методам і засобам):
· застосовує тільки агентурні методи одержання відомостей;
· застосовує пасивні засоби (технічні засоби перехоплення без модифікації компонентів системи);
· використовує тільки штатні засоби та недоліки систем захисту для її подолання (несанкціоновані дії з використанням дозволених засобів), а також компактні магнітні носії інформації, які можуть бути приховано пронесені через пости охорони;
· застосовує методи і засоби активного впливу (модифікація та підключення додаткових технічних засобів, підключення до каналів передачі даних, впровадження програмних закладок та використання спеціальних інструментальних і технологічних програм).
За часом дії:
· в процесі функціонування автоматизованої системи (під час роботи компонентів системи);
· в період неактивності компонентів системи (у неробочий час, під час планових перерв у її роботі, перерв для обслуговування і ремонту тощо);
· як у процесі функціонування автоматизованої системи, так і в період неактивності компонентів системи.
За місцем дії:
· без доступу на контрольовану територію організації;
· з контрольованої території без доступу до будівлі та споруди;
· усередині приміщень, але без доступу до технічних засобів автоматизованої системи;
· з робочих місць кінцевих користувачів (операторів) автоматизованої системи;
· з доступом в зону даних (серверів баз даних, архівів тощо);
· з доступом в зону управління засобами забезпечення безпеки автоматизованої системи.
Можуть враховуватися наступні обмеження та припущення про характер дій можливих порушників:
· робота з підбору кадрів та спеціальні заходи ускладнюють можливість створення коаліцій порушників, тобто об'єднання (змови) і цілеспрямованих дій з подолання підсистеми захисту двох і більше порушників;
· порушник, плануючи спроби несанкціонованого доступу, приховує свої несанкціоновані дії від інших співробітників.
Правильно побудована (адекватна реальності) модель порушника, в якій відображаються його практичні та теоретичні можливості, апріорні знання, час і місце дії і т.п. характеристики - важлива складова успішного проведення аналізу ризику та визначення вимог до складу і характеристикам системи захисту.
2. Дослідження процесів захисту інформації на підприємстві ВАТ «Мобільні ТелеСистеми»
.1 Дослідження політики безпеки підприємства
Політика безпеки - це документ «верхнього» рівня, в якому повинно бути зазначено:
· відповідальні особи за безпеку функціонування фірми;
· повноваження і відповідальність відділів та служб щодо безпеки;
· організація допуску нових співробітників та їх звільнення;
· правила розмежування доступу співробітників до інформаційних ресурсів;
· організація пропускного режиму, реєстрації співробітників і відвідувачів;
· Викор...
