Общая характеристика угроз безопасности

Автор Itworkroom

Пятая часть документа МОДЕЛЬ УГРОЗ БЕЗОПАСНОСТИ ИНФОРМАЦИИ Автоматизированной системы.

1. Общая характеристика потенциальных УГРОЗ БЕЗОПАСНОСТИ

В процессах функционирования АС возможна реализация следующих форм реализации угроз:

  • угрозы с использованием социального инжиниринга;
  • угрозы утечки информации по техническим каналам;
  • угрозы создания нештатных режимов работы;
  • угрозы НСД, включающие в себя:
  • угрозы несанкционированного доступа к оборудованию СВТ
  • угрозы НСД к защищаемой информации в среде ОС;
  • угрозы НСД с использованием недокументированных (недекларированных) возможностей в системном и прикладном программном обеспечении;
  • угрозы НСД путем применения средств программно-математического воздействия на информацию.

(далее…)

Модель нарушителей безопасности

Автор Itworkroom

Четвертая часть документа МОДЕЛЬ УГРОЗ БЕЗОПАСНОСТИ ИНФОРМАЦИИ Автоматизированной системы.

1. МОДЕЛЬ НАРУШИТЕЛЕЙ БЕЗОПАСНОСТИ В АС

4.1 Описание возможных нарушителей (типы и виды нарушителей)

Типы нарушителей определялись по результатам анализа прав доступа субъектов к информации и к компонентам АС, а также анализа возможностей нарушителей по доступу к компонентам АС исходя из структурно-функциональных характеристик и особенностей функционирования АС.

Анализ прав доступа производился, в отношении следующих компонент АС:

  • устройств ввода/вывода (отображения) информации;
  • беспроводных устройств; программных, программно-технических и технических средств обработки информации; съемных машинных носителей информации;
  • машинных носителей информации, выведенных из эксплуатации;
  • активного (коммутационного) и пассивного оборудования каналов связи;
  • каналов связи, выходящих за пределы контролируемой зоны.

(далее…)

Субъекты и объекты воздействия угроз безопасности

Автор Itworkroom

Третья часть документа МОДЕЛЬ УГРОЗ БЕЗОПАСНОСТИ ИНФОРМАЦИИ Автоматизированной системы.

1. СУБЪЕКТЫ И ОБЪЕКТЫ ВОЗДЕЙСТВИЯ УГРОЗ

Для проведения оценки и определения состава потенциальных угроз безопасности информации, обрабатываемой в АС, необходимо идентифицировать все объекты данной системы, подлежащие защите (далее объекты защиты). Состав объектов защиты определяется на основе анализа субъектов и объектов АС, на которые могут воздействовать или в границах которых могут иметь место проявления потенциальными угроз.

К субъектам и объектам воздействия потенциальных угроз (субъекты и объекты воздействия угроз) относятся:

  • процессы функционирования АС;
  • оборудование, включая СВТ и компоненты, входящее в состав АС;
  • используемое программное обеспечение;
  • особые зоны (контролируемая территория, коммуникации, помещения);
  • субъекты воздействия угроз (персонал АС);
  • информационные ресурсы, как носители конфиденциальной информации и иной защищаемой информации, в том числе:
  • информации о состоянии процессов функционирования АС;
  • информации, обрабатываемая в АС в ходе выполнения персоналом своих функциональных обязанностей;
  • сведений о коммерческой деятельности;
  • технологической и управляющей информации (конфигурационные файлы, таблицы маршрутизации, настройки систем защиты и пр.);
  • аутентификационной информации (ключи, пароли, ключевая документация и т.д.);
  • специальное ПО, а также резервные копии (дистрибутивы) используемого системного и прикладного ПО, инструментальные средства (утилиты и т.п.) систем управления (администрирования), чувствительные по отношению к случайным и/или несанкционированным воздействиям;
  • информация о подсистемах и СЗИ, их структуре, принципах функционирования, используемых технических решениях и процедурах управления (администрирования);
  • информация, хранимая в файловых и иных электронных хранилищах о состоянии подсистем жизнеобеспечения и физической защиты, о событиях, произошедших в АС, а также о планах и регламентах обеспечения ее бесперебойной работы и восстановления в случае сбоев и отказов.

(далее…)

Классификация угроз безопасности

Автор Itworkroom

Вторая часть документа МОДЕЛЬ УГРОЗ БЕЗОПАСНОСТИ ИНФОРМАЦИИ Автоматизированной системы.

1. Классификация УГРОЗ БЕЗОПАСНОСТИ

2.1. Общий подход к определению потенциальных угроз в АС

При определении потенциальных угроз безопасности в АС учитывались структурно-функциональные характеристики данной автоматизированной системы, включающие в себя:

  • структуру;
  • состав;
  • физические, логические, функциональные и технологические взаимосвязи между сегментами (компонентами) системы;
  • информационные связи с иными информационными системами и информационно-телекоммуникационными сетями;
  • режимы обработки информации;
  • иные характеристики, применяемых в системе информационных технологий.

Целью моделирования угроз безопасности конфиденциальных сведений являлось получение качественной оценки потенциальных угроз информации, обрабатываемой в АС. (далее…)

Общие положения МОДЕЛИ УГРОЗ БЕЗОПАСНОСТИ ИНФОРМАЦИИ Автоматизированной системы.

Автор Itworkroom

Первая часть документа МОДЕЛЬ УГРОЗ БЕЗОПАСНОСТИ ИНФОРМАЦИИ Автоматизированной системы.

1. Общие положения

Основной целью защиты сведений конфиденциального характера в АС является защита интересов субъектов конфиденциальных данных, иных лиц, чьи данные обрабатываются в АС, а также, исключение возможности нанесения ущерба сторонам — участникам информационных отношений в процессах функционирования АС.

Достижение цели защиты сведений конфиденциального характера в АС должно обеспечивать исключением проявлений угроз безопасности в виде материального, морального или иного случайного и/или преднамеренного ущерба, который может быть причинен путем нарушений свойств конфиденциальности, целостности и доступности сведений конфиденциального характера и иной защищаемой информации, необходимой для выполнения процессов обработки, хранения, передачи и обеспечения безопасности, обрабатываемых в АС данных. (далее…)