3.3. Az informatikai rendszer elemeinek csoportosítása, azok gyenge pontjai és fenyegetô tényezôi

Ennek a csoportosításnak a figyelembevételével egyszerûsödik a már meglévô és az alkalmazni kívánt újabb rendszerelemeknek, azok különös gondosságot igénylô gyenge pontjainak, valamint az elsôsorban a gyenge pontokra ható fenyegetô tényezôknek a feltérképezése, kapcsolataik meghatározása.

A kialakított elemcsoportok a következôk:

• a környezeti infrastruktúra elemei,
• a hardver elemek,
• az adathordozók,
• a dokumentumok,
• a szoftver elemek,
• az adatok,
• a kommunikáció elemei,
• a rendszerelemekkel kapcsolatba kerülô személyek.

3.3.1. A "környezeti infrastruktúra" elemcsoport

• Terület/épület
• A rendszer elemeinek elhelyezésére szolgáló helyiségek
• Tároló helyiségek mágneses adathordozók, papíráruk, dokumentációk, alkatrészek stb. tárolására
• Átviteli vezetékek az épületben és az épületen kívüli területeken egyaránt
• Áramellátás
• Klimatizálás/víz
• Világítás
• Telefon
• Belépés-ellenôrzô eszközök
• Tûzvédelmi berendezések
• Vízvédelmi berendezések
• Betörésvédelmi berendezések
• Egyéb biztonsági berendezések, amelyek a védelmi intézkedések nyomán létesültek

Gyenge pontok a környezeti infrastruktúra területén

• Nem védett átviteli vezetékek (károsodás, megcsapolás)
• Közös kábelvezetések (tûz, szabotázs)
• Cégen kívüli személyek (látogatók, szerelôk, szállítók stb.) bent tartózkodása
• Cégen belüli személyek szükségtelen bent tartózkodása
• Nem felügyelt munkálatok az épületekben, helyiségekben, kisegítô létesítményekben, vagy azokon kívül, amelyeket külsô személyek folytatnak (például ablaktisztítás, elektromos vagy telefonszerelés, építési munkálatok stb.)
• Az informatikai berendezések nem védett helyzete (például a nyílt utcán, kerítés nélküli épületekben, a munkaidôn kívüli ôrzés hiánya stb.)
• A belépési biztonság hanyag kezelése (például jelzô berendezések kikapcsolás, nyitott ajtók stb.)
• A védelmi berendezések mûködési módjának vagy gyengeségeinek jogosulatlanok általi megismerése (például a vezetékek lefutása, riasztórendszerek kapcsolási vázlatai, különösen pedig a számítógép-vezérelt belépés-ellenôrzés)

Fenyegetô tényezôk a környezeti infrastruktúra területén

Külsô fenyegetô tényezôk

• "Vis maior":
  • Földrengés
  • Áradás
  • Orkán
  • Villámcsapás
  • Robbanás
  • Repülôgép lezuhanás
  • Sztrájk
  • Háborús cselekmények
• Személyek által kifejtett erôszak:
  • Robbantásos merénylet, fegyveres behatolás
  • Gyújtogatás, sav, vandalizmus
  • Betörés
• A közmûellátás zavarai vagy kiesése a következô területeken:
  • Áramellátás
  • Vízellátás

Ellenôrizetlen belépés az épületekbe, helyiségekbe, ellátó és védelmi berendezésekhez, vezetékekhez az alábbi személyek által:

• Jogosulatlan üzemen belüli személyek
• Üzemen kívüli személyek

A szervezeten kívüli személyek tartózkodása az üzemi területen:

• Látogatók
• Szállítók

A szervezeten kívüli személyek által végzett munkálatok:

• Takarítás
• Elektromos szerelés
• Telefonszerelés
• Kábelfektetés
• A kisegítô berendezések karbantartása
• Festési munkálatok a helyiségekben vagy az épületekben
• Építési munkálatok a helyiségekben vagy az épületben
• Informatikai komponensek karbantartása és üzembehelyezése
• Ellátó és védelmi berendezések technikai hibája vagy kiesése

Vészhelyzet

• Tûzé (például rövidzárlat miatt)
• Vízbetörés (például csôtörés miatt)

3.3.2. A "hardver" elemcsoport

• Felhasználói terminálok ((E15)-tôl és (E16)-tól eltérô fenyegetô aspektusaik miatt különböztetjük meg ôket)
• Olvasható formában megjelenítô eszközök (például: nyomtató, plotter)
• Olvasható formában történô beviteli eszközök (például: scanner)
• Cserélhetô tároló eszközök (például: mágnesszalagos berendezések, cserélhetô lemezes berendezések, hajlékonylemez-meghajtók, optikai lemezek)
• Hálózati csatoló eszközök (például: modem, ethernet controller)
• Hálózatépítô eszközök (például: gateway-számítógép, router, repeater, stb.)
• Speciális biztonsági berendezések (például: rejtjelzô-készülékek, végpont védelmi eszközök, chipkártya-olvasó, stb.)
• Rendszerkonzolok((E15)-tôl és (E16)-tól eltérô fenyegetô aspektusaik miatt különböztetjük meg ôket)
• Központi hardver (CPU, fôtároló, merevlemezes tároló stb. - ami (E14)-(E21) között nem szerepel)

Gyenge pontok a hardver területén

• A készülékek csekély súlya (a lopás könnyen lehetséges)
• A készülékek csekély mérete (lopás könnyen lehetséges)
• Érzékenység az elektromágneses sugárzással szemben
• Kompromittáló kisugárzás (például képernyôkrôl és rézkábelekrôl) lehetôsége
• Tartozékok (például nyomtatópapír, festékszalagok) utánpótlásának szervezetlensége
• Ütésérzékenység

Fenyegetô tényezôk a hardver területén

Mûszaki jellegû hibák, rendellenességek

• Spontán (külsô behatások nélküli) hiba vagy kiesés az alábbiak miatt:
  • Elöregedés vagy kopás (elektronikus, mechanikus)
  • Mechanikai zavarok (például lemezmegrongálódás)
  • Tervezési és elkészítési hiányosságok (például új chipek)
  • Környezeti hatások:
  • Feszültségcsökkenések (az áramellátásban)
  • A fô értékek vagy a levegô nedvességtartalmának felszökése vagy leesése
  • Piszkolódás (por, dörzspor)
  • Elektromágneses zavaró sugárzás
  • Elektrosztatikus feltöltôdés
  • A szoftver által kiváltott hibák a hardverben

Személyekkel összefüggô fenyegetés

• Hiba a kezelés, a karbantartás vagy a konfigurálás során:
  • Írásvédelem be-/kikapcsolás,
  • Modem be/kikapcsolás,
  • Kapcsoló beállítása,
  • Készülékek kikapcsolása,
  • Zavarok áthidalása,
  • Hamis adathordozók
• Manipulációk (célzott funkcióváltoztatás):
  • Toldások cseréje,
  • Töltôzár áthidalása
• Erôszakos cselekmény:
  • Készülékek károsítása vagy roncsolása
  • Készülékek ellopása
• A bevitel/kiadás elolvasása
  • Nyomtatóról (papír)
  • Képernyôrôl (különösen jelszavak)
• Egyéb fenyegetô tényezôk
  • Kiesések a hiányzó tartozékok miatt (például nyomtatópapír, festékszalagok)
  • Az elektromágneses kisugárzás kiértékelése (például a képernyôé)
  • Az akusztikus kisugárzás kiértékelése (például a nyomtatóé)

3.3.3. Az "adathordozó" elemcsoport

• Raktározott állapotú szoftvert tartalmazó adathordozók
• Biztonsági másolatok (egy meghatározott idôpontban volt állapotok esetleges hibák utáni újraindítás érdekében)
• Munkakópiák (valamely feldolgozás befejezése utáni állapotot egy további feldolgozás, munkafolyamat során felhasználnak például valamely titkos dolog feldolgozása esetén állandó online tárolás nélkül.)
• Archív adatokat tartalmazó adathordozók (olyan adatok, amelyeket - például jogi okokból - hosszabb idôtartamon át meg kell ôrizni)
• Jegyzôkönyvi adatok (biztonsági szempontból releváns feljegyzések, amelyek az ellenôrzés során szükségesek lesznek)
• Eredeti és felszabadított adathordozók (amelyeket még nem vettek használatba vagy amelyek tartalmára a továbbiakban nincs szükség)

Gyenge pontok az adathordozók területén

• Nem védett tárolás
• Kapcsolható írásvédelem
• Fizikai instabilitás
• Mágneses érzékenység
• Szakaszos demagnetizálódás hosszabb tárolás esetén
• Elöregedés
• Érzékenység a hômérsékletre és a nedvességre stb.
• Tartalmuk emberek számára technikai segédeszközök nélkül nem hozzáférhetô
• Könnyen szállíthatóak
• A szállítás nehezen ellenôrizhetô
• Rendszerek közti cserélhetôség
• Tárolóképesség (nagy adatmennyiségek)
• Újrafelhasználhatóság elégtelen kezelése

Fenyegetô tényezôk az adathordozók területén

A rendelkezésre állást és mûködôképességet fenyegetô tényezôk

• Lopás
• Szándékos megkárosítás (mechanikus, mágneses stb.)
• Károsodás külsô események miatt, például tûz, víz
• Károsodás helytelen kezelés vagy tárolás miatt
• Elöregedés miatti használhatatlanság (demagnetizálódás, mechanikai változások)
• Károsodás környezeti körülmények miatt (hômérséklet, nedvesség stb.)
• Már nem fellelhetô adathordozók (nem szabályszerû tárolás)
• Hibásan legyártott adathordozók (fizikai íráshiba)
• Használhatatlanság a hiányzó kódoló, illetve dekódoló berendezések miatt
• Használhatatlanság az inkompatibilis formátum miatt (logikai és fizikai értelemben)

A sértetlenséget fenyegetô tényezôk

• Hiányzó vagy nem kielégítô jelölés
• A jelölés meghamisítása
• Ismeretlen vagy kétséges eredetû adathordozók használata (szoftver-import)

A bizalmasságot fenyegetô tényezôk

• Az adathordozók újrafelhasználásra vagy megsemmisítésre történô kiadása elôzetes törlésük vagy átírásuk nélkül
• Lopás

Fenyegetô tényezôk az adathordozók kezelésével összefüggésben

• Ellenôrizetlen hozzájutás az adathordozókhoz
• A szervezet tulajdonát képezô adathordozók privát célú használata
• Privát adathordozók szolgálati használata (illegális másolatok, vírusok behatolása)
• Ellenôrizetlen másolás

3.3.4. A "dokumentum" elemcsoport

• Kezelési, felhasználási utasítások a hardverre, a rendszerszoftverre, az alkalmazói programokra vonatkozóan
• Üzemi elôírások, amelyek általánosan biztosítják a számítógép rendes üzemelését (normálüzem, adatbiztosítás/újraindítás, szükséghelyzet, biztonsági eljárás, ôrzés/tárolás, stb.)
• Jegyzôkönyvi kivonatok
• Alkalmazási kivonatok
• Egyéb dokumentációk

Gyenge pontok a dokumentumok területén

• A dokumentumok hiányzó adminisztrációja
• Hiányzó változtatási szolgálat
• A felhasználói dokumentáció közvetlen elérhetésének hiánya a felhasználó számára
• Nem védett tárolás (tûz, lopás)
• Nem kellô gondosság a kiselejtezésnél vagy megsemmisítésnél
• Az ismeretek szükségtelen bôvítése
• Ellenôrizetlen sokszorosítási lehetôségek

Fenyegetô tényezôk a dokumentumok területén
A rendelkezésre állást, mûködôképességet fenyegetô tényezôk

• Dokumentumok, kézikönyvek stb. teljes hiánya (nincs megírva, nem vették meg vagy elhagyták)
• Lopás
• Átmeneti eltávolítás vagy kikölcsönzés
• Elvesztés
• Elkeveredés (ismeretlen tárolási hely)
• Olvashatatlanság (kézirat, kifakult másolatok)
• Az adott dokumentum ismeretlen volta

A sértetlenséget fenyegetô tényezôk

• A teljesség hiánya
• Hibák a leírásokban
• Hiányzó aktualitás (hiányoznak a változtatások, nem vezették át azokat)
• Jogosulatlanok által bevezetett változtatások
• Jogosulatlanok által történt kicserélés

A bizalmasságot fenyegetô tényezôk

• Lopás
• Jogosulatlan tudomásra jutás
• Gondatlanság a kiselejtezés vagy megsemmisítés során (papírdaráló, szemétszállítás, használtpapír-kereskedés)
• Jogosulatlan sokszorosítás

3.3.5. A "szoftver" elemcsoport

• Alkalmazói szoftverek
• Üzemelô rendszerszoftverek
• Pótlólagos szoftverek (felhasználás-orientált, illetve biztonságorientált szoftverek)

Gyenge pontok a szoftver területén

• Nem világos, vagy nem teljes eljárás a program-elôállítás során (specifikációs hiba)
• A programok ellenôrzésének és átvételének hiánya
• Az új vagy változtatott szoftverek nem kielégítô minôsítô eljárása (implementálási hiba)
• Bonyolult felhasználói felület
• A logikai belépés ellenôrzésének hiánya (felhasználó hitelesítés)
• Az események hiányzó jegyzôkönyvezése (például belépés, CPU-használat, file-ok megváltoztatása)
• Az üzemszoftver hibáinak vagy biztonsági réseinek ismertté válása
• A jelszó-táblák olvashatósága
• A kódoló/titkosító algoritmus ismerete
• Más felhasználókról való tudomásszerzés lehetôsége (felhasználó felismerés, aktív folyamatok, az utolsó bejutás idôpontja stb.)
• Lehetôség ismeretek szerzésére a meghívható távoli számítógépekrôl
• A jelszó-mechanizmus helytelen kezelése (rövid vagy könnyen kitalálható jelszavak, ritka vagy elhagyott változtatás stb.)
• Felhasználó-felismerés jelszó nélkül vagy közös jelszavakkal
• A régi bevitelek törlésének elmaradása
• A hozzáférési jogok helytelen odaítélése
• Szükségtelenül nagy hozzáférési jogok a felhasználók számára
• Korlátozott adminisztratív feladatokat ellátó személyek részére szükségtelenül biztosított jogok
• Más felhasználók ismeretlen programjainak használata (vírusfertôzés)
• Adathordozók (mágneslemezek, kazetták) ellenôrizetlen használata
• A "kilépés" elhagyása a termináltól való távozás esetén
• Közösen használt üzemi eszközök alkalmazása ("takart csatornák")
• Távolról történô karbantartás
• Távoli adminisztráció (például a hálózatellenôrzés/adminisztráció táblázatok)
• Szoftver importja a hálózaton keresztül (például mailboxból)

Fenyegetô tényezôk a szoftver területén

Szoftverhiba

• Hiba az alkalmazói szoftverben
• Hiba az üzemelô rendszerszoftverben:
• Ismert hibák figyelmen kívül hagyása

Jogosulatlan bejutás az informatikai rendszerbe a kezelôi helyrôl vagy a hálózatról

• A bejutás ellenôrzésének hiánya
• A bejutás ellenôrzésének megtévesztése vagy áthidalása
• A felhasználó figyelmetlensége

Nemkívánatos hozzáférés az alábbiak révén

• Szükségtelen hozzáférési jogok (más felhasználók programjaihoz és adataihoz vagy rendszerprogramokhoz és rendszeradatokhoz)
• A hozzáférési jogokkal való visszaélés

Szoftver ellenôrizetlen bevitele

• Az üzemi rendszer ellenôrizetlen töltése
• Idegen alkalmazói programok importja
• A felhasználó programfejlesztése

Vírusveszély

• Ismeretlen vagy nem megbízható eredetû programok használata
• Saját programok használatba-adása más felhasználóknak
• Kezelési hiba vagy visszaélés a kezelési funkciókkal
• Karbantartási hiba vagy visszaélés a karbantartási funkciókkal, helytelen karbantartási funkciók (távoli karbantartás a hálózaton keresztül)
• A szoftver sérülése, károsodása vagy használhatatlansága hardver hibák alapján
• Jogosulatlan információnyerés a közösen használt üzemi eszközök révén

3.3.6. Az "adatok" elemcsoport

• Adatok a bevitel/beadás folyamatában (terminálról, scannerrôl adathordozókról vagy automatikus átvitel során)
• Adatok a feldolgozás folyamatában (központi egységben, alkalmazói programmal)
• Tárolt adatok (tartósan vagy csak a feldolgozás idejében)
• Adatok a kivitel folyamatában (képernyôre, nyomtatóra, plotterre, adathordozóra vagy átviteli csatornára)

Gyenge pontok az alkalmazói adatok területén

A bevitel során:

• A beadott adatok hiányzó vagy nem kielégítô ellenôrzése
• Nem kielégítô védelmi berendezések

A feldolgozás során:

• Szoftverhiba
• Hiányzó hibakezelô eljárás a hardverben és a szoftverben
• Hiányzó újraindítás-elôkészítés a hardverben és a szoftverben

A tárolás során:

• Szükségtelen hozzáférési jogok
• Az adatterületek törlésének hiánya az újrafelhasználás elôtt

A kiadás során:

• Adathordozóra írás ellenôrzô olvasás nélkül
• Emberi kudarc

Fenyegetô tényezôk az alkalmazói adatok területén

• Hardver hibák által keletkezô adatvesztések, károsodások, eltérések
• A szoftver által okozott adatvesztések, károsodások, eltérések (hibás vagy manipulált alkalmazói, illetve rendszerprogramok által)
• Adathordozók által okozott adatvesztések, károsodások, eltérések
• Emberek által okozott fenyegetô tényezôk
• Hibás manuális adatbeadás/változtatás
• Hibás futtatásvezérlés vagy kezelés (hibás utasítás vagy paraméter stb.)
• Manuális program- vagy rendszermegszakítás
• Jogosultak általi törlés/változtatás (tévedésbôl/szándékosan)
• Jogosulatlanok általi törlés/változtatás (szükségtelen hozzáférési jogosultságok)
• Kiadások meghamisítása
• A bevitelek/kiadások elolvasása
• Adatok jogosulatlan másolása
• A fizikailag nem törölt adatterületek kiértékelése (tároló, adathordozók)

3.3.7. A "kommunikáció" elemcsoport

• Szolgáltatási adatok ellenôrizhetô hálózatokon
• Szolgáltatási adatok nem ellenôrizhetô hálózatokon
• Hálózatvezérlô adatok ellenôrzött hálózatokon
• Hálózatvezérlô adatok nem ellenôrizhetô hálózatokon

Gyenge pontok a kommunikáció területén

A hálózatokban:

• Átviteli vonal károsodás, megszakadás
• Hiba források a hálózati szoftverben és hardverben
• A hálózati szoftver és hardver manipulálhatósága
• Az elôírásoktól eltérô használat
• A hálózat- és az átvitelvezérlés manipulálhatósága

Az adatok (üzenetek) átvitele során:

• Lehetôség az üzenetek lehallgatására
• Lehetôség az üzenetek meghamisítására
• Az adó és a fogadó hiányzó azonosítása és hitelesítése
• A jelszavak vagy titkos kulcsok nyílt szövegben való továbbítása
• Függés az átvitel sorrendjétôl
• Lehetôség az üzenetek ismételt lejátszására
• Valamely üzenet elküldésének hiányzó bizonyítása
• Valamely üzenet "kézhezvételének" hiányzó bizonyítása

Fenyegetô tényezôk a kommunikáció területén

A hálózatok elleni fenyegetések

• Jogosulatlanok bejutása a hálózatba nem ellenôrizhetô csatlakozások révén (közüzemi hálózatok mint telefon, telefax, telex, ISDN, teletext)
• Jogosulatlanok bejutása a hálózatba technikai manipulációk révén a házon belüli hálózatokon, (további LAN-állomások észrevétlen csatlakozása, behatolás a terminál-számítógép kapcsolatba)
• A közvetítô-berendezések hibás viselkedése vagy kiesése mûszaki hibák vagy hibás hálózati szoftverek miatt
• Szabotázs/erôszakos cselekmény
• Hálózati hardverek/szoftverek manipulálása
• A fájlszerver kiesése vagy hibája helyi hálózatban
• A többletérték szolgáltatások bizonytalan üzemeltetése a közüzemi hálózatokban
• Zavaró befolyások (átviteli hibák)
• Sérülés, károsodás
• Manipuláció (aktív vagy passzív rácsatlakozás)
• Nem várt forgalmazási csúcsok
• Célzott terhelési támadások

Az átvitelben résztvevô adatokat (üzeneteket) fenyegetô tényezôk

• Az üzenetek lehallgatása
• A vezetékek kompromittáló sugárzásának kihasználása
• Üzenetek megváltoztatása
• Üzenetek elvesztése

A kapcsolódásokat fenyegetô tényezôk (kommunikációs kapcsolatok)

• Az üzenetek hibás helyre vezetése
• Az üzenetek helytelen sorrendje a fogadónál
• Üzenetek ismételt lejátszása
• A kapcsolat felépítésének lehallgatása
• A kapcsolat felépítése meghamisított azonossággal
• Valamely üzenet meghamisítása az adó, a közvetítô vagy a fogadó által
• Az üzenet tartalmának meghamisítása a küldô vagy a fogadó által
• A kommunikációs kapcsolatok kikutatása (forgalmazás-elemzés), a kommunikációs partnerek névtelenségének veszélyeztetése

3.3.8. A "személyek" elemcsoport

• Az üzemeltetéshez szükséges személyek (operátorok, rendszergazda/adminisztrátor, felhasználók a terminálnál, a rendszer kezelôi, karbantartói)
• Ôrzô/felügyelô személyzet (szolgálati és biztonsági felügyelet)
• Segédszemélyzet (takarítók, a segédberendezések karbantartói)

Gyenge pontok a személyek körében

• A kiesés sokrétû lehetôségei (sérülés, betegség stb.)
• Nem kielégítô kiképzés
• Hiányos biztonságtudat
• A fenyegetettségi helyzet ismeretének hiánya
• Kényelmesség
• A fenyegetettségi helyzet lebecsülése
• Megszokási veszélyhelyzetek
• A frusztrációval szembeni hiányos tolerancia
• Elôre nem látható viselkedés (motívumok, szándékok)
• Áttekinthetetlen viselkedés (nyíltság, visszahúzódás)
• Az egyes individuumok különbözôsége
• Különbözô szellemi képességek
• Különbözô ismeretek
• A motívumok és kiváltó tényezôk sokrétûsége
• Lehetôség az együttmûködésre
• Hiányzó vagy hiányos ellenôrzés

Fenyegetô tényezôk a személyek területén
Kiesések:

• Elôre látható események (felmondás, áthelyezés, szabadság)
• Elôre nem látható események (halál, betegség, baleset, sztrájk)
• Munkahelyi eredetû károk (sérülés vagy betegség)

Szándéktalan hibás viselkedés:

• Személyes vagy munkahelyi stresszhelyzetek, fáradság miatt
• Tudatlanságból (hiányzó vagy hiányos kiképzés)
• A munkamenet hibás szabályozása miatt
• Az elôírások ismeretének hiánya miatt
• Az elôírások figyelmen kívül hagyása (kényelmesség, akadályoztatás, figyelmetlenség) miatt
• Hiányos biztonságtudat miatt (ismeret hiánya, megszokás)
• Túl komplikált (hibákra érzékeny) kezelés miatt
• A hiányzó ellenôrzés miatt

Szándékos hibás viselkedés (önállóan vagy együttmûködésben):

• Harmadik személyek nyomására (fenyegetés, zsarolás, megvesztegetés)
• Belsô késztetésre (meggazdagodás, bosszú, frusztráció stb.)

Belsô ismeretek továbbadása harmadik személyeknek:

• Gyanútlanul, nagyvonalúságból
• Bûnözési szándékkal