Источник утечки информации: автоматизированные (информационные) системы (терминах ГОСТ Р 59853-2021 и 149-ФЗ).

Объект воздействия (утечки): данные (информация, сведения), обрабатываемые в автоматизированных (информационных) системах, в т.ч. в терминах УК РФ — компьютерная информация, а также входящие и исходящие документы (вносимые в Аси распечатываемые, отправляемые по каналам связи, выгружаемые на машинные носители и т.п.).

Представление информации: воспринимаемый человеком и/или машиночитаемая информация.

Вид информации: информация ограниченного распространения.

Каналы утечки информации:

• Доступ к АС (ИС): несанкционированный (неправомерный) и санкционированный (правомерный, разрешенный) через штатное или специальное ПО.
• Доступ к АС (ИС) означает доступ к КСА и персоналу. *

Каналы утечки информации. Виды:

• Доступ к ПО (СПО, ППО) через штатные возможности или с применением специального ПО, непосредственный доступ или удаленный.
• Доступ к машинным носителям, СВТ, другим ТС (в помещения с носителями и техникой).
• Доступ к СВТ, ТС, на которых отображается информация (экраны и т.п., в помещения с носителями и техникой).
• Доступ к документам, которые предназначены для ввода в АС, которые распечатаны
• К персоналу — разглашение (устно), передача документов, аутентификационной информации для доступа к ПО и т.п.

Каналы утечки информации. Примечание: технические каналы утечек не входят в состав каналов утечки для данной угрозы, меры.

Умысел:

• Умышленная, в том числе совершенная лицом, имеющим санкционированный (правомерный) доступ.
• Неумышленная, совершенная лицом, имеющим санкционированный (правомерный) доступ.
• Неумышленная, совершенная лицом, не имеющим санкционированный (правомерный) доступ, вследствие ошибки прав доступа или отсутствия настроек прав доступа (независимо от наличия штатных возможностей системы или СЗИ).

По сути, здесь основной момент — выделить и подчеркнуть, что это не информация, «утекающая» по техническим каналам, например, ПЭМИН. По сути — полученная следствие доступа через ПО или документы. Думаю, что по этой причине, проект стандарта, представленного на секции «Стандартизация в ИБ» BISS-2023, называется «Защита информации от утечки из программной среды информационных и автоматизированных систем».

Представлю свои формулировки

Угроза (формулировка)

Угроза утечки информации ограниченного распространения из автоматизированной (информационной) системы за счет несанкционированного (неправомерного) доступа к АС (ресурсам АС).

Мера (формулировка)

Защита информации от утечек из автоматизированных (информационных) систем в результате доступа к автоматизированной (информационной) системе (не по техническим каналам).

И как вижу их официальное применение:

1. Внести предложенные:
   • угрозу утечки информации из АС (ИС) — в БДУ ФСТЭК России и проект стандарта по защите информации от утечек,
   • меру по защите информации от утечек — в проект стандарта по защите информации от утечек.
2. Заменить меры:
   • «ЗИС.17 Защита информации от утечек» в приказе ФСТЭК России №239/2017.
   • «ЗИС.17 Защита информации от утечек» в приказе ФСТЭК России №31/2014.
   • на меру в новой формулировке.
3. Предложенную меру внести в
   • раздел «XIII. Защита информационной системы, ее средств, систем связи и передачи данных (3ИС)» в приказе ФСТЭК России № 21/2013;
   • раздел «XIII. Защита информационной системы, ее средств, систем связи и передачи данных (3ИС)» в приказе ФСТЭК России № 17/2013.
4. Установить, что предложенная мера будет обязательной:
   • в приказе ФСТЭК России №239/2017 для объектов КИИ 1,2,3 категорий;
   • в приказе ФСТЭК России №31/2014 для 1 и 2 классов защищенности автоматизированной системы управления;*
   • в приказе ФСТЭК России № 21/2013 для ИСПДн 1,2,3,4 уровня защищенности персональных данных;
   • в приказе ФСТЭК России № 17/2013 для ИС 1,2,3 класса защищенности.

Для какого класса защищенности АСУ необходима? Не включил 3 класс.

Ваше мнение, коллеги? Присылайте свои предложения, идёт работа!