В таблиці 1.11, за результатами моделей загроз та порушника, виділено найбільш значущі джерела загроз іб.
Таблиця 1.11 - Найбільш значущі джерела загроз інформаційної безпеки
Джерела загроз |
Небезпека |
Антропогенні |
|
Директор |
0,48 |
Системний адміністратор |
0,8 |
Бухгалтер |
0,288 |
Менеджер з персоналу |
0,288 |
Менеджер з реклами |
0,288 |
Директор з розвитку |
0,288 |
Заступник директора |
0,288 |
Менеджер по закупкам |
0,288 |
Офіс-менеджер |
0,288 |
Дизайнери |
0,288 |
Прибиральники та охорона |
0,064 |
Кримінальні структури |
0,016 |
Технічний персонал компаній,які надають послуги |
0,096 |
Недобросовісні партнери |
0,128 |
Хакери |
0,144 |
Представники силових структур |
0,008 |
Представники наглядових організацій і аварійних служб |
0,032 |
Техногенні |
|
Засоби зв'язку |
0,064 |
Мережі інженерних комунікацій (водопостачання, каналізації) |
0,096 |
Допоміжні засоби (охорона, сигналізація, телефонія) |
0,128 |
Продовження таблиці 1.11
Джерела загроз |
Небезпека |
Неякісне програмне забезпечення |
0,128 |
Неякісне апаратне забезпечення |
0,128 |
Стихійні |
|
Пожежі |
0,064 |
Землетруси |
0,016 |
Підтоплення |
0,016 |
Урагани |
0,016 |
Різні непередбачені обставини |
0,032 |
Інші форс-мажорні обставини |
0,032 |
Вразливості можуть розрізнятися:
за причиною виникнення (якісна або кількісна недостатність);
за ознакою навмисності (випадкова або навмисна);
за тривалістю існування (тимчасова або систематична);
за часом виникнення щодо етапу життєвого циклу ІТС (технологічна, експлуатаційна);
за характером (програмна, апаратна, програмно-апаратна, адміністративна, організаційно-правова).
Дестабілізуючі фактори можуть розрізнятися:
за природою (об’єктивна, суб’єктивна);
суб’єктивні – за ознакою навмисності (випадкові або навмисні);
за типом прояву (стихійні лиха, відмова компонентів, збої устаткування, помилки персоналу) [12].
Перелік вразливостей ОІД представлений в таблиці 1.12.
Таблиця 1.12 Вразливості ОІД
Підгрупи вразливостей |
К1 |
К2 |
К3 |
Кнеб |
1 |
2 |
3 |
4 |
5 |
Об'єктивні |
||||
Продовження таблиці 1.12
1 |
2 |
3 |
4 |
5 |
[А.I] супутні технічним засобам випромінювання Кнеб підгр. = 0,096 |
||||
[A.I.a] Електромагнітні (побічні випромінювання елементів технічних засобів) |
2 |
1 |
4 |
0,064 |
[A.I.b] електричні (наведення електромагнітних |
2 |
1 |
4 |
0,064 |
випромінювань на лінії і провідники; просочування сигналів в мережі електроживлення, заземлення) |
2 |
1 |
4 |
0,064 |
[A.I.c] звукові (акустичні, віброакустичні) |
2 |
2 |
5 |
0,16 |
[A.II] що активізуються Кнеб підгр. = 0,104 |
||||
[A.II.a] апаратні закладки |
2 |
1 |
5 |
0,08 |
[A.II.b] програмні закладки |
2 |
2 |
4 |
0,128 |
[A.III] визначувані особливостями елементів Кнеб підгр. = 0,168 |
||||
[A.III.a] елементи, що володіють електроакустичними перетвореннями (телефонні апарати, гучномовці і мікрофони, котушки індуктивності, дроселі, трансформатори і ін. |
3 |
2 |
5 |
0,24 |
[A.III.b] елементи, схильні до дії електромагнітного поля (магнітні носії, мікросхеми, нелінійні елементи, схильні ВЧ нав'язуванню |
3 |
1 |
4 |
0,096 |
[A.IV] визначувані особливостями об'єкту, що захищається Кнеб підгр. = 0,012 |
||||
[A.IV.a] місцем розташування об'єкту (відсутність контрольованої зони, наявність прямої видимості об'єктів, видалених і мобільних елементів об'єкту, вібруючих відзеркалювальних поверхонь |
1 |
1 |
1 |
0,008 |
Продовження таблиці 1.12
1 |
2 |
3 |
4 |
5 |
[A.IV.b] організацією каналів обміну інформацією (використання радіоканалів, глобальних інформаційних мереж, каналів, що орендуються) |
2 |
1 |
1 |
0,016 |
Суб'єктивні |
||||
[B.I] Помилки Кнеб підгр. = 0,096 |
||||
[B.I.b] при управлінні складними системами (при використанні можливостей самонавчання систем, налаштуванні сервісів універсальних систем, організації управління потоками обміну інформації) |
1 |
1 |
1 |
0,008 |
[B.I.c] при експлуатації технічних засобів (при включенні/виключенні технічних засобів, використанні технічних засобів охорони, використанні засобів обміну інформацією) |
2 |
2 |
5 |
0,16 |
[B.II] порушення Кнеб підгр. = 0,312 |
||||
[B.II.a] режиму охорони і захисту |
3 |
1 |
1 |
0,024 |
[B.II.b] режиму експлуатації технічних засобів (енергозабезпечення, життєзабезпечення) |
3 |
2 |
1 |
0,048 |
[B.II.c] режиму використання інформації (обробки і обміну інформацією, зберігання і знищення носіїв інформації, знищення виробничих відходів і браку) |
3 |
2 |
3 |
0,144 |
[B.II.d] режиму конфіденційності (співробітниками в неробочий час, звільненими співробітниками) |
3 |
2 |
2 |
0,096 |
Випадкові |
||||
Продовження таблиці 1.12
1 |
2 |
3 |
4 |
5 |
[C.I] збої і відмови Кнеб підгр. = 0,06 |
||||
[C.I.a] відмови і несправності технічних засобів |
2 |
2 |
2 |
0,064 |
[C.I.b] старіння і розмагнічування носіїв інформації |
2 |
1 |
1 |
0,016 |
[C.I.c] збої програмного забезпечення |
3 |
2 |
2 |
0,096 |
[C.I.d] збої електропостачання (устаткування оброблюючого інформацію, забезпечуючого і допоміжного устаткування) |
4 |
2 |
1 |
0,064 |
[C.II] пошкодження Кнеб підгр. = 0,036 |
||||
[C.II.a] комунікацій життєзабезпечення (електро-, водо-, газо-, теплопостачання, каналізації, кондиціонування і вентиляція) |
3 |
2 |
1 |
0,048 |
[C.II.b] захисних конструкцій (зовнішніх обгороджувань територій, стін і перекриттів будівель, корпусів технологічного устаткування) |
3 |
2 |
1 |
0,048 |
Для зручності аналізу, уразливості розділені на класи (позначаються заголовними буквами), групи (позначаються римськими цифрами) і підгрупи (позначаються рядковими буквами). Уразливості безпеки інформації можуть бути [9]:
[А] об'єктивними;
[В] суб'єктивними;
[С] випадковими.
(К1)f – Фатальність, визначає міра впливу уразливості на неможливість усунення наслідків реалізації загрози. Для об'єктивних вразливостей це інформативність – здатність вразливості повністю (без спотворень) передати корисний інформаційний сигнал.
(K2)f – Доступність, визначає зручність (можливість) використання вразливості джерелом загроз (багато габаритні розміри, складність, вартість необхідних засобів, можливість використання не спеціалізованої апаратури).
(K3)f – Кількість, визначає кількість елементів об'єкту, яким характерна та або інша вразливість.
(1.1)
Для підгрупи вразливостей (Кнеб)f визначається як середнє арифметичне коефіцієнтів окремих вразливостей в підгрупі.