Пути реализации непреднамеренных искусственных (субъективных) угроз безопасности информации

Пользователи и информационные посредники ОАО «СИБИРЬТЕЛЕКОМ», обслуживающие систему, являются внутренними источниками случайных воздействий, т.к. имеют непосредственный доступ к процессам обработки информации и могут совершать непреднамеренные ошибки и нарушения действующих правил, инструкций и процедур.

Основные пути реализации непреднамеренных искусственных (субъективных) угроз ККС Общества (действия, совершаемые людьми случайно, по незнанию, невнимательности или халатности, из любопытства, но без злого умысла) и меры по нейтрализации соответствующих угроз и снижению возможного наносимого ими ущерба приведены в таблице ниже.

Таблица 2. Основные пути реализации непреднамеренных искусственных угроз и меры по нейтрализации соответствующих угроз и снижению возможного наносимого ими ущерба

Основные пути реализации непреднамеренных искусственных (субъективных) угроз

Меры по нейтрализации угроз и снижению возможного наносимого ущерба

Действия сотрудников Общества, приводящие к частичному или полному отказу системы или нарушению работоспособности аппаратных или программных средств, отключению оборудования или изменению режимов работы устройств и программ, разрушению информационных ресурсов системы (неумышленная порча оборудования, удаление, искажение программ или файлов с важной информацией, в том числе системных, повреждение каналов связи, неумышленная порча носителей информации и т.п.) 1.      Организационные меры (регламентация действий, введение ограничений на доступ к ресурсам). Четкий учет ресурсов и полномочий.

2.      Применение физических средств, препятствующих неумышленному совершению нарушения.

3.      Применение технических (аппаратно-программных) средств разграничения доступа к ресурсам.

4.      Резервирование критичных ресурсов.

Несанкционированный запуск технологических программ, способных при некомпетентном использовании вызывать потерю работоспособности системы (зависания или зацикливания) или осуществляющих необратимые изменения в системе (форматирование или реструктуризацию носителей информации, удаление данных и т.п.) 1.      Организационные меры (удаление всех потенциально опасных программ с дисков рабочих станций).

2.      Применение технических (аппаратно-программных) средств разграничения доступа к технологическим и инструментальным программам на дисках рабочих станциях.

Несанкционированное внедрение и использование неучтенных программ (игровых, обучающих, технологических и других, не являющихся необходимыми для выполнения сотрудниками своих служебных обязанностей) с последующим необоснованным расходованием ресурсов (процессорного времени, оперативной памяти, памяти на внешних носителях и т.п.) 1.      Организационные меры (введение ограничений). Контроль настроек рабочих станций.

2.      Применение технических (аппаратно-программных) средств, и настроек операционной системы (далее ОС) препятствующих несанкционированному внедрению и использованию неучтенных программ.

Непреднамеренное заражение компьютера вирусами 1.      Организационные меры (регламентация действий, введение запретов).

2.      Технологические меры (применение специальных программ обнаружения и уничтожения вирусов).

3.      Применение аппаратно-программных средств, препятствующих заражению компьютеров вирусами.

Разглашение, передача или утрата атрибутов разграничения доступа (паролей, ключей шифрования или ЭЦП, идентификационных карточек, пропусков и т.п.) 1.      Организационные меры (регламентация действий, введение запретов, усиление ответственности).

2.      Применение физических средств обеспечения сохранности указанных реквизитов.

Игнорирование организационных ограничений (установленных правил) при работе в системе 1.      Организационные меры (усиление ответственности и контроля).

2.      Использование дополнительных физических и технических средств защиты.

Некомпетентное использование, настройка или неправомерное отключение средств защиты персоналом подразделения безопасности Организационные меры (обучение персонала, усиление ответственности и контроля)
Ввод ошибочных данных 1.      Организационные меры (усиление ответственности и контроля).

2.      Технологические меры контроля за ошибками ввода данных операторами.

Ссылка на основную публикацию
Adblock detector