Аналіз загроз і розробка політики безпеки інформаційної системи відділення Пенсійного фонду

[ виправити ] текст може містити помилки, будь ласка перевіряйте перш ніж використовувати.

скачати

МІНІСТЕРСТВО ОСВІТИ І НАУКИ РФ
Федеральне Агентство з освіти
РОСІЙСЬКИЙ ДЕРЖАВНИЙ УНІВЕРСИТЕТ ІННОВАЦІЙНИХ ТЕХНОЛОГІЙ І ПІДПРИЄМНИЦТВА
Пензенський філія
Курсова робота
з дисципліни: «Інформаційна безпека»
На тему: «АНАЛІЗ ЗАГРОЗ І РОЗРОБКА ПОЛІТИКИ БЕЗПЕКИ ІНФОРМАЦІЙНОЇ СИСТЕМИ ВІДДІЛЕННЯ ПЕНСІЙНОГО ФОНДУ Російської Федерації»
Виконав: ст. гр. 02і1
Логунова В.В.
Прийняв: к.т.н., доцент
Зефиров С.Л.
Пенза 2005

Зміст
Введення
1. Опис діяльності держоргану
1.1 Розробка структурної та инфологической моделей інформаційної системи держустанови
2. Перелік та аналіз загроз
3. Кваліфікація загроз актуальних для інформаційної системи
4. Розробка політики безпеки
Висновок
Література
Додаток А

Введення
Теперішній час характеризується стрімкою комп'ютеризацією, яка охопила практично всі сфери людського життя. Дуже важко в даний час знайти галузь, яка б не відчула на собі вплив цього глобального процесу. З кожним роком збільшується обсяг інформації і тому набагато зручніше здійснювати роботу з нею в електронному вигляді. Тим не менш, поряд з величезною кількістю достоїнств комп'ютерних технологій з'являються проблеми в області інформатизації, наприклад, захисту інформації. Організації, підприємства або державні органи, що працюють в інформаційній сфері, повинні, належним чином, стежити за отриманням, формуванням, зберіганням, розподілом і використанням відомостей, що надходять до них. Втрата конфіденційної інформації може призвести до несприятливих наслідків у діяльності установи. У уникнути подібних випадків, необхідно здійснювати контроль за інформаційною системою.
У рамках даної курсової роботи проведемо аналіз загроз і розробимо політику безпеки для інформаційної системи відділення Пенсійного Фонду РФ.

1. Опис діяльності держоргану
У м. Пензі існує чимало важливі державні установи, які займаються діяльністю в різних сферах життя суспільства. У даному курсовому проекті буде приділено увагу відділення Пенсійного Фонду Російської Федерації. Цілями (бізнес - цілі) діяльності державного органу є:
- Призначення на пенсію громадян РФ (робота з персональними даними);
- Ведення особових рахунків громадян РФ;
- Розподіл інформації в банк.
Функції держустанови наступні:
- Збір та отримання інформації;
- Внесення її в бази даних;
- Виявлення невідповідностей;
- Забезпечення конфіденційності інформації;
- Зберігання і обробка даних;
- Передача відомостей в банк;
- Робота з Інтернет.
Інформаційна система держустанови повинна мати бази даних, що зберігають конфіденційну інформацію про громадянина РФ: прізвище, ім'я, по батькові, дату народження, його дохід, відомості про стаж і номер особового рахунку, а також виявляти невідповідності про отриманих даних. Бази даних можуть мати найменування, такі як «БД Пенсіонерів», «БД Роботодавців», «БД Найманих осіб», «БД Пільговиків», «БД Ветеран». Інформація надходить до органу двома способами: індивідуально від кожної людини у вигляді паперових документів, завірених підписом та печаткою, і через Інтернет. Документи реєструється. Електронний документ повинен містити електронно-цифровий підпис, тобто вхідна інформація шифрується системами криптозахисту. Відомості заносяться в базу даних з автоматизованих робочих місць операторів. Всі зміни, внесений до БД, періодично повинні зберігатися, робитися копії на випадок втрати інформації.
За схемою «запит - відповідь» може здійснюватися обмін інформацією між регіонами. Пенсійний фонд, отримавши запит, аналізує актуальність, перевіряє наявність прав на цей запит, тому що доступ до інформації обмежено певним колом осіб, після чого витягує з БД запис однієї особи і відправляє відповідь. Всі запити повинні фіксуватися в спеціальному журналі. За цими діями повинен стежити адміністратор з інформаційної безпеки. Інформацію про призначення на пенсію громадян РФ відправляють у банк, де зберігається їх особовий рахунок і відбувається щомісячна видача певної суми грошей. Передається інформація в зашифрованому вигляді, що забезпечує її унікальність. Держустанова має взаємодіяти з окремих захищених каналах зв'язку з м. Москвою (корпоративна мережа) для того, щоб там зберігати копії БД. У разі непередбачених обставин, відомості можна відновити. Інформаційна система (ІС) держоргану повинна досить надійно забезпечувати багатофункціональну систему захисту власних баз даних з інформацією про людей і їх рахунках, підібрати спеціальне програмне забезпечення, а також доступ до інформації повинен бути обмежений певним колом осіб.
1.1 Розробка структурної та инфологической моделей інформаційної системи держустанови
Функціонування інформаційної системи здійснюється наступним чином. Відомості заносяться в базу даних з автоматизованих робочих місць (АРМ) операторів, два з яких будуть з'єднані з поштовим сервером. Деякі АРМ будуть взаємопов'язані один з одним. Бази даних (БД), система управління базами даних (СКБД) розташовуються на адміністраторському сервері, взаємопов'язаному з АРМ і з головним сервером в м. Москві, що зберігає копію БД. Обробка даних здійснюється на головному (адміністраторському) сервері. Адміністратор має доступу до мережі Інтернет, але не сам сервер. АРМ адміністратора інформаційної безпеки (ІБ) забезпечує захист БД. Кожен комп'ютер має пароль, за допомогою якого адміністратор ІБ перевіряє наявність прав доступ персоналу до БД (паролі) і фіксує запити на інформацію. Тільки він має право видаляти застарілу інформацію і зберігати копії БД. АРМ банку отримує відомості, що надійшли з БД, від кваліфікованих працівників із засобів зв'язку (телефон, факс, комп'ютер і т.д.).
Складемо структурну модель ІС, що складається з таких елементів як:
- Автоматизовані робочі місця (АРМ), з яких оператори заносять інформацію в БД, що надходить в індивідуальному порядку від фізичної особи або від поштового сервера, і які відправляють відомості до банку;
- Поштовий сервер, на який інформація надходить через Інтернет;
- Адміністраторський сервер, який зберігає БД, він же сервер обробки, на якому встановлена ​​система управління базами даних;
- Автоматизоване робоче місце адміністратора інформації ционной безпеки;
- Головний сервер м. Москви, який зберігає копії БД:
Функції ІС:
1.Способствует швидкого і своєчасного внесення нових відомостей, зміни вже наявних, а також видалення застарілих даних;
2.Структурірует і полегшує пошук інформації в БД;
3.Показивает доступ до інформаційних ресурсів;
4.Обеспечівает надійне зберігання даних (їх безпека);
5.Позволяет вести облік про призначення на пенсію громадян РФ;
6.Своевременная передача інформації в банк.

Таблиця 1 - Апаратний компонент - користувач
Апаратний ресурс
Користувач
Права користувача
Відповідальний персонал
Обов'язки відповідального персоналу
АРМ
Працівники відділення
Можливість доступу до БД.
Працівники відділення (співробітник несе відповідальність за свої дії)
Обов'язки розподіляються відповідно до роботи, яку вони виконують (внесення нових свідчень до БД, отриманих від поштового сервера, із засобів зв'язку і особисто від громадян РФ, передача відомостей в банк)
АРМ адміністратора ІБ
Адміністратор ІБ
Доступ до головного сервера, до БД
Адміністратор ІБ
Перевіряти наявність прав доступу до БД, фіксує запити, видаляє інформацію, зберігати копії БД
Поштовий сервер
Адміністратор
Доступ до Інтернету
Адміністратор
Контролювати функціонування автоматизованої інформаційної системи, обробляти інформацію в БД, зберігати і створювати копій БД, здійснювати роботу з поштою і з Інтернетом, взаємодіяти з АРМ, з сервером м. Москви і з АРМ адміністратора ІБ
Адміністраторський сервер
Робочий персонал, адміністратор, адміністратор ІБ та адміністратор сервера в м. Москві
Доступ та користування БД
АРМ банку
АРМ Пенсійного Фонду РФ
Передача інформації в банк із засобів зв'язку. Відсутність прав користування робочого персоналу відділення Пенсійного Фонду РФ інформаційними ресурсами банку
_______
________
Апаратний ресурс
Користувач
Права користувача
Відповідальний персонал
Обов'язки відповідального персоналу
Сервер м. Москви
Адміністратор
Доступ до сховища копій БД
________
____________

Інформація у відділенні Пенсійного Фонду РФ може класифікуватися на критичну і чутливу.
Критичність інформації має на увазі, що інформація повинна бути доступна тим і тоді, коли вона потрібна для безперервності діяльності держоргану. Критичність інформації прямо пов'язана з критичністю процесів доступу до інформації.
На основі цього інформація за ступенем критичності може бути наступною:
- Істотна: Персональні дані про громадян РФ (наприклад, зароблена плата, особовий рахунок та ін), що зберігаються в БД, носять суттєвий, критичний характер. Ця інформація є високо чутливою. При її втрати відділення Пенсійного Фонду РФ понесе значних збитків у діяльності. Існує можливість тимчасове припинення діяльності установи, поки БД не будуть заповнені.
- Важлива: Інформація, що надійшла на поштовий сервер або на АРМ (1,2). Втрата такої інформації завдасть середній, але виправити шкоду діяльності держоргану.
- Нормальна: Застарілі відомості.
Чутливість інформації визначається як міра впливу на організацію неправильного відносини з нею.
За ступенем чутливості можуть бути виділені наступні види інформації:
- Високо чутлива: Розкриття персональних даних громадян РФ.
- Чутлива: Розголошення паролів АРМ, доступ до поштового сервера, відсутність шифрування даних.
Такі ситуації можливі з необережності, цікавості, не задумавшись про наслідку дій чи навмисно, якщо зловмисник залишає місце роботи.
- Внутрішня: Реєстрація документів, посадові інструкції, ведення особових рахунків.
- Відкрита: метод обміну інформації між регіонами (за схемою «запит - відповідь»), кількість індивідуальних рахунків (1 300 000), спосіб зберігання інформації та ін
Залежно від особливостей діяльності установи до інформації може бути застосована інша класифікація. Ступінь критичності інформації, в цьому випадку, визначається як міра впливу інформації на бізнес - цілі організації.
За ступенем критичності щодо доступності види інформації можуть бути наступні:
- Критична: Відомості про громадян РФ, що знаходяться в БД.
При відсутності такої інформації робота зупиниться.
- Дуже важлива: Інформація, що надходить від поштового сервера, системні паролі, номери персональних рахунків.
Доступ до відомостей про громадян РФ повинен бути обмежений. За цим стежить адміністратор ІБ. Адміністратор сервера несе відповідальність за цілісність, конфіденційність, доступність, підзвітність і справжність БД.
- Важлива: Відомості, які повинні бути передані в банк.
- Корисна: Застосування електронних таблиць Excel, використання Інтернет, факсу, телефонних книг - це значно економить часові ресурси.
- Несуттєво: відомості, що зберігаються більше 75 років.
За ступенем критичності щодо цілісності інформація, що зберігається в БД, буде важливою, так як несанкціоноване зміна її призведе до неправильної роботи АРМ через деякий час, якщо не будуть вжиті певні дії адміністратором головного сервера та адміністратором ІБ.
За ступенем критичності щодо конфіденційності інформація види інформації можуть бути наступні:
- Критична: Відомості про громадян РФ і методах зв'язку з Г. Москва.
- Дуже важлива: паролі АРМ, номери персоніфікованих рахунків.
- Важлива: Відомості, які повинні бути передані в банк.
- Незначний: метод обміну інформації між регіонами кількість індивідуальних, спосіб зберігання інформації і т.д.
Головний сенс класифікування інформації полягає в тому, щоб вказати на те, як персонал повинен поводитися з нею. Самою критичною і чутливою інформацією є відомості про громадян РФ, що зберігаються в БД. БД мають зберігається на адміністраторському сервері, а їх дублікати на АРМ адміністратора ІБ та в м. Москві. Головний адміністратор повинен контролювати СУБД і нести відповідальність за втрату відомостей з БД або самих БД, здійснювати роботу з Інтернет. Цінність інформації полягає в обмеженому доступі до неї. Що цінніший відомості, тим менше людей мають можливість нею користуватися (паролі, шифрування та ін.) Таку інформацію можна назвати чутливою і конфіденційною. Важливою буде інформація, пов'язана з бізнес - цілями Пенсійного Фонду та надходить з поштового сервера. Головною метою захисту інформаційних ресурсів є забезпечення безпеки адміністраторського сервера.
Таблиця 2 - Інформаційний ресурс - користувач
Інформаційний ресурс
Відповідальний
Користувач
Обов'язки користувача
Ступінь критичності (чутливості)
Фаза життєвого циклу
Місце зберігання
Персональні дані клієнтів
Адміністратор та адміністратор з ІБ
Працівники відділення (АРМ), адміністратор, адміністратор ІБ та адміністратор сервера в м. Москві
Збір даних, обробка, зберігання, стежити за доступом до них
Критична
Отримання обробка зберігання
БД
Системні паролі
Адміністратор ІБ
Адміністратор, адміністратор ІБ
Слідкувати за правом доступу
Дуже важлива
Зберігання
АРМ Адміністратора ІБ
Мережеві дані
Адміністратор
Адміністратор
Передача даних на АРМ (3,4), розміщення оголошень на сайті та ін
Чутлива
Передача
Поштовий сервер
Оброблена інформація
АРМ (5, б)
АРМ (5, б)
Передача інформації, виявлення невідповідностей
Важливою
Передача
БД
Реєстрація документів, посадові інструкції, телефонні книги
Керівник організації
Працівники відділення
Використання цих відомостей безпосередньо на робочому місці
Внутрішня
Зберігання
АРМ працівників, АРМ керівника
Незасекреченими інформація про діяльність відділення (спосіб зберігання інформації)
Керівник
Громадяни РФ
Використання за необхідності
Відкрита
Обробка
АРМ керівника
Інформаційний ресурс
Відповідальний
Користувач
Обов'язки користувача
Ступінь критичності (чутливості)
Фаза життєвого циклу
Місце зберігання
Застарілі дані
Адміністратор по ІБ
Адміністратор та адміністратор ІБ
Зберігання та видалення
Неістотна
Видалення
АРМ Адміністратора ІБ
Програмне забезпечення
Програмне забезпечення (ПЗ) - це сукупність програм системи обробки даних і програмних документів, необхідних для експлуатації цих програм. Основні функції ПЗ:
- Автоматичне керування обчислювальним процесом роботи комп'ютера при мінімальному втручанні оператора;
- Підвищення ефективності функціонування ЕОМ;
- Забезпечення взаємодії користувач і комп'ютера;
- Забезпечення контролю та надійності функціонування ЕОМ.
ПО доповнює комп'ютери тими можливостями, які важко або економічно недоцільно реалізувати апаратними засобами. Інформаційні системи на основі комп'ютерних мереж виконують функції зберігання та обробки даних, організації доступу до даних, передачу даних і результатів обробки користувачем. Функціональне призначення будь-якої комп'ютерної мережі полягає в тому, щоб надавати інформаційні та обчислювальні ресурси користувачам, які мають підключення до мережі. Локальна мережа включає: сервер, робочі станції (АРМ), середовище передачі (лінії зв'язку або простір, в якому поширюються електричні сигнали і апаратуру передачі даних), мережеве програмне забезпечення, поштовий сервер. Крім локальної мережі в держоргані існує і глобальна мережа. У неї включаються ще АРМ банку і сервер в м. Москва. За певних протоколах у мережі відбувається обмін інформацією. Протокол - це стандарт (набір правил), що визначає спосіб перетворення інформації для її передачі по мережах. Для підключення до Інтернет та отримання набору послуг комп'ютер повинен бути приєднаний до Інтернет по протоколу TCP / IP (протокол управління передачею / протокол Internet) - Transmission Control Protocol / Internet Protocol. Група протоколів TCP призначена для контролю передачі та цілісності інформації, що передається. Протокол IP описує формат пакета даних, переданих по мережі і принципи адресації в Інтернет. Уразливість визначається помилками вмісту пакета при передачі.
У TCP / IP для перевірки правильності пакету використовує контрольну суму. Контрольна сума - це число, що поміщається в дейтаграму і обчислюється за спеціальним алгоритмом.
Протокол POP3 (Post Office Protocol) призначений для організації динамічного доступу робочих станцій до поштового сервера. Протокол POP3 на транспортному рівні використовує TCP-з'єднання. Вразливістю протоколу POP3 вважається - неможливість вибіркового прийому клієнтом повідомлення з поштового сервера.
Щоб забезпечити безпеку передачі даних необхідно захищати канали зв'язку наступними способами: захист повідомлень від несанкціонованого доступу та підтвердження цілісності отриманих по каналах зв'язку. Уразливість - при величезній кількості передачі повідомлень, знижується швидкість передачі даних.
Передача даних здійснюється по каналах і лініях зв'язку. За допомогою інформаційно - логічної моделі ІС (Додаток А) можна спостерігати розподіл даних.
Таблиця 3 - Інформаційно-технологічна інфраструктура

Об'єкт захисту
Рівень
Уразливості
1.
Лінії зв'язку Апаратні засоби
фізичний
Незахищеність від перешкод
2.
Шлюз
Мережевий
Повільна передача
Маршрутизатори
Залежать від вико-емого протоколу
Концентратори
При спробі одночасної передачі даних з двох вузлів логічного сегмента виникає колізія.
3.
Поштові програмні засоби
Мережевих додатків
Прийом і передача повідомлень Протокол POP3 може тільки зчитувати або доставляти пошту, обробка даних відбувається на АРМ.
4.
ОС
Операційних система
Система введення виведення
5.
БД
Систем управління базами даних (СКБД)
Паролі, дані, порушення конфіденційності
6.
Процес призначення на пенсію
Бізнес-процесів організації
Чутливої ​​інформація

2. Перелік та аналіз загроз
Для забезпечення інформаційної безпеки відділення Пензенського Фонду РФ необхідно розглянути перелік загроз ISO / IEC PDTR 13335, проаналізувати ситуації, у разі їх виникнення, виявити, на скільки небезпечні загрози та наслідки для діяльності держоргану. Опис кожної загрози аналізуємо за допомогою моделі загроз, що включає:
-Напади придатні для реалізації загрози (можливість, методи, уразливості);
-Об'єкти нападів;
-Тип втрати (конфіденційність, цілісність, доступність і т.д.);
-Масштаб збитку;
-Джерела загрози. Для джерел загроз - людей модель порушника має включати:
- Вказівку їх досвіду,
- Вказівка ​​знань,
- Вказівка ​​доступних ресурсів, необхідних для реалізації загрози,
- Можливу мотивацію їх дій.
Список загроз з частиною 3 технічного звіту Міжнародної організації стандартизації ISO / IEC PDTR 13335. Цей перелік виглядає наступним чином:
-Землетрус;
-Повінь;
-Ураган;
-Блискавка;
-Промислова діяльність;
-Бомбова атака;
-Використання зброї;
-Пожежа (вогонь);
-Навмисне пошкодження;
-Аварія джерела потужності;
-Аварія в подачі води;
-Аварія повітряного кондиціонування;
-Несправності апаратних засобів;
-Коливання потужності;
-Екстремальні значення температури і вологості;
-Пил;
-Електромагнітне випромінювання;
-Крадіжка;
-Неавторизоване використання середовища зберігання;
-Знос середовища зберігання;
-Операційна помилка персоналу;
-Помилка технічного обслуговування;
-Аварія програмного забезпечення;
-Використання програмного забезпечення неавторизованими користувачами;
-Використання програмного забезпечення неавторизованим способом;
-Підробка ідентифікатора користувача;
-Нелегальне використання програмного забезпечення;
-Шкідливе програмне забезпечення;
-Нелегальний імпорт / експорт програмного забезпечення;
-Доступ до мережі неавторизованих користувачів;
-Помилка операційного персоналу;
-Помилка технічного обслуговування;
-Технічна несправність компонентів мережі;
-Помилки при передачі;
-Пошкодження в лініях зв'язку;
-Перевантаження трафіку;
-Перехоплення;
-Проникнення в комунікації;
-Помилкова маршрутизація повідомлень;
-Повторна маршрутизація повідомлень;
-Заперечення;
-Несправність послуг зв'язку (тобто, послуг мережі);
-Помилки користувача;
-Неправильне використання ресурсів;
-Дефіцит персоналу.
Аналіз кожної загрози.
Землетрус, повінь, ураган і блискавку не має сенсу розглядати детально по моделі, тому що можливість їх появи мало-ймовірна. Тим не менш, у випадку повені держустанова не постраждає, тому що знаходиться на піднесеній місцевості (недалеко від Західної Поляни), щодо центру міста та інших спальних районів. Географічне положення м. Пенза виключає можливість землетрусу. Ураган особливих наслідків за собою не спричинить, якщо вікна будуть закриті. За необережності (якщо у відкриту кватирку увірветься вітер) можна втратити час на наведення порядку в розкиданих паперах. У разі удару блискавки виникне пожежа. Для уникнення подібної катастрофічної ситуації необхідно встановлювати громовідвід. Загроза пожежі буде розглянута нижче. Промислова діяльність, бомбова атака та використання зброї є малоймовірними погрозами, тому їх докладно не аналізуємо. У разі реалізації промислової діяльності як загрози може статися випадковий обрив каналів зв'язку з банком та м. Москвою. При цьому буде втрачена частина інформаційного ресурсу. При бомбового атаки з'явиться можливість втрати інформації, життя людей, обладнання. Все це пов'язано з величезними грошовими втратами. При використанні зброї виникне ймовірність порушення конфіденційності інформаційного ресурсу.
Пожежа
Напади придатні для реалізації загрози (вразливість, методи, можливість). Можливість - високоймовірною, вразливість - незахищеність електропроводки, методи нападу - випадкове замикання.
Об'єкт нападу - проводи
Тип втрати - утруднення діяльності, грошові втрати
Масштаб збитку - високий
Джерело загроз - випадковість
Умисне пошкодження
Напади придатні для реалізації загрози (вразливість, методи, можливість). Можливість - високоймовірною, вразливість - відсутність контролю за працівниками відділення, методи нападу - навмисно зробивши помилку або видаливши необхідний системний файл.
Об'єкт нападу - програмне забезпечення, обладнання
Тип втрати - грошові втрати, ускладнення в діяльності
Масштаб збитку - високий
Джерело загроз - працівники відділення
досвід - не обов'язковий
знання - присутні
доступні ресурси - обчислювальні, апаратні, інформаційні.
можлива мотивація дій - в особистих корисливих цілях (у разі підвищення посади).
Аварія джерела потужності
Напади придатні для реалізації загрози (вразливість, методи, можливість). Можливість - ймовірна, вразливість - незахищеність електропроводки, методи нападу - випадкове замикання.
Об'єкт нападу - інформація, мережеві та апаратні засоби
Тип втрати - комп'ютерні дані
Масштаб збитку - високий
Джерело загроз - робочий персонал, стихія
досвід - не обов'язковий
знання - присутні
доступні ресурси - фізичні, апаратні, інформаційні
можлива мотивація дій - навмисно і ненавмисно.
Аварія в подачі води
Напади придатні для реалізації загрози (вразливість, методи, можливість). Можливість - малоймовірна, вразливість - незахищені проводи на підлозі, методи нападу - промокання мережевого кабелю.
Об'єкт нападу - проводи
Тип втрати - час, ускладнення в діяльності
Масштаб збитку - низький
Джерело загроз - вода
Аварія повітряного кондиціонування
Напади придатні для реалізації загрози (вразливість, методи, можливість). Можливість - малоймовірна, вразливість - несправність роботи кондиціонера, методи нападу - несправна проводка.
Об'єкт нападу - кондиціонер
Тип втрати - час на відновлення
Масштаб збитку - низький
Джерело загроз - несправність, знос обладнання (кондиціонера).
Несправності апаратних засобів
Напади придатні для реалізації загрози (вразливість, методи, можливість). Можливість - ймовірна, вразливість - знос, методи нападу - тривале використання.
Об'єкт нападу - апаратні засоби
Тип втрати - грошові втрати
Масштаб збитку - середній
Джерело загроз - відсутність періодичний перевірки працездатності апаратних засобів
Коливання потужності
Напади придатні для реалізації загрози (вразливість, методи, можливість). Можливість - ймовірна, вразливість - незахищеність комп'ютерів від коливання потужності (відсутність мережевих фільтрів), методи нападу - несправна робота персоналу.
Об'єкт нападу - інформація, мережеві та апаратні засоби.
Тип втрати - комп'ютерні дані
Масштаб збитку - високий
Джерело загроз - робочий персонал
досвід - не обов'язковий
знання - не обов'язкові
доступні ресурси - фізичні, апаратні
можлива мотивація дій - навмисно і ненавмисно.
Екстремальні значення температури і вологості
Напади придатні для реалізації загрози (вразливість, методи, можливість). Можливість - малоймовірна, вразливість - відсутність повітряного кондиціонування, методи нападу - зміна погоди.
Об'єкт нападу - робочий персонал
Тип втрати - відсутня
Масштаб збитку - низький
Джерело загроз - природні умови
Пил
Напади придатні для реалізації загрози (вразливість, методи, можливість). Можливість - малоймовірна, вразливість - накопичення пилу, методи нападу - недотримання вологого прибирання.
Об'єкт нападу - комп'ютери
Тип втрати - апаратні засоби, ускладнення в діяльності
Масштаб збитку - середній
Джерело загроз - обслуговуючий персонал
досвід - початковий рівень
знання - обов'язкові
доступні ресурси - технічні
можлива мотивація дій - невиконання повноважень
Електромагнітне випромінювання
Напади придатні для реалізації загрози (вразливість, методи, можливість). Можливість - ймовірна, вразливість - обладнання, методи нападу - умисне вплив електромагнітного випромінювача.
Об'єкт нападу - носій інформації та персонал
Тип втрати - втрата часу, здоров'я співробітників відділення, інформації та обладнання
Масштаб збитку - високий
Джерело загроз - електромагнітний випромінювач.
Крадіжка
Напади придатні для реалізації загрози (вразливість, методи, можливість). Можливість - високоймовірною, вразливість - слабка захищеність інформації, методи нападу - несанкціоноване умисна дія.
Об'єкт нападу - критична інформація.
Тип втрати - цілісність, конфіденційність, труднощі в діяльності
Масштаб збитку - високий
Джерело загроз - зловмисники
досвід - високий рівень
знання - обов'язкові
доступні ресурси - інформаційні, телекомунікаційні
можлива мотивація дій - в особистих інтересах
Неавторизоване використання середовища зберігання
Напади придатні для реалізації загрози (вразливість, методи, можливість). Можливість - ймовірна, вразливість - незахищеність середовища зберігання, методи нападу - вхід під чужим логін - паролем.
Об'єкт нападу - чутлива інформація
Тип втрати - конфіденційність, цілісність, грошові витрати, ускладнення в діяльності
Масштаб збитку - високий
Джерело загроз - неавторизоване особа, авторизоване особа під чужим ім'ям
досвід - початковий рівень
знання - присутні
доступні ресурси - інформаційні
можлива мотивація дій - умисел
Знос середовища зберігання
Напади придатні для реалізації загрози (вразливість, методи, можливість). Можливість - ймовірна, вразливість - відсутність поновлення середовища зберігання (гнучких і жорстких дисків, паперу), методи нападу-тривале використання, нагромадження відомостями БД.
Об'єкт нападу - БД.
Тип втрати - цілісність
Масштаб збитку - високий
Джерело загроз - адміністратори
досвід - високий
знання - обов'язкові
доступні ресурси - інформаційні
можлива мотивація дій - несумлінне виконання обов'язків.
Операційна помилка персоналу
Напади придатні для реалізації загрози (вразливість, методи, можливість). Можливість - ймовірна, вразливість - неуважність, методи нападу - випадкове незаплановане виконання операцій, підрахунків.
Об'єкт нападу - інформація.
Тип втрати - цілісність
Масштаб збитку - середній
Джерело загроз - персонал
досвід - як наявність, так і відсутність
знання - не обов'язкові
доступні ресурси - інформаційні, обчислювальні
можлива мотивація дій - необережність
Помилка технічного обслуговування
Напади придатні для реалізації загрози (вразливість, методи, можливість). Можливість - ймовірна, вразливість - неуважність техніка, методи нападу - неефективна встановлення комп'ютерних компонентів, пристроїв мережі.
Об'єкт нападу - апаратні і мережеві засоби.
Тип втрати - утруднення в діяльності
Масштаб збитку - середній
Джерело загроз - технічне обслуговування
досвід - високий
знання - обов'язкові
доступні ресурси - апаратні
можлива мотивація дій - недбалість
Аварія програмного забезпечення
Напади придатні для реалізації загрози (вразливість, методи, можливість). Можливість - ймовірна, вразливість - внутрішній дефект ПЗ, методи нападу - видалення файлу.
Об'єкт нападу - програмне забезпечення.
Тип втрати - цілісності інформації, труднощі в діяльності
Масштаб збитку - високий
Джерело загроз - працівники відділення
досвід - мінімальний
знання - необхідні
доступні ресурси - програмне забезпечення
можлива мотивація дій - необережність
Використання програмного забезпечення неавторизованим користувачами
Напади придатні для реалізації загрози (вразливість, методи, можливість). Можливість - ймовірна, вразливість - можливість неавторизованого входу, методи нападу - використання програми для злому мереж.
Об'єкт нападу - БД
Тип втрати - конфіденційність інформації, труднощі в діяльності
Масштаб збитку - високий
Джерело загроз - користувач АРМ
досвід - не обов'язковий
знання - не обов'язкові
доступні ресурси - інформаційні ресурси
можлива мотивація дій - самоствердження
Використання програмного забезпечення неавторизованими способом
Напади придатні для реалізації загрози (вразливість, методи, можливість). Можливість - ймовірна, вразливість - відсутність перевірки прав і можливостей користувача, методи нападу - використання програми для злому мереж.
Об'єкт нападу - сервер
Тип втрати - конфіденційність інформації, матеріальні втрати
Масштаб збитку - високий
Джерело загроз - хакер
досвід - максимальний
знання - відмінні
доступні ресурси - інформаційні ресурси
можлива мотивація дій - здійснення несанкціонованого доступу.
Підробка ідентифікатора користувача
Напади придатні для реалізації загрози (вразливість, методи, можливість). Можливість - ймовірна, вразливість - недосконалість захисту ПЗ, методи нападу - застосування чужого пароля.
Об'єкт нападу - інформація
Тип втрати - конфіденційність
Масштаб збитку - високий
Джерело загроз - персонал
досвід - високий рівень
знання - необхідні
доступні ресурси - інформаційні
можлива мотивація дій-умисел.
Нелегальне використання програмного забезпечення
Напади придатні для реалізації загрози (вразливість, методи, можливість). Можливість - ймовірна, вразливість - шкідливі підпрограми вбудовані в програми, методи нападу-закачування вірусу.
Об'єкт нападу - системи, ОС, ПЗ
Тип втрати - доступність
Масштаб збитку - середній
Джерело загроз - нелегальне ПЗ
Шкідливе програмне забезпечення
Напади придатні для реалізації загрози (вразливість, методи, можливість). Можливість - високоймовірною, вразливість - порушення роботи ОС, методи нападу - впровадження шкідливої ​​програми.
Об'єкт нападу - програми та інформація
Тип втрати - цілісність, доступність, утруднення в діяльності, грошові витрати
Масштаб збитку - високий
Джерело загроз - шкідливе ПЗ, стороння особа
досвід - наявність досвіду
знання - обов'язкові
доступні ресурси - мережеві
можлива мотивація дій - умисел.
Нелегальний імпорт / експорт програмного забезпечення
Напади придатні для реалізації загрози (вразливість, методи, можливість). Можливість - високоймовірною, вразливість - конфіденційність ПЗ, методи нападу - крадіжка.
Об'єкт нападу - ПО
Тип втрати - конфіденційність ПЗ
Масштаб збитку - високий
Джерело загроз - зовнішнє і внутрішнє особи
досвід - присутній для зовнішнього особи, відсутні для внутрішнього
знання - аналогічно як досвід
доступні ресурси - для внутрішніх - зовнішні носії, для хакерів - мережа
можлива мотивація дій - для внутрішнього - умисел, недбалість, для зовнішнього - тільки умисел.
Доступ до мережі неавторизованих користувачів
Напади придатні для реалізації загрози (вразливість, методи, можливість). Можливість - ймовірна, вразливість - мережеві дані, методи нападу - проникнення в мережу неавторизованих користувачів.
Об'єкт нападу - мережа, дані
Тип втрати - цілісність, доступність
Масштаб збитку - середній
Джерело загроз - для глобальної мережі - зовнішні джерела, для локальної - внутрішні (робочі відділення)
досвід - присутній
знання - обов'язкові
доступні ресурси - інформаційні, мережеві дані
можлива мотивація дій-навмисне.
Помилка операційного персоналу
Напади придатні для реалізації загрози (вразливість, методи, можливість). Можливість - високоймовірною, вразливість - необережність поводження з ресурсами, методи нападу - помилкове використання нелегального ПЗ (з необережності).
Об'єкт нападу - інформація, БД, мережа
Тип втрати - цілісність, доступність, ускладнення в діяльності
Масштаб збитку - середній
Джерело загроз - операційний персонал
досвід - середній рівень
знання - необхідні
доступні ресурси - технічні та програмні засоби
можлива мотивація дій - недбалість, необачність.
Помилка технічного обслуговування
Напади придатні для реалізації загрози (вразливість, методи, можливість). Можливість - ймовірна, вразливість - електрична і локальна мережа, інформація, методи нападу - використання технічного обладнання та ПЗ.
Об'єкт нападу - електрична і локальна мережа, інформація
Тип втрати - цілісність, доступність, утруднення в діяльності, грошові витрати на обладнання
Масштаб збитку - середній
Джерело загроз - технічне обслуговування
досвід - присутній
знання - необхідні
доступні ресурси - технічні та програмні засоби
можлива мотивація дій - недбалість, недбалість
Технічна несправність компонентів системи
Напади придатні для реалізації загрози (вразливість, методи, можливість). Можливість - ймовірна, вразливість - застарілість, методи нападу - неякісне використання компонентів мережі.
Об'єкт нападу - компоненти мережі
Тип втрати - цілісність, доступність, ускладнення в діяльності, обладнання
Масштаб збитку - низький
Джерело загроз - периферійні пристрої.
Помилка при передачі
Напади придатні для реалізації загрози (вразливість, методи, можливість). Можливість - ймовірна, вразливість - колізії, методи нападу - неправильне обчислення контрольної суми.
Об'єкт нападу - інформація.
Тип втрати - цілісність, ускладнення в діяльності
Масштаб збитку - середній
Джерело загроз - мережа, зовнішні впливи
Пошкодження в лініях зв'язку
Напади придатні для реалізації загрози (вразливість, методи, можливість). Можливість - високоймовірною, вразливість - незахищеність ліній зв'язку, методи нападу - випадковий обрив ліній зв'язку.
Об'єкт нападу - лінії зв'язку.
Тип втрати - утруднення в діяльності
Масштаб збитку - середній
Джерело загроз - робочий персонал
досвід - відсутня
знання - не обов'язкові
доступні ресурси - інформаційні
можлива мотивація дій - необережність
Перевантаження трафіку
Напади придатні для реалізації загрози (вразливість, методи, можливість). Можливість - ймовірна, вразливість - перевантаження мережі, мережеві пристрої, методи нападу-одночасна посилка (запит) повідомлень з різних станцій.
Об'єкт нападу - мережа
Тип втрати - доступність, ускладнення в діяльності
Масштаб збитку - середній
Джерело загроз - користувач АРМ
досвід - відсутність
знання - не обов'язкові
доступні ресурси - мережеві
можлива мотивація дій - відсутня.
Перехоплення
Напади придатні для реалізації загрози (вразливість, методи, можливість). Можливість - ймовірна, вразливість - незахищеність каналу зв'язку при передачі, методи нападу-перехоплення інформації.
Об'єкт нападу - інформація
Тип втрати - цілісність, правильність передачі
Масштаб збитку - високий
Джерело загроз - стороння особа
досвід - високий рівень
знання - потрібні
доступні ресурси - інформаційні та програмні
можлива мотивація дій - умисел
Проникнення в комунікації
Напади придатні для реалізації загрози (вразливість, методи, можливість). Можливість - ймовірна, вразливість - незахищеність комунікацій, методи нападу - за допомогою програмних і апаратних засобів (жучки, прослушка).
Об'єкт нападу - інформація, дані
Тип втрати - конфіденційність
Масштаб збитку - середній
Джерело загроз - сторонні особи (шпигуни)
досвід - високий
знання - необхідні
доступні ресурси - інформаційні
можлива мотивація дій - умисел.
Помилкова маршрутизація повідомлень
Напади придатні для реалізації загрози (вразливість, методи, можливість). Можливість - ймовірна, вразливість - несправність роботи маршрутизатора, застарілість, методи нападу - помилкова адресація.
Об'єкт нападу - інформація, дані
Тип втрати - доступність, конфіденційність, цілісність, труднощі в діяльності
Масштаб збитку - середній
Джерело загроз - периферійний пристрій (маршрутизатор)
Повторна маршрутизація повідомлень
Напади придатні для реалізації загрози (вразливість, методи, можливість). Можливість - ймовірна, вразливість - несправність роботи маршрутизатора, методи нападу-повторна адресація.
Об'єкт нападу - інформація, дані
Тип втрати - утруднення в діяльності
Масштаб збитку - середній
Джерело загроз - маршрутизатор
Заперечення
Напади придатні для реалізації загрози (вразливість, методи, можливість). Можливість - малоймовірна, вразливість - відсутність засобів добитися отказуемості, методи нападу - відмова у визнанні пересилається.
Об'єкт нападу - інформація
Тип втрати - утруднення в діяльності
Масштаб збитку - низький
Джерело загроз - зовнішнє / внутрішнє обличчя
досвід - відсутність
знання - не обов'язкові
доступні ресурси - інформаційні
можлива мотивація дій - зловмисної.
Несправність послуг зв'язку (тобто послуг мережі)
Напади придатні для реалізації загрози (вразливість, методи, можливість). Можливість - високоймовірною, вразливість - відсутність належного контролю за працездатністю мережі, методи нападу - несправна робота мережі.
Об'єкт нападу - працездатність зв'язку
Тип втрати - утруднення в діяльності
Масштаб збитку - низький
Джерело загроз - зовнішній вплив, ПЗ.
Помилки користувача
Напади придатні для реалізації загрози (вразливість, методи, можливість). Можливість - ймовірна, вразливість - некомпетентність, методи - випадкове видалення відомостей.
Об'єкт нападу - БД.
Тип втрати - інформаційний
Масштаб збитку - високий
Джерело загроз - робочий персонал
знання - не обов'язкові
доступні ресурси - обчислювальні, інформаційні
можлива мотивація дій - недбалість, несумлінність
Неправильне використання ресурсів
Напади придатні для реалізації загрози (вразливість, методи, можливість). Можливість - ймовірна, вразливість - некваліфікований персонал, методи - використання не за призначенням.
Об'єкт нападу - програмне забезпечення.
Тип втрати - тимчасові
Масштаб збитку - низький
Джерело загроз - некваліфікований персонал
досвід - початковий рівень
знання - мінімальні
доступні ресурси - інформаційні
можлива мотивація дій - відсутність досвіду роботи, знань в даній області.
Дефіцит персоналу
Напади придатні для реалізації загрози (вразливість, методи, можливість). Можливість - малоймовірна, вразливість - накопичення роботи, методи - масове звільнення.
Об'єкт нападу - працівники відділення.
Тип втрати - втрата продуктивності (робота буде виконуватися не вчасно)
Масштаб збитку - середній
Джерело загроз - керівник
досвід - необов'язковий
знання - присутні
доступні ресурси - будь-які
можлива мотивація дій - некомпетентність, тяжкі умови праці.
Головним об'єктом нападу буде чутлива інформація, а небезпечними загрозами - умисне незаконне дію (стороння особа, зловмисник), шкідливе програмного забезпечення і помилки працівників відділення. У результаті основними втратами є інформаційні ресурси, їх конфіденційність, грошові втрати і труднощі в діяльності.

3. Кваліфікація загроз актуальних для інформаційної системи
Точний прогноз актуальних загроз дозволяє знизити ризик порушення ІБ при мінімізації витрат ресурсів організації. У процесі аналізу можливих і виявлення актуальних для активів організації загроз повинен оцінюватися ризик, що виникає внаслідок потенційного впливу певної загрози. Після оцінювання ризику має бути прийнято рішення, чи є він допустимим. Якщо ризик є неприпустимим, рівень ризику підлягає зниженню до допустимого шляхом прийняття захисних заходів.
Необхідно оцінювати всі загрози, вразливості та ризики для забезпечення впевненості в тому, що процес оцінки ризиків в організації є повним. У таблиці SEQ t t_Табл_комп_проц_оц_рісков \ * MERGEFORMAT 0 наведені основні компоненти процесу оцінки ризиків за даною методикою.
Таблиця 4 - Типові компоненти процесу оцінки ризиків
Якщо хто-небудь захоче простежити загрози
Через зони вразливостей
То вони приведуть в результаті до якого-небудь з наступних ризиків
Неавторизоване використання ПЗ і середовища зберігання
Шкідливе ПЗ, помилка операційного персоналу, електромагнітне випромінювання, коливання потужності
Підробка ідентифікатора користувача, крадіжка, перехоплення, проникнення в комунікації, навмисне пошкодження
Пожежа, аварія джерела потужності, аварія ПЗ
Працівники відділення
Обладнання та апаратура
Програми
Комунікації
Програмне забезпечення
Операційні системи
Середовище зберігання
Грошова втрата
Втрата продуктивності
Труднощі
Втрата конфіденційності, доступності та цілісності інформації
У таблиці 5 описує дію кожної з чотирьох високо-рівневий загроз.
Таблиця 5 - Опис загроз
Загрози
Опис
Неавторизоване використання ПЗ і середовища зберігання
Ці загрози є випадковим або навмисним використання інформації, місця локалізації, що веде до змін або руйнувань інформації людьми, із здійсненням або без здійснення доступу до робочого процесу під час виконання своїх звичайних обов'язків
Шкідливе ПЗ, помилка користувача, електромагнітне випромінювання, коливання потужності
Ці загрози є необережною, через недбалість, або випадковою втратою, доповненням, зміною або знищенням інформації. Ця загроза може виникати внаслідок дій чи бездіяльності людей; неправильного функціонування апаратних засобів, програмного забезпечення чи комунікацій; і природних лих, можлива тимчасова припинення роботи
Пожежа, аварія джерела потужності, аварія ПЗ
Ці загрози є випадковими, незапланованими, що приводять до втрати інформації, обладнання, зниження продуктивності, утруднення в діяльності; можуть бути викликані стихією
Підробка ідентифікатора користувача, крадіжка, перехоплення, проникнення в комунікації, преднаме-ренное пошкодження
Такі погрози є навмисними, спосіб отримання інформації несанкціонованим доступом, що тягне за собою втрату конфіденційності, доступності і цілісності відомостей, їх втрату.
Опис зон локалізації вразливостей наведено в таблиці 6.
Таблиця 6 - Опис зон локалізації вразливостей
Зона локалізації вразливостей
Опис
Персонал
Уразливості цієї зони пов'язані з працівниками відділення. Вони стосуються навченості та поінформованості співробітників
Обладнання та апаратура (всі рівні, особливо фізичний і мережевий),
Уразливості цієї зони пов'язані з фізичною безпекою робочих зон і апаратури, а також доступу до них
Додатки (рівні мережевих і функціональних додатків)
Уразливості цієї зони пов'язані з методом, за допомогою якого інформація обробляється для функціонування. Додаток включає обробку введення для отримання висновку
Комунікації (фізичний і мережевий рівні)
Уразливості цієї зони пов'язані з електронним рухом інформації
Програмне забезпечення, що відноситься до середовища та операційні системи (особливо рівні ОС і СУБД)
Уразливості цієї зони пов'язані з програмним забезпеченням операційних систем і підсистем, у рамках яких програми розробляються і виконуються
При проведенні оцінки ризиків повинні розглядатися три основні категорії можливих втрат, описані в таблиці 7.
Таблиця 7 - Категорії можливих втрат
Категорії можливих втрат
Опис
Грошова втрата
Грошова втрата визначається як втрата цінностей або збільшення вартості або витрат. У сумнівних випадках необхідно класифікувати більш високий ризик грошової втрати або вище можливе значення втрати, більш високий ризик функціонування бізнесу.
Втрата продуктивності
Втрата продуктивності відбувається тоді, коли персонал не здатний продовжувати виконання своїх обов'язків або коли необхідно повторювати службові обов'язки. Переривання роботи або дублювання зусилля можуть призводити до недоступності бізнес-функцій або до некоректності результатів
Труднощі для організацій
Ця категорія стосується ситуацій, що впливають на встановлення суспільної довіри. Слід враховувати також конфіденційність, точність і узгодженість
Складемо матрицю оцінки ризиків. Рівні ризику поділяються на: високий (В) - значний, середній (С) - нормальний, низький (Н) мінімальна можливість втрати.
Таблиця 8 - Матриця оцінки ризиків
ЗОНА ВРАЗЛИВОСТІ: Фізичний рівень. Ідентифікувати рівень ризику, що виникає з реалізації загрози:
Ризик грошової втрати
Ризик втрати продуктивності
Ризик ускладнення
Пожежа
У
У
У
Умисне пошкодження
З
З
З
Аварія джерела потужності
З
З
З
Аварія в подачі води
Н
Н
Н
Аварія повітряного кондиціонування
Н
Н
Н
Несправності апаратних засобів
З
У
У
Коливання потужності
Н
Н
З
Екстремальні значення температури і вологості
Н
Н
Н
Пил
Н
З
З
Електромагнітне випромінювання
Н
З
З
Крадіжка
З
З
З
Неавторизоване використання середовища зберігання
Н
Н
Н
Знос середовища зберігання
З
З
Н
Операційна помилка персоналу
Н
Н
Н
Помилка технічного обслуговування
З
Н
З
Аварія програмного забезпечення
Н
Н
Н
Використання програмного забезпечення неавторизованими користувачами
Н
Н
Н
Використання програмного забезпечення неавторизованим способом
Н
Н
Н
Підробка ідентифікатора користувача
Н
Н
Н
Нелегальне використання програмного забезпечення
Н
Н
Н
Шкідливе програмне забезпечення
Н
Н
Н
Нелегальний імпорт / експорт програмного забезпечення
Н
Н
Н
Доступ до мережі неавторизованих користувачів
Н
Н
Н
Помилка операційного персоналу
Н
Н
Н
Помилка технічного обслуговування
З
У
У
Технічна несправність компонентів мережі
З
З
З
Помилки при передачі
Н
Н
Н
Пошкодження в лініях зв'язку
З
У
У
Перевантаження трафіку
Н
Н
Н
Перехоплення
Н
Н
Н
Проникнення в комунікації
Н
Н
З
Помилкова маршрутизація повідомлень
Н
Н
Н
Повторна маршрутизація повідомлень
Н
Н
Н
Заперечення
Н
Н
Н
Несправність послуг зв'язку (тобто, послуг мережі)
Н
З
Н
Помилки користувача
Н
Н
Н
Неправильне використання ресурсів
Н
Н
Н
Дефіцит персоналу
Н
Н
Н
Пожежа
З
У
У
Умисне пошкодження
З
У
У
Аварія джерела потужності
Н
У
У
Аварія в подачі води
Н
Н
Н
Аварія повітряного кондиціонування
Н
Н
Н
Несправності апаратних засобів
З
З
У
Коливання потужності
Н
З
З
Екстремальні значення температури і вологості
Н
З
З
Пил
Н
Н
Н
Електромагнітне випромінювання
Н
У
З
Крадіжка
Н
З
З
Неавторизоване використання середовища зберігання
Н
Н
Н
Знос середовища зберігання
Н
Н
Н
Операційна помилка персоналу
Н
Н
З
Помилка технічного обслуговування
З
З
У
Аварія програмного забезпечення
Н
Н
З
Використання програмного забезпечення неавторизованими користувачами
Н
З
З
Використання програмного забезпечення неавторизованим способом
Н
З
З
Підробка ідентифікатора користувача
Н
Н
Н
Нелегальне використання програмного забезпечення
Н
З
З
Шкідливе програмне забезпечення
Н
Н
Н
Нелегальний імпорт / експорт програмного забезпечення
Н
Н
Н
Доступ до мережі неавторизованих користувачів
Н
З
З
Помилка операційного персоналу
Н
З
Н
Помилка технічного обслуговування
З
З
З
Технічна несправність компонентів мережі
З
У
З
Помилки при передачі
З
З
З
Пошкодження в лініях зв'язку
З
З
З
Перевантаження трафіку
Н
Н
Н
Перехоплення
Н
Н
Н
Проникнення в комунікації
Н
Н
Н
Помилкова маршрутизація повідомлень
Н
З
З
Повторна маршрутизація повідомлень
Н
З
З
Заперечення
Н
Н
Н
Несправність послуг зв'язку (тобто, послуг мережі)
Н
З
З
Помилки користувача
Н
Н
Н
Неправильне використання ресурсів
Н
Н
Н
Дефіцит персоналу
Н
Н
Н
Пожежа
З
З
Н
Умисне пошкодження
З
З
Н
Аварія джерела потужності
Н
Н
Н
Аварія в подачі води
Н
Н
Н
Аварія повітряного кондиціонування
Н
Н
Н
Несправності апаратних засобів
Н
Н
Н
Коливання потужності
З
З
З
Екстремальні значення температури і вологості
З
З
З
Пил
Н
Н
Н
Електромагнітне випромінювання
Н
Н
Н
Крадіжка
З
Н
Н
Неавторизоване використання середовища зберігання
Н
Н
Н
Знос середовища зберігання
Н
Н
Н
Операційна помилка персоналу
Н
З
З
Помилка технічного обслуговування
З
З
Н
Аварія програмного забезпечення
З
У
У
Використання програмного забезпечення неавторизованими користувачами
Н
З
З
Використання програмного забезпечення неавторизованим способом
Н
З
З
Підробка ідентифікатора користувача
Н
З
З
Нелегальне використання програмного забезпечення
Н
Н
З
Шкідливе програмне забезпечення
З
У
У
Нелегальний імпорт / експорт програмного забезпечення
З
З
З
Доступ до мережі неавторизованих користувачів
Н
Н
З
Помилка операційного персоналу
Н
З
З
Помилка технічного обслуговування
Н
З
Н
Технічна несправність компонентів мережі
Н
З
Н
Помилки при передачі
З
З
З
Пошкодження в лініях зв'язку
Н
З
Н
Перевантаження трафіку
Н
З
З
Перехоплення
З
З
Н
Проникнення в комунікації
Н
Н
Н
Помилкова маршрутизація повідомлень
З
У
У
Повторна маршрутизація повідомлень
З
З
З
Заперечення
Н
Н
Н
Несправність послуг зв'язку (тобто, послуг мережі)
З
З
Н
Помилки користувача
З
З
З
Неправильне використання ресурсів
Н
У
З
Дефіцит персоналу
Н
Н
Н
Пожежа
У
У
У
Умисне пошкодження
З
З
З
Аварія джерела потужності
З
З
З
Аварія в подачі води
Н
Н
Н
Аварія повітряного кондиціонування
Н
Н
Н
Несправності апаратних засобів
З
У
У
Коливання потужності
Н
З
З
Екстремальні значення температури і вологості
Н
Н
Н
Пил
Н
Н
Н
Електромагнітне випромінювання
З
З
З
Крадіжка
Н
Н
Н
Неавторизоване використання середовища зберігання
Н
Н
Н
Знос середовища зберігання
Н
Н
Н
Операційна помилка персоналу
Н
Н
З
Помилка технічного обслуговування
Н
Н
Н
Аварія програмного забезпечення
З
У
У
Використання програмного забезпечення неавторизованими користувачами
Н
Н
З
Використання програмного забезпечення неавторизованим способом
З
Н
З
Підробка ідентифікатора користувача
Н
З
З
Нелегальне використання програмного забезпечення
Н
Н
Н
Шкідливе програмне забезпечення
У
У
У
Нелегальний імпорт / експорт програмного забезпечення
З
Н
Н
Доступ до мережі неавторизованих користувачів
Н
З
З
Помилка операційного персоналу
З
З
У
Помилка технічного обслуговування
Н
З
З
Технічна несправність компонентів мережі
Н
З
З
Помилки при передачі
Н
Н
З
Пошкодження в лініях зв'язку
Н
З
З
Перевантаження трафіку
Н
Н
З
Перехоплення
Н
З
З
Проникнення в комунікації
Н
Н
Н
Помилкова маршрутизація повідомлень
Н
Н
З
Повторна маршрутизація повідомлень
Н
Н
З
Заперечення
Н
Н
Н
Несправність послуг зв'язку (тобто, послуг мережі)
Н
Н
Н
Помилки користувача
Н
З
З
Неправильне використання ресурсів
Н
У
У
Дефіцит персоналу
Н
Н
Н
Пожежа
У
У
У
Умисне пошкодження
У
У
У
Аварія джерела потужності
З
З
З
Аварія в подачі води
Н
Н
Н
Аварія повітряного кондиціонування
Н
Н
Н
Несправності апаратних засобів
У
У
У
Коливання потужності
З
Додати в блог або на сайт

Цей текст може містити помилки.

Програмування, комп'ютери, інформатика і кібернетика | Курсова
636.6кб. | скачати


Схожі роботи:
Аналіз загроз та розробка пропозицій щодо забезпечення інформаційної безпеки Російської Федерації 2
Аналіз загроз та розробка пропозицій щодо забезпечення інформаційної безпеки Російської Федерації
Діяльність Пенсійного фонду України та фінансові проблеми вдосконаленні системи пенсійного забезпечення
Аналіз інформаційної системи організації Політика інформаційної безпеки організації
Дослідження нормативно-правової бази інформаційної безпеки підприємства відділення Південно-Західного
Розробка інформаційної політики рекламної кампанії
Управління проектом створення системи інформаційної безпеки
Забезпечення інформаційної безпеки сучасної операційної системи
Політика інформаційної безпеки для системи Облік ремонту та ТО автотранспорту
© Усі права захищені
написати до нас