Пути реализации непреднамеренных
Пользователи, операторы, системные администраторы и сотрудники ОРГАНИЗАЦИИ, обслуживающие систему, являются внутренними источниками случайных воздействий, т.к. имеют непосредственный доступ к процессам обработки информации и могут совершать непреднамеренные ошибки и нарушения действующих правил, инструкций и процедур.
Основные пути реализации непреднамеренных искусственных (субъективных) угроз АС ОРГАНИЗАЦИИ (действия, совершаемые людьми случайно, по незнанию, невнимательности или халатности, из любопытства, но без злого умысла) и меры по нейтрализации соответствующих угроз и снижению возможного наносимого ими ущерба приведены в Таблице 4.1.
Таблица 4.1.
| Основные пути реализации непреднамеренных искусственных (субъективных) угроз АС ОРГАНИЗАЦИИ | Меры по нейтрализации угроз и снижению возможного наносимого ущерба | ||
| Действия сотрудников ОРГАНИЗАЦИИ, приводящие к частичному или полному отказу системы или нарушению работоспособности аппаратных или программных средств; отключению оборудования или изменение режимов работы устройств и программ; разрушению информационных ресурсов системы (неумышленная порча оборудования, удаление, искажение программ или файлов с важной информацией, в том числе системных, повреждение каналов связи, неумышленная порча носителей информации и т.п.) | 1. Организационные меры (регламентация действий, введение запретов).
2. Применение физических средств, препятствующих неумышленному совершению нарушения. 3. Применение технических (аппаратно-программных) средств разграничения доступа к ресурсам. 4. Резервирование критичных ресурсов. | ||
| Несанкционированный запуск технологических программ, способных при некомпетентном использовании вызывать потерю работоспособности системы (зависания или зацикливания) или осуществляющих необратимые изменения в системе (форматирование или реструктуризацию носителей информации, удаление данных и т.п.) | 1. Организационные меры (удаление всех потенциально опасных программ с дисков ПЭВМ АРМ).
2. Применение технических (аппаратно-программных) средств разграничения доступа к технологическим и инструментальным программам на дисках ПЭВМ АРМ. | ||
| Несанкционированное внедрение и использование неучтенных программ (игровых, обучающих, технологических и других, не являющихся необходимыми для выполнения сотрудниками своих служебных обязанностей) с последующим необоснованным расходованием ресурсов (процессорного времени, оперативной памяти, памяти на внешних носителях и т.п.) | 1. Организационные меры (введение запретов).
2. Применение технических (аппаратно-программных) средств, препятствующих несанкционированному внедрению и использованию неучтенных программ. | ||
| Непреднамеренное заражение компьютера вирусами | 1. Организационные меры (регламентация действий, введение запретов).
2. Технологические меры (применение специальных программ обнаружения и уничтожения вирусов). 3. Применение аппаратно-программных средств, препятствующих заражению компьютеров компьютерными вирусами. | ||
| Разглашение, передача или утрата атрибутов разграничения доступа (паролей, ключей шифрования или ЭЦП, идентификационных карточек, пропусков и т.п.) | 1. Организационные меры (регламентация действий, введение запретов, усиление ответственности).
2. Применение физических средств обеспечения сохранности указанных реквизитов. | ||
| Игнорирование организационных ограничений (установленных правил) при работе в системе | 1. Организационные меры (усиление ответственности и контроля).
2. Использование дополнительных физических и технических средств защиты. | ||
| Некомпетентное использование, настройка или неправомерное отключение средств защиты персоналом подразделения безопасности | Организационные меры (обучение персонала, усиление ответственности и контроля). | ||
| Ввод ошибочных данных | 1. Организационные меры (усиление ответственности и контроля).
2. Технологические меры контроля за ошибками операторов ввода данных. |
