15. Выявление и учет факторов, воздействующих на защищаемую информацию, составляют основу для планирования и проведения эффективных мероприятий по информационной безопасности.
16. Выявление факторов, воздействующих на безопасность информации, должно осуществляться с учетом следующих требований:
1) достаточности уровней классификации факторов, позволяющих формировать их полное множество;
2) гибкость классификации, позволяющей расширять множества классифицируемых факторов, а также вносить необходимые изменения без нарушения структуры классификации.
17. Все множество факторов, воздействующих на защищаемую информацию, по природе их возникновения разделяется на два класса:
1) объективные - это угрозы, вызванные воздействиями на информационную систему и ее компоненты объективных физических процессов техногенного характера или стихийных природных явлений, независящих от человека;
2) субъективные - это угрозы, вызванные деятельностью человека. Среди них, исходя из мотивации действий, можно выделить непреднамеренные и преднамеренные. Непреднамеренные угрозы вызваны ошибками в проектировании информационной системы и ее элементов, ошибками в действиях персонала и т.п. Преднамеренные угрозы связаны с корыстными, идейными или иными устремлениями людей (злоумышленников).
18. По отношению к объектам защиты факторы разделяются на внутренние и внешние.
19. Основными факторами, воздействующими на безопасность информации, для органов власти и учреждений являются:
1) непреднамеренные (ошибочные, случайные, без злого умысла и корыстных целей) нарушения установленных регламентов сбора, обработки и передачи информации, а также требований безопасности информации и другие действия пользователей информационных систем органов власти и учреждений (в том числе работников, отвечающих за обслуживание и администрирование информационных систем), приводящие к непроизводительным затратам времени и ресурсов, разглашению, потере конфиденциальной информации или нарушению работоспособности информационных систем органов власти и учреждений;
2) преднамеренные (в корыстных целях, по принуждению третьими лицами, со злым умыслом, халатность и т.п.) действия легально допущенных к информационным ресурсам органов власти и учреждений пользователей (в том числе работников, отвечающих за обслуживание и администрирование информационных систем), приводящие к непроизводительным затратам времени и ресурсов, разглашению, потере конфиденциальной информации или нарушению работоспособности информационных систем органов власти и учреждений;
3) деятельность преступных групп и формирований, политических и экономических структур, а также отдельных лиц по добыванию информации, навязыванию ложной информации, нарушению работоспособности информационных систем органов власти и учреждений;
4) ошибки, допущенные при разработке компонентов информационных систем органов власти и учреждений и их систем защиты, ошибки в программном обеспечении, отказы и сбои технических средств (в том числе средств защиты информации и контроля эффективности защиты);
5) явления техногенного характера, стихийные бедствия.
20. Реализация основных объективных факторов, воздействующих на безопасность информации, возможна путем:
1) выхода из строя оборудования и программных средств информационных систем органов власти и учреждений;
2) выхода из строя или невозможность использования линий связи;
3) пожаров, наводнений и других стихийных бедствий и явлений техногенного характера.
21. Реализация непреднамеренных субъективных факторов, воздействующих на безопасность информации, возможна путем:
1) неумышленных действий, приводящих к частичному или полному нарушению функциональности компонентов информационных систем органов власти и учреждений или разрушению информационных или программно-технических ресурсов;
2) неосторожных действий, приводящих к разглашению информации ограниченного распространения или делающих ее общедоступной;
3) разглашения, передачи или утраты атрибутов разграничения доступа (пропусков, идентификационных карточек, ключей, паролей, ключей шифрования и т.п.);
4) игнорирования организационных правил при работе с информационными ресурсами;
5) проектирования архитектуры систем, технологий обработки данных, разработки программного обеспечения с возможностями, представляющими опасность для функционирования информационных систем органов власти и учреждений и информационной безопасности;
6) пересылки данных и документов по ошибочному адресу (устройства);
7) ввода ошибочных данных;
8) неумышленной порчи и утраты носителей информации;
9) неумышленного повреждения каналов связи;