Анализ информационной безопасности и выработка мероприятий для повышения ее защищенности, страница 5

Возникновение техногенных угроз обусловлено воздействиями на объект угрозы объективных физических процессов техногенного характера, технического состояния окружения объекта угрозы или его самого, не обусловленных напрямую деятельностью человека. К техногенным угрозам могут быть отнесены сбои, в том числе в работе, или разрушение систем, созданных человеком.

Возникновение естественных (природных) угроз обусловлено воздействиями на объект угрозы объективных физических процессов природного характера, стихийных природных явлений, состояний физической среды, не обусловленных напрямую деятельностью человека.

Источники угроз по отношению к инфраструктуре Банка могут быть как внешними, таки внутренними.

Рассмотрим угрозы для конкретных ресурсов; они приведены в таблице ниже

Угроза

Ресурс

Ошибка персонала

Документы

Денежные средства

Платежные карты

Ошибки в работе программного обеспечения

Базы данных

Электронные документы

Безналичные денежные средства

Платежные карты

Банкоматы

Сбои в работе аппаратного обеспечения

Базы данных

Электронные документы

Безналичные денежные средства

Платежные карты

Банкоматы

Незаконное копирование данных

Базы данных

Персональные данные

Документы

Подделка носителей информации

Документы

Электронные денежные средства

Платежные карты

Пожар (техногенного характера)

Документы

Денежные средства

Имущество банка

Ячейки с материальными ценностями

Хищение

Базы данных

Имущество банка

Денежные средства

Ячейки с материальными ценностями

Вандализм

Имущество банка

Банкоматы

5.  Анализ уязвимостей информационной системы.

Уязвимость информационной системы – недостаток или слабое место в системном или прикладном программном (программно-аппаратном) обеспечении автоматизированной информационной системы, которые могут быть использованы для реализации угрозы безопасности информации.

Основной уязвимостью является человеческий фактор. Так как сотрудники сами выбирают пароли для доступа к информационным ресурсам, одной из уязвимостей является то, что они для своего удобства выбирают легкие, либо связанные с их жизнью пароли, например, qwerty123 либо различные сочетания имени, фамилии и даты рождения, что может позволить злоумышленнику получить доступ к информации. Также многие сотрудники не осознают всей важности выполнения всех требований информационной безопасности, таких как выход из своего аккаунта при отлучении от своего рабочего места даже на небольшой промежуток времени, работа с конфиденциальной информацией только в предназначенных для этого местах и т.п.

Уязвимостью является открытый доступ в интернет с рабочих станций персонала. Не всегда своевременное обновления программного обеспечения также становится угрозой для информационной системы, в частности для АБС.

Хранение базы данных клиентов на общем сервере представляет угрозу, так как она становиться доступной для потенциального злоумышленника.

6.  Анализ злоумышленников.

По отношению к Банку нарушители могут быть разделены на внешних и внутренних нарушителей.

В качестве потенциальных внутренних нарушителей Банком рассматриваются:

• сотрудники Банка;

• персонал, обслуживающий технические средства корпоративной информационной системы Банка;

• сотрудники самостоятельных структурных подразделений, обеспечивающие безопасность Банка;

• руководители различных уровней.

В качестве потенциальных внешних нарушителей Банком рассматриваются:

• бывшие сотрудники Банка;

• клиенты Банка;

• конкурирующие с Банком кредитные организации;