УГРОЗЫ ИНФОРМАЦИОННЫХ СИСТЕМ |
23-08-2024 |
Определение конкретных значений характеристик возможных нарушителей в значительной степени субъективно. Модель нарушителя, построенная с учетом особенностей конкретной предметной области и технологии обработки информации, может быть представлена перечислением нескольких вариантов его облика. Каждый вид нарушителя должен быть охарактеризован значениями характеристик, приведенных выше. Методы проверки полученных моделей, их соответствия реальной системы и порядок определения потенциально уязвимых мест в системе, является обязательным при создании модели. Так ошибки персонала могут составлять 55%, нечестные сотрудники 10%, обиженные лица 9%, внешний нападение 1 .. 3%, вирусы 4%, проблемы физической защиты (стихийные бедствия, нарушения электропитания (снижение или повышение напряжения, колебания мощности) и отопления т.д.) 20%. Не сами информационные системы пишут вирусы, искажают данные, похищают важную информацию и оборудования.
Набор угроз со временем меняется и частично известен.
Эта модель представляет:
окружения с угрозами, которые постоянно меняются и лишь частично известны;
классификация информации;
уязвимости информации;
средства защиты информации и уменьшения последствий поражений;
средства защиты, которые уменьшают риск;
остаточные риски, принятые организацией как допустимые.
Ниже приведены примеры уязвимости в различных зонах защиты. Эти примеры можно использовать как справочную информацию в процессе оценки уязвимости. Следует также подчеркнуть, что в некоторых случаях другие угрозы также использовать эти уязвимости.
Окружение и инфраструктура:
отсутствие физической защиты зданий, дверей и окон (может использовать, например, угроза воровства);
недостаточное или ненадлежащее использование физического контроля за доступом к зданиям, комнат (может использовать, например, угроза преднамеренного повреждения);
неустойчивость энергосистемы (может использовать, например, угроза нестабильности энергопитания)
расположение в зоне вероятного затопления (может использовать, например, угроза затопления).