4.2. Методика анализа угроз информационной безопасности УСПД, ПУ, СКЗИ УСПД и ПУ

Угрозы информационной безопасности реализуются путем различного рода атак.

Атака - метод осуществления заданной угрозы информационной безопасности определенным способом, реализованный нарушителем заданного класса. В рамках настоящего документа атаки характеризуются следующим набором данных:

- субъект, осуществляющий атаку (далее по тексту это нарушитель определенного типа, обладающий всеми доступными ему техническими средствами);

- объект (цель) атаки. Это целостность (Ц), доступность (Д), аутентичность (А), подотчетность (П), конфиденциальность (К) информационных активов в составе УСПД, ПУ и СКЗИ УСПД и ПУ;

- канал(ы) осуществления атаки.

Угрозы, реализуемые при помощи тех или иных атак, характеризуются различным уровнем риска реализации угрозы. Риск зависит от вероятности того, что состоится угрожающее событие, и от размера ущерба, который будет нанесен ИСУЭ в случае реализации угрожающего события [6], [8]. В настоящем документе будет принят метод качественного анализа, указанный ниже.

Применительно к определенной атаке риск и ущерб будут описываться тремя качественными значениями - высокий (В), средний (С), низкий (Н). В случае, когда остаточный риск будет характеризоваться исчезающе малыми значениями (например, риск компрометации стойкого криптографического ключа методом прямого перебора), будет применяться дополнительно характеристика "пренебрежимо малый" (П).

Оценка ущерба выполняется, как и для оценок риска, тремя значениями - высокий (В), средний (С), низкий (Н).

Взвешенная оценка риска атаки выполняется методом экспертной оценки на основе оценки ущербов, вероятности рисковых событий и вероятности успеха реализации атаки.