Настоящее время характеризуется стремительной компьютеризацией, которая охватила практически все сферы человеческой жизни. Очень трудно в настоящее время найти отрасль, которая бы не ощутила на себе влияние этого глобального процесса. С каждым годом увеличивается объем информации и поэтому намного удобнее осуществлять работу с ней в электронном виде. Тем не менее, наряду с огромным количеством достоинств компьютерных технологий появляются проблемы в области информатизации, например, защиты информации. Организации, предприятия либо государственные органы, работающие в информационной сфере, должны, надлежащим образом, следить за получением, формированием, хранением, распределением и использованием сведений, поступающих к ним. Потеря конфиденциальной информации может привести к неблагоприятным последствиям в деятельности учреждения. В избежание подобных случаев, необходимо осуществлять контроль за информационной системой.

В рамках данной курсовой работы проведем анализ угроз и разработаем политику безопасности для информационной системы отделения Пенсионного Фонда РФ.

1. Описание деятельности госоргана

В г. Пензе существуют немало важные государственные учреждения, которые занимаются деятельностью в различных сферах жизни общества. В данном курсовом проекте будет уделено внимание отделению Пенсионного Фонда Российской Федерации. Целями (бизнес - цели) деятельности государственного органа являются:

- назначение на пенсию граждан РФ (работа с персональными данными);

- ведение лицевых счетов граждан РФ;

- распределение информации в банк.

Функции госучреждения следующие:

- сбор и получение информации;

- внесение ее в базы данных;

- выявление несоответствий;

- обеспечение конфиденциальности информации;

- хранение и обработка данных;

- передача сведений в банк;

- работа с Интернет.

Информационная система госучреждения должна иметь базы данных, хранящие конфиденциальную информацию о гражданине РФ: фамилию, имя, отчество, дату рождения, его доход, сведения о стаже и номер лицевого счета, а также выявлять несоответствия о полученных данных. Базы данных могут иметь наименования, такие как «БД Пенсионеров», «БД Работодателей», «БД Наемных лиц», «БД Льготников», «БД Ветеран». Информация поступает в орган двумя способами: индивидуально от каждого человека в виде бумажных документов, заверенных подписью и печатью, и через Интернет. Документы регистрируется. Электронный документ должен содержать электронно-цифровую подпись, т.е. входящая информация шифруется системами криптозащиты. Сведения заносятся в базу данных с автоматизированных рабочих мест операторов. Все изменения, внесенный в БД, периодически должны сохраняться, делаться копии на случай утери информации.

По схеме «запрос - ответ» может осуществляться обмен информации между регионами. Пенсионный фонд, получив запрос, анализирует актуальность, проверяет наличие прав на этот запрос, так как доступ к информации ограничен определенным кругом лиц, после чего извлекает из БД запись одного лица и отправляет ответ. Все запросы должны фиксироваться в специальном журнале. За этими действиями должен следить администратор по информационной безопасности. Информацию о назначении на пенсию граждан РФ отправляют в банк, где хранится их лицевой счет и происходит ежемесячная выдача определенной суммы денег. Передается информация в зашифрованном виде, что обеспечивает ее уникальность. Госучреждение должно взаимодействовать по отдельным защищенным каналам связи с г. Москвой (корпоративная сеть) для того, чтобы там хранить копии БД. В случае непредвиденных обстоятельств, сведения можно восстановить. Информационная система (ИС) госоргана должна достаточно надежно обеспечивать многофункциональную систему защиты собственных баз данных с информацией о людях и их счетах, подобрать специальное программное обеспечение, а также доступ к информации должен быть ограничен определенным кругом лиц.

1.1 Разработка структурной и инфологической моделей информационной системы госучреждения

Функционирование информационной системы осуществляется следующим образом. Сведения заносятся в базу данных с автоматизированных рабочих мест (АРМ) операторов, два из которых будут соединены с почтовым сервером. Некоторые АРМ будут взаимосвязаны друг с другом. Базы данных (БД), система управления базами данных (СУБД) располагаются на администраторском сервере, взаимосвязанном с АРМ и с главным сервером в г. Москве, хранящий копию БД. Обработка данных осуществляется на главном (администраторском) сервере. Администратор имеет доступа к сети Интернет, но не сам сервер. АРМ администратора информационной безопасности (ИБ) обеспечивает защиту БД. Каждый компьютер имеет пароль, с помощью которого администратор ИБ проверяет наличие прав доступ персонала к БД (пароли) и фиксирует запросы на информацию. Только он имеет право удалять устаревшую информацию и хранить копии БД. АРМ банка получает сведения, поступившие из БД, от квалифицированных работников по средствам связи (телефон, факс, компьютер и т.д.).

Составим структурную модель ИС, состоящую из таких элементов как:

- автоматизированные рабочие места (АРМ), с которых операторы заносят информацию в БД, поступающую в индивидуальном порядке от физического лица либо от почтового сервера, и которые отправляют сведения в банк;

- почтовый сервер, на который информация поступает через Интернет;

- администраторский сервер, хранящий БД, он же сервер обработки, на котором установлена система управления базами данных;

- автоматизированное рабочее место администратора информа-ционной безопасности;

- главный сервер г. Москвы, хранящий копии БД:

Функции ИС:

1. Способствует быстрому и своевременному внесению новых сведений, изменению уже имеющихся, а также удалению устарелых данных;

2. Структурирует и облегчает поиск информации в БД;

3. Показывает доступ к информационным ресурсам;

4. Обеспечивает надежное хранение данных (их безопасность);

5. Позволяет вести учет о назначения на пенсию граждан РФ;

6. Своевременная передача информации в банк.

Таблица 1 - Аппаратный компонент - пользователь

Аппаратный ресурс	Пользователь	Права пользователя	Ответственный персонал	Обязанности ответственного персонала
АРМ	Работники отделения	Возможность доступа к БД.	Работники отделения (сотрудник несет ответственность за свои действия)	Обязанности распределяются в соответствии с работой, которую они выполняют (внесение новых сведений в БД, полученных от почтового сервера, по средствам связи и лично от граждан РФ, передача сведений в банк)
АРМ администратора ИБ	Администратор ИБ	Доступ к главному серверу, к БД	Администратор ИБ	Проверять наличие прав доступа к БД, фиксирует запросы, удаляет информацию, хранить копии БД
Почтовый сервер	Администратор	Доступ к Интернету	Администратор	Контролировать функционирование автоматизированной информационной системы, обрабатывать информацию в БД, хранить и создавать копий БД, осуществлять работу с почтой и с Интернетом, взаимодействовать с АРМ, с сервером г. Москвы и с АРМ администратора ИБ
Администраторский сервер	Рабочий персонал, администратор, администратор ИБ и администратор сервера в г. Москве	Доступ и пользование БД
АРМ банка	АРМ Пенсионного Фонда РФ	Передача информации в банк по средствам связи. Отсутствие прав пользования рабочего персонала отделения Пенсионного Фонда РФ информационными ресурсами банка	_______	________
Аппаратный ресурс	Пользователь	Права пользователя	Ответственный персонал	Обязанности ответственного персонала
Сервер г.Москвы	Администратор	Доступ к хранилищу копий БД	________	____________

Информация в отделении Пенсионного Фонда РФ может классифицироваться на критическую и чувствительную.

Критичность информации подразумевает, что информация должна быть доступна тем и тогда, когда она требуется для непрерывности деятельности госоргана. Критичность информации прямо связана с критичностью процессов доступа к информации.

На основе этого информация по степени критичности может быть следующей:

- Существенная: Персональные данные о гражданах РФ (например, заработанная плата, лицевой счет и др.), хранящиеся в БД, носят существенный, критический характер. Эта информация является высоко чувствительной. При ее потери отделения Пенсионного Фонда РФ понесет значительный ущерб в деятельности. Существует возможность временное прекращение деятельности учреждения, пока БД не будут восполнены.

- Важная: Информация, поступившая на почтовый сервер или на АРМ (1,2). Потеря такой информации нанесет средний, но поправимый ущерб деятельности госоргана.

- Нормальная: Устаревшие сведения.

Чувствительность информации определяется как мера влияния на организацию неправильного отношения с ней.

По степени чувствительности могут быть выделены следующие виды информации:

- Высоко чувствительная: Раскрытие персональных данных граждан РФ.

- Чувствительная: Разглашение паролей АРМ, доступ к почтовому серверу, отсутствие шифрования данных.

Такие ситуации возможны по неосторожности, любопытству, не задумавшись о последствии действий или намеренно, если злоумышленник покидает место работы.

- Внутренняя: Регистрирование документов, должностные инструкции, ведение лицевых счетов.

- Открытая: метод обмена информации между регионами (по схеме «запрос - ответ»), количество индивидуальных счетов (1 300 000), способ хранения информации и др.

В зависимости от особенностей деятельности учреждения к информации может быть применена другая классификация. Степень критичности информации, в этом случае, определяется как мера влияния информации на бизнес - цели организации.

По степени критичности относительно доступности виды информации могут быть следующие:

- Критическая: Сведения о гражданах РФ, находящиеся в БД.

При отсутствии такой информации работа остановится.

- Очень важная: Информация, поступающая от почтового сервера, системные пароли, номера персональных счетов.

Доступ к сведениям о гражданах РФ должен быть ограничен. За этим следит администратор ИБ. Администратор сервера несет ответственность за целостность, конфиденциальность, доступность, подотчетность и подлинность БД.

- Важная: Сведения, которые должны быть переданы в банк.

- Полезная: Применение электронных таблиц Excel, использование Интернет, факса, телефонных книг - это значительно экономит временные ресурсы.

- Несущественная: сведения, хранящиеся более 75 лет.

По степени критичности относительно целостности информация, хранящаяся в БД, будет важной, так как несанкционированное изменение ее приведет к неправильной работе АРМ через некоторое время, если не будут приняты определенные действия администратором главного сервера и администратором ИБ.

По степени критичности относительно конфиденциальности информация виды информации могут быть следующие:

- Критическая: Сведения о гражданах РФ и методах связи с Г. Москва.

- Очень важная: пароли АРМ, номера персонифицированных счетов.

- Важная: Сведения, которые должны быть переданы в банк.

- Незначимая: метод обмена информации между регионами количество индивидуальных, способ хранения информации и т.д.

Главный смысл классифицирования информации состоит в том, чтобы указать на то, как персонал должен обращаться с ней. Самой критичной и чувствительной информацией являются сведения о гражданах РФ, хранящиеся в БД. БД должны хранится на администраторском сервере, а их дубликаты на АРМ администратора ИБ и в г. Москве. Главный администратор должен контролировать СУБД и нести ответственность за потерю сведений из БД или самих БД, осуществлять работу с Интернет. Ценность информации состоит в ограниченном доступе к ней. Чем ценнее сведения, тем меньше людей имеют возможность ей пользоваться (пароли, шифрование и др.). Такую информацию можно назвать чувствительной и конфиденциальной. Важной будет информация, связанная с бизнес - целями Пенсионного Фонда и поступающая с почтового сервера. Главной целью защиты информационных ресурсов является обеспечение безопасности администраторского сервера.

Таблица 2 - Информационный ресурс - пользователь

Информационный ресурс	Ответственный	Пользователь	Обязанности пользователя	Степень Критичности (чувствительности)	Фаза жизненного цикла	Место хранения
Персональные данные клиентов	Администратор и администратор по ИБ	Работники отделения (АРМ), администратор, администратор ИБ и администратор сервера в г. Москве	Сбор данных, обработка, хранение, следить за доступом к ним	Критическая	Получение обработка хранение	БД
Системные пароли	Администратор ИБ	Администратор, администратор ИБ	Следить за правом доступа	Очень важная	Хранение	АРМ Администратора ИБ
Сетевые данные	Администратор	Администратор	Передача данных на АРМ (3,4), размещение объявлений на сайте и др.	Чувствительная	Передача	Почтовый сервер
Обработанная информация	АРМ (5,б)	АРМ (5,б)	Передача информации, выявление несоответствий	Важной	Передача	БД
Регистрация документов, должностные инструкции, телефонные книги	Руководитель организации	Работники отделения	Использование этих сведений непосредственно на рабочем месте	Внутренняя	Хранение	АРМ работников, АРМ руководителя
Незасекреченная информация о деятельности отделения (способ хранения информации)	Руководитель	Граждане РФ	Использование по необходимости	Открытая	Обработка	АРМ руководителя
Информационный ресурс	Ответственный	Пользователь	Обязанности пользователя	Степень Критичности (чувствительности)	Фаза жизненного цикла	Место хранения
Устаревшие данные	Администратор по ИБ	Администратор и администратор ИБ	Хранение и удаление	Несущественная	Удаление	АРМ Администратора ИБ

Программное обеспечение

Программное обеспечение (ПО) - это совокупность программ системы обработки данных и программных документов, необходимых для эксплуатации этих программ. Основные функции ПО:

- автоматическое управление вычислительным процессом работы компьютера при минимальном вмешательстве оператора;

- повышение эффективности функционирования ЭВМ;

- обеспечение взаимодействия пользователь и компьютера;

- обеспечение контроля и надежности функционирования ЭВМ.

ПО дополняет компьютеры теми возможностями, которые трудно или экономически нецелесообразно реализовать аппаратными средствами. Информационные системы на основе компьютерных сетей выполняют функции хранение и обработки данных, организации доступа к данным, передачу данных и результатов обработки пользователем. Функциональное назначение любой компьютерной сети состоит в том, чтобы предоставлять информационные и вычислительные ресурсы пользователям, которые имеют подключение к сети. Локальная сеть включает: сервер, рабочие станции (АРМ), среду передачи (линии связи или пространство, в котором распространяются электрические сигналы и аппаратуру передачи данных), сетевое программное обеспечение, почтовый сервер. Помимо локальной сети в госоргане существует и глобальная сеть. В нее включаются еще АРМ банка и сервер в г. Москва. По определенным протоколам в сети происходит обмен информации. Протокол - это стандарт (набор правил), определяющий способ преобразования информации для ее передачи по сетям. Для подключения к Интернет и получения набора услуг компьютер должен быть присоединен к Интернет по протоколу TCP/IP (протокол управления передачей / протокол Internet) - Transmission Control Protocol / Internet Protocol. Группа протоколов TCP предназначена для контроля передачи и целостности передаваемой информации. Протокол IP описывает формат пакета данных, передаваемых по сети и принципы адресации в Интернет. Уязвимость определяется ошибками содержимого пакета при передачи.

В TCP/IP для проверки правильности пакета использует контрольную сумму. Контрольная сумма - это число, помещаемое в дейтаграмму и вычисляемое по специальному алгоритму.

Протокол POP3 (Post Office Protocol) предназначен для организации динамического доступа рабочих станций к почтовому серверу. Протокол POP3 на транспортном уровне использует TCP-соединение. Уязвимостью протокола POP3 считается - невозможность выборочного приема клиентом сообщения с почтового сервера.

Чтобы обеспечить безопасность передачи данных необходимо защищать каналы связи следующими способами: защита сообщений от несанкционированного доступа и подтверждение целостности полученных по каналам связи. Уязвимость - при огромном количестве передачи сообщений, снижается скорость передачи данных.

Передача данных осуществляется по каналам и линиям связи. С помощью информационно - логической модели ИС (Приложение А) можно наблюдать распределение данных.

Таблица 3 - Информационно-технологическая инфраструктура

№	Объект защиты	Уровень	Уязвимости
1.	Линии связи Аппаратные средства	физический	Незащищенность от помех
2.	Шлюз	Сетевой	Медленная передача
	Маршрутизаторы		Зависят от использу-емого протокола
	Концентраторы		При попытке одновременной передачи данных из двух узлов логического сегмента возникает коллизия.
3.	Почтовые программные средства	Сетевых приложений	Прием и передача сообщений Протокол POP3 может только считывать либо доставлять почту, обработка данных происходит на АРМ.
4.	ОС	Операционных система	Система ввода вывода
5.	БД	Систем управления базами данных (СУБД)	Пароли, данные, нарушение конфиденциальности
6.	Процесс назначения на пенсию	Бизнес-процессов организации	Чувствительной информация

2. Перечень и анализ угроз

Для обеспечения информационной безопасности отделения Пензенского Фонда РФ необходимо рассмотреть перечень угроз ISO/IEC PDTR 13335, проанализировать ситуации, в случае их возникновения, выявить, на сколько опасны угрозы и последствия для деятельности госоргана. Описание каждой угрозы анализируем с помощью модели угроз, включающую:

нападения пригодные для реализации угрозы (возможность, методы, уязвимости);

объекты нападений;

тип потери (конфиденциальность, целостность, доступность и т.д.);

масштаб ущерба;

источники угрозы. Для источников угроз - людей модель нарушителя должна включать:

указание их опыта,

указание знаний,

указание доступных ресурсов, необходимых для реализации угрозы,

возможную мотивацию их действий.

Список угроз из части 3 технического отчета Международной организации стандартизации ISO/IEC PDTR 13335. Этот перечень выглядит следующим образом:

землетрясение;

наводнение;

ураган;

молния;

промышленная деятельность;

бомбовая атака;

использование оружия;

пожар (огонь);

преднамеренное повреждение;

авария источника мощности;

авария в подаче воды;

авария воздушного кондиционирования;

неисправности аппаратных средств;

колебание мощности;

экстремальные значения температуры и влажности;

пыль;

электромагнитное излучение;

кража;

неавторизованное использование среды хранения;

износ среды хранения;

операционная ошибка персонала;

ошибка технического обслуживания;

авария программного обеспечения;

использование программного обеспечения неавторизованными пользователями;

использование программного обеспечения неавторизованным способом;

подделка идентификатора пользователя;

нелегальное использование программного обеспечения;

вредоносное программное обеспечение;

нелегальный импорт/экспорт программного обеспечения;

доступ к сети неавторизованных пользователей;

ошибка операционного персонала;

ошибка технического обслуживания;

техническая неисправность компонентов сети;

ошибки при передаче;

повреждения в линиях связи;

перегрузка трафика;

перехват;

проникновение в коммуникации;

ошибочная маршрутизация сообщений;

повторная маршрутизация сообщений;

отрицание;

неисправность услуг связи (то есть, услуг сети);

ошибки пользователя;

неправильное использование ресурсов;

дефицит персонала.

Анализ каждой угрозы.

Землетрясение, наводнение, ураган и молнию не имеет смысла рассматривать подробно по модели, т.к. возможность их появления мало-вероятная. Тем не менее, в случае наводнения госучреждение не пострадает, потому что находится на возвышенной местности (недалеко от Западной Поляны), относительно центра города и других спальных районов. Географическое положение г. Пенза исключает возможность землетрясения. Ураган особых последствий за собой не повлечет, если окна будут закрыты. По неосторожности (если в открытую форточку ворвется ветер) можно потерять время на наведение порядка в разбросанных бумагах. В случае удара молнии возникнет пожар. Для избежания подобной катастрофической ситуации необходимо устанавливать громоотвод. Угроза пожара будет рассмотрена ниже. Промышленная деятельность, бомбовая атака и использование оружия являются маловероятными угрозами, поэтому их подробно не анализируем. В случае реализации промышленной деятельности как угрозы может произойти случайный обрыв каналов связи с банком и г. Москвой. При этом будет потеряна часть информационного ресурса. При бомбовой атаки появится возможность потери информации, жизни людей, оборудования. Все это связано с огромными денежными потерями. При использовании оружия возникнет вероятность нарушение конфиденциальности информационного ресурса.

Пожар

Нападения пригодные для реализации угрозы (уязвимость, методы, возможность). Возможность - высоковероятная, уязвимость - незащищенность электропроводки, методы нападения - случайное замыкание.

Объект нападения - провода

Тип потери - затруднение деятельности, денежные потери

Масштаб ущерба - высокий

Источник угроз - случайность

Преднамеренное повреждение

Нападения пригодные для реализации угрозы (уязвимость, методы, возможность). Возможность - высоковероятная, уязвимость - отсутствие контроля за работниками отделения, методы нападения - намеренно совершив ошибку или удалив необходимый системный файл.

Объект нападения - программное обеспечение, оборудование

Тип потери - денежные потери, затруднение в деятельности

Масштаб ущерба - высокий

Источник угроз - работники отделения

опыт - не обязателен

знания - присутствуют

доступные ресурсы - вычислительные, аппаратные, информационные.

возможная мотивация действий - в личных корыстных целях (в случае повышения должности).

Авария источника мощности

Нападения пригодные для реализации угрозы (уязвимость, методы, возможность). Возможность - вероятная, уязвимость - незащищенность электропроводки, методы нападения - случайное замыкание.

Объект нападения - информация, сетевые и аппаратные средства

Тип потери - компьютерные данные

Масштаб ущерба - высокий

Источник угроз - рабочий персонал, стихия

опыт - не обязателен

знания - присутствуют

доступные ресурсы - физические, аппаратные, информационные

возможная мотивация действий - преднамеренно и непреднамеренно.

Авария в подаче воды

Нападения пригодные для реализации угрозы (уязвимость, методы, возможность). Возможность - маловероятная, уязвимость - незащищенные провода на полу, методы нападения - промокание сетевого кабеля.

Объект нападения - провода

Тип потери - время, затруднение в деятельности

Масштаб ущерба - низкий

Источник угроз - вода

Авария воздушного кондиционирования

Нападения пригодные для реализации угрозы (уязвимость, методы, возможность). Возможность - маловероятная, уязвимость - неисправность работы кондиционера, методы нападения - неисправная проводка.

Объект нападения - кондиционер

Тип потери - время на восстановление

Масштаб ущерба - низкий

Источник угроз - неисправность, износ оборудования (кондиционера).

Неисправности аппаратных средств

Нападения пригодные для реализации угрозы (уязвимость, методы, возможность). Возможность - вероятная, уязвимость - износ, методы нападения - длительное использование.

Объект нападения - аппаратные средства

Тип потери - денежные потери

Масштаб ущерба - средний

Источник угроз - отсутствие периодический проверки работоспособности аппаратных средств

Колебания мощности

Нападения пригодные для реализации угрозы (уязвимость, методы, возможность). Возможность - вероятная, уязвимость - незащищенность компьютеров от колебания мощности (отсутствие сетевых фильтров), методы нападения - неисправная работа персонала.

Объект нападения - информация, сетевые и аппаратные средства.

Тип потери - компьютерные данные

Масштаб ущерба - высокий

Источник угроз - рабочий персонал

опыт - не обязателен

знания - не обязательны

доступные ресурсы - физические, аппаратные

возможная мотивация действий - преднамеренно и непреднамеренно.

Экстремальные значения температуры и влажности

Нападения пригодные для реализации угрозы (уязвимость, методы, возможность). Возможность - маловероятная, уязвимость - отсутствие воздушного кондиционирования, методы нападения - перемена погоды.

Объект нападения - рабочий персонал

Тип потери - отсутствует

Масштаб ущерба - низкий

Источник угроз - природные условия

Пыль

Нападения пригодные для реализации угрозы (уязвимость, методы, возможность). Возможность - маловероятная, уязвимость - накопление пыли, методы нападения - несоблюдение влажной уборки.

Объект нападения - компьютеры

Тип потери - аппаратные средства, затруднение в деятельности

Масштаб ущерба - средний

Источник угроз - обслуживающий персонал

опыт - начальный уровень

знания - обязательны

доступные ресурсы - технические

возможная мотивация действий - невыполнение полномочий

Электромагнитное излучение

Нападения пригодные для реализации угрозы (уязвимость, методы, возможность). Возможность - вероятная, уязвимость - оборудование, методы нападения - умышленное воздействие электромагнитного излучателя.

Объект нападения - носитель информации и персонал

Тип потери - потеря времени, здоровья сотрудников отделения, информации и оборудования

Масштаб ущерба - высокий

Источник угроз - электромагнитный излучатель.

Кража

Нападения пригодные для реализации угрозы (уязвимость, методы, возможность). Возможность - высоковероятная, уязвимость - слабая защищенность информации, методы нападения - несанкционированное умышленное действие.

Объект нападения - критическая информация.

Тип потери - целостность, конфиденциальность, затруднения в деятельности

Масштаб ущерба - высокий

Источник угроз - злоумышленники

опыт - высокий уровень

знания - обязательны

доступные ресурсы - информационные, телекоммуникационные

возможная мотивация действий - в личных интересах

Неавторизованное использование среды хранения

Нападения пригодные для реализации угрозы (уязвимость, методы, возможность). Возможность - вероятная, уязвимость - незащищенность среды хранения , методы нападения - вход под чужим логин - паролем.

Объект нападения - чувствительная информация

Тип потери - конфиденциальность, целостность, денежные затраты, затруднение в деятельности

Масштаб ущерба - высокий

Источник угроз - неавторизованное лицо, авторизованное лицо под чужим именем

опыт - начальный уровень

знания - присутствуют

доступные ресурсы - информационные

возможная мотивация действий - умысел

Износ среды хранения

Нападения пригодные для реализации угрозы (уязвимость, методы, возможность). Возможность - вероятная, уязвимость - отсутствие обновления среды хранения (гибких и жестких дисков, бумаги), методы нападения- длительное использование, нагромождение сведениями БД .

Объект нападения - БД.

Тип потери - целостность

Масштаб ущерба - высокий

Источник угроз - администраторы

опыт - высокий

знания - обязательны

доступные ресурсы - информационные

возможная мотивация действий - недобросовестное выполнение обязанностей.

Операционная ошибка персонала

Нападения пригодные для реализации угрозы (уязвимость, методы, возможность). Возможность - вероятная, уязвимость - невнимательность, методы нападения - случайное незапланированное выполнение операций, подсчетов.

Объект нападения - информация.

Тип потери - целостность

Масштаб ущерба - средний

Источник угроз - персонал

опыт - как наличие, так и отсутствие

знания - не обязательны

доступные ресурсы - информационные, вычислительные

возможная мотивация действий - неосторожность

Ошибка технического обслуживания

Нападения пригодные для реализации угрозы (уязвимость, методы, возможность). Возможность - вероятная, уязвимость - невнимательность техника, методы нападения - неэффективная установка компьютерных компонентов, устройств сети.

Страницы: 1, 2