що призводять до відмови ІТС (окремих компонентів), руйнування апаратних, програмних, інформаційних ресурсів (обладнання, каналів зв’язку, видалення даних, програм тощо);
– ненавмисне пошкодження носіїв інформації;
– неправомірна зміна режимів роботи ІТС (окремих компонентів, обладнання, ПЗ тощо), ініціювання тестуючих або технологічних процесів, які здатні призвести до незворотних змін у системі (наприклад, форматування носіїв інформації);
– неумисне зараження ПЗ комп’ютерними вірусами;
– невиконання вимог до організаційних заходів захисту чинних в ІТС розпорядчих документів;
– помилки під час введення даних в систему, виведення даних за невірними адресами пристроїв, внутрішніх і зовнішніх абонентів тощо;
– будь-які дії, що можуть призвести до розголошення конфіденційних відомостей, атрибутів розмежування доступу, втрати атрибутів тощо;
– неправомірне впровадження та використання заборонених політикою безпеки ПЗ (наприклад, навчальні та ігрові програми, системне і прикладне забезпечення тощо);
– наслідки некомпетентного застосування засобів захисту тощо.
Навмисні загрози суб’єктивної природи – це дії порушника, спрямовані на проникнення в систему та одержання можливості НСД до її ресурсів або дезорганізацію роботи ІТС та виведення її з ладу.
До них відносяться:
– порушення фізичної цілісності ІТС (окремих компонентів, пристроїв, обладнання, носіїв інформації);
– порушення режимів функціонування (виведення з ладу) систем життєзабезпечення ІТС (електроживлення, заземлення, охоронної сигналізації, кондиціонування тощо.);
– порушення режимів функціонування ІТС (обладнання і ПЗ);
– впровадження та використання комп’ютерних вірусів, закладних (апаратних і програмних) і підслуховуючих пристроїв, інших засобів розвідки;
– використання (шантаж, підкуп тощо) з корисливою метою персоналу ІТС;
– крадіжки носіїв інформації, виробничих відходів (роздруків, записів, тощо);
– несанкціоноване копіювання носіїв інформації;
– читання залишкової інформації з оперативної пам’яті ЕОТ, зовнішніх накопичувачів;
– одержання атрибутів доступу з наступним їх використанням для маскування під зареєстрованого користувача;
– неправомірне підключення до каналів зв’язку, перехоплення даних, що передаються, аналіз трафіку тощо;
– впровадження та використання забороненого політикою безпеки ПЗ або несанкціоноване використання ПЗ, за допомогою якого можна одержати доступ до критичної інформації (наприклад, аналізаторів безпеки мереж);
– інші.
Перелік суттєвих загроз має бути максимально повним і деталізованим. Для кожної з загроз необхідно визначити її спрямованість, джерело, механізм реалізації та можливі наслідки.
По-перше, на порушення яких властивостей інформації або ІТС загроза спрямована:
– конфіденційності –