Фактическая защищенность
Модель нарушителя
В качестве возможного нарушителя рассматривается субъект, имеющий доступ к работе с программными и техническими средствами. Нарушители классифицируются по уровню возможностей, предоставляемых им всеми доступными средствами (Таблица 1).
Таблица 1.
| Уро-вень | Возможности нарушителя по технологическому процессу | Потенциальная группа нарушителей | Возможный результат НСД |
| Нет | Служащие, не имеющие доступа к информации, но имеющие доступ в помещения (обслуживающий персонал, посетители) | Просмотр на экране монитора и хищение бумажных и машинных носителей. | |
| Запуск задач (программ) из фиксированного набора, реализующих заранее предусмотренные функции по обработке информации | Большинство пользователей АС, имеющих непосредственный доступ в помещения, к АРМ, с полномочиями, ограниченными на уровне системы защиты информации (СЗИ) | Доступ пользователя к информации другого пользователя в его отсутствие, в т.ч. через сеть, просмотр информации на мониторе (несоблюдение организационных требований). Просмотр и хищение бумажных носителей. | |
| Управление функционированием АС, т.е. воздействие на базовое программное обеспечение ОС и СУБД, на состав и конфигурацию оборудования АС, на настройки СЗИ. Работа с внешними носителями. | Администраторы АС, наделенные неограниченными полномочиями по управлению ресурсами | Доступ администратора АС к информации других пользователей и к средствам СЗИ, непреднамеренное разрушение информации (несоблюдение организационных требований) | |
| Весь объем возможностей лиц, осуществляющих ремонт технических средств АС. | Обслуживающий персонал АС. Специалисты сторонних организаций, осуществляющих поставку и монтаж оборудования для АС | Доступ обслуживающего персонала АС к МН с информацией других пользователей, разрушение информации, установка закладных устройств (несоблюдение организационных требований при ремонте ОТСС) |
Доступ служащих к ресурсам разграничивается штатными средствами ОС. Список служащих, имеющих доступ к ресурсам, документально определен. Доступ ограничивается в соответствии с должностными инструкциями.
Документ, определяющий порядок конфиденциального документооборота существует и утвержден.
Документально определена технология обработки информации (документ «Описание технологического процесса обработки информации»).
На серверах и рабочих станциях применяются операционные системы MS Windows, что позволяет применить сертифицированные средства защиты от НСД. Но также осуществляется обработка информации в СУБД, что практически исключает применение на данных объектах сертифицированных средств защиты от НСД по причине отсутствия таких средств на рынке.