности реализации угроз в конкретных ИС и уровень наносимого при этом ущерба. Такие требования сегодня можно и целесообразно разрабатывать с использованием теории рисков при анализе возможностей реализации угроз безопасности информации без применения и с применением мер и средств защиты. В этом случае требования должны формироваться путем установления предельных значений или требуемого значения показателя эффективности защиты, или предельно допустимого риска реализации рассматриваемой угрозы (совокупности угроз). Вместе с тем сегодня фактически отсутствует подход к определению как требуемого значения показателя эффективности, так и предельно допустимого риска реализации угроз.

Наиболее простой путь для определения предельных значений указанных параметров состоит в установлении их обладателем информации, возможно с градацией, например, по требуемым классам защищенности ИС. В этом есть резон, так как каждой ИС соответствует своя шкала ценностей обрабатываемой в ней информации для ее обладателя, существенно зависящая не только от того, какая информации, подлежащая защите, хранится и обрабатывается в ИС, какие имеют место объемы и сроки ее обработки и т.д., но и от потребностей и интересов самого обладателя. Это, с одной стороны, приводит к значительному упрощению процедуры обоснования, но, с другой стороны, обусловливает необходимость разработки состоятельных, обоснованных и проверенных на практике применительно к разным классам ИС рекомендаций по реализации указанной процедуры.

Значительно более перспективным является подход к формированию количественных требований к эффективности защиты информации и к предельно допустимому риску реализации угроз. Именно этот подход рассматривается далее.

Соответствующая структура системы количественных требований к эффективности защиты информации и к предельно допустимому риску реализации угроз приведена на рисунке 7.1.

Процедуры обоснования приведенной системы требований имеют определенные особенности, суть которых состоит в следующем.

1. Процедура обоснования требований является иерархической, осуществляемой «сверху-вниз», например, а) начиная с требований к эффективности ЗИ в течение всего жизненного цикла ИС и заканчивая этапом вывода ее из эксплуатации, б) начиная с требований к эффективности защиты информации в ИС в целом и заканчивая требованиями к эффективности защиты информации, содержащейся в системных файлах и файлах с пользовательской информацией и т.д.

Система требований к эффективности защиты информации в информационной системе Система требований к эффективности защиты информации в ИС Требование к эффективности защиты информации в ИС в целом по показателям снижения риска реапнзадни

Требование к эффективности защиты информации н структурных, подсетях : и і н ) но показателям снижения риска реализации.

Требованиях к эффективности защиты информации : к хостах ИС (сроках, рабочих станциях, коммуникативных элементах) но показателям снижения риска реализации совокупности угроз

Требование к эффективности защиты системной и пользовательской информации но показателям риска расширения совокупности угроз «Отказа в обслуживании»

Требование к эффективности защиты системной и пользовательской информации но показателям снижения риска реализации угроз утечки сведений.

Требования к предельно ' допустимой 1

Требования к предельно допустимому ущербу от каждой угрозы отказа в обслуживании і W угрозы утечки сведений, составляющей определенный вид тайныу і рот и у тетки делении, определенный т«л тайны і

Требования к эффективности средств защиты информации в интересах исключения возможности реализации угроз «Отказа в обслуживании»

Требования к эффективности средств защиты информации в интересах исключения утечки сведений, составляющих тог или иной вид тайны Требование к эффективности функционирования системы защиты информации в ИС

Необходимо отметить, что в данной монографии не рассматривается вопрос распределения требований к эффективности защиты информации по этапам жизненного цикла ИС, а только - формирование таких требований в пределах этапа эксплуатации ИС.

2. Должна быть обеспечена преемственность подхода к заданию требований по эффективности в части их дифференциации по классам защищенности ИС и средств вычислительной техники (СВТ) в их составе.

3. Формирование требований к эффективности защиты ИС и ее элементов от угроз «Отказа в обслуживании» (угроз вывода из строя, нарушения функционирования) связаны с определением предельно допустимых показателей возможности нарушения функционирования операционных систем хостов (серверов, рабочих станций), функционирования коммуникационных элементов ИС (маршрутизаторов, коммутаторов, концентраторов, повторителей и т.д.), что возможно сегодня путем, во- первых, воздействия на системные файлы, во-вторых, использования уязвимостей операционных систем и организации обмена сообщениями между хостами, в-третьих, использования специально сформированных вредоносных программ с соответствующими деструктивными функциями и т.д. Кроме того, рассматриваются вопросы формирования требований к эффективности защиты пользовательских прикладных программ и данных, без которых применение ИС оказывается невозможным. Сегодня фактически отсутствует подход к заданию требований к эффективности защиты функционирования ИС. В данной монографии излагается один из возможных подходов к формированию таких требований на основе использования теории риска.

4. Формирование требований к эффективности защиты от угроз утечки конфиденциальной информации (информации ограниченного доступа) в ИС и ее элементах обусловлено содержанием сведений, составляющих тот или иной вид тайны (государственной, служебной, коммерческой, профессиональной, личной) и персональные данные. При этом должен быть обеспечен дифференцированный подход к требованиям по эффективности защиты в зависимости от того, какие сведения защищаются от утечки. Кроме того, ущерб от утечки сведений, существенно зависит от того, к кому и в какие сроки попадут эти сведения, а также, насколько быстро они устаревают, что, как правило, неизвестно. Все это приводит к тому, что при формировании требований к эффективности ТЗИ чаще всего полагается, что любая утечка конфиденциальной информации приводит к недопустимому ущербу, а требования к эффективности ее защиты формируются только применительно к предельно допустимой возможности ее утечки (перехвата, копирования, несанкционированной передачи и т.д.).

 

 

 

 

 
Юридические услуги
Яндекс.Метрика
Представительство в суде и защита прав, досудебное урегулирование споров, медиация, абонентское сопровождение организаций, кадровое делопроизводство, трудовое право, восстановление на работе и выплата заработной платы, регистрация и ликвидация предприятий, земельные споры, споры связанные с недвижимостью, сопровождение сделок с недвижимостью, бесплатная юридическая консультация. Квалифицированный юрист Вологда. Квалифицированный адвокат Вологда. Квалифицированный юрист Москва. Квалифицированный адвокат Москва. Квалифицированный юрист Санкт-Петербург. Квалифицированный адвокат Санкт-Петербург. Суд по интеллектуальным правам. Европейский суд по правам человека. Апелляционная жалоба. Апелляционная жалоба в Московский городской суд. Апелляционная жалоба в Санкт-Петербургский городской суд. Санкт-Петербургский городской суд. Московский городской суд. Верховный суд. Кассационная жалоба. Кассационная жалоба в Верховный суд. Оценка перспектив обращения в Европейский суд по правам человека. Подготовка жалоб в Европейский суд по правам человека. ЕСПЧ. Оценка перспектив обращения в ЕСПЧ. Подготовка жалоб в ЕСПЧ. Жалоба ЕСПЧ. Жалоба в ЕСПЧ. Адвокат ЕСПЧ. Юрист ЕСПЧ. Адвокат Европейский суд по правам человека. Юрист Европейский суд по правам человека. Комитет ООН по правам человека. Подготовка жалоб в Комитет ООН по правам человека. Подготовка жалоб в Комитет ООН по правам человека. Оценка перспектив обращения в Комитет ООН по правам человека. Жалоба Комитет ООН по правам человека. Адвокат Комитет ООН по правам человека. Юрист Комитет ООН по правам человека. Арбитражный суд города Москвы. Арбитражный суд Московской области. Арбитражный суд города Санкт-Петербурга и Ленинградской области. Арбитражный суд Вологодской области. Девятый апелляционный арбитражный суд. Десятый апелляционный арбитражный суд. Тринадцатый апелляционный арбитражный суд. Четырнадцатый арбитражный апелляционный суд. Арбитражный суд Московского округа. Арбитражный суд Северо-Западного округа. Юрист Верховный Суд. Адвокат Верховный Суд. Юрист Верховный Суд Российской Федерации. Адвокат Верховный Суд Российской Федерации. Юрист Верховный Суд РФ. Адвокат Верховный Суд РФ. Юрист Вологодский областной суд. Адвокат Вологодский областной суд. Юрист Ленинградский областной суд. Адвокат Ленинградский областной суд. Юрист Сантк-Петербургский городской суд. Адвокат Санкт-Петербургский городской суд. Юрист Московский областной суд. Адвокат Московский областной суд. Юрист Московский городской суд. Адвокат Московский городской суд. Реновация Москва. Реновация в Москве. Юрист реновация Москва. Юрист реновация в Москве. Адвокат реновация Москва. Адвокат реновация в Москве.