Четвертая часть документа МОДЕЛЬ УГРОЗ БЕЗОПАСНОСТИ ИНФОРМАЦИИ Автоматизированной системы.

1. МОДЕЛЬ НАРУШИТЕЛЕЙ БЕЗОПАСНОСТИ В АС

4.1 Описание возможных нарушителей (типы и виды нарушителей)

Типы нарушителей определялись по результатам анализа прав доступа субъектов к информации и к компонентам АС, а также анализа возможностей нарушителей по доступу к компонентам АС исходя из структурно-функциональных характеристик и особенностей функционирования АС.

Анализ прав доступа производился, в отношении следующих компонент АС:

• устройств ввода/вывода (отображения) информации;
• беспроводных устройств; программных, программно-технических и технических средств обработки информации; съемных машинных носителей информации;
• машинных носителей информации, выведенных из эксплуатации;
• активного (коммутационного) и пассивного оборудования каналов связи;
• каналов связи, выходящих за пределы контролируемой зоны.

(далее…)

Третья часть документа МОДЕЛЬ УГРОЗ БЕЗОПАСНОСТИ ИНФОРМАЦИИ Автоматизированной системы.

1. СУБЪЕКТЫ И ОБЪЕКТЫ ВОЗДЕЙСТВИЯ УГРОЗ

Для проведения оценки и определения состава потенциальных угроз безопасности информации, обрабатываемой в АС, необходимо идентифицировать все объекты данной системы, подлежащие защите (далее объекты защиты). Состав объектов защиты определяется на основе анализа субъектов и объектов АС, на которые могут воздействовать или в границах которых могут иметь место проявления потенциальными угроз.

К субъектам и объектам воздействия потенциальных угроз (субъекты и объекты воздействия угроз) относятся:

• процессы функционирования АС;
• оборудование, включая СВТ и компоненты, входящее в состав АС;
• используемое программное обеспечение;
• особые зоны (контролируемая территория, коммуникации, помещения);
• субъекты воздействия угроз (персонал АС);
• информационные ресурсы, как носители конфиденциальной информации и иной защищаемой информации, в том числе:
• информации о состоянии процессов функционирования АС;
• информации, обрабатываемая в АС в ходе выполнения персоналом своих функциональных обязанностей;
• сведений о коммерческой деятельности;
• технологической и управляющей информации (конфигурационные файлы, таблицы маршрутизации, настройки систем защиты и пр.);
• аутентификационной информации (ключи, пароли, ключевая документация и т.д.);
• специальное ПО, а также резервные копии (дистрибутивы) используемого системного и прикладного ПО, инструментальные средства (утилиты и т.п.) систем управления (администрирования), чувствительные по отношению к случайным и/или несанкционированным воздействиям;
• информация о подсистемах и СЗИ, их структуре, принципах функционирования, используемых технических решениях и процедурах управления (администрирования);
• информация, хранимая в файловых и иных электронных хранилищах о состоянии подсистем жизнеобеспечения и физической защиты, о событиях, произошедших в АС, а также о планах и регламентах обеспечения ее бесперебойной работы и восстановления в случае сбоев и отказов.

(далее…)

Вторая часть документа МОДЕЛЬ УГРОЗ БЕЗОПАСНОСТИ ИНФОРМАЦИИ Автоматизированной системы.

1. Классификация УГРОЗ БЕЗОПАСНОСТИ

2.1. Общий подход к определению потенциальных угроз в АС

При определении потенциальных угроз безопасности в АС учитывались структурно-функциональные характеристики данной автоматизированной системы, включающие в себя:

• структуру;
• состав;
• физические, логические, функциональные и технологические взаимосвязи между сегментами (компонентами) системы;
• информационные связи с иными информационными системами и информационно-телекоммуникационными сетями;
• режимы обработки информации;
• иные характеристики, применяемых в системе информационных технологий.

Целью моделирования угроз безопасности конфиденциальных сведений являлось получение качественной оценки потенциальных угроз информации, обрабатываемой в АС. (далее…)

Первая часть документа МОДЕЛЬ УГРОЗ БЕЗОПАСНОСТИ ИНФОРМАЦИИ Автоматизированной системы.

1. Общие положения

Основной целью защиты сведений конфиденциального характера в автоматизированной системе (АС) является защита интересов субъектов конфиденциальных данных (КД), иных лиц, чьи данные обрабатываются в АС, а также, исключение возможности нанесения ущерба сторонам — участникам информационных отношений в процессах функционирования АС.

Достижение цели защиты сведений конфиденциального характера (КХ) в АС должно обеспечивать исключением проявлений угроз безопасности в виде материального, морального или иного случайного и\или преднамеренного ущерба, который может быть причинен путем нарушений свойств конфиденциальности, целостности и доступности сведений конфиденциального характера и иной защищаемой информации, необходимой для выполнения процессов обработки, хранения, передачи и обеспечения безопасности, обрабатываемых в АС данных. (далее…)