- •1. Общие положения.
- •2. Описание систем и сетей и их характеристика как объектов защиты.
- •3. Возможные негативные последствия от реализации угроз информационной безопасности.
- •4. Возможные объекты воздействия угроз безопасности информации.
- •5. Источники угроз безопасности информации.
- •6. Способы реализации (возникновения) угроз безопасности информации.
- •7. Актуальные угрозы безопасности информации.
5. Источники угроз безопасности информации.
В качестве внешнего нарушителя информационной безопасности, рассматривается нарушитель, который не имеет непосредственного доступа к техническим средствам и ресурсам системы, находящимся в пределах контролируемой зоны офиса.
Внутренние нарушители имеют разный уровень прав доступа к информационным ресурсам и компонентам системы:
Сетевые администраторы имеют повышенные права доступа;
Авторизированные пользователи системы имеют ограниченные права доступа.
№ вида |
Виды нарушителя |
Категории нарушителя |
Возможные цели реализации угроз ИБ |
1 |
Конкурирующие организации |
Внешний |
Получение конкурентных преимуществ. Получение финансовой или иной материальной выгоды |
2 |
Авторизованные пользователи |
Внутренний |
Получение финансовой или иной материальной выгоды. Дестабилизация деятельности организаций |
3 |
Разработчики программных, программно-аппаратных средств |
Внутренний |
Внедрение дополнительных функциональных возможностей в программные или программно-аппаратные средства на этапе разработки. Получение конкурентных преимуществ. Получение финансовой или иной материальной выгоды. Непреднамеренные, неосторожные или неквалифицированные действия |
5 |
Лица, привлекаемые для установки, настройки, испытаний, пусконаладочных и иных видов работ |
Внутренний |
Получение финансовой или иной материальной выгоды. Непреднамеренные, неосторожные или неквалифицированные действия. Получение конкурентных преимуществ |
6 |
Системные администраторы и администраторы безопасности |
Внутренний |
Получение финансовой и материальной выгоды. Непреднамеренные, неосторожные или неквалифицированные действия |
Месть за ранее совершенные действия. |
|||
Непреднамеренные, неосторожные или неквалифицированные действия |
Ниже приведена таблица с актуальными нарушителями при реализации угроз безопасности компании «НАГ»:
Виды риска (ущерба) и возможные негативные последствия |
Виды актуального нарушителя |
Категория нарушителя |
Уровень возможностей нарушителя |
У2: Потеря (хищение) денежных средств; невозможность заключения договоров, соглашений; нарушение штатного режима функционирования автоматизированной системы управления и управляемого объекта и/или процесса; причинение имущественного ущерба; утечка конфиденциальной информации (коммерческой тайны, секретов производства (ноу-хау) и др.) |
Разработчики программных, программно-аппаратных средств |
Внутренний |
Н3 |
Лица, привлекаемые для установки, настройки, испытаний, пусконаладочных и иных видов работ |
Внутренний |
Н2 |
|
Преступные группы (криминальные структуры) |
Внешний |
Н3 |
|
Системные администраторы и администраторы безопасности |
Внутренний |
Н2 |
|
Конкурирующие организации |
Внешний |
Н2 |
|
У1: нарушение конфиденциальности (утечка) персональных данных; нарушение иных прав и свобод гражданина, закрепленных в Конституции РФ и федеральных законах |
Хакеры |
Внешний |
Н2 |
Конкурирующие организации |
Внешний |
Н2 |
|
Администраторы |
Внутренний |
Н2 |
|
Авторизованные пользователи |
Внутренний |
Н1 |