Для обеспечения информационной безопасности отделения Пензенского Фонда РФ необходимо рассмотреть перечень угроз ISO/IEC PDTR 13335, проанализировать ситуации, в случае их возникновения, выявить, на сколько опасны угрозы и последствия для деятельности госоргана. Описание каждой угрозы анализируем с помощью модели угроз, включающую:
–нападения пригодные для реализации угрозы (возможность, методы, уязвимости);
–объекты нападений;
–тип потери (конфиденциальность, целостность, доступность и т.д.);
–масштаб ущерба;
–источники угрозы. Для источников угроз – людей модель нарушителя должна включать:
– указание их опыта,
– указание знаний,
– указание доступных ресурсов, необходимых для реализации угрозы,
– возможную мотивацию их действий.
Список угроз из части 3 технического отчета Международной организации стандартизации ISO/IEC PDTR 13335. Этот перечень выглядит следующим образом:
–землетрясение;
–наводнение;
–ураган;
–молния;
–промышленная деятельность;
–бомбовая атака;
|
|
–использование оружия;
–пожар (огонь);
–преднамеренное повреждение;
–авария источника мощности;
–авария в подаче воды;
–авария воздушного кондиционирования;
–неисправности аппаратных средств;
–колебание мощности;
–экстремальные значения температуры и влажности;
–пыль;
–электромагнитное излучение;
–кража;
–неавторизованное использование среды хранения;
–износ среды хранения;
–операционная ошибка персонала;
–ошибка технического обслуживания;
–авария программного обеспечения;
–использование программного обеспечения неавторизованными пользователями;
–использование программного обеспечения неавторизованным способом;
–подделка идентификатора пользователя;
–нелегальное использование программного обеспечения;
–вредоносное программное обеспечение;
–нелегальный импорт/экспорт программного обеспечения;
–доступ к сети неавторизованных пользователей;
–ошибка операционного персонала;
–ошибка технического обслуживания;
–техническая неисправность компонентов сети;
–ошибки при передаче;
–повреждения в линиях связи;
–перегрузка трафика;
–перехват;
–проникновение в коммуникации;
–ошибочная маршрутизация сообщений;
–повторная маршрутизация сообщений;
–отрицание;
–неисправность услуг связи (то есть, услуг сети);
–ошибки пользователя;
–неправильное использование ресурсов;
–дефицит персонала.