|
|
@@ -0,0 +1,44 @@
|
|
|
+# Бaнк дaнных угрoз oт НCД
|
|
|
+
|
|
|
+**Банк данных угроз безопасности информации** - является единым отечественным ресурсом, содержащим сведения об уязвимостях программного и программно-аппаратного обеспечения, а также перечень и описание угроз безопасности информации для информационных систем различного назначения.
|
|
|
+
|
|
|
+### У банка данных существует несколько потенциальных угроз от нарушений системы защиты данных (НСД). Ниже приведены некоторые из них:
|
|
|
+
|
|
|
+- Несанкционированный физический доступ: Физическое проникновение в помещение, где находится сервер базы данных, может привести к краже или повреждению оборудования. Это может привести к потере данных или недоступности системы.
|
|
|
+
|
|
|
+- Компрометация учетных данных: Если хакеры или злоумышленники получают доступ к учетным данным, таким как имена пользователей и пароли, они могут войти в систему базы данных и изменить, удалить или крайне важно - похитить данные.
|
|
|
+-
|
|
|
+ Вирусы и вредоносные программы: Вредоносные программы, такие как вирусы, троянские кони и шпионское ПО, могут быть использованы для проникновения в систему базы данных и получения незаконного доступа к данным. Они также могут быть использованы для изменения, искажения или уничтожения данных.
|
|
|
+
|
|
|
+- Социальная инженерия: Злоумышленники могут использовать методы манипуляции и обмана сотрудников банка данных, чтобы получить доступ к системе или получить конфиденциальную информацию. Это может включать фишинг, подделку идентификации или обман через телефонные звонки или электронные сообщения.
|
|
|
+
|
|
|
+- Атаки на прикладное программное обеспечение: Бреши в безопасности в прикладном программном обеспечении могут быть использованы для получения несанкционированного доступа к данным или осуществления других атак на базу данных. Это может включать уязвимости веб-приложений, ошибки программирования или необновленное программное обеспечение.
|
|
|
+
|
|
|
+- Утечка данных: Утечка данных может произойти из-за неконтролируемого доступа, утери физических носителей, ошибок в системе резервного копирования или нарушений в периметральной безопасности. Это может привести к утечке конфиденциальной информации клиентов или внутренних данных банка.
|
|
|
+
|
|
|
+- Отказ в обслуживании: Атаки отказа в обслуживании (DDoS) могут быть направлены на сервер базы данных, что приведет к временной недоступности данных и процессов обработки в банке данных.
|
|
|
+
|
|
|
+Для защиты от этих угроз обычно применяются различные меры безопасности, такие как физический контроль доступа, использование сильных паролей и механизмов аутентификации, шифрование данных, установка антивирусного программного обеспечения, обучение персонала безопасности и проведение регулярных аудитов
|
|
|
+безопасности.
|
|
|
+
|
|
|
+
|
|
|
+
|
|
|
+
|
|
|
+### Принципы защиты от нарушений системы защиты данных (НСД) включают следующие аспекты:
|
|
|
+
|
|
|
+1. Принцип доступности: Обеспечение постоянного доступа к данным для авторизованных пользователей. Это включает мониторинг и обеспечение работоспособности системы, резервное копирование данных, обеспечение достаточной пропускной способности сети и др.
|
|
|
+
|
|
|
+2. Принцип конфиденциальности: Защита данных от несанкционированного доступа. Это включает применение механизмов аутентификации и авторизации, шифрования данных, контроля доступа, использование безопасных протоколов и так далее.
|
|
|
+
|
|
|
+3. Принцип целостности: Обеспечение сохранности и неприкосновенности данных. Это включает проверку целостности данных, контроль изменений данных, аудит и мониторинг системы, защиту от вирусов и других вредоносных программ.
|
|
|
+
|
|
|
+4. Принцип ответственности: Распределение ответственности за безопасность данных между администраторами, сотрудниками и пользователями. Это включает обучение персонала по вопросам информационной безопасности, создание и соблюдение политик безопасности, регулярное обновление и обслуживание системы и так далее.
|
|
|
+
|
|
|
+5. Принцип прозрачности: Информирование пользователей о мерах безопасности и возможных угрозах. Это включает предоставление обратной связи и отчетности пользователю, доступ к информации о политиках и процедурах безопасности, прозрачность работы системы безопасности.
|
|
|
+
|
|
|
+
|
|
|
+
|
|
|
+## Источники:
|
|
|
+
|
|
|
+1.[rtmtech.ru](https://rtmtech.ru/articles/fstek-threats-bank/)
|
|
|
+2.[fstec.ru](https://fstec.ru/gniii-ptzi-fstek-rossii/produkty/bank-dannykh-ugroz-bezopasnosti-informatsii-fstek-rossii)
|
scherbakov
