С учетом наличия прав доступа и возможностей по доступу к информации, обрабатываемой в ИСУЭ, нарушители подразделяются на два типа:
- внешние нарушители - субъекты, не имеющие прав (полномочий) по доступу к информационным ресурсам и компонентам ИСУЭ;
- внутренние нарушители - субъекты, имеющие права (полномочия) по доступу к информационным ресурсам и компонентам ИСУЭ.
В соответствии с банком данных угроз ФСТЭК России определяется три типа внешних и внутренних нарушителей - с низким потенциалом, средним потенциалом и высоким потенциалом.
Нарушители с низким потенциалом имеют возможность получить информацию об уязвимостях основных компонентов ИСУЭ, опубликованную в общедоступных источниках. Также такие нарушители имеют возможность получить информацию о методах и средствах реализации угроз безопасности информации (компьютерных атак), опубликованных в общедоступных источниках, и (или) самостоятельно осуществляют создание методов и средств реализации атак на основные компоненты ИСУЭ.
Нарушители со средним потенциалом обладают всеми возможностями нарушителей с низким потенциалом. Имеют осведомленность о мерах защиты информации, применяемых в основных компонентах ИСУЭ. Имеют возможность получить информацию об уязвимостях основных компонентов ИСУЭ путем проведения, с использованием имеющихся в свободном доступе программных средств, анализа кода прикладного программного обеспечения, установленного на основных компонентах ИСУЭ. Имеют доступ к сведениям о структурно-функциональных характеристиках и особенностях функционирования основных компонентов ИСУЭ.
Нарушители с высоким потенциалом обладают всеми возможностями нарушителей с низким и средним потенциалами. Имеют возможность осуществлять несанкционированный доступ из выделенных (ведомственных, корпоративных) сетей связи, к которым возможен физический доступ (незащищенных организационными мерами). Имеют возможность получить доступ к программному обеспечению чипсетов (микропрограммам), системному и прикладному программному обеспечению, телекоммуникационному оборудованию и другим программно-техническим средствам основных компонентов ИСУЭ для преднамеренного внесения в них уязвимостей или программных закладок. Имеют хорошую осведомленность о мерах защиты информации, применяемых в основных компонентах ИСУЭ, об алгоритмах, аппаратных и программных средствах, используемых в основных компонентах ИСУЭ. Имеют возможность получить информацию об уязвимостях путем проведения специальных исследований (в том числе с привлечением специализированных научных организаций) и применения специально разработанных средств для анализа программного обеспечения. Имеют возможность создания методов и средств реализации угроз безопасности информации с привлечением специализированных научных организаций и реализации угроз с применением специально разработанных средств. Имеют возможность создания и применения специальных технических средств для добывания информации.
С учетом типов нарушителей по видам нарушители безопасности информации подразделяются на 11 видов, приведенных в таблице 1.
- Гражданский кодекс (ГК РФ)
- Жилищный кодекс (ЖК РФ)
- Налоговый кодекс (НК РФ)
- Трудовой кодекс (ТК РФ)
- Уголовный кодекс (УК РФ)
- Бюджетный кодекс (БК РФ)
- Арбитражный процессуальный кодекс
- Конституция РФ
- Земельный кодекс (ЗК РФ)
- Лесной кодекс (ЛК РФ)
- Семейный кодекс (СК РФ)
- Уголовно-исполнительный кодекс
- Уголовно-процессуальный кодекс
- Производственный календарь на 2023 год
- МРОТ 2024
- ФЗ «О банкротстве»
- О защите прав потребителей (ЗОЗПП)
- Об исполнительном производстве
- О персональных данных
- О налогах на имущество физических лиц
- О средствах массовой информации
- Производственный календарь на 2024 год
- Федеральный закон "О полиции" N 3-ФЗ
- Расходы организации ПБУ 10/99
- Минимальный размер оплаты труда (МРОТ)
- Календарь бухгалтера на 2024 год
- Частичная мобилизация: обзор новостей