Приказ


Скачать 1.4 Mb.
Название Приказ
страница 9/16
Тип Документы
rykovodstvo.ru > Руководство эксплуатация > Документы
1   ...   5   6   7   8   9   10   11   12   ...   16

Классификация нарушителей


По признаку принадлежности к ИСПДн все нарушители делятся на две группы:

  • внешние нарушители – физические лица, осуществляющие целенаправленное деструктивное воздействие, не имеющие права пребывания на территории контролируемой зоны, в пределах которой размещается оборудование ИСПДн;

  • внутренние нарушители – физические лица, имеющие право пребывания на территории контролируемой зоны, в пределах которой размещается оборудование ИСПДн.
  1. Внешний нарушитель


В качестве внешнего нарушителя информационной безопасности рассматривается нарушитель, который не имеет непосредственного доступа к техническим средствам и ресурсам системы, находящимся в пределах контролируемой зоны.

Предполагается, что внешний нарушитель не может воздействовать на защищаемую информацию по техническим каналам утечки, так как объем информации, хранимой и обрабатываемой в ИСПДн, является недостаточным для возможной мотивации внешнего нарушителя к осуществлению действий, направленных на утечку информации по техническим каналам утечки.

Предполагается, что внешний нарушитель может воздействовать на защищаемую информацию только во время ее передачи по каналам связи.
  1. Внутренний нарушитель


К такому виду нарушителя могут относиться:

  • пользователи ИСПДн, т.е. сотрудники, имеющие право доступа к ИСПДн (категория I);

  • сотрудники, не имеющие права доступа к ИСПДн (категория II);

  • администраторы ИСПДн (категория III);

  • разработчики и поставщики программно-технических средств, расходных материалов, услуг(категория IV).

Возможности нарушителей существенным образом зависят от действующих в пределах контролируемой зоны ограничительных факторов, из которых основным является реализация комплекса организационно-технических мер, в том числе по подбору, расстановке и обеспечению высокой профессиональной подготовки кадров, допуску физических лиц внутрь контролируемой зоны и контролю за порядком проведения работ, направленных на предотвращение и пресечение несанкционированного доступа.

Лица категорий I и III хорошо знакомы с основными алгоритмами, протоколами, реализуемыми и используемыми в конкретных подсистемах и ИСПДн в целом, а также с применяемыми принципами и концепциями безопасности.

Предполагается, что они могли бы использовать стандартное оборудование либо для идентификации уязвимостей, либо для реализации угроз ИБ. Данное оборудование может быть как частью штатных средств, так и может относиться к легко получаемому (например, программное обеспечение, полученное из общедоступных внешних источников).

Кроме того, предполагается, что эти лица могли бы располагать специализированным оборудованием.

К лицам данных категорий ввиду их исключительной роли в ИСПДн должен применяться комплекс особых организационно-режимных мер по их подбору, принятию на работу, назначению на должность и контролю выполнения функциональных обязанностей.
  1. Предположения об имеющейся у нарушителя информации об объектах реализации угроз


В качестве основных уровней знаний нарушителей об ИСПДн можно выделить следующие:

  • общая информация – информация о назначениях и общих характеристиках ИСПДн;

  • эксплуатационная информация – информация, полученная из эксплуатационной документации;

В частности, нарушитель может иметь:

  • данные об организации работы, структуре и используемых технических, программных и программно-технических средствах ИСПДн;

  • сведения об информационных ресурсах ИСПДн: порядок и правила создания, хранения и передачи информации, структура и свойства информационных потоков;

  • данные об уязвимостях, включая данные о недокументированных (недекларированных) возможностях технических, программных и программно-технических средств ИСПДн;

  • исходные тексты программного обеспечения ИСПДн;

  • сведения о возможных каналах реализации угроз;

  • информацию о способах реализации угроз.

Предполагается, что лица категории I владеют только эксплуатационной информацией, что обеспечивается организационными мерами.

Предполагается, что лица категории III обладают информацией об ИСПДн и функционально ориентированных АИС, включая информацию об уязвимостях технических и программных средств ИСПДн.

Степень информированности нарушителя зависит от многих факторов, включая реализованные конкретные организационные меры и компетенцию нарушителей. Поэтому объективно оценить объем знаний вероятного нарушителя в общем случае практически невозможно.

В связи с изложенным, с целью создания определенного запаса прочности предполагается, что вероятные нарушители обладают всей информацией, необходимой для подготовки и реализации угроз, за исключением информации, доступ к которой со стороны нарушителя исключается системой защиты информации. К такой информации, например, относится парольная, аутентифицирующая и ключевая информация.
  1. Предположения об имеющихся у нарушителя средствах реализации угроз


Предполагается, что нарушитель имеет:

  • аппаратные компоненты СЗПДн;

  • доступные в свободной продаже технические средства и программное обеспечение;

  • специально разработанные технические средства и программное обеспечение.

Для создания устойчивой СЗПДн предполагается, что вероятный нарушитель имеет все необходимые для реализации угроз средства, возможности которых не превосходят возможности аналогичных средств реализации угроз на информацию, содержащую сведения, составляющие государственную тайну, и технические и программные средства, обрабатывающие эту информацию.

Вместе с тем предполагается, что нарушитель не имеет:

  • средств перехвата в технических каналах утечки;

  • средств воздействия через сигнальные цепи (информационные и управляющие интерфейсы СВТ);

  • средств воздействия на источники и через цепи питания;

  • средств воздействия через цепи заземления;

  • средств активного воздействия на технические средства (средств облучения).

Предполагается, что наиболее совершенными средствами реализации угроз обладают лица категории III и лица категории IV.

Необходимо определить всех потенциальных нарушителей, не имеющих доступа в ИСПДн, всех пользователей ИСПДн и определить их категорию.
1   ...   5   6   7   8   9   10   11   12   ...   16

Похожие:

Приказ icon Приказ о назначении ответственного за пожарную безопасность в организации...

Приказ icon Министерство российской федерации по связи и информатизации приказ
Представить в установленном порядке настоящий Приказ в Минюст России на государственную регистрацию
Приказ icon Приказ от 1 декабря 2008 г. N 1048 о внесении изменений в приказ...
Внести изменения в Приказ мвд россии от 15 марта 1999 г. N 190 "Об организации и проведении государственного технического осмотра...
Приказ icon Приказ №149-о от 29. 08. 2014 г Утверждена: Приказ №162/3-о от 28. 08. 2015 г
Общая характеристика учебного предмета, включая ценностные ориентиры химического образования
Приказ icon Приказ № фб 519 от 22. 04. 2015+Приказ №фб-336 от 04. 03. 2016 (о...
...
Приказ icon Приказ Приложение №1 Приложение №2 Приложение №3 Приложение №4 Приложение...
Министерство Здравоохранения СССР. Приказ от 3 октября 1990г. №394. "Об утверждении положения о комплексном техническом обслуживании,...
Приказ icon Приказ о назначении ответственного за пожарную безопасность в организации...
Журнал проверки производственных и вспомогательных помещений по окончании рабочего дня
Приказ icon Приказ о назначении ответственного за пожарную безопасность в организации...
Журнал проверки производственных и вспомогательных помещений по окончании рабочего дня
Приказ icon Приказ от 6 августа 2015 г. N 124н о внесении изменений в приказ...
В целях совершенствования нормативно-правового регулирования в сфере бюджетной деятельности приказываю
Приказ icon Приказ
Управлением образования была спланирована оперативная проверка «Исполнение законодательства при организации обучения граждан РФ начальным...
Приказ icon Министр здравоохранения СССР приказ
Утратил силу в части порядка хранения, учета, прописывания, отпуска и применения наркотических лекарственных средств (Приказ Минздрава...
Приказ icon Приказ №684 от 29 мая 2009 г. Об организации медицинской помощи в...
О проведении Республиканской научно-практической конференции по неотложной хирургии 11
Приказ icon Приказ Минфина РФ от 23. 12. 2010 №183н «Об утверждении Плана счетов...
Настоящее положение разработано в соответствии и на основании следующих нормативных актов
Приказ icon И атомному надзору приказ
Ростехнадзора от 15 декабря 2011 г. N 714 о внесении изменений в приказ Федеральной службы по экологическому, технологическому и...
Приказ icon И атомному надзору приказ
Ростехнадзора от 15 декабря 2011 г. N 714 о внесении изменений в приказ Федеральной службы по экологическому, технологическому и...
Приказ icon И атомному надзору приказ
Ростехнадзора от 15 декабря 2011 г. N 714 о внесении изменений в приказ Федеральной службы по экологическому, технологическому и...

Руководство, инструкция по применению




При копировании материала укажите ссылку © 2024
контакты
rykovodstvo.ru
Поиск