Файл: Страница 1 из 27 утверждаю генеральный директор ооо Сатурн.pdf

Страница 8 из 27
▪ Полнотой, реальной выполнимостью и непротиворечивостью требований организационно-распорядительных документов Компании по вопросам обеспечения безопасности информации;
▪ Назначением и подготовкой должностных лиц (сотрудников), ответственных за организацию и осуществление практических мероприятий по обеспечению безопасности информации и процессов ее обработки;
▪ Наделением каждого сотрудника (пользователя) минимально необходимыми для выполнения им своих функциональных обязанностей полномочиями по доступу к информационным ресурсам Компании;
▪ Четким знанием и строгим соблюдением всеми пользователями информационной системы Компании требований организационно-распорядительных документов по вопросам обеспечения безопасности информации;
▪ Персональной ответственностью за свои действия каждого сотрудника, имеющего доступ к информационным ресурсам Компании;
▪ Принятием эффективных мер обеспечения физической целостности компонентов информационной системы и непрерывным поддержанием необходимого уровня защищенности элементов информационной среды Компании;
▪ Применением физических и технических (программно-аппаратных) средств защиты ресурсов системы и непрерывной административной поддержкой их использования;
▪ Разграничением потоков информации, предусматривающим предупреждение попадания информации более высокого уровня конфиденциальности на информационные ресурсы с более низким уровнем конфиденциальности, а также запрещением передачи конфиденциальной информации по незащищенным каналам связи;
▪ Эффективным контролем над соблюдением пользователями информационных ресурсов Компании требований по информационной безопасности;
▪ Юридической защитой интересов Компании при информационном взаимодействии его подразделений с внешними организациями от противоправных действий, как со стороны этих организаций и третьих лиц, так и со стороны Компании;
▪ Проведением постоянного анализа эффективности и достаточности принятых мер и применяемых средств защиты информации, разработкой и реализацией предложений по совершенствованию системы защиты информации в информационной системе
Компании.
2.7.
Угрозы безопасности информации и их источники
Все множество потенциальных угроз безопасности информации по природе их возникновения разделяются на два класса: естественные (объективные) и искусственные
(субъективные). Естественные угрозы – это угрозы, вызванные воздействиями на информационную систему и ее компоненты объективных физических процессов техногенного характера или стихийных природных явлений, независящих от человека. Искусственные угрозы
– это угрозы, вызванные деятельностью человека. Источники угроз по отношению к самой информационной системе могут быть как внешними, так и внутренними.
Основными источниками угроз безопасности информации являются:
▪ Непреднамеренные (ошибочные, случайные, без злого умысла и корыстных целей) нарушения установленных регламентов сбора, обработки, хранения и передачи информации, а также требований безопасности информации и другие действия пользователей информационной системы Компании (в том числе сотрудников, отвечающих за обслуживание и администрирование компонентов корпоративной информационной системы), приводящие к непроизводительным затратам времени и

Страница 9 из 27
ресурсов, разглашению сведений ограниченного распространения, потере ценной информации или нарушению работоспособности компонентов информационной системы Компании;
▪ Преднамеренные (в корыстных целях, по принуждению третьими лицами, со злым умыслом и т.п.) действия легально допущенных к информационным ресурсам
Компании пользователей (в том числе сотрудников, отвечающих за обслуживание и администрирование компонентов корпоративной информационной системы), которые приводят к непроизводительным затратам времени и ресурсов, разглашению сведений ограниченного распространения, потере ценной информации или нарушению работоспособности компонентов информационной системы Компании;
▪ Деятельность преступных групп и формирований, политических и экономических структур, а также отдельных лиц по добыванию информации, навязыванию ложной информации, нарушению работоспособности информационной системы Компании в целом или ее отдельных компонент;
▪ Удаленное несанкционированное вмешательство посторонних лиц из территориально удаленных сегментов корпоративной информационной системы и внешних сетей общего назначения (прежде всего Интернет) через легальные и несанкционированные каналы подключения к таким сетям, используя недостатки протоколов обмена, средств защиты и разграничения удаленного доступа к ресурсам;
▪ Ошибки, допущенные при разработке компонентов информационной системы и их систем защиты, ошибки в программном обеспечении, отказы и сбои технических средств (в том числе средств защиты информации и контроля эффективности защиты);
▪ Аварии, стихийные бедствия.
Наиболее значимыми угрозами безопасности информации Компании (способами нанесения ущерба субъектам информационных отношений) являются:
▪ Нарушение функциональности компонентов информационной системы Компании, блокирование информации, нарушение бизнес-процессов, срыв своевременного решения задач;
▪ Нарушение целостности (искажение, подмена, разрушение) информационных, программных и других ресурсов;
▪ Нарушение конфиденциальности (разглашение, утечка) сведений, составляющих государственную, коммерческую или служебную тайну, а также персональных данных.
2.8.
Пути реализации непреднамеренных искусственных (субъективных) угроз безопасности информации
Сотрудники
Компании, зарегистрированные как легальные пользователи информационной системы Компании или обслуживающие ее компоненты, могут являться внутренними источниками случайных воздействий, т.к. имеют непосредственный доступ к информационным ресурсам и процессам обработки информации и могут совершать непреднамеренные ошибки и нарушения действующих правил, инструкций и регламентов.
Основные пути реализации непреднамеренных искусственных (субъективных) угроз безопасности информации Компании:
▪ Неосторожные или халатные действия, приводящие к разглашению конфиденциальной информации или делающие ее общедоступной;
▪ Разглашение, передача или утрата атрибутов разграничения доступа (пропусков, идентификационных карточек, ключей, паролей, ключей шифрования и т. п.);

Страница 10 из 27
▪ Игнорирование установленных организационных правил при работе с информационными ресурсами;
▪ Неквалифицированное проектирование архитектуры систем, технологий обработки данных или неквалифицированная разработка программного обеспечения, повлекшая за собой возникновение возможностей, представляющих опасность для функционирования информационной системы и безопасности информации;
▪ Ошибочная адресация при передаче или пересылке информации;
▪ Ввод ошибочных данных;
▪ Неумышленная порча носителей информации;
▪ Неумышленное повреждение каналов связи;
▪ Неквалифицированное (ошибочное) отключение оборудования или изменение режимов работы устройств или программ;
▪ Заражение компьютеров вирусами вследствие халатности пользователя;
▪ Неквалифицированное использование программного обеспечения, способного вызвать потерю работоспособности компонентов корпоративной информационной системы или осуществляющего необратимые в них изменения (форматирование или реструктуризацию носителей информации, удаление данных и т.п.);
▪ Некомпетентное использование, настройка или отключение средств защиты.
2.9.
Пути реализации преднамеренных искусственных (субъективных) угроз безопасности информации
Основные возможные пути умышленной дезорганизации работы, вывода компонентов информационной системы Компании из строя, несанкционированного доступа к информации (с корыстными целями, по принуждению, из желания отомстить и т.п.):
▪ Умышленные действия, приводящие к частичному или полному нарушению функциональности информационной системы Компании или ее компонентов, в том числе умышленное разрушение информационных или программно-технических ресурсов;
▪ Хищение документов и носителей информации;
▪ Несанкционированное копирование информации;
▪ Умышленное искажение информации, ввод неверных данных;
▪ Отключение или вывод из строя подсистем обеспечения функционирования информационных систем (электропитания, охлаждения и вентиляции, линий и аппаратуры связи и т.п.);
▪ Перехват данных, передаваемых по каналам связи;
▪ Хищение производственных отходов (распечаток документов, записей и т.п.);
▪ Незаконное получение и использование доступа к информационным ресурсам
(агентурным путем, используя халатность пользователей, путем подделки, подбора и т.п.);
▪ Хищение или вскрытие шифров криптозащиты информации;
▪ Внедрение аппаратных и программных закладок с целью скрытно осуществлять доступ к информационным ресурсам или дезорганизации функционирования компонентов информационной системы Компании;
▪ Незаконное использование оборудования, программных средств или информационных ресурсов, нарушающее права третьих лиц;
▪ Несанкционированное применение подслушивающих устройств, фото- и видеосъемка;
▪ Несанкционированный перехват побочных электромагнитных, акустических и других излучений устройств и линий связи, а также наводок активных излучений

Страница 11 из 27
технических средств, непосредственно не участвующих в информационном обмене
(сети питания).
2.10. Пути реализации основных естественных угроз безопасности информации
К естественным угрозам безопасности информации относятся:
▪ Выход из строя оборудования информационных систем и оборудования обеспечения его функционирования, не вызванный воздействиями извне и возникший по причине технической неисправности оборудования;
▪ Выход из строя или невозможность использования линий связи, не вызванный воздействиями извне и возникший по причине технической неисправности;
▪ Пожары, землетрясения, наводнения и другие стихийные бедствия.
2.11. Неформальная модель возможных нарушителей
Система информационной безопасности Компании должна строиться исходя из предположений о следующих возможных типах нарушителей в системе (с учетом категории лиц, мотивации, квалификации, наличия специальных средств и др.):
1. Некомпетентный (невнимательный) пользователь – сотрудник Компании (или подразделения другой организации, являющийся легальным пользователем информационной системы Компании), который может предпринимать попытки выполнения запрещенных действий, доступа к защищаемым ресурсам информационной системы с превышением своих полномочий, ввода некорректных данных, нарушения правил и регламентов работы с информацией и т.п., действуя по ошибке, некомпетентности или халатности без злого умысла и использующий при этом только доступные ему штатные средства.
2. Нарушитель - сотрудник Компании (или подразделения другой организации, являющийся зарегистрированным пользователем информационной системы
Компании), пытающийся нарушить систему защиты без корыстных целей или злого умысла. Для преодоления системы защиты и совершения запрещенных действий он может использовать различные методы получения дополнительных полномочий доступа к ресурсам, недостатки в построении системы защиты и доступные ему штатные средства (несанкционированные действия посредством превышения своих полномочий на использование разрешенных средств). Помимо этого, он может пытаться использовать дополнительно нештатные инструментальные и технологические программные средства, самостоятельно разработанные программы или стандартные дополнительные технические средства.
3. Внутренний злоумышленник - сотрудник Компании (или подразделения другого ведомства, зарегистрированный как пользователь системы), действующий целенаправленно из корыстных интересов, целей вредительства или любопытства, возможно в сговоре с лицами, не являющимися сотрудниками Компании. Он может использовать весь набор методов и средств взлома системы защиты, включая агентурные методы, пассивные средства (технические средства перехвата), методы и средства активного воздействия (модификация технических средств, подключение к каналам передачи данных, внедрение программных закладок и использование специальных инструментальных и технологических программ), а также комбинации воздействий, как изнутри, так и извне Компании.
4. Внешний злоумышленник – лицо, не являющееся сотрудником Компании, действующее целенаправленно из корыстных интересов, целей вредительства или любопытства, возможно в сговоре с другими лицами. Он может использовать весь набор методов и средств взлома системы защиты, включая агентурные методы,

Страница 12 из 27
пассивные средства (технические средства перехвата), методы и средства активного воздействия (модификация технических средств, подключение к каналам передачи данных, внедрение программных закладок и использование специальных инструментальных и технологических программ), а также комбинации воздействий, как изнутри, так и извне Компании.
Внутренним нарушителем может быть лицо из следующих категорий:
▪ Зарегистрированные пользователи информационной системы Компании;
▪ Сотрудники Компании, не являющиеся зарегистрированными пользователями и не допущенные к ресурсам информационной системы Компании, но имеющие доступ в здания и помещения Компании;
▪ Персонал, обслуживающий технические средства корпоративной информационной системы;
▪ Персонал, задействованный в разработке и сопровождении программного обеспечения.
Категории лиц, которые могут быть внешними нарушителями:
▪ Уволенные сотрудники Компании;
▪ Представители организаций, взаимодействующих по вопросам технического обеспечения Компании;
▪ Клиенты Компании;
▪ Посетители (представители организаций, поставляющих технику, программное обеспечение, услуги и т.п.);
▪ Представители конкурирующих организаций;
▪ Члены организованных преступных группировок, сотрудники спецслужб или лица, действующие по их заданию;
▪ Лица, случайно или умышленно проникшие в информационную систему Компании из внешних телекоммуникационных сетей.
Пользователи и обслуживающий персонал из числа сотрудников Компании имеют наиболее широкие возможности по осуществлению несанкционированных действий, вследствие наличия у них определенных полномочий по доступу к информационным ресурсам и хорошего знания технологии обработки информации и защитных мер. Действия этой группы лиц напрямую связаны с нарушением действующих правил и инструкций.
Особую категорию составляют администраторы и менеджеры различных автоматизированных систем, имеющих практически неограниченный доступ к информационным ресурсам корпоративной информационной системы. Численность данной категории пользователей должна быть минимальной, а их действия должны находиться под обязательным контролем подразделения безопасности.
Уволенные сотрудники могут использовать для достижения целей свои знания о технологии работы, мерах защиты информации, правах и способах доступа к информационным ресурсам Компании. Полученные во время работы в Компании знания и опыт выделяют их среди других источников внешних угроз.
Криминальные структуры являются наиболее агрессивным источником внешних угроз.
Для осуществления своих замыслов эти структуры могут идти на открытое нарушение закона и вовлекать в свою деятельность сотрудников Компании всеми доступными им силами и средствами.
Профессиональные взломщики имеют наиболее высокую техническую квалификацию и знания о слабостях программных средств, используемых в автоматизированных системах обработки информации. Они представляют наибольшую угрозу при взаимодействии с работающими или уволенными сотрудниками Компании и криминальными структурами.