Объективные уязвимости

Объективные уязвимости зависят от особенностей построения и технических характеристик оборудования, применяемого на защищаемом объекте. Полное устранение этих уязвимостей невозможно, но они могут существенно ослабляться техническими и инженерно-техническими методами парирования угроз безопасности информации. К ним можно отнести:

[А.I] сопутствующие техническим средствам излучения

[A.I.a] электромагнитные (побочные излучения элементов технических средств [1], кабельных линий технических средств [2], излучения на частотах работы генераторов [3], на частотах самовозбуждения усилителей [4])

[A.I.b] электрические (наводки электромагнитных излучений на линии и проводники [1], просачивание сигналов в цепи электропитания, в цепи заземления [2], неравномерность потребления тока электропитания [3])

[A.I.c] звуковые (акустические [1], виброакустические [2])

[A.II] активизируемые

[A.II.a] аппаратные закладки (устанавливаемые в телефонные линии [1], в сети электропитания [2], в помещениях [3], в технических средствах [4])

[A.II.b] программные закладки (вредоносные программы [1], технологические выходы из программ [2], нелегальные копии ПО [3])

[A.III] определяемые особенностями элементов

[A.III.a] элементы, обладающие электроакустическими преобразованиями (телефонные аппараты [1], громкоговорители и микрофоны [2], катушки индуктивности [3], дроссели [4], трансформаторы и пр. [5])

[A.III.b] элементы, подверженные воздействию электромагнитного поля (магнитные носители [1], микросхемы [2], нелинейные элементы, поверженные ВЧ навязыванию [3])

[A.IV] определяемые особенностями защищаемого объекта

[A.IV.a] местоположением объекта (отсутствие контролируемой зоны [1], наличие прямой видимости объектов [2], удаленных и мобильных элементов объекта [3], вибрирующих отражающих поверхностей [4])

[A.IV.b] организацией каналов обмена информацией (использование радиоканалов [1], глобальных информационных сетей [2], арендуемых каналов [3])

Субъективные уязвимости

 

Субъективные уязвимости зависят от действий сотрудников и, в основном, устраняются организационными и программно-аппаратными методами:

[B.I] ошибки

[B.I.a] при подготовке и использовании программного обеспечения (при разработке алгоритмов и программного обеспечения [1], инсталляции и загрузке программного обеспечения [2], эксплуатации программного обеспечения [3], вводе данных [4])

[B.I.b] при управлении сложными системами (при использовании возможностей самообучения систем [1], настройке сервисов универсальных систем [2], организации управления потоками обмена информации [3])

[B.I.c] при эксплуатации технических средств (при включении/выключении технических средств [1], использовании технических средств охраны [2], использовании средств обмена информацией [3])

[B.II] нарушения

[B.II.a] режима охраны и защиты (доступа на объект [1], доступа к техническим средствам [2])

[B.II.b] режима эксплуатации технических средств (энергообеспечения [1], жизнеобеспечения [2])

[B.II.c] режима использования информации (обработки и обмена информацией [1], хранения и уничтожения носителей информации [2], уничтожения производственных отходов и брака [3])

[B.II.d] режима конфиденциальности (сотрудниками в нерабочее время [1], уволенными сотрудниками [2]).

Случайные уязвимости

Случайные уязвимости зависят от особенностей окружающей защищаемый объект среды и непредвиденных обстоятельств. Эти факторы, как правило, мало предсказуемы и их устранение возможно только при проведении комплекса организационных и инженерно-технических мероприятий по противодействию угрозам информационной безопасности:

[C.I] сбои и отказы

[C.I.a] отказы и неисправности технических средств (обрабатывающих информацию [1], обеспечивающих работоспособность средств обработки информации [2], обеспечивающих охрану и контроль доступа [3])

[C.I.b] старение и размагничивание носителей информации (дискет и съемных носителей [1], жестких дисков [2], элементов микросхем [3], кабелей и соединительных линий [4])

[C.I.c] сбои программного обеспечения (операционных систем и СУБД [1], прикладных программ [2], сервисных программ [3], антивирусных программ [4])

[C.I.d] сбои электроснабжения (оборудования, обрабатывающего информацию [1], обеспечивающего и вспомогательного оборудования [2])

[C.II] повреждения

[C.II.a] жизнеобеспечивающих коммуникаций (электро-, водо-, газо-, теплоснабжения, канализации [1], кондиционирования и вентиляции [2])

[C.II.b] ограждающих конструкций (внешних ограждений территорий, стен и перекрытий зданий [1], корпусов технологического оборудования [2])