Уязвимости ГСПД могут быть внесены в информационные ресурсы и инфраструктуры ЦУС или узлов ГСПД, а также в магистральные каналы и абонентские каналы доступа.

Уязвимости ГСПД могут быть внесены преднамеренным или непреднамеренным путем. Уязвимости ГСПД, внесенные непреднамеренным (неумышленным) путем, связаны с некомпетентностью или халатностью персонала, работающего с ГСПД на ее технологическом или эксплуатационном этапе жизненного цикла. Примерами непреднамеренных эксплуатационных уязвимостей ГСПД являются: некомпетентное использование или настройка программно-аппаратного обеспеченияГСПД, неумышленное отключение средств защиты ГСПД, случайное удаление критической информациии др. В качестве примеров непреднамеренных технологических уязвимостей ГСПД можно привести неумышленное внесение ошибок на этапе проектирования или реализации программно-аппаратного обеспечения ГСПД.

Преднамеренное (или умышленное) внесение уязвимостей ГСПД связано с реализацией корыстных или иных целейнарушителя. Примерами преднамеренных технологических уязвимостей ГСПД является умышленное внесение в информационную сферу ГСПД «закладок», люков и вирусов, которые могут быть использованы нарушителем для выполнения несанкционированных действий. В качестве примеров преднамеренных эксплуатационных уязвимостей могут выступать: умышленный ввод ошибочных данных, преднамеренное использование криптографически нестойких ключей шифрования и др.

Субъекты нарушителей на информационную сферу (ИС)

Нарушитель ИБ ГСПД представляет собой физическое или юридическое лицо, общественное объединение, процесс, событие, способное произвести несанкционированные или непреднамеренные действия над информационной сферой ГСПД, приводящие к потере одной или более характеристик информационной безопасности ГСПД - конфиденциальности, целостности, доступности и подотчетности информационной сферы ГСПД.

В качестве нарушителя могут выступать иностранные политические, экономические, военные и коммерческие структуры, в задачи которых входит выполнение несанкционированных действий, направленных на достижение экономических или политических целей путем нанесения ущерба органам государственной власти и управления, а также конкурирующим коммерческим структурам посредством ухудшения качества обслуживания пользователей ГСПД. К нарушителям иного рода могут быть отнесены криминальные структуры, основной целью воздействия которых является предоставление в ущерб оператору ГСПД несанкционированного доступа к услугам связи заинтересованным в этом пользователям, а также блокирование в интересах определенных структур процесса передачи информации в ГСПД. Личные цели, как правило, преследуют хакеры, а также недовольные чем-либо на службе или уволенные не по их воле сотрудники, которые осуществляют ВН ради нанесения ущерба ГСПД.

ВН на информационную сферу ГСПД могут осуществляться на технологическом и эксплуатационном этапах жизненного цикла ГСПД. На технологическом этапе нарушителями могут являться как научные, так и инженерно-технические работники, участвующие в процессе проектирования, разработки, установки и настройки программно-аппаратного обеспечения ГСПД. На эксплуатационном этапе нарушители могут быть «внешними» по отношению к ГСПД (пользователи и др.) или «внутренними», принадлежащими структуре ГСПД (операторы ГСПД и др.).

Нарушитель на эксплуатационном этапе можетосуществлять воздействия на следующие объекты ИБ ГСПД: ЦУС, узлы коммутации ГСПД (коммутаторы, маршрутизаторы, шлюзы, цифровые автоматизированные телефонные станции и др.), каналы связи ГСПД и сообщения (пакеты, кадры, ячейки и др.), содержащие информацию пользователей или информацию управления.ВН могут носить как преднамеренный, так и непреднамеренный характер. Непреднамеренные ВН отдельно не рассматриваются, поскольку реализация мер защиты от преднамеренных ВН будет компенсировать и неумышленные ВН.

ВН на информационную сферу ГСПД можно представить в виде воздействий, связанных с внесением уязвимостей в ГСПД, воздействий, направленных на выявление уязвимостей ГСПД, и воздействий, направленных на активизацию уязвимостей ГСПД.