АНАЛИЗ И РАЗРАБОТКА МОДЕЛИ УГРОЗ, Классификация и анализ источников угроз и уязвимостей безопасности - Разработка модели системы информационной безопасности на предприятии
Классификация и анализ источников угроз и уязвимостей безопасности
В информационной безопасности под угрозой понимают потенциальное событие или действие, которое может повлиять на работу компьютерной сети и ведет к сбою систему безопасности. При воздействии на ресурсы угрозы приводят к несанкционированному доступу, искажению, распространению защищенных данных. Целесообразно разделить источники угроз на следующие группы:
- - антропогенные угрозы (случайные ошибки разработки и эксплуатации составных частей системы безопасности, умышленные действия нарушителя); - техногенные угрозы (отказы и сбои технического оборудования); - стихийные угрозы (угрозы безопасности естественного характера);
В таблице 2 представлена классификация и возможные угрозы, характерные для учреждения.
Таблица 2. Классификация источников угроз
Антропогенные источники угроз | |
Внутренние |
Внешние |
Лица, имеющие санкционированный доступ к объектам безопасности (руководство, преподаватели, студенты) |
Потенциальные хакеры |
Представители управления по безопасности и режиму |
Поставщики информационных услуг (провайдеры, |
Представители управления информатизации (администратор системы, разработчики) |
Представители аварийных и инспекционных служб |
Технический и вспомогательный персонал (уборщики, электрики, сантехники, плотники) |
Недобросовестные партнеры |
Техногенные источники угроз | |
Внутренние |
Внешние |
Некачественные аппаратные средства обработки информации |
Средства связи (каналы передачи информации) |
Отказ и сбой средств хранения информации |
Структура инженерных коммуникаций |
Незащищенные средства передачи информации |
Вредоносное программное обеспечение и вирусы |
Сбои в работе средств обеспечения безопасности |
Стихийные источники угроз характеризуются непреодолимой силой и распространяются на все объекты безопасности. Такие угрозы сложно спрогнозировать и предотвратить. Основными стихийными источниками угроз являются: пожары, наводнения, ураганы и непредвиденные обстоятельства. Защитные меры относительно стихийных угроз должны выполняться постоянно.
Относительно вышеперечисленных угроз наиболее вероятными и опасными являются непреднамеренные действия внутренних пользователей и лиц, имеющих непосредственное отношение к компьютерной сети.
Самыми частыми и самыми опасными (с точки зрения размера ущерба) являются непреднамеренные ошибки штатных пользователей, операторов, системных администраторов и других лиц, обслуживающих компьютерную сеть.
Антропогенные угрозы являются наиболее вероятными, так как есть возможность спрогнозировать действия людей и принять соответствующие контрмеры, которые в свою очередь зависят от действий лиц, ответственных за обеспечение информационной безопасности.
Угрозы, как правило, являются следствием уязвимостей, которые в свою очередь приводят к нарушению безопасности. Уязвимость - это недостаток системы, который позволяет успешно реализовать угрозу и нарушить целостность системы. Уязвимости могут возникнуть по нескольким причинам:
- - ошибки при создании программно обеспечения (ПО); - умышленное внесение уязвимостей на стадии проектирования ПО; - несанкционированное использование вредоносных программ и, как следствие, неосновательное расходование ресурсов; - непреднамеренные действия пользователей; - нарушение в работе программно-аппаратного обеспечения;
Существуют следующие уязвимости:
- - Объективные (уязвимости, зависящие от технического оборудования информационной системы):
- - Аппаратные закладки (закладки техническом и периферийном оборудовании); - Программные закладки (вредоносное ПО);
Ослабление или ликвидация уязвимостей оказывает влияние на вероятность осуществления угроз информационной безопасности.
Похожие статьи
-
Модель нарушителя - Разработка модели системы информационной безопасности на предприятии
Обеспечение защиты информационных активов университета специфично, так как это учреждение с непостоянной аудиторией. По причине того, что атаки могут...
-
1. Общие сведения 1.1 Наименование Система информационной безопасности ФГБОУ ВПО "Нижегородский государственный архитектурно-строительный университет" 2....
-
ВВЕДЕНИЕ - Разработка модели системы информационной безопасности на предприятии
Обеспечение безопасности информационных ресурсов давно стало предметом обсуждения во многих учреждениях, в совокупности с развитием информационных...
-
Информационный безопасность автоматизированный угроза Классификация угроз информационной безопасности Анализ актуальных угроз конфиденциальной...
-
Учебный процесс в ННГАСУ сопровождается значительной информационной базой, развитием компьютерного парка и внедрением в образовательный процесс...
-
При рассмотрении вопросов защиты АС целесообразно использовать четырехуровневую градацию доступа к хранимой, обрабатываемой и защищаемой АС информации....
-
Безопасность информации предполагает отсутствие недопустимого риска, связанного с утечкой информации по техническим каналам, несанкционированными и...
-
Доклад Всемирного экономического форума "Глобальные риски 2012" ("Global Risks 2012") рассматривает кибератаки как одну из основных угроз мировой...
-
Количество рабочих станций, всего 20 Количество ПК, работающих в сети 21 Характеристики компьютеров От amd phenom 1055t и выше Операционная система...
-
Технология как строго научное понятие означает определенный комплекс научных и инженерных знаний, воплощенный в способах, приемах труда, наборах...
-
Анализ на соответствие стандартам и существующим политикам Проанализировав актуальные стандарты и "лучшие практики" в сфере информационной безопасности и...
-
Для определения актуальных угроз безопасности, необходимо учитывать два значения. Первый показатель - это уровень исходной защищенности информационной...
-
1.1 Физические средства-различные устройства и системы механического, электрического либо электронного плана, деятельность которых не зависит от...
-
2.1. ИСПДн класса К3 Заказчика характеризуются сосредоточенностью на территории занимаемого Заказчиком помещения без подключения к сетям общего...
-
МОДЕЛЬ УГРОЗ безопасности персональных данных при их обработке в информационной системе персональных данных "ИСПДн ЧТК" Челябинской Телевизионной...
-
- Подключение к исходной базе данных пользователей внешних информационных систем; - Отказ в доступе к желаемому ресурсу, если пользователем не пройдена...
-
Постановка задачи Основной целью дипломной работы является создание комплексной системы информационной безопасности предприятия на примере информационной...
-
Введение - Обеспечение информационной безопасности на предприятии
Данная статья посвящена важности информационной системы и необходимости ее защиты. В ней говориться о различных средствах и методах, помогающих...
-
Угроза - целенаправленное действие, которое повышает уязвимость накапливаемой, хранимой и обрабатываемой системы информации и приводит к ее случайному...
-
В настоящее время существует множество видов угроз информации. Так как информация сейчас является одним из ключевых факторов успешного функционирования...
-
Большинство инцидентов информационной безопасности связано с воздействием внутренних угроз - утечки и кражи информации, утечки коммерческой тайны и...
-
Информационный безопасность программный сеть Информационная система ФГБОУ ВПО "Нижегородский государственный архитектурно-строительный университет"...
-
Самым правильным шагом в этом направлении будет приглашение специалиста по информационной безопасности, который вместе с вами постарается решить весь...
-
Постановление Правительства Российской Федерации №1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах...
-
Конституция Российской Федерации, принятая 12 декабря 1993 года, имеет высшую юридическую силу, прямое действие и применяется на всей территории...
-
Решение вопроса о разработке эффективной политики информационной безопасности на современном предприятии обязательно связано с проблемой выбора критериев...
-
Понятие модели нарушителя. Типы моделей - Угрозы информационным ресурсам
Угроза безопасности - потенциальное нарушение безопасности, любое обстоятельство или событие, которое может явиться причиной нанесения ущерба...
-
Введение - Системный подход к анализу информационных рисков и угроз предприятия
Понятия "системный подход" и "информационный риск" употребляются в научно-практической литературе достаточно часто. Вместе с тем, оба эти понятия не...
-
4.1. Работы по аттестации ИСПДн класса К3 Заказчика должны носить комплексный характер, охватывая все элементы системы. 4.2. Работа должна быть выполнена...
-
Оценка стоимости разработки программного обеспечения, или, в частности информационной системы, - один из самых важных, сложных и в то же время неизбежных...
-
1.Технические (аппаратные средства) - это различные по типу устройства (механические, электромеханические, электронные и др.), которые аппаратными...
-
Техническое задание - Разработка информационно-справочной системы "Аптека"
Техническое задание представляет собой документ, в котором сформулированы основные цели разработки, требования к программному продукту, определены сроки...
-
Законодательные средства - законы и другие нормативно-правовые акты, с помощью которых регламентируются правила использования, обработки и передачи...
-
Классификация источников угроз - Проектирование средств защиты информации
Обозначение Определение категории Уровень угрозы Антропогенные источники угроз Внутренние по отношение к АС А1 Технический персонал, который обслуживает...
-
Системный подход к анализу информационной сферы предприятия Сущность системного подхода может быть определена путем обобщения его свойств и...
-
Определение методов реинжиниринга информационных систем Основные задачи, которые стоят перед проектировщиком, занимающимся реинжинирингом информационных...
-
В условиях обогащения данными современного общества, где информация является основой экономической деятельности, значительно изменились роль и функции...
-
Требования к функциональным характеристикам система должна обеспечивать выполнение следующих функций: - Актуальная информативность Исходные данные:...
-
Проведенный анализ причинно-следственной природы информационных рисков, позволяет определить сущность управления информационными рисками. Она заключается...
-
Физическая модель базы данных определяет способ размещения данных в среде хранения и способ доступа к этим данным, которые поддерживаются на физическом...
АНАЛИЗ И РАЗРАБОТКА МОДЕЛИ УГРОЗ, Классификация и анализ источников угроз и уязвимостей безопасности - Разработка модели системы информационной безопасности на предприятии