- •2 Возможные негативные последствия от реализации (возникновения) угроз безопасности информации
- •3 Возможные объекты воздействия, функционирующие в рассматриваемой испдн
- •4 Потенциальные нарушители и их цели
- •5 Актуальные нарушители при реализации угроз безопасности информации и, соответствующие им возможности
- •6 Определения актуальных способов реализации угроз безопасности информации и, соответствующие им виды нарушителей и их возможности
- •6 Возможные угрозы безопасности информации
- •7 Сценарии реализации угроз безопасности информации
4 Потенциальные нарушители и их цели
На основании Методики ФСТЭК и с учётом того, что для ИСПДн актуальны угрозы 1-го типа, спектр потенциальных нарушителей расширяется за счёт субъектов, способных внедрять или эксплуатировать недекларированные возможности. Определены следующие потенциальные нарушители, представленные в таблице А.3.
Таблице А.3 – Возможные цели реализации угроз безопасности информации нарушителями
№ |
Виды нарушителя |
Категория нарушителя |
Возможные цели реализации угроз безопасности информации |
1 |
Отдельные физические лица (хакеры) |
Внешний
|
Желание самореализации (подтверждения статуса). Получение финансовой выгоды от продажи персональных данных. Эксплуатация известных НДВ в системном ПО |
2 |
Разработчики программных и программно-аппаратных средств |
Внешний |
Внедрение НДВ в системное и прикладное ПО на этапе разработки. Получение финансовой выгоды. Создание предпосылок для последующей эксплуатации уязвимостей |
3 |
Лица, обеспечивающие поставку программных, программно-аппаратных средств |
Внешний |
Внедрение НДВ и закладочных устройств на этапе поставки оборудования и ПО. Подмена легитимного ПО на модифицированное с НДВ |
4 |
Лица, привлекаемые для установки, настройки, испытаний, пусконаладочных и иных видов работ |
Внутренний |
Получение финансовой или иной материальной выгоды. Непреднамеренные, неосторожные или неквалифицированные действия. Внедрение НДВ при установке и настройке системного ПО.
|
5 |
Лица, обеспечивающие функционирование систем и сетей (администрация, уборщики) |
Внутренний
|
Получение финансовой или иной материальной выгоды. Непреднамеренные, неосторожные или неквалифицированные действия |
6 |
Авторизованные пользователи систем и сетей (бухгалтер, администратор приёмной, инженер) |
Внутренний |
Получение финансовой или иной материальной выгоды.Месть за ранее совершённые действия. Непреднамеренные, неосторожные или неквалифицированные действия. |
Продолжение таблицы А.3
7 |
Системные администраторы и администраторы безопасности (IT-специалист, зам. начальника по безопасности) |
Внутренний |
Получение финансовой или иной материальной выгоды. Любопытство или желание самореализации. Непреднамеренные, неосторожные или неквалифицированные действия. Использование привилегированного доступа для активации НДВ. |
8 |
Бывшие работники (уволенные сотрудники) |
Внешний |
Месть за ранее совершённые действия. Получение финансовой выгоды. |
9 |
Преступные группы (криминальные структуры) |
Внешний |
Получение финансовой выгоды от продажи персональных данных. Желание самореализации (подтверждения статуса). Нанесение ущерба деятельности организации. |