Пути реализации непреднамеренных искусственных (субъективных) угроз безопасности информации
Сотрудники Банка, зарегистрированные как легальные пользователи информационной системы Банка или обслуживающие ее компоненты, являются внутренними источниками случайных воздействий, т.к. имеют непосредственный доступ к процессам обработки информации и могут совершать непреднамеренные ошибки и нарушения действующих правил, инструкций и регламентов.
Основные пути реализации непреднамеренных искусственных (субъективных) угроз безопасности информации Банка (действия, совершаемые людьми случайно, по незнанию, невнимательности или халатности, из любопытства, но без злого умысла):
- неумышленные действия, приводящие к частичному или полному нарушению функциональности компонентов информационной системы Банка или разрушению информационных или программно-технических ресурсов;
- неосторожные действия, приводящие к разглашению информации ограниченного распространения или делающие ее общедоступной;
- разглашение, передача или утрата атрибутов разграничения доступа (пропусков, идентификационных карточек, ключей, паролей, ключей шифрования и т. п.);
- игнорирование организационных ограничений (установленных правил) при работе с информационными ресурсами;
- проектирование архитектуры систем, технологий обработки данных, разработка программного обеспечения с возможностями, представляющими опасность для функционирования информационной системы Банка и безопасности информации;
- пересылка данных и документов по ошибочному адресу (устройства);
- ввод ошибочных данных;
- неумышленная порча носителей информации;
- неумышленное повреждение каналов связи;
- неправомерное отключение оборудования или изменение режимов работы устройств или программ;
- заражение компьютеров вирусами;
- несанкционированный запуск технологических программ, способных вызвать потерю работоспособности компонентов Корпоративной информационной системы или осуществляющих необратимые в них изменения (форматирование или реструктуризацию носителей информации, удаление данных и т.п.);
- некомпетентное использование, настройка или неправомерное отключение средств защиты.
Основные возможные пути умышленной дезорганизации работы, вывода компонентов информационной системы Банка из строя, проникновения в систему и несанкционированного доступа к информации (с корыстными целями, по принуждению, из желания отомстить и т.п.):
|
|
- умышленные действия, приводящие к частичному или полному нарушению функциональности компонентов информационной системы Банка или разрушению информационных или программно-технических ресурсов;
- действия по дезорганизации функционирования информационной системы Банка; хищение документов и носителей информации;
- несанкционированное копирование документов и носителей информации; умышленное искажение информации, ввод неверных данных;
- отключение или вывод из строя подсистем обеспечения функционирования информационных систем (электропитания, охлаждения и вентиляции, линий и аппаратуры связи и т.п.);
- перехват данных, передаваемых по каналам связи и их анализ;
- хищение производственных отходов (распечаток документов, записей, носителей информации и т.п.);
- незаконное получение атрибутов разграничения доступа (агентурным путем, используя халатность пользователей, путем подделки, подбора и т.п.);
- несанкционированный доступ к ресурсам Корпоративной информационной системы с рабочих станций легальных пользователей;
- хищение или вскрытие шифров криптозащиты информации;
- внедрение аппаратных и программных закладок с целью скрытно осуществлять доступ к информационным ресурсам или дезорганизации функционирования компонентов корпоративной информационной системы Банка;
- незаконное использование оборудования, программных средств или информационных ресурсов, нарушающее права третьих лиц;
- применение подслушивающих устройств, дистанционная фото- и видео съемка для несанкционированного съема информации;
- перехват побочных электромагнитных, акустических и других излучений устройств и линий связи, а также наводок активных излучений на технические средства, непосредственно не участвующие в информационном обмене (сети питания).
|
|