–нападения пригодные для реализации угрозы (возможность, методы, уязвимости);
–объекты нападений;
–тип потери (конфиденциальность, целостность, доступность и т.д.);
–масштаб ущерба;
–источники угрозы. Для источников угроз – людей модель нарушителя должна включать:
– указание их опыта,
– указание знаний,
– указание доступных ресурсов, необходимых для реализации угрозы,
– возможную мотивацию их действий.
Список угроз из части 3 технического отчета Международной организации стандартизации ISO/IECPDTR 13335. Этот перечень выглядит следующим образом:
–землетрясение;
–наводнение;
–ураган;
–молния;
–промышленная деятельность;
–бомбовая атака;
–использование оружия;
–пожар (огонь);
–преднамеренное повреждение;
–авария источника мощности;
–авария в подаче воды;
–авария воздушного кондиционирования;
–неисправности аппаратных средств;
–колебание мощности;
–экстремальные значения температуры и влажности;
–пыль;
–электромагнитное излучение;
–кража;
–неавторизованное использование среды хранения;
–износ среды хранения;
–операционная ошибка персонала;
–ошибка технического обслуживания;
–авария программного обеспечения;
–использование программного обеспечения неавторизованными пользователями;
–использование программного обеспечения неавторизованным способом;
–подделка идентификатора пользователя;
–нелегальное использование программного обеспечения;
–вредоносное программное обеспечение;
–нелегальный импорт/экспорт программного обеспечения;
–доступ к сети неавторизованных пользователей;
–ошибка операционного персонала;
–ошибка технического обслуживания;
–техническая неисправность компонентов сети;
–ошибки при передаче;
–повреждения в линиях связи;
–перегрузка трафика;
–перехват;
–проникновение в коммуникации;
–ошибочная маршрутизация сообщений;
–повторная маршрутизация сообщений;
–отрицание;
–неисправность услуг связи (то есть, услуг сети);
–ошибки пользователя;
–неправильное использование ресурсов;
–дефицит персонала.
Анализ каждой угрозы.
Землетрясение, наводнение, ураган и молнию не имеет смысла рассматривать подробно по модели, т.к. возможность их появления мало-вероятная. Тем не менее, в случае наводнения госучреждение не пострадает, потому что находится на возвышенной местности (недалеко от Западной Поляны), относительно центра города и других спальных районов. Географическое положение г. Пенза исключает возможность землетрясения. Ураган особых последствий за собой не повлечет, если окна будут закрыты. По неосторожности (если в открытую форточку ворвется ветер) можно потерять время на наведение порядка в разбросанных бумагах. В случае удара молнии возникнет пожар. Для избежания подобной катастрофической ситуации необходимо устанавливать громоотвод. Угроза пожара будет рассмотрена ниже. Промышленная деятельность, бомбовая атака и использование оружия являются маловероятными угрозами, поэтому их подробно не анализируем. В случае реализации промышленной деятельности как угрозы может произойти случайный обрыв каналов связи с банком и г. Москвой. При этом будет потеряна часть информационного ресурса. При бомбовой атаки появится возможность потери информации, жизни людей, оборудования. Все это связано с огромными денежными потерями. При использовании оружия возникнет вероятность нарушение конфиденциальности информационного ресурса.
Пожар
Нападения пригодные для реализации угрозы (уязвимость, методы, возможность). Возможность – высоковероятная, уязвимость – незащищенность электропроводки, методы нападения – случайное замыкание.
Объект нападения – провода
Тип потери – затруднение деятельности, денежные потери
Масштаб ущерба – высокий
Источник угроз – случайность
Преднамеренное повреждение
Нападения пригодные для реализации угрозы (уязвимость, методы, возможность). Возможность – высоковероятная, уязвимость – отсутствие контроля за работниками отделения, методы нападения – намеренно совершив ошибку или удалив необходимый системный файл.
Объект нападения – программное обеспечение, оборудование
Тип потери – денежные потери, затруднение в деятельности
Масштаб ущерба – высокий
Источник угроз – работники отделения
опыт – не обязателен
знания – присутствуют
доступные ресурсы – вычислительные, аппаратные, информационные.
возможная мотивация действий – в личных корыстных целях (в случае повышения должности).
Авария источника мощности
Нападения пригодные для реализации угрозы (уязвимость, методы, возможность). Возможность – вероятная, уязвимость – незащищенность электропроводки, методы нападения – случайное замыкание.
Объект нападения - информация, сетевые и аппаратные средства
Тип потери – компьютерные данные
Масштаб ущерба – высокий
Источник угроз – рабочий персонал, стихия
опыт – не обязателен
знания – присутствуют
доступные ресурсы – физические, аппаратные, информационные
возможная мотивация действий – преднамеренно и непреднамеренно.
Авария в подаче воды
Нападения пригодные для реализации угрозы (уязвимость, методы, возможность). Возможность – маловероятная, уязвимость – незащищенные провода на полу, методы нападения – промокание сетевого кабеля.
Объект нападения – провода
Тип потери – время, затруднение в деятельности
Масштаб ущерба – низкий
Источник угроз – вода
Авария воздушного кондиционирования
Нападения пригодные для реализации угрозы (уязвимость, методы, возможность). Возможность – маловероятная, уязвимость – неисправность работы кондиционера, методы нападения – неисправная проводка.
Объект нападения – кондиционер
Тип потери – время на восстановление
Масштаб ущерба – низкий
Источник угроз – неисправность, износ оборудования (кондиционера).
Неисправности аппаратных средств
Нападения пригодные для реализации угрозы (уязвимость, методы, возможность). Возможность – вероятная, уязвимость – износ, методы нападения – длительное использование.
Объект нападения – аппаратные средства
Тип потери – денежные потери
Масштаб ущерба – средний
Источник угроз – отсутствие периодический проверки работоспособности аппаратных средств
Колебания мощности
Нападения пригодные для реализации угрозы (уязвимость, методы, возможность). Возможность – вероятная, уязвимость – незащищенность компьютеров от колебания мощности (отсутствие сетевых фильтров), методы нападения – неисправная работа персонала.
Объект нападения – информация, сетевые и аппаратные средства.
Тип потери – компьютерные данные
Масштаб ущерба – высокий
Источник угроз – рабочий персонал
опыт – не обязателен
знания – не обязательны
доступные ресурсы – физические, аппаратные
возможная мотивация действий – преднамеренно и непреднамеренно.
Экстремальные значения температуры и влажности
Нападения пригодные для реализации угрозы (уязвимость, методы, возможность). Возможность – маловероятная, уязвимость – отсутствие воздушного кондиционирования, методы нападения – перемена погоды.
Объект нападения – рабочий персонал
Тип потери – отсутствует
Масштаб ущерба – низкий
Источник угроз – природные условия
Пыль
Нападения пригодные для реализации угрозы (уязвимость, методы, возможность). Возможность – маловероятная, уязвимость – накопление пыли, методы нападения – несоблюдение влажной уборки.
Объект нападения – компьютеры
Тип потери – аппаратные средства, затруднение в деятельности
Масштаб ущерба – средний
Источник угроз – обслуживающий персонал
опыт – начальный уровень
знания – обязательны
доступные ресурсы – технические
возможная мотивация действий – невыполнение полномочий
Электромагнитное излучение
Нападения пригодные для реализации угрозы (уязвимость, методы, возможность). Возможность – вероятная, уязвимость – оборудование, методы нападения – умышленное воздействие электромагнитного излучателя.
Объект нападения – носитель информации и персонал
Тип потери – потеря времени, здоровья сотрудников отделения, информации и оборудования
Масштаб ущерба – высокий
Источник угроз – электромагнитный излучатель.
Кража
Нападения пригодные для реализации угрозы (уязвимость, методы, возможность). Возможность – высоковероятная, уязвимость – слабая защищенность информации, методы нападения – несанкционированное умышленное действие.
Объект нападения – критическая информация.
Тип потери – целостность, конфиденциальность, затруднения в деятельности
Масштаб ущерба – высокий
Источник угроз – злоумышленники
опыт – высокий уровень
знания – обязательны
доступные ресурсы – информационные, телекоммуникационные
возможная мотивация действий – в личных интересах
Неавторизованное использование среды хранения
Нападения пригодные для реализации угрозы (уязвимость, методы, возможность). Возможность – вероятная, уязвимость – незащищенность среды хранения , методы нападения – вход под чужим логин - паролем.
Объект нападения – чувствительная информация
Тип потери – конфиденциальность, целостность, денежные затраты, затруднение в деятельности
Масштаб ущерба – высокий
Источник угроз – неавторизованное лицо, авторизованное лицо под чужим именем
опыт – начальный уровень
знания – присутствуют