- •Воронеж 2008
- •Воронеж 2008
- •Введение
- •1 Информационные системы персональных данных как объект обеспечения инфорационной безопасности
- •1.1 Специфика обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных
- •1.1.1 Состояние обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных
- •1.1.2 Цель и основные задачи обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных
- •1.1.3 Основные особенности информационных систем персональных данных как объектов обеспечения безопасности
- •1.1.4 Основные принципы обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных
- •1.2 Характеристика основных угроз безопасности персональных данных при их обработке в информационных системах персональных данных
- •1.3 Общая характеристика уязвимостей информационных систем персональных данных
- •1.3.1 Общая характеристика уязвимостей системного программного обеспечения
- •1.3.2 Общая характеристика уязвимостей прикладного программного обеспечения
- •1.4 Выводы по главе и постановка задачи оценки рисков в информационных системах персональных данных
- •2 Анализ рисков нарушения безопасности персональных данных при их обработке в информационных системах персональных данных на основе алгоритма нечеткого вывода
- •2.1 Общий порядок анализа информационных рисков
- •2.1.1 Характерные особенности анализа рисков в информационных системах персональных данных
- •2.1.2 Оценка вероятностей реализации угроз безопасности персональных данных при их обработке в информационных системах персональных данных
- •2.1.3 Особенности расчета ущерба при нарушении безопасности персональных данных при их обработке в информационных системах персональных данных
- •2.2 Оценка рисков нарушения безопасности персональных данных при их обработке в информационных системах персональных данных
- •2.2.1 Общая методика проведения оценки на основе механизма нечеткого вывода
- •2.2.2 Формирование функций принадлежности
- •2.2.3 Пример оценки
- •2.3 Выводы по главе
- •3.1 Общая характеристика процесса управления рисками
- •3.2 Качественные методики управления рисками
- •3.2.1 Методика cobra
- •3.2.2 Методика ra Software Tool
- •3.3 Количественные методики управления рисками
- •3.3.1 Метод cramm
- •3.3.2 Метод RiskWatch
- •3.3.3 Метод гриф
- •3.3.4 Метод octave
- •3.3.5 Метод mitre
- •3.4 Применение основных методов управления рисками на примере конкретной испДн
- •3.5 Выбор мер и средств защиты информации
- •3.5.1 Общие вопросы выбора мер и средств при проектировании систем защиты информации
- •3.5.2 Выбор мер и средств защиты информации при проектировании подсистемы контроля физического доступа к элементам испДн
- •3.5.3 Выбор мер и средств защиты информации от сетевых атак
- •3.5.4 Выбор мер и средств защиты информации от программно-математических воздействий
- •3.6 Выводы по главе
- •Заключение
- •Список использованных информационных источников
- •Приложение а (справочное) Описание аппарата теории нечетких множеств
- •Приложение б (обязательное) Результаты оценки риска для наиболее актуальных угроз безопасности пДн, обрабатываемых в испДн
- •394026 Воронеж, Московский просп., 14
1.3.2 Общая характеристика уязвимостей прикладного программного обеспечения
К прикладному программному обеспечению относятся прикладные программы общего пользования и специальные прикладные программы.
Прикладные программы общего пользования – текстовые и графические редакторы, медиа-программы (аудио- и видеопроигрыватели, программные средства приема телевизионных программ и т.п.), системы управления базами данных, программные платформы общего пользования для разработки программных продуктов (типа Delphi, Visual Basic), средства защиты информации общего пользования и т.п.
Специальные прикладные программы – это программы, которые разрабатываются в интересах решения конкретных прикладных задач в данной автоматизированной системе (в том числе программные средства защиты информации, разработанные для конкретной ИСПДн).
Уязвимости прикладного программного обеспечения могут представлять собой:
- функции и процедуры, относящиеся к разным прикладным программам и несовместимые между собой (не функционирующие в одной операционной среде) из-за конфликтов, связанных с распределением ресурсов системы;
- функции, процедуры, изменение определенным образом параметров которых позволяет использовать их для проникновения в операционную среду компьютера и использования штатных функций операционной системы, выполнения тех или иных деструктивных действий без обнаружения таких изменений операционной системой;
- фрагменты кода программ ("дыры", "люки"), введенные разработчиком, позволяющие обходить процедуры идентификации, аутентификации, проверки целостности и др., предусмотренные в операционной системе;
- отсутствие необходимых средств защиты (аутентификации, проверки целостности, проверки форматов сообщений, блокирования несанкционированно модифицированных функций и т.п.);
- ошибки в программах (в объявлении переменных, функций и процедур, в кодах программ), которые при определенных условиях (например, при выполнении логических переходов) приводят к сбоям, в том числе к сбоям функционирования средств и систем защиты информации, к возможности несанкционированного доступа к информации.
Данные об уязвимостях разрабатываемого и распространяемого на коммерческой основе прикладного программного обеспечения собираются, обобщаются и анализируются в базе данных CVE (см. предыдущий раздел).
1.4 Выводы по главе и постановка задачи оценки рисков в информационных системах персональных данных
В данной главе были рассмотрены информационные системы персональных данных в контексте обеспечения информационной безопасности, отмечены их основные особенности как объектов обеспечения безопасности. Также результатом данной главы является классификация угроз безопасности ПДн, обрабатываемых в ИСПДн. Подробно рассмотрены типовые уязвимости системного и прикладного программного обеспечения ИСПДн. Отмечены основные причины, влекущие возникновение уязвимостей.
Таким образом, в данной главе решены поставленные задачи определения состава угроз безопасности персональных данных, обрабатываемых в ИСПДн и формирования множества уязвимостей ИСПДн;
На основе результатов первой главы сформируем следующие задачи исследования:
Учитывая особенности ИСПДн, выбрать наиболее подходящую методику для анализа рисков информационной безопасности.
Разработать методику оценки вероятности и ущерба от реализации угроз информационной безопасности ПДн, обрабатываемых в ПДн.
Рассмотреть существующие методики и концепции управления рисками.
Проанализировать комплекс контрмер, направленных на минимизацию рисков информационной безопасности ИСПДн.