Нет ничего плохого в том, когда человек владеет богатством. Но плохо, если богатство завладевает человеком. © Билли Грэм 1099 - | 810 - или читать все...
Обратная связь Пожаловаться на материал

Предположения об имеющейся у нарушителя информации об объектах реализации угроз


⇐ ПредыдущаяСтр 3 из 4Следующая ⇒

В качестве основных уровней знаний нарушителей об АС можно выделить следующие:

− информации о назначения и общих характеристиках АС;

− информация, полученная из эксплуатационной документации;

− информация, дополняющая эксплуатационную информацию об АС (например, сведения из проектной документации АС).

В частности, нарушитель может иметь:

− данные об организации работы, структуре и используемых технических, программных и программно-технических средствах АС;

− сведения об информационных ресурсах АС: порядок и правила создания, хранения и передачи информации, структура и свойства информационных потоков;

− данные об уязвимостях, включая данные о недокументированных (не декларированных) возможностях технических, программных и программно-технических средств АС;

− исходные тексты программного обеспечения АС;

− сведения о возможных каналах реализации угроз;

− информацию о способах реализации угроз.

Предполагается, что лица категории III владеют только эксплуатационной информацией, что обеспечивается организационными мерами.

Предполагается, что лица категории V владеют в той или иной части чувствительной и эксплуатационной информацией о системе передачи информации и общей информацией об АС, использующих эту систему передачи информации, что обеспечивается организационными мерами. При этом лица категории V не владеют парольной и аутентифицирующей информацией, используемой в АС.

Предполагается, что лица категории VI и лица категории VII по уровню знаний не превосходят лица категории V.

Предполагается, что лица категории VIII обладают чувствительной информацией об АС и функционально ориентированных АС, включая информацию об уязвимостях технических и программных средств АС.

Организационными мерами предполагается исключить доступ лиц категории VIII к техническим и программным средствам АС в момент обработки с использованием этих средств защищаемой информации.

Таким образом, наиболее информированными об АС являются лица категории III и лица категории VIII.

Степень информированности нарушителя зависит от многих факторов, включая реализованные в ЛПУ конкретные организационные меры и компетенцию нарушителей. Поэтому объективно оценить объем знаний вероятного нарушителя в общем случае практически невозможно.

В связи с изложенным, с целью создания необходимых условий безопасности персональных данных предполагается, что вероятные нарушители обладают всей информацией, необходимой для подготовки и реализации угроз, за исключением информации, доступ к которой со стороны нарушителя исключается системой защиты информации. К такой информации, например, относится парольная, аутентифицирующая и ключевая информация.

Предположения об имеющихся у нарушителя средствах реализации угроз

Предполагается, что нарушитель имеет:

− аппаратные компоненты СЗИ и СФ СЗИ;

− доступные в свободной продаже технические средства и программное обеспечение;

− специально разработанные технические средства и программное обеспечение.

Внутренний нарушитель может использовать штатные средства. Состав имеющихся у нарушителя средств, которые он может использовать для реализации угроз ИБ, а также возможности по их применению зависят от многих факторов, включая реализованные на объектах ЛПУ конкретные организационные меры, финансовые возможности и компетенцию нарушителей. Поэтому объективно оценить состав имеющихся у нарушителя средств реализации угроз в общем случае практически невозможно. Поэтому, для определения актуальных угроз и создания СЗИ предполагается, что вероятный нарушитель имеет все необходимые для реализации угроз средства, возможности которых не превосходят возможности аналогичных средств реализации угроз на информацию, содержащую сведения, составляющие государственную тайну, и технические и программные средства, обрабатывающие эту информацию.

 Вместе с тем предполагается, что нарушитель не имеет:

− средств перехвата в технических каналах утечки;

− средств воздействия через сигнальные цепи (информационные и управляющие интерфейсы СВТ);

 − средств воздействия на источники и через цепи питания;

− средств воздействия через цепи заземления;

− средств активного воздействия на технические средства (средств облучения).

Предполагается, что наиболее совершенными средствами реализации угроз обладают лица категории III и лица категории VIII.

Дата добавления: 2018-11-24; просмотров: 677; Мы поможем в написании вашей работы!

Поделиться с друзьями:


⇐ Предыдущая1234Следующая ⇒


Мы поможем в написании ваших работ!
.
.
© 2014-2024 — Студопедия.Нет — Информационный студенческий ресурс. Все материалы представленные на сайте исключительно с целью ознакомления читателями и не преследуют коммерческих целей или нарушение авторских прав (0.008)