В стратегию национальной безопасности РФ 2020 включен следующий пункт:
109. Угрозы информационной безопасности в ходе реализации настоящей Стратегии предотвращаются за счет совершенствования безопасности функционирования информационных и телекоммуникационных систем критически важных объектов инфраструктуры и объектов повышенной опасности в Российской Федерации, повышения уровня защищенности корпоративных и индивидуальных информационных систем, создания единой системы информационно-телекоммуникационной поддержки нужд системы обеспечения национальной безопасности.
Здесь интересным моментом и отправной точкой дальнейшего моего повествования служит сочетание "совершенствование безопасности функционирования" ИС КВО. Т.е. не приевшееся двубальная шкала - "соответствует" или "не соответствует" требованиям безопасности, а более тонкий механизм измерения безопасности. Кроме как с оценкой рисков с такими измерительными инструментами не знаком... Поэтому подумаем как измерить информационные риски для КВО.
Ключевая (критически важная) система информационной инфраструктуры – информационно-управляющая или информационно-телекоммуникационная система, которая осуществляет управление критически важным объектом или процессом и в результате деструктивных воздействий на которую может сложится чрезвычайная ситуация или будут нарушены выполняемые системой функции управления со значительными последствиями.
В общем, в рамках одного КВО можно выстроить риски по приоритетам, абсолютно совпадающим с приоритетам тех угроз, с которыми они связаны. В этом нам помогут:
- Методика определения актуальных угроз безопасности информации в ключевых системах информационной инфраструктуры, утверждена ФСТЭК России от 18.05.2007 (ДСП)
- Базовая модель угроз безопасности информации в ключевых системах информационной инфраструктуры, утверждена ФСТЭК России от 18.05.2007 (ДСП)
Сложнее будет, если нам необходимо сравнить риски нарушения безопасности КСИИ на нескольких критически важных объектах - последствия инцидентов для них окажутся различными. Одна из методик, на основании которой можно сравнивать последствия была совсем недавно предложена МЧС:
В рамках данной методики вводится (и рассчитывается) показатель важности объекта.
На этот показатель влияют 16 критериев:
Критерии значимости объекта для экономики страны:
- Стоимость годового выпуска товарной продукции, млн. руб;
- Общая численность производственного персонала, тыс. человек;
- Балансовая стоимость основных производственных фондов, млн. руб;
- Доля основной продукции объекта в продукции того же вида, выпускаемой в государстве %.
Критерии связанные с нанесением ущерба престижу государства:
- Нарушение управляемости государства или региона;
- Нанесение ущерба авторитету государства, в том числе на международной арене;
- Раскрытие государственных секретов, конфиденциальной научно-технической и коммерческой информации;
- Нарушение боеготовности и боеспособности Вооруженных Сил;
- Нарушение стабильности финансовой и банковской систем.
Возможные угрозы населению и территориями:
- Крупномасштабное уничтожение национальных ресурсов (природных, сельскохозяйственных, продовольственных, производственных, информационных);
- Территория заражения (загрязнения) в случае аварии на объекте;
- Численность населения, которое может пострадать в случае ЧС на объекте;
- Нарушение систем обеспечения жизнедеятельности городов и населенных пунктов;
- Массовые нарушения правопорядка;
- Остановка непрерывных производств;
- Аварии и катастрофы регионального масштаба.
Ряд показателей вычисляется, естественно экспертным методом. И затем преобразуются (с помощью системы весов) в единый показатель важности объекта, который можно использовать в качестве фактора риска, связанного с ущербом.
