BISA
Статьи Главреда
Утечки Информации — Меры И Угрозы
Утечки информации — меры и угрозы

Продолжим тему угроз утечек информации и мер, их нейтрализующих, поднятую в предыдущей статье. Об угрозах утечек информации, о том, что утечки персональных данных и коммерческой тайны не обесценились, о мерах и средствах нейтрализации (противодействия), о стандартизации в сфере ИБ и о наказаниях поговорили на прошедшем BIS Summit-2023. Пора сформулировать угрозу утечки информации и меры защиты информации (обеспечения безопасности объектов КИИ), предложить добавить их в официальные документы. Написал свои предложения, представляю вам.

Сначала, формальное описание

Источник утечки информации: автоматизированные (информационные) системы (терминах ГОСТ Р 59853-2021 и 149-ФЗ).

Объект воздействия (утечки): данные (информация, сведения), обрабатываемые в автоматизированных (информационных) системах, в т.ч. в терминах УК РФ — компьютерная информация, а также входящие и исходящие документы (вносимые в Аси распечатываемые, отправляемые по каналам связи, выгружаемые на машинные носители и т.п.).

Представление информации: воспринимаемый человеком и/или машиночитаемая информация.

Вид информации: информация ограниченного распространения.

Каналы утечки информации:

  • Доступ к АС (ИС): несанкционированный (неправомерный) и санкционированный (правомерный, разрешенный) через штатное или специальное ПО.
  • Доступ к АС (ИС) означает доступ к КСА и персоналу. *

*Этим нам интересно определение именно АС: выделены все составляющие — техника, ПО, документы, персонал, т.е. мы можем говорить и о человеческом факторе.

Каналы утечки информации. Виды:

  • Доступ к ПО (СПО, ППО) через штатные возможности или с применением специального ПО, непосредственный доступ или удаленный.
  • Доступ к машинным носителям, СВТ, другим ТС (в помещения с носителями и техникой).
  • Доступ к СВТ, ТС, на которых отображается информация (экраны и т.п., в помещения с носителями и техникой).
  • Доступ к документам, которые предназначены для ввода в АС, которые распечатаны
  • К персоналу — разглашение (устно), передача документов, аутентификационной информации для доступа к ПО и т.п.

Каналы утечки информации. Примечание: технические каналы утечек не входят в состав каналов утечки для данной угрозы, меры.

Умысел:

  • Умышленная, в том числе совершенная лицом, имеющим санкционированный (правомерный) доступ.
  • Неумышленная, совершенная лицом, имеющим санкционированный (правомерный) доступ.
  • Неумышленная, совершенная лицом, не имеющим санкционированный (правомерный) доступ, вследствие ошибки прав доступа или отсутствия настроек прав доступа (независимо от наличия штатных возможностей системы или СЗИ).

По сути, здесь основной момент — выделить и подчеркнуть, что это не информация, «утекающая» по техническим каналам, например, ПЭМИН. По сути — полученная следствие доступа через ПО или документы. Думаю, что по этой причине, проект стандарта, представленного на секции «Стандартизация в ИБ» BISS-2023, называется «Защита информации от утечки из программной среды информационных и автоматизированных систем».

Представлю свои формулировки

Угроза (формулировка)

Угроза утечки информации ограниченного распространения из автоматизированной (информационной) системы за счет несанкционированного (неправомерного) доступа к АС (ресурсам АС).

Мера (формулировка)

Защита информации от утечек из автоматизированных (информационных) систем в результате доступа к автоматизированной (информационной) системе (не по техническим каналам).

И как вижу их официальное применение:

  1. Внести предложенные:
    • угрозу утечки информации из АС (ИС) — в БДУ ФСТЭК России и проект стандарта по защите информации от утечек,
    • меру по защите информации от утечек — в проект стандарта по защите информации от утечек.
  2. Заменить меры:
    • «ЗИС.17 Защита информации от утечек» в приказе ФСТЭК России №239/2017.
    • «ЗИС.17 Защита информации от утечек» в приказе ФСТЭК России №31/2014.
    • на меру в новой формулировке.
  3. Предложенную меру внести в
    • раздел «XIII. Защита информационной системы, ее средств, систем связи и передачи данных (3ИС)» в приказе ФСТЭК России № 21/2013;
    • раздел «XIII. Защита информационной системы, ее средств, систем связи и передачи данных (3ИС)» в приказе ФСТЭК России № 17/2013.
  4. Установить, что предложенная мера будет обязательной:
    • в приказе ФСТЭК России №239/2017 для объектов КИИ 1,2,3 категорий;
    • в приказе ФСТЭК России №31/2014 для 1 и 2 классов защищенности автоматизированной системы управления;*
    • в приказе ФСТЭК России № 21/2013 для ИСПДн 1,2,3,4 уровня защищенности персональных данных;
    • в приказе ФСТЭК России № 17/2013 для ИС 1,2,3 класса защищенности.

Для какого класса защищенности АСУ необходима? Не включил 3 класс.

Ваше мнение, коллеги? Присылайте свои предложения, идёт работа!

Михаил Смирнов, Главный редактор BISA
Присоединяйтесь к BISA в
Читать свежее
26.12.2024
Форум ИБ — итоги работы ассоциации BISA
04.10.2024
Потери от утечек информации — бывает ли ущерб от утечек данных
03.09.2024
Стандарты ИБ — кому и зачем нужны