Понятие безопасности и угрозы на предприятии
2
• травмы и гибель людей;
• повреждение оборудования, линий связи, каналов жизнеобеспечения;
• нерациональное изменение технологий;
• нерегламентированное использование технических средств, документов, компьютерных программ;
• разглашение конфиденциальной информации;
• некомпетентное использование, некорректную настройку или неправомерное отключение персоналом средств защиты службы безопасности.
Субъектов преднамеренных (умышленных) угроз называют злоумышленниками. Угрозы вызываются их корыстными устремлениями (терроризмом, забастовками, хищениями, кражами) и могут привести к травмам и гибели людей. К проявлениям умышленных угроз также относят:
• физическое разрушение объекта или отдельных его элементов в результате терроризма, хулиганства, вандализма;
• отключение или вывод из строя систем жизнеобеспечения объекта вследствие тех же причин;
• действия по дезорганизации функционирования объекта (забастовки, саботаж, постановка помех);
• хищение материальных ценностей;
• съем информации путем контроля каналов связи, негласной установки специальных технических средств, анализа и контроля побочных излучений, негласных видео- и фотосъемок,
• хищение документов, магнитных носителей и бумажных отходов (распечаток, копировальной бумаги).
Перечисленные угрозы по отношению к защищаемому объекту также могут быть внешними и внутренними. Например, выброс радиоактивных веществ даже далеко за территорией охраняемого объекта может тем не менее нанести ему ущерб. В случаях, когда источник внешней угрозы установить затруднительно, ее относят к стихийным бедствиям.
Можно предложить общую классификацию видов и субъектов умышленных угроз (табл.1).
Учитывая, что сами угрозы не являются равнозначными по последствиям проявлений, т. е. их значимость определяется возможными последствиями, целесообразна классификация их по степени важности.
Таблица 1
Классификация угроз по видам и субъектам
|
Прио ритет |
Виды угроз |
Субъекты угроз | |||
|
Стихия |
Нарушитель |
Злоумышленник | |||
|
внутри |
вне | ||||
|
1 |
Травмы и гибель людей |
+ |
+ |
+ |
+ |
|
2 |
Повреждение оборудования и техники |
+ |
+ |
+ |
+ |
|
3 |
Повреждение систем жизнеобеспечения |
+ |
+ |
+ |
+ |
|
4 |
Несанкционированное изменение технологии |
+ |
+ | ||
|
5 |
Использование нерегламентированных технических и программных средств |
+ |
+ | ||
|
6 |
Дезорганизация функционирования предприятия |
+ |
+ | ||
|
7 |
Хищение материальных ценностей |
+ | |||
|
8 |
Уничтожение или перехват путем хищения носителей информации |
+ | |||
|
9 |
Устное разглашение конфиденциальной информации |
+ | |||
|
10 |
Несанкционированный съем информации |
+ |
+ | ||
|
11 |
Нарушение правил эксплуатации средств защиты |
+ |
+ | ||
Объекты — направления угроз безопасности предприятия.
В классификации угроз по объектам особое значение имеют информационные угрозы. Здесь может быть использована классификация умышленных информационных угроз, отвечающая требованиям безопасности автоматизированных систем обработки информации (АСОИ) и приведенная в табл. 2.
Таблица 2
Классификация информационных угроз
|
Принцип классификации |
Виды вероятных угроз |
|
По цели воздействия на АСОИ |
• нарушение конфиденциальности информации • нарушение целостности информации • нарушение (частичное или полное) работоспособности АСОИ |
|
По принципу воздействия на АСОИ |
• с использованием доступа субъектасистемы к объекту угрозы • использованием скрытых каналов |
|
По характеру воздействия на АСОИ |
• активное воздействие • пассивное воздействие (бездействие) |
|
По причине появления используемой ошибки защиты |
• неадекватность политики безопасности реалиям АСОИ • ошибки административного управления • ошибки в алгоритмах и программах • ошибки в реализации алгоритмов и программ |
|
По способу воздействия на объект угрозы (при активном воздействии) |
• непосредственное воздействие на объект угрозы • воздействие на систему разрешений • опосредованное воздействие (через других пользователей) • «маскарад» (присвоение прав другого пользователя) • использование «вслепую» |
|
По способу воздействия на АСОИ |
• в интерактивном режиме • в пакетном режиме |
|
По объекту угрозы |
• АСОИ в целом • объекты АСОИ • субъекты АСОИ • каналы передачи данных, пакеты данных |
|
По используемым средствам реализации угрозы |
• вирусы • программные ловушки |
|
По состоянию объекта угрозы |
• хранения данных • передачи данных • обработки данных |
Скачать реферат