- •Построение модели информационной системы на основе модели угроз и уязвимостей
- •Ход работы
- •Раздел 1. Физическое воздействие человека, направленное на ис.
- •II Воздействие на канал связи
- •Раздел 2. Физические угрозы, направленные на ис.
- •Глобальное воздействие на ис.
- •Локальное воздействие на ис.
- •Угрозы, связанные с отказом оборудования.
- •Раздел 3. Локальные программные угрозы, направленные на ресурс.
- •На операционную систему.
- •На программное обеспечение.
- •На информацию, хранимую и обрабатываемую на ресурсе.
- •Раздел 4. Удаленные программы (логические ) угрозы, направленные на ресурс
- •Раздел 5. Программные(логические) угрозы, направленные на канал связи.
- •Раздел 6. Угрозы персонала.
- •Физическое воздействие на человека.
- •Психологическое воздействие на человека.
- •Шпионаж.
- •Неумышленные действия.
- •Построение модели информационной системы на основе модели угроз и уязвимостей
-
Физическое воздействие на человека.
-
Недоступность информации в результате нетрудоспособности пользователей информационной системы
-
Отсутствие распределения атрибутов безопасности (ключи доступа, шифрование) между несколькими доверенными сотрудниками.
-
Выполнение важных операций одним доверенным сотрудником.
-
Отсутствие разделения административных обязанностей по управлению и поддержке различных сервисов.
-
Неправильное функционирование информационной системы в результате нетрудоспособности администраторов (отказ ОС, отказ ПО).
-
Отсутствие распределения атрибутов безопасности (ключи доступа, шифрование) между несколькими доверенными сотрудниками.
-
Отсутствие разделения административных обязанностей по управлению и поддержке различных сервисов.
-
Выполнение работ по администрированию (информационной системы или отдельных сервисов) одним сотрудником.
-
Снижение реакции на инциденты в области информационной безопасности в результате нетрудоспособности администратора.
-
Отсутствие распределения атрибутов безопасности (ключи доступа, шифрование) между несколькими доверенными сотрудниками.
-
Отсутствие разделения административных обязанностей по управлению и поддержке различных сервисов.
-
Выполнение работ по администрированию (информационной системы или отдельных сервисов) одним сотрудником.
-
Нарушение непрерывности ведения бизнеса в результате физического воздействия на сотрудника компании
-
Отсутствие физической охраны (сопровождение, специальный транспорт) для ключевых сотрудников.
-
Отсутствие системы замещения кадров при нетрудоспособности сотрудника (перераспределение бизнес-функций, резервирование персонала).
-
Психологическое воздействие на человека.
-
Разглашение конфиденциальной информации в результате психологического воздействия сторонних лиц на сотрудников компании
-
Отсутствие инструкций для персонала по работе с информацией ограниченного доступа.
-
Отсутствуют необходимые проверки сотрудников при приеме на работу (на предмет психологических отклонений).
-
Отсутствуют тренинги персонала по вопросам ИБ.
-
Отсутствие штатного психолога в компании.
-
Неблагоприятный психологический климат в компании, несоблюдение норм социальной и деловой этики.
-
Распределения атрибутов безопасности (ключи доступа, шифрование) между несколькими доверенными сотрудниками.
-
Разделения административных обязанностей по управлению и поддержке различных сервисов.
-
Подлог недостоверной информации в результате психологического воздействия сторонних лиц на сотрудников компании
-
Отсутствие инструкций для персонала по работе с информацией ограниченного доступа.
-
Отсутствуют необходимые проверки сотрудников при приеме на работу (на предмет психологических отклонений).
-
Отсутствуют тренинги персонала по вопросам ИБ.
-
Отсутствие штатного психолога в компании.
-
Неблагоприятный психологический климат в компании, несоблюдение норм социальной и деловой этики.
-
Распределения атрибутов безопасности (ключи доступа, шифрование) между несколькими доверенными сотрудниками.
-
Разделения административных обязанностей по управлению и поддержке различных сервисов.
-
Выполнение важных операций несколькими доверенными сотрудниками.
-
Модификация (удаление) информации в результате психологического воздействия сторонних лиц на сотрудников компании.
-
Отсутствие инструкций для персонала по работе с информацией ограниченного доступа.
-
Отсутствуют необходимые проверки сотрудников при приеме на работу (на предмет психологических отклонений).
-
Отсутствуют тренинги персонала по вопросам ИБ.
-
Отсутствие штатного психолога в компании.
-
Неблагоприятный психологический климат в компании, несоблюдение норм социальной и деловой этики.
-
Распределения атрибутов безопасности (ключи доступа, шифрование) между несколькими доверенными сотрудниками.
-
Разделения административных обязанностей по управлению и поддержке различных сервисов.
-
Выполнение важных операций несколькими доверенными сотрудниками.
-
Недоступность информации в результате нетрудоспособности пользователей информационной системы, владеющих данной информацией
-
Отсутствие распределения атрибутов безопасности (ключи доступа, шифрование) между несколькими доверенными сотрудниками.
-
Выполнение операций одним доверенным сотрудником.
-
Отсутствие разделения административных обязанностей по управлению и поддержке различных сервисов.
-
Отсутствие штатного психолога в компании.
-
Неправильное функционирование информационной системы в результате нетрудоспособности системных администраторов (отказ ОС, отказ ПО).
-
Отсутствие распределения атрибутов безопасности (ключи доступа, шифрование) между несколькими доверенными сотрудниками.
-
Отсутствие разделения административных обязанностей по управлению и поддержке различных сервисов.
-
Выполнение работ по администрированию (информационной системы или отдельных сервисов) одним сотрудником.
-
Отсутствие штатного психолога в компании.