46. Определение угроз безопасности информации в информационной системе.

Угрозы безопасности информации (УБИ) определяются по результатам оценки возможностей (потенциала, оснащенности и мотивации) внешних и внутренних нарушителей, анализа возможных уязвимостей информационной системы, возможных способов реализации угроз безопасности информации и последствий от нарушения свойств безопасности информации.

При определении угроз безопасности информации учитываются структурно-функциональные характеристики информационной системы, применяемые информационные технологии и особенности функционирования.

Эффективность принимаемых мер защиты зависит от качества определения угроз безопасности информации для конкретной информационной системы в конкретных условиях функционирования.

47. Выбор мер защиты информации.

Меры защиты информации реализуются в рамках системы защиты информации в зависимости от класса защищенности, угроз безопасности информации, применяемых информационных технологий и особенностей функционирования.

Подлежат реализации следующие меры защиты информации:

• идентификация и аутентификация субъектов и объектов доступа;

• управление доступом субъектов доступа к объектам доступа;

• ограничение программной среды;

• защита машинных носителей информации;

• регистрация событий безопасности;

• антивирусная защита;

• обнаружение вторжений;

• контроль защищенности информации;

• обеспечение целостности информационной системы и информации;

• обеспечение доступности информации;

• защита среды виртуализации;

• защита технических средств;

• защита информационной системы, ее средств и систем связи.

Меры защиты информации, выбираемые для реализации в информационной системе, должны обеспечивать блокирование одной или нескольких угроз безопасности информации, включенных в модель угроз безопасности информации.

Выбор мер защиты информации включает:

• определение базового набора мер защиты информации для установленного класса защищенности информационной системы;

• адаптацию базового набора мер защиты информации применительно к структурно-функциональным характеристикам информационной системы, информационным технологиям, особенностям функционирования информационной системы;

• уточнение адаптированного базового набора мер защиты информации с учетом не выбранных ранее мер защиты для блокирования всех угроз безопасности информации, включенных в модель угроз безопасности информации;

• дополнение уточненного адаптированного базового набора мер защиты информации мерами, обеспечивающими выполнение требований о защите информации, установленными иными нормативными правовыми актами в области защиты информации, в том числе в области защиты персональных данных.

48. Определение базового набора мер защиты информации, его адаптация и уточнение.

Определение базового набора мер защиты информации для установленного класса защищенности информационной системы является первым шагом в выборе мер защиты информации, подлежащих реализации в информационной системе. Определение базового набора мер защиты информации основывается на классе защищенности информационной системы, в качестве начального выбирается один из четырех базовых наборов мер защиты информации, соответствующий установленному классу защищенности.

Базовый набор мер защиты информации, выбранный в соответствии с классом защищенности информационной системы, подлежит адаптации применительно к структурно-функциональным характеристикам и особенностям функционирования информационной системы, уточнению в зависимости от угроз безопасности информации и при необходимости дополнению мерами защиты информации, включенными в иные нормативные правовые акты, нормативные и методические документы по защите информации.

Вторым шагом является изменение изначально выбранного базового набора мер защиты информации в части его максимальной адаптации применительно к структуре, реализации и особенностям эксплуатации информационной системы.

При адаптации базового набора мер защиты информации учитываются:

• цели (обеспечение конфиденциальности, целостности и (или) доступности информации) и задачи защиты информации в информационной системе;

• перечень мероприятий проводимых оператором по обеспечению безопасности в рамках организации в целом;

• применяемые информационные технологии и структурно- функциональные характеристики информационной системы.

Адаптация базового набора мер защиты информации, как правило, предусматривает исключение мер, непосредственно связанных с информационными технологиями, не используемыми в информационной системе, или структурно-функциональными характеристиками, не свойственными информационной системе.

В качестве примера адаптации можно рассмотреть исключение из базового набора мер защиты информации мер по защите среды виртуализации, в случае если в информационной системе не применяется технология виртуализации, или исключение из базового набора мер защиты информации мер по защите мобильных технических средств, если такие мобильные устройства не применяются или их применение запрещено.

Уточнение адаптированного базового набора мер защиты информации проводится с учетом результатов оценки возможности адаптированного базового набора мер защиты информации адекватно блокировать все угрозы безопасности информации, включенные в модель угроз, или снизить вероятность их реализации исходя из условий функционирования информационной системы.

Исходными данными при уточнении адаптированного базового набора мер защиты информации являются перечень угроз безопасности информации и их характеристики, включенные в модель угроз безопасности информации.

При уточнении адаптированного базового набора мер защиты информации для каждой угрозы безопасности информации, включенной в модель угроз, сопоставляется мера защиты информации из адаптированного базового набора мер защиты информации, обеспечивающая блокирование этой угрозы безопасности или снижающая вероятность ее реализации исходя из условий функционирования информационной системы.