Источником угрозы утечки информации является лицо, имеющее доступ к ИС, включая пользователей ИС, — внутренний нарушитель.
В подавляющем большинстве случаев сотрудник имеет возможность скопировать документы, с которыми он в данный момент работает, на любой мобильный носитель информации. Наибольшую опасность в этом отношении представляют мобильные модули памяти. Особенно это верно в отношении тех устройств, которые могут подключаться прямо к USB-порту компьютера.
Например, флеш-память, объем которой может достигать значительных величин, для работы с ней не нужны дополнительные драйвера, и скорость обмена информацией с ПК достаточно большая. Кроме того, нужно учитывать, что физические размеры устройств на базе флеш-памяти очень невелики. То есть человек может не только принести их в офис, но и работать с ними незаметно для других сотрудников.
Следует учитывать, что многие цифровые устройства имеют встроенную память для хранения данных. Они также могут легко подключаться к компьютеру с помощью одного универсального USB-кабеля. Таким образом карманные компьютеры, сотовые телефоны, mp3-плееры также могут использоваться внутренними нарушителями для переноса конфиденциальной информации.
Также утечка защищаемой информации может возникнуть в случае передачи информации по открытым каналам связи.
В результате проведённого анализа АС OOO Altius Plus было выявлено:
- — все АРМ имеют встроенные USB порты, к которым возможно подключение внешних HDD/FLASH накопителей, или CD-RW/DVD-RW-приводы;
- — отсутствуют специализированные сертифицированные средства разграничения доступа и контроля внешних носителей;
- — учёт защищаемых носителей информации не реализован.
Вероятность угрозы утечки защищаемой информации через:
- — копирование информации на незарегистрированный носитель информации;
- — передачу носителя информации лицам, не имеющим права доступа к ней (в том числе при ремонте и утилизации носителя);
- — возможность утраты (потери) носителя,
является средней.
Несмотря на то, что:
— реализована система защищённого доступа сотрудников OOO Altius Plus к ресурсам сети «Интернет»,.
следует признать принятые меры препятствующие утечке защищаемой информации, путём передачи информации по открытым каналам связи недостаточными и признать вероятность реализации угрозы средней.