Форма 7: Перечень уязвимостей исключенных в результате анализа
Код |
Уязвимости |
Описание причин исключения |
[A.I.a.1] |
побочные излучения элементов технических средств |
Не рассматриваются, как маловероятные, так как имеют коэффициент опасности ниже порогового значения f = 0,2. |
[A.I.a.2] |
излучения кабельных линий технических средств |
|
[A.I.a.3] |
излучения на частотах работы генераторов |
|
[A.I.a.4] |
излучения на частотах самовозбуждения усилителей |
|
[A.I.b.1] |
наводки электромагнитных излучений на линии и проводники |
|
[A.I.b.2] |
просачивание сигналов в цепи электропитания, в цепи заземления |
|
[A.I.b.3] |
неравномерность потребления тока электропитания |
|
[A.I.c.1] |
акустические излучения |
|
[A.I.c.2] |
виброакустические излучения |
|
[A.II.b.2] |
технологические выходы из программ |
|
[A.II.b.3] |
нелегальные копии ПО |
|
[A.III.a.1] |
обладающие электроакустическими преобразованиями ТА |
|
[A.III.a.2] |
обладающие электроакустическими преобразованиями громкоговорители |
|
[A.III.a.3] |
обладающие электроакустическими преобразованиями индуктивности |
|
[A.III.a.4] |
обладающие электроакустическими преобразованиями дроссели |
|
[A.III.a.5] |
обладающие электроакустическими преобразованиями трансформаторы |
|
[A.III.b.1] |
подверженные воздействию электромагнитного поля магнитные носители |
|
[A.III.b.2] |
подверженные воздействию электромагнитного поля микросхемы |
|
[A.III.b.3] |
нелинейные элементы, подверженные ВЧ навязыванию |
|
[A.IV.a.1] |
отсутствие контролируемой зоны |
|
[A.IV.a.3] |
наличие удаленных и мобильных элементов объекта |
|
[A.IV.a.4] |
наличие вибрирующих отражающих поверхностей |
Форма 8: Перечень актуальных уязвимостей.
Код |
Уязвимости |
(k1)f |
(k2)f |
(k3)f |
(Kоп)f |
[A.II.a.1] |
аппаратные закладки устанавливаемые в телефонные линии |
4 |
4 |
4 |
0,47 |
[A.II.a.2] |
аппаратные закладки устанавливаемые в сети электропитания |
4 |
4 |
4 |
0,47 |
[A.II.a.3] |
аппаратные закладки устанавливаемые в помещениях |
3 |
3 |
4 |
0,26 |
[A.II.a.4] |
аппаратные закладки устанавливаемые в технических средствах |
4 |
4 |
5 |
0,59 |
[A.II.b.1] |
вредоносные программы |
5 |
2 |
3 |
0,22 |
[A.IV.a.2] |
наличие прямой видимости объектов |
4 |
4 |
3 |
0,34 |
[A.IV.b.2] |
использование глобальных информационных сетей |
3 |
4 |
3 |
0,25 |
[B.I.a.2] |
при инсталляции и загрузке программного обеспечения |
3 |
5 |
4 |
0,46 |
[B.I.a.3] |
при эксплуатации программного обеспечения |
4 |
5 |
5 |
0,76 |
[B.I.a.4] |
при вводе данных (информации) |
5 |
5 |
5 |
0,96 |
[B.I.а.5] |
при настройке сервисов универсальных систем |
3 |
4 |
3 |
0,28 |
[B.I.а.6] |
самообучающейся сложной системы систем |
3 |
3 |
3 |
0,21 |
[B.I.b.1] |
при включении/выключении технических средств |
4 |
5 |
5 |
0,77 |
[B.I.b.2] |
при использовании технических средств охраны |
3 |
5 |
3 |
0,35 |
[B.I.b.3] |
при использовании средств обмена информацией |
3 |
5 |
4 |
0,46 |
[B.I.c.1] |
при конфигурировании и управлении сложной системы |
4 |
3 |
4 |
0,37 |
[B.I.c.2] |
при настройке программного обеспечения |
3 |
5 |
4 |
0,46 |
[B.I.c.3] |
при организации управления потоками обмена информации |
4 |
5 |
3 |
0,46 |
[B.I.c.4] |
при настройке технических средств |
3 |
5 |
4 |
0,46 |
[B.I.c.5] |
при настройке штатных средств защиты программного обеспечения |
3 |
4 |
4 |
0,37 |
[B.I.d.1] |
повреждение (удаление) программного обеспечения |
4 |
5 |
5 |
0,77 |
[B.I.d.2] |
повреждение (удаление) данных |
5 |
5 |
5 |
0,96 |
[B.I.d.3] |
повреждение (уничтожение) носителей информации |
5 |
5 |
5 |
0,96 |
[B.I.d.4] |
повреждение каналов связи |
4 |
3 |
3 |
0,28 |
[B.II.a.1] |
доступа на объект |
3 |
4 |
3 |
0,25 |
[B.II.a.2] |
доступа к техническим средствам |
4 |
5 |
4 |
0,56 |
[B.II.a.3] |
соблюдения конфиденциальности |
5 |
5 |
4 |
0,7 |
[B.II.c.1] |
обработки и обмена информацией |
4 |
4 |
4 |
0,45 |
[B.II.c.2] |
хранения и уничтожения носителей информации |
5 |
5 |
5 |
0,88 |
[B.III.a.3] |
неудовлетворенность своим положением |
4 |
5 |
3 |
0,46 |
[B.III.a.4] |
неудовлетворенность действиями руководства |
3 |
5 |
3 |
0,35 |
[B.III.b.2] |
стрессовые ситуации |
3 |
5 |
4 |
0,46 |
[C.I.c.2] |
сбои прикладных программ |
4 |
5 |
3 |
0,48 |
[C.I.c.3] |
сбои сервисных программ |
4 |
5 |
2 |
0,32 |
[C.I.c.4] |
сбои антивирусных программ |
4 |
5 |
2 |
0,32 |
[C.II.b.1] |
физический износ оборудования и сооружений |
3 |
5 |
2 |
0,23 |
Форма 9: Перечень возможных атак.
Код атаки |
||
Код источника угрозы |
Код метода реализации |
Код уязвимости |
При реализации угрозы «Хищение» |
||
[I.A.1] |
[M2.A.04] |
[B.I.d.4] |
[I.A.2] |
[M1.B.03] |
[B.II.c.2] |
[I.A.3] |
[M3.A.09] |
[B.III.a.4] |
[I.B.1] |
[M2.B.01] |
[A.II.a.3] |
При реализации угрозы «Утрата» |
||
[I.B.1] |
[M3.A.04] |
[A.IV.b.2] |
[I.B.2] |
[M3.A.05] |
[B.I.b.1] |
[I.B.2] |
[M4.A.05] |
[B.III.a.4] |
При реализации угрозы «Блокирование» |
||
[I.A.1] |
[M3.A.07] |
[B.I.c.5] |
[I.A.2] |
[M3.A.01] |
[B.III.a.3] |
[I.A.4] |
[M3.A.08] |
[B.I.c.4] |
[I.B.2] |
[M3.A.10] |
[B.II.a.2] |
При реализации угрозы «Модификации» |
||
[I.A.1] |
[M3.A.07] |
[B.I.d.1] |
[I.A.2] |
[M3.A.11] |
[B.I.a.3] |
При реализации угрозы «Отрицание» |
||
[I.A.1] |
[M3.A.08] |
[B.I.c.5] |
[I.A.3] |
[M3.A.10] |
[B.III.a.4] |
При реализации угрозы «Навязывание» |
||
[I.A.1] |
[M3.A.05] |
[C.I.c.2] |
[I.A.2] |
[M3.A.10] |
[A.II.b.1] |
[I.A.4] |
[M3.A.01] |
[B.I.c.5] |
[I.B.2] |
[M3.A.10] |
[B.III.b.2] |
Вывод: по методике С.В. Вихрева был произведен анализ возможности реализации угроз информационной безопасности на объекте по методике С.В. Вихорева. Также был составлен перечень возможных атак.