|
@@ -0,0 +1,45 @@
|
|
|
|
|
+# Бaнк дaнных угрoз oт НCД
|
|
|
|
|
+
|
|
|
|
|
+**Банк данных угроз безопасности информации** - является единым отечественным ресурсом, содержащим сведения об уязвимостях программного и программно-аппаратного обеспечения, а также перечень и описание угроз безопасности информации для информационных систем различного назначения.
|
|
|
|
|
+
|
|
|
|
|
+### У банка данных существует несколько потенциальных угроз от нарушений системы защиты данных (НСД). Ниже приведены некоторые из них:
|
|
|
|
|
+
|
|
|
|
|
+-**Несанкционированный физический доступ**: Физическое проникновение в помещение, где находится сервер базы данных, может привести к краже или повреждению оборудования. Это может привести к потере данных или недоступности системы.
|
|
|
|
|
+
|
|
|
|
|
+-**Компрометация учетных данных**: Если хакеры или злоумышленники получают доступ к учетным данным, таким как имена пользователей и пароли, они могут войти в систему базы данных и изменить, удалить или крайне важно - похитить данные.
|
|
|
|
|
+
|
|
|
|
|
+-**Вирусы и вредоносные программы**: Вредоносные программы, такие как вирусы, троянские кони и шпионское ПО, могут быть использованы для проникновения в систему базы данных и получения незаконного доступа к данным. Они также могут быть использованы для изменения, искажения или уничтожения данных.
|
|
|
|
|
+
|
|
|
|
|
+-**Социальная инженерия**: Злоумышленники могут использовать методы манипуляции и обмана сотрудников банка данных, чтобы получить доступ к системе или получить конфиденциальную информацию. Это может включать фишинг, подделку идентификации или обман через телефонные звонки или электронные сообщения.
|
|
|
|
|
+
|
|
|
|
|
+-**Атаки на прикладное программное обеспечение**: Бреши в безопасности в прикладном программном обеспечении могут быть использованы для получения несанкционированного доступа к данным или осуществления других атак на базу данных. Это может включать уязвимости веб-приложений, ошибки программирования или необновленное программное обеспечение.
|
|
|
|
|
+
|
|
|
|
|
+-**Утечка данных**: Утечка данных может произойти из-за неконтролируемого доступа, утери физических носителей, ошибок в системе резервного копирования или нарушений в периметральной безопасности. Это может привести к утечке конфиденциальной информации клиентов или внутренних данных банка.
|
|
|
|
|
+
|
|
|
|
|
+-**Отказ в обслуживании**: Атаки отказа в обслуживании (DDoS) могут быть направлены на сервер базы данных, что приведет к временной недоступности данных и процессов обработки в банке данных.
|
|
|
|
|
+
|
|
|
|
|
+### Для защиты от этих угроз обычно применяются различные меры безопасности, такие как физический контроль доступа, использование сильных паролей и механизмов аутентификации, шифрование данных, установка антивирусного программного обеспечения, обучение персонала безопасности и проведение регулярных аудитов безопасности.
|
|
|
|
|
+
|
|
|
|
|
+
|
|
|
|
|
+
|
|
|
|
|
+
|
|
|
|
|
+### Принципы защиты от нарушений системы защиты данных (НСД) включают следующие аспекты:
|
|
|
|
|
+
|
|
|
|
|
+1.**Принцип доступности**: Обеспечение постоянного доступа к данным для авторизованных пользователей. Это включает мониторинг и обеспечение работоспособности системы, резервное копирование данных, обеспечение достаточной пропускной способности сети и др.
|
|
|
|
|
+
|
|
|
|
|
+2.**Принцип конфиденциальности**: Защита данных от несанкционированного доступа. Это включает применение механизмов аутентификации и авторизации, шифрования данных, контроля доступа, использование безопасных протоколов и так далее.
|
|
|
|
|
+
|
|
|
|
|
+3.**Принцип целостности**: Обеспечение сохранности и неприкосновенности данных. Это включает проверку целостности данных, контроль изменений данных, аудит и мониторинг системы, защиту от вирусов и других вредоносных программ.
|
|
|
|
|
+
|
|
|
|
|
+4.**Принцип ответственности**: Распределение ответственности за безопасность данных между администраторами, сотрудниками и пользователями. Это включает обучение персонала по вопросам информационной безопасности, создание и соблюдение политик безопасности, регулярное обновление и обслуживание системы и так далее.
|
|
|
|
|
+
|
|
|
|
|
+5.**Принцип прозрачности**: Информирование пользователей о мерах безопасности и возможных угрозах. Это включает предоставление обратной связи и отчетности пользователю, доступ к информации о политиках и процедурах безопасности, прозрачность работы системы безопасности.
|
|
|
|
|
+
|
|
|
|
|
+
|
|
|
|
|
+
|
|
|
|
|
+## Источники:
|
|
|
|
|
+
|
|
|
|
|
+1.[rtmtech.ru](https://rtmtech.ru/articles/fstek-threats-bank/)
|
|
|
|
|
+2.[fstec.ru](https://fstec.ru/gniii-ptzi-fstek-rossii/produkty/bank-dannykh-ugroz-bezopasnosti-informatsii-fstek-rossii)
|
|
|
|
|
+3.[bdu.fstec.ru](https://bdu.fstec.ru/threat)
|
|
|
|
|
+4.[data-sec.ru](https://data-sec.ru/personal-data/threats-data-bank/)
|
