46796 (607944), страница 4
Текст из файла (страница 4)
доступные ресурсы – информационные, сетевые данные
возможная мотивация действий –умышленно.
Ошибка операционного персонала
Нападения пригодные для реализации угрозы (уязвимость, методы, возможность). Возможность – высоковероятная, уязвимость – неосторожность обращения с ресурсами, методы нападения – ошибочное использование нелегального ПО (по неосторожности).
Объект нападения – информация, БД, сеть
Тип потери – целостность, доступность, затруднение в деятельности
Масштаб ущерба – средний
Источник угроз – операционный персонал
опыт – средний уровень
знания – необходимы
доступные ресурсы – технические и программные средства
возможная мотивация действий – халатность, неосмотрительность.
Ошибка технического обслуживания
Нападения пригодные для реализации угрозы (уязвимость, методы, возможность). Возможность – вероятная, уязвимость – электрическая и локальная сеть, информация, методы нападения – использование технического оборудования и ПО.
Объект нападения – электрическая и локальная сеть, информация
Тип потери – целостность, доступность, затруднение в деятельности, денежные затраты на оборудование
Масштаб ущерба – средний
Источник угроз – техническое обслуживание
опыт – присутствует
знания – необходимы
доступные ресурсы – технические и программные средства
возможная мотивация действий – небрежность, халатность
Техническая неисправность компонентов системы
Нападения пригодные для реализации угрозы (уязвимость, методы, возможность). Возможность – вероятная, уязвимость – устарелость, методы нападения – некачественное использование компонентов сети.
Объект нападения – компоненты сети
Тип потери – целостность, доступность, затруднение в деятельности, оборудование
Масштаб ущерба – низкий
Источник угроз – периферийные устройства.
Ошибка при передаче
Нападения пригодные для реализации угрозы (уязвимость, методы, возможность). Возможность – вероятная, уязвимость – коллизии, методы нападения – неправильное вычисление контрольной суммы.
Объект нападения – информация.
Тип потери – целостность, затруднение в деятельности
Масштаб ущерба – средний
Источник угроз – сеть, внешние воздействия
Повреждение в линиях связи
Нападения пригодные для реализации угрозы (уязвимость, методы, возможность). Возможность – высоковероятная, уязвимость – незащищенность линий связи, методы нападения – случайный обрыв линий связи.
Объект нападения – линии связи.
Тип потери – затруднение в деятельности
Масштаб ущерба – средний
Источник угроз – рабочий персонал
опыт – отсутствует
знания – не обязательны
доступные ресурсы – информационные
возможная мотивация действий – неосторожность
Перегрузка трафика
Нападения пригодные для реализации угрозы (уязвимость, методы, возможность). Возможность – вероятная, уязвимость – перегрузка сети, сетевые устройства, методы нападения– одновременная посылка (запрос) сообщений с разных станций.
Объект нападения – сеть
Тип потери – доступность, затруднение в деятельности
Масштаб ущерба – средний
Источник угроз – пользователь АРМ
опыт – отсутствие
знания – не обязательны
доступные ресурсы – сетевые
возможная мотивация действий – отсутствует.
Перехват
Нападения пригодные для реализации угрозы (уязвимость, методы, возможность). Возможность – вероятная, уязвимость – незащищенность канала связи при передачи, методы нападения– перехват информации.
Объект нападения – информация
Тип потери – целостность, правильность передачи
Масштаб ущерба – высокий
Источник угроз – постороннее лицо
опыт – высокий уровень
знания – нужны
доступные ресурсы – информационные и программные
возможная мотивация действий – умысел
Проникновение в коммуникации
Нападения пригодные для реализации угрозы (уязвимость, методы, возможность). Возможность – вероятная, уязвимость – незащищенность коммуникаций, методы нападения – с помощью программных и аппаратных средств (жучки, прослушка).
Объект нападения – информация, данные
Тип потери – конфиденциальность
Масштаб ущерба – средний
Источник угроз – посторонние лица (шпионы)
опыт – высокий
знания – необходимы
доступные ресурсы – информационные
возможная мотивация действий – умысел.
Ошибочная маршрутизация сообщений
Нападения пригодные для реализации угрозы (уязвимость, методы, возможность). Возможность – вероятная, уязвимость – неисправность работы маршрутизатора, устарелость, методы нападения – ошибочная адресация.
Объект нападения – информация, данные
Тип потери – доступность, конфиденциальность, целостность, затруднения в деятельности
Масштаб ущерба – средний
Источник угроз – периферийное устройство (маршрутизатор)
Повторная маршрутизация сообщений
Нападения пригодные для реализации угрозы (уязвимость, методы, возможность). Возможность – вероятная, уязвимость – неисправность работы маршрутизатора, методы нападения– повторная адресация.
Объект нападения – информация, данные
Тип потери – затруднение в деятельности
Масштаб ущерба – средний
Источник угроз – маршрутизатор
Отрицание
Нападения пригодные для реализации угрозы (уязвимость, методы, возможность). Возможность – маловероятная, уязвимость – отсутствие средств добиться отказуемости, методы нападения – отказ в признании пересылаемого.
Объект нападения – информация
Тип потери – затруднение в деятельности
Масштаб ущерба – низкий
Источник угроз – внешнее / внутреннее лицо
опыт – отсутствие
знания – не обязательны
доступные ресурсы – информационные
возможная мотивация действий – злоумышленность.
Неисправность услуг связи (т.е. услуг сети)
Нападения пригодные для реализации угрозы (уязвимость, методы, возможность). Возможность – высоковероятная, уязвимость – отсутствие должного контроля за работоспособностью сети, методы нападения – неисправная работа сети.
Объект нападения – работоспособность связи
Тип потери – затруднение в деятельности
Масштаб ущерба – низкий
Источник угроз – внешнее воздействие, ПО.
Ошибки пользователя
Нападения пригодные для реализации угрозы (уязвимость, методы, возможность). Возможность – вероятная, уязвимость – некомпетентность, методы – случайное удаление сведений.
Объект нападения – БД.
Тип потери – информационный
Масштаб ущерба – высокий
Источник угроз – рабочий персонал
знания – не обязательны
доступные ресурсы – вычислительные, информационные
возможная мотивация действий – небрежность, недобросовестность
Неправильное использование ресурсов
Нападения пригодные для реализации угрозы (уязвимость, методы, возможность). Возможность – вероятная, уязвимость – неквалифицированный персонал, методы – использование не по назначению.
Объект нападения – программное обеспечение.
Тип потери – временные
Масштаб ущерба – низкий
Источник угроз – неквалифицированный персонал
опыт – начальный уровень
знания – минимальные
доступные ресурсы – информационные
возможная мотивация действий – отсутствие опыта работы, знаний в данной области.
Дефицит персонала
Нападения пригодные для реализации угрозы (уязвимость, методы, возможность). Возможность – маловероятная, уязвимость – накопление работы, методы – массовое увольнение.
Объект нападения – работники отделения.
Тип потери – потеря производительности (работа будет выполняться не вовремя)
Масштаб ущерба – средний
Источник угроз – руководитель
опыт – необязателен
знания – присутствуют
доступные ресурсы – любые
возможная мотивация действий – некомпетентность, жесткие условия труда.
Главным объектом нападения будет чувствительная информация, а опасными угрозами – преднамеренное незаконное действие (постороннее лицо, злоумышленник), вредоносное программного обеспечения и ошибки работников отделения. В результате основными потерями являются информационные ресурсы, их конфиденциальность, денежные потери и затруднения в деятельности.
3. Квалификация угроз актуальных для информационной системы
Точный прогноз актуальных угроз позволяет снизить риск нарушения ИБ при минимизации затрат ресурсов организации. В процессе анализа возможных и выявления актуальных для активов организации угроз должен оцениваться риск, возникающий вследствие потенциального воздействия определенной угрозы. После оценивания риска должно быть принято решение, является ли он допустимым. Если риск является недопустимым, уровень риска подлежит снижению до допустимого путем принятия защитных мер.
Необходимо оценивать все угрозы, уязвимости и риски для обеспечения уверенности в том, что процесс оценки рисков в организации является полным. В таблице 0 приведены основные компоненты процесса оценки рисков по данной методике.
Таблица 4 - Типичные компоненты процесса оценки рисков
| Если кто-либо захочет проследить угрозы | Через зоны уязвимостей | То они приведут в результате к какому-нибудь из следующих рисков |
| Неавторизованное использование ПО и среды хранения Вредоносное ПО, ошибка операционного персонала, электромагнитное излучение, колебание мощности Подделка идентификатора пользователя, кража, перехват, проникновение в коммуникации, преднамеренное повреждение Пожар, авария источника мощности, авария ПО | Работники отделения Оборудование и аппаратура Приложения Коммуникации Программное обеспечение Операционные системы Среда хранения | Денежная потеря Потеря производительности Затруднения Потеря конфиденциальности, доступности и целостности информации |
В таблице 5 описывает действие каждой из четырех высоко-уровневых угроз.
Таблица 5 – Описание угроз
| Угрозы | Описание |
| Неавторизованное использование ПО и среды хранения | Эти угрозы являются случайным или преднамеренным использование информации, места локализации, что ведет к изменениям или разрушениям информации людьми, с осуществлением или без осуществления доступа к рабочему процессу во время выполнения их обычных обязанностей |
| Вредоносное ПО, ошибка пользователя, электромагнитное излучение, колебание мощности | Эти угрозы являются неосторожной, из-за небрежности, или случайной потерей, дополнением, изменением или уничтожением информации. Эта угроза может проистекать вследствие действий или бездействия людей; неправильного функционирования аппаратных средств, программного обеспечения или коммуникаций; и природных бедствий, возможна временная приостановка работы |
| Пожар, авария источника мощности, авария ПО | Эти угрозы являются случайными, незапланированными, ведущие к потери информации, оборудования, снижению производительности, затруднению в деятельности; могут быть вызваны стихией |
| Подделка идентификатора пользователя, кража, перехват, проникновение в коммуникации, преднаме-ренное повреждение | Такие угрозы являются умышленными, способ получения информации несанкционированным доступом, что влечет потерю конфиденциальности, доступности и целостности сведений, их потерю. |
Описание зон локализации уязвимостей приведено в таблице 6.
Таблица 6 – Описание зон локализации уязвимостей
| Зона локализации уязвимостей | Описание |
| Персонал | Уязвимости этой зоны связаны с работниками отделения. Они касаются обученности и осведомленности сотрудников |
| Оборудование и аппаратура (все уровни, особенно физический и сетевой), | Уязвимости этой зоны связаны с физической безопасностью рабочих зон и аппаратуры, а также доступа к ним |
| Приложения (уровни сетевых и функциональных приложений) | Уязвимости этой зоны связаны с методом, с помощью которого информация обрабатывается для функционирования. Приложение включает обработку ввода для получения вывода |
| Коммуникации (физический и сетевой уровни) | Уязвимости этой зоны связаны с электронным движением информации |
| Программное обеспечение, относящееся к среде и операционные системы (в особенности уровни ОС и СУБД) | Уязвимости этой зоны связаны с программным обеспечением операционных систем и подсистем, в рамках которых приложения разрабатываются и исполняются |
При проведении оценки рисков должны рассматриваться три основные категории возможных потерь, описанные в таблице 7 .
Таблица 7 – Категории возможных потерь
| Категории возможных потерь | Описание |
| Денежная потеря | Денежная потеря определяется как потеря ценностей или увеличение стоимости или расходов. В сомнительных случаях необходимо классифицировать более высокий риск денежной потери или более высокое возможное значение потери, более высокий риск функционирования бизнеса. |
| Потеря производительности | Потеря производительности происходит тогда, когда персонал не способен продолжать выполнение своих обязанностей или когда необходимо повторять служебные обязанности. Прерывания работы или дублирование усилия могут приводить к недоступности бизнес-функций или к некорректности результатов |
| Затруднения для организаций | Эта категория касается ситуаций, оказывающих влияние на установление общественного доверия. Следует учитывать также конфиденциальность, точность и согласованность |
Составим матрицу оценки рисков. Уровни риска подразделяются на: высокий (В) - значительный, средний (С) - нормальный, низкий (Н) минимальная возможность потери.
Таблица 8 - Матрица оценки рисков
| ЗОНА УЯЗВИМОСТИ: Физический уровень. Идентифицировать уровень риска, проистекающего из реализации угрозы: | Риск денежной потери | Риск потери производительности | Риск затруднения | ||||||
| Пожар | В | В | В | ||||||
| Преднамеренное повреждение | С | С | С | ||||||
| Авария источника мощности | С | С | С | ||||||
| Авария в подаче воды | Н | Н | Н | ||||||
| Авария воздушного кондиционирования | Н | Н | Н | ||||||
| Неисправности аппаратных средств | С | В | В | ||||||
| Колебание мощности | Н | Н | С | ||||||
| Экстремальные значения температуры и влажности | Н | Н | Н | ||||||
| Пыль | Н | С | С | ||||||
| Электромагнитное излучение | Н | С | С | ||||||
| Кража | С | С | С | ||||||
| Неавторизованное использование среды хранения | Н | Н | Н | ||||||
| Износ среды хранения | С | С | Н | ||||||
| Операционная ошибка персонала | Н | Н | Н | ||||||
| Ошибка технического обслуживания | С | Н | С | ||||||
| Авария программного обеспечения | Н | Н | Н | ||||||
| Использование программного обеспечения неавторизованными пользователями | Н | Н | Н | ||||||
| Использование программного обеспечения неавторизованным способом | Н | Н | Н | ||||||
| Подделка идентификатора пользователя | Н | Н | Н | ||||||
| Нелегальное использование программного обеспечения | Н | Н | Н | ||||||
| Вредоносное программное обеспечение | Н | Н | Н | ||||||
| Нелегальный импорт/экспорт программного обеспечения | Н | Н | Н | ||||||
| Доступ к сети неавторизованных пользователей | Н | Н | Н | ||||||
| Ошибка операционного персонала | Н | Н | Н | ||||||
| Ошибка технического обслуживания | С | В | В | ||||||
| Техническая неисправность компонентов сети | С | С | С | ||||||
| Ошибки при передаче | Н | Н | Н | ||||||
| Повреждения в линиях связи | С | В | В | ||||||
| Перегрузка трафика | Н | Н | Н | ||||||
| Перехват | Н | Н | Н | ||||||
| Проникновение в коммуникации | Н | Н | С | ||||||
| Ошибочная маршрутизация сообщений | Н | Н | Н | ||||||
| Повторная маршрутизация сообщений | Н | Н | Н | ||||||
| Отрицание | Н | Н | Н | ||||||
| Неисправность услуг связи (то есть, услуг сети) | Н | С | Н | ||||||
| Ошибки пользователя | Н | Н | Н | ||||||
| Неправильное использование ресурсов | Н | Н | Н | ||||||
| Дефицит персонала | Н | Н | Н | ||||||
| Пожар | С | В | В | ||||||
| Преднамеренное повреждение | С | В | В | ||||||
| Авария источника мощности | Н | В | В | ||||||
| Авария в подаче воды | Н | Н | Н | ||||||
| Авария воздушного кондиционирования | Н | Н | Н | ||||||
| Неисправности аппаратных средств | С | С | В | ||||||
| Колебание мощности | Н | С | С | ||||||
| Экстремальные значения температуры и влажности | Н | С | С | ||||||
| Пыль | Н | Н | Н | ||||||
| Электромагнитное излучение | Н | В | С | ||||||
| Кража | Н | С | С | ||||||
| Неавторизованное использование среды хранения | Н | Н | Н | ||||||
| Износ среды хранения | Н | Н | Н | ||||||
| Операционная ошибка персонала | Н | Н | С | ||||||
| Ошибка технического обслуживания | С | С | В | ||||||
| Авария программного обеспечения | Н | Н | С | ||||||
| Использование программного обеспечения неавторизованными пользователями | Н | С | С | ||||||
| Использование программного обеспечения неавторизованным способом | Н | С | С | ||||||
| Подделка идентификатора пользователя | Н | Н | Н | ||||||
| Нелегальное использование программного обеспечения | Н | С | С | ||||||
| Вредоносное программное обеспечение | Н | Н | Н | ||||||
| Нелегальный импорт/экспорт программного обеспечения | Н | Н | Н | ||||||
| Доступ к сети неавторизованных пользователей | Н | С | С | ||||||
| Ошибка операционного персонала | Н | С | Н | ||||||
| Ошибка технического обслуживания | С | С | С | ||||||
| Техническая неисправность компонентов сети | С | В | С | ||||||
| Ошибки при передаче | С | С | С | ||||||
| Повреждения в линиях связи | С | С | С | ||||||
| Перегрузка трафика | Н | Н | Н | ||||||
| Перехват | Н | Н | Н | ||||||
| Проникновение в коммуникации | Н | Н | Н | ||||||
| Ошибочная маршрутизация сообщений | Н | С | С | ||||||
| Повторная маршрутизация сообщений | Н | С | С | ||||||
| Отрицание | Н | Н | Н | ||||||
| Неисправность услуг связи (то есть, услуг сети) | Н | С | С | ||||||
| Ошибки пользователя | Н | Н | Н | ||||||
| Неправильное использование ресурсов | Н | Н | Н | ||||||
| Дефицит персонала | Н | Н | Н | ||||||
| Пожар | С | С | Н | ||||||
| Преднамеренное повреждение | С | С | Н | ||||||
| Авария источника мощности | Н | Н | Н | ||||||
| Авария в подаче воды | Н | Н | Н | ||||||
| Авария воздушного кондиционирования | Н | Н | Н | ||||||
| Неисправности аппаратных средств | Н | Н | Н | ||||||
| Колебание мощности | С | С | С | ||||||
| Экстремальные значения температуры и влажности | С | С | С | ||||||
| Пыль | Н | Н | Н | ||||||
| Электромагнитное излучение | Н | Н | Н | ||||||
| Кража | С | Н | Н | ||||||
| Неавторизованное использование среды хранения | Н | Н | Н | ||||||
| Износ среды хранения | Н | Н | Н | ||||||
| Операционная ошибка персонала | Н | С | С | ||||||
| Ошибка технического обслуживания | С | С | Н | ||||||
| Авария программного обеспечения | С | В | В | ||||||
| Использование программного обеспечения неавторизованными пользователями | Н | С | С | ||||||
| Использование программного обеспечения неавторизованным способом | Н | С | С | ||||||
| Подделка идентификатора пользователя | Н | С | С | ||||||
| Нелегальное использование программного обеспечения | Н | Н | С | ||||||
| Вредоносное программное обеспечение | С | В | В | ||||||
| Нелегальный импорт/экспорт программного обеспечения | С | С | С | ||||||
| Доступ к сети неавторизованных пользователей | Н | Н | С | ||||||
| Ошибка операционного персонала | Н | С | С | ||||||
| Ошибка технического обслуживания | Н | С | Н | ||||||
| Техническая неисправность компонентов сети | Н | С | Н | ||||||
| Ошибки при передаче | С | С | С | ||||||
| Повреждения в линиях связи | Н | С | Н | ||||||
| Перегрузка трафика | Н | С | С | ||||||
| Перехват | С | С | Н | ||||||
| Проникновение в коммуникации | Н | Н | Н | ||||||
| Ошибочная маршрутизация сообщений | С | В | В | ||||||
| Повторная маршрутизация сообщений | С | С | С | ||||||
| Отрицание | Н | Н | Н | ||||||
| Неисправность услуг связи (то есть, услуг сети) | С | С | Н | ||||||
| Ошибки пользователя | С | С | С | ||||||
| Неправильное использование ресурсов | Н | В | С | ||||||
| Дефицит персонала | Н | Н | Н | ||||||
| Пожар | В | В | В | ||||||
| Преднамеренное повреждение | С | С | С | ||||||
| Авария источника мощности | С | С | С | ||||||
| Авария в подаче воды | Н | Н | Н | ||||||
| Авария воздушного кондиционирования | Н | Н | Н | ||||||
| Неисправности аппаратных средств | С | В | В | ||||||
| Колебание мощности | Н | С | С | ||||||
| Экстремальные значения температуры и влажности | Н | Н | Н | ||||||
| Пыль | Н | Н | Н | ||||||
| Электромагнитное излучение | С | С | С | ||||||
| Кража | Н | Н | Н | ||||||
| Неавторизованное использование среды хранения | Н | Н | Н | ||||||
| Износ среды хранения | Н | Н | Н | ||||||
| Операционная ошибка персонала | Н | Н | С | ||||||
| Ошибка технического обслуживания | Н | Н | Н | ||||||
| Авария программного обеспечения | С | В | В | ||||||
| Использование программного обеспечения неавторизованными пользователями | Н | Н | С | ||||||
| Использование программного обеспечения неавторизованным способом | С | Н | С | ||||||
| Подделка идентификатора пользователя | Н | С | С | ||||||
| Нелегальное использование программного обеспечения | Н | Н | Н | ||||||
| Вредоносное программное обеспечение | В | В | В | ||||||
| Нелегальный импорт/экспорт программного обеспечения | С | Н | Н | ||||||
| Доступ к сети неавторизованных пользователей | Н | С | С | ||||||
| Ошибка операционного персонала | С | С | В | ||||||
| Ошибка технического обслуживания | Н | С | С | ||||||
| Техническая неисправность компонентов сети | Н | С | С | ||||||
| Ошибки при передаче | Н | Н | С | ||||||
| Повреждения в линиях связи | Н | С | С | ||||||
| Перегрузка трафика | Н | Н | С | ||||||
| Перехват | Н | С | С | ||||||
| Проникновение в коммуникации | Н | Н | Н | ||||||
| Ошибочная маршрутизация сообщений | Н | Н | С | ||||||
| Повторная маршрутизация сообщений | Н | Н | С | ||||||
| Отрицание | Н | Н | Н | ||||||
| Неисправность услуг связи (то есть, услуг сети) | Н | Н | Н | ||||||
| Ошибки пользователя | Н | С | С | ||||||
| Неправильное использование ресурсов | Н | В | В | ||||||
| Дефицит персонала | Н | Н | Н | ||||||
| Пожар | В | В | В | ||||||
| Преднамеренное повреждение | В | В | В | ||||||
| Авария источника мощности | С | С | С | ||||||
| Авария в подаче воды | Н | Н | Н | ||||||
| Авария воздушного кондиционирования | Н | Н | Н | ||||||
| Неисправности аппаратных средств | В | В | В | ||||||
| Колебание мощности | С | С | С | ||||||
| Экстремальные значения температуры и влажности | Н | Н | Н | ||||||
| Пыль | Н | Н | Н | ||||||
| Электромагнитное излучение | С | С | С | ||||||
| Кража | В | С | С | ||||||
| Неавторизованное использование среды хранения | В | С | С | ||||||
| Износ среды хранения | В | В | В | ||||||
| Операционная ошибка персонала | В | С | С | ||||||
| Ошибка технического обслуживания | Н | Н | Н | ||||||
| Авария программного обеспечения | В | В | В | ||||||
| Использование программного обеспечения неавторизованными пользователями | В | С | С | ||||||
| Использование программного обеспечения неавторизованным способом | С | В | С | ||||||
| Подделка идентификатора пользователя | С | В | В | ||||||
| Нелегальное использование программного обеспечения | В | С | С | ||||||
| Вредоносное программное обеспечение | В | В | В | ||||||
| Нелегальный импорт/экспорт программного обеспечения | В | В | В | ||||||
| Доступ к сети неавторизованных пользователей | В | В | С | ||||||
| Ошибка операционного персонала | В | В | С | ||||||
| Ошибка технического обслуживания | С | С | В | ||||||
| Техническая неисправность компонентов сети | В | В | В | ||||||
| Ошибки при передаче | С | В | В | ||||||
| Повреждения в линиях связи | В | С | В | ||||||
| Перегрузка трафика | Н | В | С | ||||||
| Перехват | В | В | Н | ||||||
| Проникновение в коммуникации | Н | Н | Н | ||||||
| Ошибочная маршрутизация сообщений | С | В | В | ||||||
| Повторная маршрутизация сообщений | С | В | В | ||||||
| Отрицание | Н | Н | С | ||||||
| Неисправность услуг связи (то есть, услуг сети) | Н | С | С | ||||||
| Ошибки пользователя | С | С | С | ||||||
| Неправильное использование ресурсов | Н | В | В | ||||||
| Дефицит персонала | С | С | С | ||||||
| Пожар | В | В | В | ||||||
| Преднамеренное повреждение | С | С | С | ||||||
| Авария источника мощности | С | С | С | ||||||
| Авария в подаче воды | Н | Н | Н | ||||||
| Авария воздушного кондиционирования | Н | Н | Н | ||||||
| Неисправности аппаратных средств | С | С | С | ||||||
| Колебание мощности | С | С | С | ||||||
| Экстремальные значения температуры и влажности | Н | Н | Н | ||||||
| Пыль | Н | Н | Н | ||||||
| Электромагнитное излучение | Н | Н | Н | ||||||
| Кража | Н | Н | С | ||||||
| Неавторизованное использование среды хранения | Н | Н | С | ||||||
| Износ среды хранения | Н | Н | С | ||||||
| Операционная ошибка персонала | Н | С | С | ||||||
| Ошибка технического обслуживания | Н | Н | Н | ||||||
| Авария программного обеспечения | С | С | С | ||||||
| Использование программного обеспечения неавторизованными пользователями | Н | Н | Н | ||||||
| Использование программного обеспечения неавторизованным способом | Н | Н | Н | ||||||
| Подделка идентификатора пользователя | Н | С | С | ||||||
| Нелегальное использование программного обеспечения | Н | Н | Н | ||||||
| Вредоносное программное обеспечение | С | С | С | ||||||
| Нелегальный импорт/экспорт программного обеспечения | С | С | В | ||||||
| Доступ к сети неавторизованных пользователей | Н | Н | Н | ||||||
| Ошибка операционного персонала | Н | С | С | ||||||
| Ошибка технического обслуживания | Н | Н | Н | ||||||
| Техническая неисправность компонентов сети | Н | С | Н | ||||||
| Ошибки при передаче | Н | С | С | ||||||
| Повреждения в линиях связи | Н | Н | С | ||||||
| Перегрузка трафика | Н | Н | Н | ||||||
| Перехват | Н | Н | Н | ||||||
| Проникновение в коммуникации | Н | С | С | ||||||
| Ошибочная маршрутизация сообщений | Н | С | С | ||||||
| Повторная маршрутизация сообщений | Н | С | С | ||||||
| Отрицание | Н | Н | Н | ||||||
| Неисправность услуг связи (то есть, услуг сети) | Н | С | Н | ||||||
| Ошибки пользователя | Н | С | С | ||||||
| Неправильное использование ресурсов | Н | С | В | ||||||
| Дефицит персонала | Н | Н | Н | ||||||
| Пожар | Н | В | В | ||||||
| Преднамеренное повреждение | С | В | В | ||||||
| Авария источника мощности | С | В | В | ||||||
| Авария в подаче воды | Н | Н | Н | ||||||
| Авария воздушного кондиционирования | Н | Н | Н | ||||||
| Неисправности аппаратных средств | Н | В | В | ||||||
| Колебание мощности | С | В | С | ||||||
| Экстремальные значения температуры и влажности | Н | Н | С | ||||||
| Пыль | Н | Н | Н | ||||||
| Электромагнитное излучение | Н | Н | С | ||||||
| Кража | В | В | В | ||||||
| Неавторизованное использование среды хранения | Н | С | С | ||||||
| Износ среды хранения | С | Н | С | ||||||
| Операционная ошибка персонала | Н | Н | С | ||||||
| Ошибка технического обслуживания | Н | С | С | ||||||
| Авария программного обеспечения | Н | С | В | ||||||
| Использование программного обеспечения неавторизованными пользователями | Н | С | С | ||||||
| Использование программного обеспечения неавторизованным способом | Н | Н | С | ||||||
| Подделка идентификатора пользователя | С | Н | С | ||||||
| Нелегальное использование программного обеспечения | Н | Н | Н | ||||||
| Вредоносное программное обеспечение | В | С | В | ||||||
| Нелегальный импорт/экспорт программного обеспечения | С | С | Н | ||||||
| Доступ к сети неавторизованных пользователей | С | Н | Н | ||||||
| Ошибка операционного персонала | С | С | С | ||||||
| Ошибка технического обслуживания | С | С | С | ||||||
| Техническая неисправность компонентов сети | Н | С | С | ||||||
| Ошибки при передаче | С | С | С | ||||||
| Повреждения в линиях связи | С | В | В | ||||||
| Перегрузка трафика | Н | С | С | ||||||
| Перехват | С | С | Н | ||||||
| Проникновение в коммуникации | С | С | С | ||||||
| Ошибочная маршрутизация сообщений | С | В | В | ||||||
| Повторная маршрутизация сообщений | Н | В | В | ||||||
| Отрицание | С | В | Н | ||||||
| Неисправность услуг связи (то есть, услуг сети) | С | С | В | ||||||
| Ошибки пользователя | С | В | С | ||||||
| Неправильное использование ресурсов | Н | Н | В | ||||||
| Дефицит персонала | Н | В | В | ||||||
Таблица 9 – Таблица оценки риска
| Категория потерь | ||||
| Зона уязвимости | Денежная потеря | Потеря производительности | Затруднения | Общий риск |
| Физический уровень | Н | Н | Н | Н |
| Сетевой уровень | Н | С | С | С |
| Уровень сетевых приложений | Н | С | Н | Н |
| Уровень операционных систем | Н | Н | С | Н |
| Уровень СУБД | В | В | С | В |
| Уровень функциональных приложений | Н | С | С | С |
| Уровень бизнес-процессов | Н | С | С | С |
Самой уязвимой зоной, в которой риск потери будет высокий, - это уровень системы управления базами данных. Важной значение для отделения Пенсионного Фонда имеет потеря информации. Актуальными будут те угрозы, которые на уровне СУБД носят высокую степень риска. Отделение Пенсионного Фонда РФ не составляет особого интереса окружающим (возможно, потому что не занимается денежными операциями, а только назначением на пенсию), поэтому общий риск потерь не является особо высоким на рассматриваемых уровнях, и самой актуальными угрозами будут неисправность программного обеспечения и аппаратных средств, ошибки пользователей.
4. Разработка политики безопасности
Разработка и выполнение политики ИБ организации является наиболее эффективным способом минимизации рисков нарушения ИБ для собственника. Политика безопасности представляет собой свод принципов и правил безопасности для наиболее важных областей деятельности и зон ответственности персонала. Политика информационной безопасности является планом высокого уровня, в котором описываются цели и задачи мероприятий в сфере безопасности.
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
