- •Санкт-петербургский государственный
- •По дисциплине «Основы информационной безопасности»
- •Модель угроз безопасности информации "Корпоративная локальная сеть офиса предприятия"
- •1. Общие положения
- •2. Описание систем и сетей и их характеристики как объектов защиты
- •3. Возможные негативные последствия от реализации угроз безопасности
- •4. Возможные объекты угроз безопасности информации
- •5. Источники угроз безопасности информации
- •6. Способы реализации угроз безопасности информации
- •7. Актуальные угрозы безопасности информации
5. Источники угроз безопасности информации
Таблица 3 – возможные цели реализации угроз
Вид нарушителя |
Категория нарушителя |
Возможные цели реализации угроз |
Конкуренты |
Внешний |
Снижение конкурентоспособности организации. |
Сотрудники |
Внутренний |
Непреднамеренные действия, тормозящие работу организации. |
Преднамеренные действия с целью получения выгоды/реализации собственных интересов. |
||
Хакеры |
Внешний |
Любопытство. Тренировка. Получение выгоды. |
Поставщики услуг связи |
Внешний |
Материальная выгода |
Внешние нарушители не имеют непосредственного доступа к оборудованию системы, когда внутренние подразделяются на классы по уровню доступа к оборудованию и информации предприятия.
Условно внутреннего нарушителя можно разделить на 3 группы:
Таблица 4 – уровни прав доступа внутренних нарушителей
Вид внутреннего нарушителя |
Права доступа |
Системный администратор |
Доступ к СУБД, серверному железу и ПО, высшие права в локальной сети, доступ к рабочим местам сотрудников. |
Сотрудники |
Доступ к своим рабочим местам, локальной сети. |
Дополнительный персонал |
Доступ во все помещения без доступа к оборудованию (нет собственных учетных записей) |
Виды нарушителей и их уровень возможностей представлены в таблице ниже:
Таблица 5 – результат определения актуальных нарушителей
Виды риска/ущерба и возможные негативные последствия |
Виды и категория нарушителя |
Уровень возможностей |
Нарушение конфиденциальности.
Финансовый ущерб физическому лицу.
Нарушение иных прав и свобод гражданина, закрепленных в Конституции Российской Федерации и федеральных законах.
Нарушение законодательства Российской Федерации.
Недополучение ожидаемой (прогнозируемой) прибыли.
Необходимость дополнительных (незапланированных) затрат на выплаты штрафов (неустоек) или компенсаций.
Необходимость дополнительных (незапланированных) затрат на закупку товаров, работ или услуг (в том числе закупка программного обеспечения, технических средств, вышедших из строя, замена, настройка, ремонт указанных средств).
Срыв запланированной сделки с партнером.
|
Хакеры, внешний |
H1 |
Сисадмин, внутренний |
H2 |
|
Сотрудники, внутренний |
H1 |
|
Дополнительный персонал, внутренний |
H1 |
|
Конкуренты, внешний |
H2 |
|
Поставщики услуг связи, внешний |
H2 |