Определение характеристик безопасности
Необходимо определить характеристики безопасности не только персональных данных, но и характеристики безопасности всех объектов, которые были определены как возможные объекты угроз.
Основными (классическими) характеристиками безопасности являются конфиденциальность, целостность и доступность.
В дополнение к перечисленным выше основным характеристикам безопасности могут рассматриваться также и другие характеристики безопасности. В частности, к таким характеристикам относятся неотказуемость <1>, учетность <2> (иногда в качестве синонима используется термин "подконтрольность"), аутентичность <3> (иногда в качестве синонима используется термин "достоверность") и адекватность <4>.
--------------------------------
<1> Неотказуемость - способность доказать, что действие или событие произошло таким образом, что факт действия или события не может быть опровергнут (ИСО 7498-2:99 и ИСО 13888-1:2004).
- свойство, обеспечивающее однозначное отслеживание собственных действий любого логического объекта (ИСО 7498-2:99);
- обеспечение того, что действия субъекта по отношению к объекту могут быть прослежены уникально по отношению к субъекту.
- свойство обеспечения идентичности субъекта или ресурса заявленной идентичности. Аутентичность применяется к таким субъектам как пользователи, процессы, системы и информация (ISO/IEC 13335-1:2004);
- идентичность объекта тому, что заявлено.
<4> Адекватность - свойство соответствия преднамеренному поведению и результатам (ISO/IEC 13335-1:2004).
Приведенный список характеристик безопасности не является исчерпывающим. Возможность большого числа характеристик безопасности кроется в определении понятия "характеристика безопасности объекта":
"характеристика безопасности объекта - требование к объекту или к условиям его создания и существования, или к информации об объекте и условиях его создания и существования, выполнение которого необходимо для обеспечения защищенности жизненно важных интересов личности, общества или государства".
Как правило, условия создания и существования реальных объектов достаточно сложны и, как следствие, к ним можно предъявить достаточно много самых различных требований.
Так как угроза безопасности объекта - возможное нарушение характеристики безопасности объекта, то перечень всех характеристик безопасности для всех возможных объектов угроз, по сути, определяет модель угроз верхнего уровня.
Например, если в информационной системе требуется обеспечить только защиту от уничтожения, целостность и доступность защищаемой информации (в качестве возможного примера такой информационной системы можно привести информационную систему школьного учителя, содержащую общедоступные персональные данные учащихся), то модель угроз верхнего уровня содержит следующий перечень угроз:
- угроза уничтожения защищаемой информации;
- Гражданский кодекс (ГК РФ)
- Жилищный кодекс (ЖК РФ)
- Налоговый кодекс (НК РФ)
- Трудовой кодекс (ТК РФ)
- Уголовный кодекс (УК РФ)
- Бюджетный кодекс (БК РФ)
- Арбитражный процессуальный кодекс
- Конституция РФ
- Земельный кодекс (ЗК РФ)
- Лесной кодекс (ЛК РФ)
- Семейный кодекс (СК РФ)
- Уголовно-исполнительный кодекс
- Уголовно-процессуальный кодекс
- Производственный календарь на 2025 год
- МРОТ 2025
- ФЗ «О банкротстве»
- О защите прав потребителей (ЗОЗПП)
- Об исполнительном производстве
- О персональных данных
- О налогах на имущество физических лиц
- О средствах массовой информации
- Производственный календарь на 2026 год
- Федеральный закон "О полиции" N 3-ФЗ
- Расходы организации ПБУ 10/99
- Минимальный размер оплаты труда (МРОТ)
- Календарь бухгалтера на 2025 год
- Частичная мобилизация: обзор новостей
- Постановление Правительства РФ N 1875