A.II] активизируемые

Объективные уязвимости

Классификация уязвимостей безопасности

Угрозы, как возможные опасности совершения какого-либо действия, направленного против объекта защиты, проявляются не сами по себе, а через уязвимости (факторы), приводящие к нарушению безопасности информации на конкретном объекте информатизации.

Уязвимости присущи объекту информатизации, неотделимы от него и обуславливаются недостатками процесса функционирования, свойствами архитектуры автоматизированных систем, протоколами обмена и интерфейсами, применяемыми программным обеспечением и аппаратной платформой, условиями эксплуатации и расположения.

Источники угроз могут использовать уязвимости для нарушения безопасности информации, получения незаконной выгоды (нанесения ущерба собственнику, владельцу, пользователю информации) Кроме того, возможно не злонамеренные действия источников угроз по активизации тех или иных уязвимостей, наносящих вред.

Каждой угрозе могут быть сопоставлены различные уязвимости. Устранение или существенное ослабление уязвимостей влияет на возможность реализации угроз безопасности информации.

Для удобства анализа, уязвимости разделены на классы (обозначаются заглавными буквами), группы (обозначаются римскими цифрами) и подгруппы (обозначаются строчными буквами). Уязвимости безопасности информации могут быть:

· [А] объективными

· [В] субъективными

· [С] случайными.

Объективные уязвимости зависят от особенностей построения и технических характеристик оборудования, применяемого на защищаемом объекте. Полное устранение этих уязвимостей невозможно, но они могут существенно ослабляться техническими и инженерно-техническими методами парирования угроз безопасности информации. К ним можно отнести:

[А.I] сопутствующие техническим средствам излучения

· [A.I.a] электромагнитные (побочные излучения элементов технических средств [1], кабельных линий технических средств [2], излучения на частотах работы генераторов [3], на частотах самовозбуждения усилителей [4])

· [A.I.b] электрические (наводки электромагнитных излучений на линии и проводники [1], просачивание сигналов в цепи электропитания, в цепи заземления [2], неравномерность потребления тока электропитания [3])

· [A.I.c] звуковые (акустические [1], виброакустические [2])

· [A.II.a] аппаратные закладки (устанавливаемые в телефонные линии [1], в сети электропитания [2], в помещениях [3], в технических средствах [4])

· [A.II.b] программные закладки (вредоносные программы [1], технологические выходы из программ [2], нелегальные копии ПО [3])