Приклади вибору рівнів збитку на основі nist sp 800-60
ПРИКЛАД 1: Організація визначає, що розкриття суспільноїінформації, щозберігається насервері мережі, не понесе ніякого збитку від втрати конфіденційності, помірний рівень збиту від втрати цілісності, і помірний рівень збиту від втрати доступності. Отримана категорія безпеки цього інформаційного типу представлена як:
Категорія Безпеки (Суспільна інформація) = {(конфіденційність, невизначений), (цілісність, помірний), (доступність, помірний)}.
ПРИКЛАД 2: Правоохоронна організація, що управляє надзвичайно критичною інформацією, вирішує, що рівень збитку від втрати конфіденційності високий, рівень збитку від втрати цілісності помірний, і рівень збитку від втрати доступності високий. Отримана категорія безпеки цього інформаційного типу представлена як:
Категорія Безпеки (критична інформація) = {(конфіденційність, високий), (цілісність, помірний), (доступність, високий)}.
Загальні фактори конфіденційності:
Використовуючи NIST SP 800-60, кожному інформаційному типу повинен бути назначений відповідний рівень збитку, такий як низький/помірний/високий, пов'язаний з відповідями на наступні питання:
¾ Як зловмисник може використати інформацію, щоб заподіяти обмежену/серйозну/важку шкоду операціям Організації, активам організації, або людям?;
¾ Як зловмисник може використати інформацію, щоб одержати контроль над активами організації, які могли б привести до несанкціонованої модифікації інформації, руйнуванню інформації, та які призведуть до обмеженої/серйозної/важкої шкоди операціям організації, активам організації, або людям?;
¾ Як несанкціоноване розкриття/розповсюдження елементів інформаційного типу зможе порушити закони, урядові розпорядження, або інструкції організації?
Загальні фактори цілісності
Використовуючи NIST SP 800-60, кожному інформаційному типу повинен бути назначений відповідний рівень збитку, такий як низький/помірний/високий, пов'язаний з несанкціонованою модифікацією або руйнуванням всіх відомих варіантів інформації.
Несанкціонована модифікація або руйнування інформації можуть бути різними. Зміни можуть бути частковими й складними у виявлення, або вони можуть бути масовими. Можна побудувати незвичайно широкий діапазон сценаріїв для модифікації інформації і її ймовірних наслідків. У більшості випадків, самі серйозні збитки від втрати цілісності відбуваються, коли відбувається зміна інформації, або коли змінена інформація поширена до інших організацій або громадськості.
Втрата цілісності може бути катастрофічної для багатьох інформаційних типів. Наслідки втрати цілісності можуть бути або прямими (наприклад, модифікація фінансових операцій, або особових справ працівників) або непрямими (наприклад, несанкціонований доступу до критичної або особистої інформації). У багатьох випадках наслідки несанкціонованої модифікації або руйнування інформації можуть підірвати репутацію організації. В інших випадках втрата цілісності може привести до загрози людському життю або інших серйозних наслідків.
Загальні фактори доступності
Використовуючи NIST SP 800-60, кожному інформаційному типу повинен бути назначений відповідний рівень збитку, такий як низький/помірний/високий, пов'язаний з втратою доступності .
Для багатьох інформаційних типів і інформаційних систем, рівень збитків від втрати доступності залежить від того, як довго інформація або система залишаються недоступними. Невиявлена втрата доступності може бути катастрофічною для багатьох інформаційних типів. Наприклад, керування персоналом, керування платіжною системою, керування безпекою або бухгалтерськими інформаційними базами даних була б катастрофічною для будь-якої організації. Повна реконструкція таких баз даних була б складною та дорогою.
ПРИКЛАД 3.
Страхова компанія «Невідома-СК» займається страхуванням фізичних і юридичних осіб від надзвичайних випадків.
Стратегічні плани | База даних розрахунків | Персональна інформація клієнтів | Інформація про внутрішній режим | Фінансові звіти | |
Економіст | Порушення конфіденційності інформації зі стратегічного планування може привести до необґрунтованих витрат в сумі до 100 000 грн. Щодо критичності цілісності і доступності даних немає. | Порушення доступності БД призведе до затримки розрахунків. За кожний день затримки втрати складають до 1000 грн. По конфіденційності даних немає. Порушення цілісності БД може привести до втрат на загальну суму до 10 000 грн. | По конфіденційності, цілісності і доступності даних немає. | По конфіденційності, цілісності і доступності даних немає. | По конфіденційності, цілісності і доступності даних немає. |
Страховий агент | По конфіденційності, цілісності і доступності даних немає. | По конфіденційності, цілісності і доступності даних немає | Порушення цілісності або доступності може привести до затримок у виплатах клієнтам, що викличе нарахування пені в розмірі до 10 000 грн і середній вплив на імідж компанії | По конфіденційності, цілісності і доступності даних немає | По конфіденційності, цілісності і доступності даних немає |
Юрист | По конфіденційності, цілісності і доступності даних немає | По конфіденційності, цілісності і доступності даних немає | Порушення конфіденційності може привести до судових позовів клієнтів на загальну суму до 1000 000 грн. і серйозного погіршення іміджу компанії. | По конфіденційності, цілісності і доступності даних немає | Порушення доступності може призвести до штрафів з боку органів державної влади на суми до 51000 грн. |
Керівник | Порушення конфіденційності інформації зі стратегічного планування може призвести до необґрунтованих витрат в сумі до 100 000 грн. Щодо критичності цілісності і доступності даних немає. | Порушення доступності БД призведе до затримки розрахунків. За кожний день затримки втрати складають до 1000 грн. По конфіденційності даних немає. Порушення цілісності БД може привести до втрат на загальну суму до 10 000 грн. Порушення цілісності або доступності приведе до незначного погіршення іміджу. | Порушення конфіденційності може привести до судових позовів клієнтів на загальну суму до 1000 000 грн. і серйозного погіршення іміджу компанії. | Порушення конфіденційності, не викличе негативних наслідків. Порушення цілісності і доступності даних з режиму може привести до несанкціонованого доступу до критичних даних. | Порушення доступності може привести до штрафів з боку органів державної влади на суми до 51000 грн. |
За результатами співбесіди визначено такі рівні критичності:
Низький | Середній | Високий |
втрати до 10 000грн., підприємство може покрити з оборотних коштів | втрати до 100 000грн., підприємство може покрити з коштів спецфонду | втрати до 1000 000грн., загроза банкрутсва |
Додаток А. Приклади рекомендацій щодо визначення критичності інформаційних ресурсів
Типи ресурсів | Рекомендації |
Стратегічні плани | Стратегічні плани визначають довгострокові цілі і найкращі підходи для досягнення цих цілей. Рівні критичності по відношенню до навторизованого розкриття, модифікації, втрати доступності визначаються важливістю визначених цілей і підходів. |
База даних розрахунків | База даних розрахунків містить інформацію про стан розрахунків партнерів і клієнтів з підприємством. Несанкціоноване розкриття інформації може привести до юридичних наслідків, несанкціонована модифікація або втрата доступності впливає на ефективність діяльності з повернення боргів перед підприємством. |
Персональна інформація (база даних працівників) | Персональна інформація включає в себе відомості про імена, дати народження, паспортні дані, ідентифікаційні номери платників податків, адресу, номер телефону тощо. Неавторизоване розкриття такої інформації може привести до соціальних наслідків для працівників, порушення їх прав, позовів до підприємства, втрати ключових працівників. Неавторизована модифікація такої інформації може привести до серйозних юридичних наслідків для підприємства і працівників. Порушення доступності такої інформації приводить до зниження ефективності роботи. |
Інформація про систему безпеки (внутрішній режим) | Інформація з внутрішнього режиму використовується при здійсненні контролю за внутрішньою і прилеглою територією, забезпеченні режиму перепусток. Негативні наслідки можуть бути викликані неавторизованим розкриттям, модифікацією, втратою доступності. |
Фінансові плани і звіти | Фінансові плани і звіти містять інформацію про досягнуті і заплановані фінансові результати. Несанкціоноване розкриття може привести до необґрунтованого підвищення цін при переговорах – як наслідок необґрунтованих витрат. Порушення цілісності або доступності фінансової інформації може вплинути на ефективність діяльності в фінансовій сфері підприємства. |