Фрагмент документа "ОБ УТВЕРЖДЕНИИ КОНЦЕПЦИИ ИНФОРМАТИЗАЦИИ РАБОТЫ ОРГАНОВ ИСПОЛНИТЕЛЬНОЙ ВЛАСТИ, ГОРОДСКИХ ОРГАНИЗАЦИЙ В РЕЖИМЕ "ОДНОГО ОКНА" (РЕДАКЦИЯ НА 26.04.2006)".
5.1. Угрозы информационной безопасности
Исходя из предложенной схемы информатизации органов
исполнительной власти города Москвы и городских организаций для
обеспечения работы в режиме "одного окна" при реализации режима
"одного окна" актуальны следующие угрозы безопасности информационным
ресурсам:
5.1.1. Получение несанкционированного доступа к рабочим местам
ИССОО, серверам СОЗВ и СКиМОО внешними (персоналом биллинговой
системы, пользователями смежных информационных систем) или внутренними
нарушителями (пользователями ИССОО, СОЗВ и СКиМОО, администраторами
систем) путем использования чужого идентификатора легально
зарегистрированного пользователя ("маскарад"). Внешний и внутренний
нарушитель может завладеть идентификатором и паролем пользователя
системы различными путями, включая подслушивание и подглядывание, а
также путем использования методов социального инжиниринга.
Пользователь также может сообщить свой пароль другому пользователю в
нарушение установленных правил политики безопасности.
5.1.2. Нарушение целостности данных, хранящихся и обрабатываемых
в информационных системах внешними или внутренними нарушителями путем
использования чужого идентификатора легально зарегистрированного
пользователя ("маскарад").
5.1.3. Нарушение конфиденциальности и целостности обрабатываемых
в режиме "одного окна" данных (персональной информации, связанной с
заявителем, служебной информации - ключевой информации и
конфигурационной информации ИССОО, СОЗВ и СКиМОО, заявок, регламентов,
реестров, справочной информации).
5.1.4. Использование внутренними и внешними нарушителями уязвимых
мест в компонентах системы защиты. Нарушители могут случайно или в
результате целенаправленного поиска обнаружить уязвимые места в
средствах защиты, которыми можно воспользоваться для получения
несанкционированного доступа (далее - НСД) к информации.
Существуют следующие способы осуществления этой угрозы:
- использование ошибок проектирования, кодирования либо
конфигурации программного обеспечения (далее - ПО);
- анализ и модификация ПО;
- использование недекларированных возможностей в ПО, оставленных
для отладки либо умышленно внедренных. По степени возможного ущерба
основными угрозами для информационных систем являются:
1) угрозы нарушения целостности (угрозы модификации и удаления)
по отношению к следующим данным:
персональной информации и коммерческой тайне заявителей (угроза
нарушения законных прав юридических и физических лиц);
реестрам документов (угроза отказа от совершенных действий и
угроза нарушения законных прав физических и юридических лиц);
реестрам служб "одного окна", согласующих организаций (угроза
функционированию служб);
данным мониторинга работы служб "одного окна" (угроза отказа от
совершенных действий и угроза нарушения законных прав физических и
юридических лиц);
данным аудита прикладных и инфраструктурных подсистем (угроза
отказа от совершенных действий);
служебной информации (угроза функционированию информационных
систем);
2) угрозы нарушения целостности (угрозы аварий или разрушения) по
отношению к основным компонентам информационных систем, приводящие к
необходимости дополнительных финансовых затрат на восстановление
необходимой инфраструктуры;
3) угрозы нарушения конфиденциальности по отношению к следующим
данным:
персональной информации и коммерческой тайне заявителей (угроза
нарушения законных прав физических и юридических лиц);
ключевой и служебной информации (угроза функционированию служб
"одного окна", угроза отказа от совершенных действий и угроза
нарушения законных прав физических и юридических лиц);
информации ограниченного доступа, принадлежащей городу или
третьим сторонам, совместно обрабатываемой в службах "одного окна" и
смежных информационных системах и ресурсах, задействованных в
предоставлении услуг режима "одного окна" (угроза нарушения законных
прав физических и юридических лиц);
4) угрозы нарушения доступности информационных сервисов служб
"одного окна":
нарушение временных регламентов обслуживания физических или
юридических лиц (угроза получения жалоб и судебных исков);
финансовые потери в результате простоя информационных систем или
дополнительных затрат ресурсов (угроза судебных исков и превышения
бюджета на функционирование соответствующих служб).
|
Фрагмент документа "ОБ УТВЕРЖДЕНИИ КОНЦЕПЦИИ ИНФОРМАТИЗАЦИИ РАБОТЫ ОРГАНОВ ИСПОЛНИТЕЛЬНОЙ ВЛАСТИ, ГОРОДСКИХ ОРГАНИЗАЦИЙ В РЕЖИМЕ "ОДНОГО ОКНА" (РЕДАКЦИЯ НА 26.04.2006)".