Tag Archives: Mimboloveмодель угроз
Четвертая часть документа МОДЕЛЬ УГРОЗ БЕЗОПАСНОСТИ ИНФОРМАЦИИ Автоматизированной системы.
1. МОДЕЛЬ НАРУШИТЕЛЕЙ БЕЗОПАСНОСТИ В АС
4.1 Описание возможных нарушителей (типы и виды нарушителей)
Типы нарушителей определялись по результатам анализа прав доступа субъектов к информации и к компонентам АС, а также анализа возможностей нарушителей по доступу к компонентам АС исходя из структурно-функциональных характеристик и особенностей функционирования АС.
Анализ прав доступа производился, в отношении следующих компонент АС:
- устройств ввода/вывода (отображения) информации;
- беспроводных устройств; программных, программно-технических и технических средств обработки информации; съемных машинных носителей информации;
- машинных носителей информации, выведенных из эксплуатации;
- активного (коммутационного) и пассивного оборудования каналов связи;
- каналов связи, выходящих за пределы контролируемой зоны.
Третья часть документа МОДЕЛЬ УГРОЗ БЕЗОПАСНОСТИ ИНФОРМАЦИИ Автоматизированной системы.
1. СУБЪЕКТЫ И ОБЪЕКТЫ ВОЗДЕЙСТВИЯ УГРОЗ
Для проведения оценки и определения состава потенциальных угроз безопасности информации, обрабатываемой в АС, необходимо идентифицировать все объекты данной системы, подлежащие защите (далее объекты защиты). Состав объектов защиты определяется на основе анализа субъектов и объектов АС, на которые могут воздействовать или в границах которых могут иметь место проявления потенциальными угроз.
К субъектам и объектам воздействия потенциальных угроз (субъекты и объекты воздействия угроз) относятся:
- процессы функционирования АС;
- оборудование, включая СВТ и компоненты, входящее в состав АС;
- используемое программное обеспечение;
- особые зоны (контролируемая территория, коммуникации, помещения);
- субъекты воздействия угроз (персонал АС);
- информационные ресурсы, как носители конфиденциальной информации и иной защищаемой информации, в том числе:
- информации о состоянии процессов функционирования АС;
- информации, обрабатываемая в АС в ходе выполнения персоналом своих функциональных обязанностей;
- сведений о коммерческой деятельности;
- технологической и управляющей информации (конфигурационные файлы, таблицы маршрутизации, настройки систем защиты и пр.);
- аутентификационной информации (ключи, пароли, ключевая документация и т.д.);
- специальное ПО, а также резервные копии (дистрибутивы) используемого системного и прикладного ПО, инструментальные средства (утилиты и т.п.) систем управления (администрирования), чувствительные по отношению к случайным и/или несанкционированным воздействиям;
- информация о подсистемах и СЗИ, их структуре, принципах функционирования, используемых технических решениях и процедурах управления (администрирования);
- информация, хранимая в файловых и иных электронных хранилищах о состоянии подсистем жизнеобеспечения и физической защиты, о событиях, произошедших в АС, а также о планах и регламентах обеспечения ее бесперебойной работы и восстановления в случае сбоев и отказов.
Вторая часть документа МОДЕЛЬ УГРОЗ БЕЗОПАСНОСТИ ИНФОРМАЦИИ Автоматизированной системы.
1. Классификация УГРОЗ БЕЗОПАСНОСТИ
2.1. Общий подход к определению потенциальных угроз в АС
При определении потенциальных угроз безопасности в АС учитывались структурно-функциональные характеристики данной автоматизированной системы, включающие в себя:
- структуру;
- состав;
- физические, логические, функциональные и технологические взаимосвязи между сегментами (компонентами) системы;
- информационные связи с иными информационными системами и информационно-телекоммуникационными сетями;
- режимы обработки информации;
- иные характеристики, применяемых в системе информационных технологий.
Целью моделирования угроз безопасности конфиденциальных сведений являлось получение качественной оценки потенциальных угроз информации, обрабатываемой в АС. (далее…)
Первая часть документа МОДЕЛЬ УГРОЗ БЕЗОПАСНОСТИ ИНФОРМАЦИИ Автоматизированной системы.
1. Общие положения
Основной целью защиты сведений конфиденциального характера в автоматизированной системе (АС) является защита интересов субъектов конфиденциальных данных (КД), иных лиц, чьи данные обрабатываются в АС, а также, исключение возможности нанесения ущерба сторонам — участникам информационных отношений в процессах функционирования АС.
Достижение цели защиты сведений конфиденциального характера (КХ) в АС должно обеспечивать исключением проявлений угроз безопасности в виде материального, морального или иного случайного и\или преднамеренного ущерба, который может быть причинен путем нарушений свойств конфиденциальности, целостности и доступности сведений конфиденциального характера и иной защищаемой информации, необходимой для выполнения процессов обработки, хранения, передачи и обеспечения безопасности, обрабатываемых в АС данных. (далее…)
0