Недействующий

ОБ УТВЕРЖДЕНИИ ПОЛИТИКИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ОРГАНОВ ИСПОЛНИТЕЛЬНОЙ ВЛАСТИ ОМСКОЙ ОБЛАСТИ

5. Факторы, воздействующие на безопасность информации


15. Выявление и учет факторов, воздействующих на защищаемую информацию, составляют основу для планирования и проведения эффективных мероприятий по информационной безопасности.

16. Выявление факторов, воздействующих на безопасность информации, должно осуществляться с учетом следующих требований:

1) достаточности уровней классификации факторов, позволяющих формировать их полное множество;

2) гибкость классификации, позволяющей расширять множества классифицируемых факторов, а также вносить необходимые изменения без нарушения структуры классификации.

17. Все множество факторов, воздействующих на защищаемую информацию, по природе их возникновения разделяется на два класса:

1) объективные - это угрозы, вызванные воздействиями на информационную систему и ее компоненты объективных физических процессов техногенного характера или стихийных природных явлений, независящих от человека;

2) субъективные - это угрозы, вызванные деятельностью человека. Среди них, исходя из мотивации действий, можно выделить непреднамеренные и преднамеренные. Непреднамеренные угрозы вызваны ошибками в проектировании информационной системы и ее элементов, ошибками в действиях персонала и т.п. Преднамеренные угрозы связаны с корыстными, идейными или иными устремлениями людей (злоумышленников).

18. По отношению к объектам защиты факторы разделяются на внутренние и внешние.

19. Основными факторами, воздействующими на безопасность информации, для органов власти и учреждений являются:

1) непреднамеренные (ошибочные, случайные, без злого умысла и корыстных целей) нарушения установленных регламентов сбора, обработки и передачи информации, а также требований безопасности информации и другие действия пользователей информационных систем органов власти и учреждений (в том числе работников, отвечающих за обслуживание и администрирование информационных систем), приводящие к непроизводительным затратам времени и ресурсов, разглашению, потере конфиденциальной информации или нарушению работоспособности информационных систем органов власти и учреждений;

2) преднамеренные (в корыстных целях, по принуждению третьими лицами, со злым умыслом, халатность и т.п.) действия легально допущенных к информационным ресурсам органов власти и учреждений пользователей (в том числе работников, отвечающих за обслуживание и администрирование информационных систем), приводящие к непроизводительным затратам времени и ресурсов, разглашению, потере конфиденциальной информации или нарушению работоспособности информационных систем органов власти и учреждений;

3) деятельность преступных групп и формирований, политических и экономических структур, а также отдельных лиц по добыванию информации, навязыванию ложной информации, нарушению работоспособности информационных систем органов власти и учреждений;

4) ошибки, допущенные при разработке компонентов информационных систем органов власти и учреждений и их систем защиты, ошибки в программном обеспечении, отказы и сбои технических средств (в том числе средств защиты информации и контроля эффективности защиты);

5) явления техногенного характера, стихийные бедствия.

20. Реализация основных объективных факторов, воздействующих на безопасность информации, возможна путем:

1) выхода из строя оборудования и программных средств информационных систем органов власти и учреждений;

2) выхода из строя или невозможность использования линий связи;

3) пожаров, наводнений и других стихийных бедствий и явлений техногенного характера.

21. Реализация непреднамеренных субъективных факторов, воздействующих на безопасность информации, возможна путем:

1) неумышленных действий, приводящих к частичному или полному нарушению функциональности компонентов информационных систем органов власти и учреждений или разрушению информационных или программно-технических ресурсов;

2) неосторожных действий, приводящих к разглашению информации ограниченного распространения или делающих ее общедоступной;

3) разглашения, передачи или утраты атрибутов разграничения доступа (пропусков, идентификационных карточек, ключей, паролей, ключей шифрования и т.п.);

4) игнорирования организационных правил при работе с информационными ресурсами;

5) проектирования архитектуры систем, технологий обработки данных, разработки программного обеспечения с возможностями, представляющими опасность для функционирования информационных систем органов власти и учреждений и информационной безопасности;

6) пересылки данных и документов по ошибочному адресу (устройства);

7) ввода ошибочных данных;

8) неумышленной порчи и утраты носителей информации;

9) неумышленного повреждения каналов связи;