АНАЛИЗ И РАЗРАБОТКА МОДЕЛИ УГРОЗ, Классификация и анализ источников угроз и уязвимостей безопасности - Разработка модели системы информационной безопасности на предприятии

Классификация и анализ источников угроз и уязвимостей безопасности

В информационной безопасности под угрозой понимают потенциальное событие или действие, которое может повлиять на работу компьютерной сети и ведет к сбою систему безопасности. При воздействии на ресурсы угрозы приводят к несанкционированному доступу, искажению, распространению защищенных данных. Целесообразно разделить источники угроз на следующие группы:

- антропогенные угрозы (случайные ошибки разработки и эксплуатации составных частей системы безопасности, умышленные действия нарушителя); - техногенные угрозы (отказы и сбои технического оборудования); - стихийные угрозы (угрозы безопасности естественного характера);

В таблице 2 представлена классификация и возможные угрозы, характерные для учреждения.

Таблица 2. Классификация источников угроз

Антропогенные источники угроз
Внутренние	Внешние
Лица, имеющие санкционированный доступ к объектам безопасности (руководство, преподаватели, студенты)	Потенциальные хакеры
Представители управления по безопасности и режиму	Поставщики информационных услуг (провайдеры,
Представители управления информатизации (администратор системы, разработчики)	Представители аварийных и инспекционных служб
Технический и вспомогательный персонал (уборщики, электрики, сантехники, плотники)	Недобросовестные партнеры
Техногенные источники угроз
Внутренние	Внешние
Некачественные аппаратные средства обработки информации	Средства связи (каналы передачи информации)
Отказ и сбой средств хранения информации	Структура инженерных коммуникаций
Незащищенные средства передачи информации	Вредоносное программное обеспечение и вирусы
Сбои в работе средств обеспечения безопасности

Стихийные источники угроз характеризуются непреодолимой силой и распространяются на все объекты безопасности. Такие угрозы сложно спрогнозировать и предотвратить. Основными стихийными источниками угроз являются: пожары, наводнения, ураганы и непредвиденные обстоятельства. Защитные меры относительно стихийных угроз должны выполняться постоянно.

Относительно вышеперечисленных угроз наиболее вероятными и опасными являются непреднамеренные действия внутренних пользователей и лиц, имеющих непосредственное отношение к компьютерной сети.

Самыми частыми и самыми опасными (с точки зрения размера ущерба) являются непреднамеренные ошибки штатных пользователей, операторов, системных администраторов и других лиц, обслуживающих компьютерную сеть.

Антропогенные угрозы являются наиболее вероятными, так как есть возможность спрогнозировать действия людей и принять соответствующие контрмеры, которые в свою очередь зависят от действий лиц, ответственных за обеспечение информационной безопасности.

Угрозы, как правило, являются следствием уязвимостей, которые в свою очередь приводят к нарушению безопасности. Уязвимость - это недостаток системы, который позволяет успешно реализовать угрозу и нарушить целостность системы. Уязвимости могут возникнуть по нескольким причинам:

- ошибки при создании программно обеспечения (ПО); - умышленное внесение уязвимостей на стадии проектирования ПО; - несанкционированное использование вредоносных программ и, как следствие, неосновательное расходование ресурсов; - непреднамеренные действия пользователей; - нарушение в работе программно-аппаратного обеспечения;

Существуют следующие уязвимости:

- Объективные (уязвимости, зависящие от технического оборудования информационной системы):
- Аппаратные закладки (закладки техническом и периферийном оборудовании); - Программные закладки (вредоносное ПО);
- Субъективные (уязвимости, зависящие от действий людей): - Ошибки (неправильная эксплуатация программных и аппаратных средств пользователями, ошибочный ввод данных); - Нарушения (нарушение правил политики информационной безопасности, нарушение режима доступа и конфиденциальности, нарушение эксплуатации аппаратных средств); - Случайные (уязвимости, обусловленные окружающей информационную систему среды) - Отказы (отказ средств обработки данных, отказ средств сети, отказ системы контроля и охраны, отказ программного обеспечения); - Сбои (перебои электроснабжения); - Повреждения (поломка инженерных коммуникаций);

Ослабление или ликвидация уязвимостей оказывает влияние на вероятность осуществления угроз информационной безопасности.

Похожие статьи

• Модель нарушителя - Разработка модели системы информационной безопасности на предприятии

  Обеспечение защиты информационных активов университета специфично, так как это учреждение с непостоянной аудиторией. По причине того, что атаки могут...

• Разработка политики информационной безопасности - Разработка модели системы информационной безопасности на предприятии

  1. Общие сведения 1.1 Наименование Система информационной безопасности ФГБОУ ВПО "Нижегородский государственный архитектурно-строительный университет" 2....

• ВВЕДЕНИЕ - Разработка модели системы информационной безопасности на предприятии

  Обеспечение безопасности информационных ресурсов давно стало предметом обсуждения во многих учреждениях, в совокупности с развитием информационных...

• Системный подход к анализу угрозами информационной безопасности, Классификация угроз информационной безопасности - Системный подход к анализу информационных рисков и угроз предприятия

  Информационный безопасность автоматизированный угроза Классификация угроз информационной безопасности Анализ актуальных угроз конфиденциальной...

• Состав аппаратных и программных средств и структура сети - Разработка модели системы информационной безопасности на предприятии

  Учебный процесс в ННГАСУ сопровождается значительной информационной базой, развитием компьютерного парка и внедрением в образовательный процесс...

• Метод защиты автоматизированной системы от угроз, относящихся к информационной безопасности - Системный подход к анализу информационных рисков и угроз предприятия

  При рассмотрении вопросов защиты АС целесообразно использовать четырехуровневую градацию доступа к хранимой, обрабатываемой и защищаемой АС информации....

• Состояние информационной безопасности предприятия - Автоматизированные системы управления и обработки информации

  Безопасность информации предполагает отсутствие недопустимого риска, связанного с утечкой информации по техническим каналам, несанкционированными и...

• Внешние угрозы информационной безопасности - Системный подход к анализу информационных рисков и угроз предприятия

  Доклад Всемирного экономического форума "Глобальные риски 2012" ("Global Risks 2012") рассматривает кибератаки как одну из основных угроз мировой...

• Существующий уровень автоматизации, Ключевые функциональные требования к информационной системе - Разработка объектно-ориентированной модели информационной системы предприятия ЗАО "ХРОМТАН"

  Количество рабочих станций, всего 20 Количество ПК, работающих в сети 21 Характеристики компьютеров От amd phenom 1055t и выше Операционная система...

• Введение - Разработка объектно-ориентированной модели информационной системы предприятия ЗАО "ХРОМТАН"

  Технология как строго научное понятие означает определенный комплекс научных и инженерных знаний, воплощенный в способах, приемах труда, наборах...

• РАЗРАБОТКА МОДЕЛИ СИСТЕМЫ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ, Анализ на соответствие стандартам и существующим политикам - Разработка модели системы информационной безопасности на предприятии

  Анализ на соответствие стандартам и существующим политикам Проанализировав актуальные стандарты и "лучшие практики" в сфере информационной безопасности и...

• Определение актуальных угроз информационной системы, Определение класса защищенности информационной системы - Разработка модели системы информационной безопасности на предприятии

  Для определения актуальных угроз безопасности, необходимо учитывать два значения. Первый показатель - это уровень исходной защищенности информационной...

• Формальные средства защиты - выполняют свои функции обособленно от человеческой деятельности, по заранее определенному алгоритму. - Обеспечение информационной безопасности на предприятии

  1.1 Физические средства-различные устройства и системы механического, электрического либо электронного плана, деятельность которых не зависит от...

• Краткая характеристика объекта информатизации для проведения работ - Разработка частной модели угроз и технического задания на информационную систему персональных данных ТВ-компании

  2.1. ИСПДн класса К3 Заказчика характеризуются сосредоточенностью на территории занимаемого Заказчиком помещения без подключения к сетям общего...

• Модель угроз безопасности персональных данных - Разработка частной модели угроз и технического задания на информационную систему персональных данных ТВ-компании

  МОДЕЛЬ УГРОЗ безопасности персональных данных при их обработке в информационной системе персональных данных "ИСПДн ЧТК" Челябинской Телевизионной...

• Требования к функциональности портала, Разработка портала - Разработка модели системы информационной безопасности на предприятии

  - Подключение к исходной базе данных пользователей внешних информационных систем; - Отказ в доступе к желаемому ресурсу, если пользователем не пройдена...

• РАЗРАБОТКА ПОРТАЛА ПЕРВИЧНОЙ АВТОРИЗАЦИИ, Постановка задачи - Разработка модели системы информационной безопасности на предприятии

  Постановка задачи Основной целью дипломной работы является создание комплексной системы информационной безопасности предприятия на примере информационной...

• Введение - Обеспечение информационной безопасности на предприятии

  Данная статья посвящена важности информационной системы и необходимости ее защиты. В ней говориться о различных средствах и методах, помогающих...

• Угрозы безопасности. Понятие и классификация - Автоматизированные системы обработки экономической информации

  Угроза - целенаправленное действие, которое повышает уязвимость накапливаемой, хранимой и обрабатываемой системы информации и приводит к ее случайному...

• Заключение, Список используемых источников - Системный подход к анализу информационных рисков и угроз предприятия

  В настоящее время существует множество видов угроз информации. Так как информация сейчас является одним из ключевых факторов успешного функционирования...

• Внутренние угрозы информационной безопасности - Системный подход к анализу информационных рисков и угроз предприятия

  Большинство инцидентов информационной безопасности связано с воздействием внутренних угроз - утечки и кражи информации, утечки коммерческой тайны и...

• Анализ информационных ресурсов - Разработка модели системы информационной безопасности на предприятии

  Информационный безопасность программный сеть Информационная система ФГБОУ ВПО "Нижегородский государственный архитектурно-строительный университет"...

• Административные методы защиты от удаленных атак в сети Internet, Как защититься от анализа сетевого трафика? - Обеспечение информационной безопасности в сети Internet

  Самым правильным шагом в этом направлении будет приглашение специалиста по информационной безопасности, который вместе с вами постарается решить весь...

• Постановление Правительства Российской Федерации "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных" - Разработка алгоритма генерации для создания базы данных искусственных биометрических образов

  Постановление Правительства Российской Федерации №1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах...

• Конституция Российской Федерации, Доктрина информационной безопасности Российской Федерации - Разработка алгоритма генерации для создания базы данных искусственных биометрических образов

  Конституция Российской Федерации, принятая 12 декабря 1993 года, имеет высшую юридическую силу, прямое действие и применяется на всей территории...

• МОДЕЛИРОВАНИЕ ПРОГРАММНО-АППАРАТНОЙ ЗАЩИТЫ ОБЪЕКТА - Разработка модели программно-аппаратной защиты на предприятии

  Решение вопроса о разработке эффективной политики информационной безопасности на современном предприятии обязательно связано с проблемой выбора критериев...

• Понятие модели нарушителя. Типы моделей - Угрозы информационным ресурсам

  Угроза безопасности - потенциальное нарушение безопасности, любое обстоятельство или событие, которое может явиться причиной нанесения ущерба...

• Введение - Системный подход к анализу информационных рисков и угроз предприятия

  Понятия "системный подход" и "информационный риск" употребляются в научно-практической литературе достаточно часто. Вместе с тем, оба эти понятия не...

• Условия проведения работы, Завершение аттестационных работ и оценка их результатов - Разработка частной модели угроз и технического задания на информационную систему персональных данных ТВ-компании

  4.1. Работы по аттестации ИСПДн класса К3 Заказчика должны носить комплексный характер, охватывая все элементы системы. 4.2. Работа должна быть выполнена...

• Описание и анализ моделей оценки стоимости разработки информационной системы - Автоматизированная система управления городскими финансами

  Оценка стоимости разработки программного обеспечения, или, в частности информационной системы, - один из самых важных, сложных и в то же время неизбежных...

• Средства защиты информации, Состав автоматизированной информационной системы - Разработка автоматизированной информационной системы в предметной области "Прогноз погоды"

  1.Технические (аппаратные средства) - это различные по типу устройства (механические, электромеханические, электронные и др.), которые аппаратными...

• Техническое задание - Разработка информационно-справочной системы "Аптека"

  Техническое задание представляет собой документ, в котором сформулированы основные цели разработки, требования к программному продукту, определены сроки...

• Неформальные средства защиты - регламентируют деятельность человека., Библиографический список - Обеспечение информационной безопасности на предприятии

  Законодательные средства - законы и другие нормативно-правовые акты, с помощью которых регламентируются правила использования, обработки и передачи...

• Классификация источников угроз - Проектирование средств защиты информации

  Обозначение Определение категории Уровень угрозы Антропогенные источники угроз Внутренние по отношение к АС А1 Технический персонал, который обслуживает...

• Системный подход к анализу информационными рисками предприятия, Системный подход к анализу информационной сферы предприятия - Системный подход к анализу информационных рисков и угроз предприятия

  Системный подход к анализу информационной сферы предприятия Сущность системного подхода может быть определена путем обобщения его свойств и...

• Основная часть, Определение методов реинжиниринга информационных систем - Модернизация структуры базы данных на основе анализа требований предприятия

  Определение методов реинжиниринга информационных систем Основные задачи, которые стоят перед проектировщиком, занимающимся реинжинирингом информационных...

• Анализ существующих информационно-поисковых систем - Разработка прототипа веб-приложения "Репозиторий электронных ресурсов"

  В условиях обогащения данными современного общества, где информация является основой экономической деятельности, значительно изменились роль и функции...

• ТРЕБОВАНИЯ К ИНФОРМАЦИОННОЙ СИСТЕМЕ, Требования к функциональным характеристикам, система должна обеспечивать выполнение следующих функций:, Исходные данные:, Требования к надежности, Предусмотреть контроль вводимой информации., Требования к составу и параметрам технических средств., Требования к информационной и программной совместимости, Требования к программной документации - Разработка Web-сайта предприятия (ООО "Полтава")

  Требования к функциональным характеристикам система должна обеспечивать выполнение следующих функций: - Актуальная информативность Исходные данные:...

• Управление информационными рисками - Системный подход к анализу информационных рисков и угроз предприятия

  Проведенный анализ причинно-следственной природы информационных рисков, позволяет определить сущность управления информационными рисками. Она заключается...

• Разработка физической модели АИС, Разработка интерфейса программы АИС - Проектирование автоматизированной информационной системы

  Физическая модель базы данных определяет способ размещения данных в среде хранения и способ доступа к этим данным, которые поддерживаются на физическом...

АНАЛИЗ И РАЗРАБОТКА МОДЕЛИ УГРОЗ, Классификация и анализ источников угроз и уязвимостей безопасности - Разработка модели системы информационной безопасности на предприятии

Предыдущая | Следующая