б) виды и потенциал нарушителей. Угрозы безопасности информации в информационной системе могут быть реализованы следующими видами нарушителей:
специальные службы иностранных государств (блоков государств); террористические, экстремистские группировки;
преступные группы (криминальные структуры); внешние субъекты (физические лица);
конкурирующие организации;
разработчики, производители, поставщики программных, технических и программно-технических средств;
лица, привлекаемые для установки, наладки, монтажа, пусконаладочных и иных видов работ;
лица, обеспечивающие функционирование информационных систем или обслуживающие инфраструктуру оператора (администрация, охрана, уборщики и т.д.);
пользователи информационной системы;
администраторы информационной системы и администраторы безопасности;
бывшие работники (пользователи).
Виды нарушителей, характерных для информационной системы с заданными структурно-функциональными характеристиками и особенностями функционирования, определяются на основе предположений (прогноза) о возможных целях (мотивации) при реализации угроз безопасности информации этими нарушителями. В качестве возможных целей (мотивации) реализации нарушителями угроз безопасности информации в информационной системе могут быть:
нанесение ущерба государству, отдельным его сферам деятельности или секторам экономики;
реализация угроз безопасности информации по идеологическим или политическим мотивам;
организация террористического акта;
причинение имущественного ущерба путем мошенничества или иным преступным путем;
дискредитация или дестабилизация деятельности органов государственной власти, организаций;
получение конкурентных преимуществ;
внедрение дополнительных функциональных возможностей в программное обеспечение или программно-технические средства на этапе разработки;
любопытство или желание самореализации;
выявление уязвимостей с целью их дальнейшей продажи и получения финансовой выгоды;
реализация угроз безопасности информации из мести;
реализация угроз безопасности информации непреднамеренно из-за неосторожности или неквалифицированных действий.
Предположения о целях (мотивации) нарушителей делаются с учетом целей и задач информационной системы, вида обрабатываемой информации, а также с учетом результатов оценки степени возможных последствий (ущерба) от нарушения конфиденциальности, целостности или доступности информации. Виды нарушителя и их возможные цели (мотивация) реализации угроз безопасности информации приведены в таблице 1.
Do'stlaringiz bilan baham: |