2. Классификация угроз информационной безопасности

Факт разглашения (распространения) информации ограниченного доступа за пределами санкционированного круга лиц является утечкой информации.

Каналы утечки информации разделяют на четыре группы.

1-я группа - каналы, связанные с доступом к элемен­там системы обработки данных, но не требующие измене­ния компонентов системы. К этой группе относятся каналы, образующиеся за счет:

• дистанционного скрытого видеонаблюдения или фотографирования;

• применения подслушивающих устройств;

• перехвата электромагнитных излучений и наводок и т. д.

2-я группа - каналы, связанные с доступом к элемен­там системы и изменением структуры ее компонентов. К ней относятся:

• наблюдение за информацией в процессе обработки с целью ее запоминания;

• хищение носителей информации;

• сбор производственных отходов, содержащих обрабатываемую информацию;

• преднамеренное считывание данных из файлов дру­гих пользователей;

• чтение остаточной информации, т. е. данных, оста­ющихся на магнитных носителях после выполнения заданий;

• копирование носителей информации;

• преднамеренное использование для доступа к ин­формации терминалов зарегистрированных пользо­вателей;

• маскировка под зарегистрированного пользователя путем похищения паролей и других реквизитов раз­граничения доступа к информации, используемой в системах обработки;

• использование для доступа к информации так назы­ваемых «люков», «дыр» и «лазеек», т. е. возможнос­тей обхода механизма разграничения доступа, возникающих вследствие несовершенства общесистем­ных компонентов программного обеспечения.

3-я группа, которая включает:

• незаконное подключение специальной регистрирующей аппаратуры к устройствам системы или ли­ниям связи (перехват модемной и факсимильной связи);

• злоумышленное изменение программ таким обра­зом, чтобы эти программы наряду с основными функциями обработки информации осуществляли также несанкционированный сбор и регистрацию защищаемой информации;

• злоумышленный вывод из строя механизмов за­щиты.

4-я группа, к которой относятся:

• несанкционированное получение информации пу­тем подкупа или шантажа должностных лиц соот­ветствующих служб;

• получение информации путем подкупа и шантажа со­трудников, знакомых, обслуживающего персонала или родственников, знающих о роде деятельности.

Потенциальное наличие в информационной системе каналов утечки информации создает угрозы для ее информационной безопасности.

Угроза в уголовном праве - намерение нанести физический, материальный или иной вред отдельному лицу или общественным интересам, выраженное словесно, письменно, действиями либо другим способом.

Применительно к информационной системе угроза - событие, которое потенциально может нанести вред организации путем раскрытия, модификации или разрушения критической информации, или отказа в обслуживании критическими сервисами. Виды угроз:

Естественные угрозы – это угрозы, вызванные воздействиями на элементы информационной системы объективных физических процессов или стихийных природных явлений, не зависящих от человека, такие как стихийные бедствия (пожар, молния, ураган, землетрясение, наводнение, электромагнитные и ионизирующие излучения, военные действия и др.).

Искусственные угрозы – это угрозы, порожденные человеческой деятельностью, и могут быть преднамеренные и непреднамеренные.

К непреднамеренным (пассивным) угрозам относятся:

- утечка информации при текучке специалистов;

- некомпетентная эксплуатация информационной системы и средств ее защиты;

- недостатки в проектировании и сооружении зданий, помещений, систем вентиляции, отопления и др., создающие каналы утечки информации;

-ошибки проектирования и производства изделий, вычислительной техники и оргтехники;

-ошибки проектирования, производства, прокладки и установки средств связи и коммуникаций;

- ошибки разработки и применения программного обеспечения;

- использование неучтенного программного обеспечения;

- ошибки процессов подготовки, ввода, обработки и вывода информации;

- сбои, отказы в работе аппаратуры, приводящие к искажению или уничтожению информации.

Преднамеренными (активными) угрозами являются преднамеренные действия людей с целью нанесения вреда (ущерба), например:

- физическое разрушение информационной системы или вывод из строя ее наиболее важных компонент;

- утечка информации при целенаправленной миграции специалистов для передачи определенных сведений;

- внедрение в систему агентов и вербовка сотрудников;

- контактный доступ к служебным разговорам и просмотру документов с целью передачи их содержания;

- фотографирование, хищение, искажение иди уничтожение документов, фотографий, чертежей, описаний изобретений, новых технологий и др.;

- визуально-оптические способы получения информации;

- бесконтактное подслушивание служебных разговоров с помощью технических средств;

-несанкционированный доступ к ресурсам ЭВМ и компьютерных сетей, средствам связи и оргтехники;

- доступ к сменным машинным носителям информации (хищение, копирование, модификация);

- разработка и использование бесконтрольных программ для искажения или уничтожения информации на машинных носителях;

- перехват данных в процессе информационного обмена;

- возможность фиксации электромагнитных и акустических излучений от ЭВМ, сигналов, наводимых в токопроводящих коммуникациях, радиосигналов и сигналов спутниковой связи.

Активные виды угроз могут повлечь совершение компьютерных преступлений. К ним относятся:

несанкционированный доступ к компьютерной информации;

модификация компьютерной информации;

компьютерный саботаж;

неправомерное завладение компьютерной информацией;

изготовление либо сбыт специальных средств для получения неправомерного доступа к компьютерной системе или сети;

разработка, использование либо распространение вредоносных программ;

нарушение правил эксплуатации компьютерной системы или сети.

Вероятность проявления и ущерб от реализации той или иной угрозы в зависимости от типа информационной системы могут быть различными. Наличие самой угрозы еще не означает, что она нанесет вред. Когда появляется слабое место в средствах обеспечения безопасности системы и система становится «видима» из внешнего мира, возникает риск.

Риск - это ситуация, когда угроза, используя уязвимое место в защите, может нанести вред информационной системе. Существуют различные методики оценки рисков. Самая простая состоит в оценке суммарного ущерба от предполагаемых угроз, когда в первом приближении под риском понимается произведение "возможного ущерба от угрозы" на "вероятность угрозы"

,

где R - суммарный риск от реализации n угроз;

Ri = Qi Pi - риск от реализации i-й угрозы;

Qi - ущерб от реализации i-й угрозы;

Pi - вероятность реализации i-й угрозы.

В ряде случаев величину ущерба целесообразно оценить не материальной величиной, а дискретным числом (уровнем), отражающим свойства ущерба, так, как это представлено, например, в табл. 7.1.

Таблица 7.1

Величина ущерба	Описание
0	Раскрытие информации принесет ничтожный моральный и финансовый ущерб фирме
1	Ущерб от угрозы есть, но он незначителен, основные финансовые операции и положение фирмы на рынке не затронуты
2	Финансовые операции не ведутся в течение некоторого времени, за это время фирма терпит убытки, но ее положение на рынке и количество клиентов изменяются минимально
3	Значительные потери на рынке и в прибыли. От фирмы уходит ощутимая часть клиентов
4	Потери очень значительны, фирма на период до года теряет положение на рынке. Для восстановления положения требуются крупные финансовые займы.
5	Фирма прекращает существование

Таким образом, целесообразность обеспечения информационной безопасности определяется величиной предполагаемого риска. Вопрос об информационной безопасности необходимо решать в случае, если затраты на обеспечение защиты критической информации меньше величины суммарного риска. Если это не так, то требования к безопасности необходимо снижать.

3. Средства и методы защиты КИС

   Совокупность методов и средств, обеспечивающих целостность, конфиденциальность, достоверность, аутентичность и доступность информации в условиях воздействия на нее угроз естественного или искусственного характера образует защиту информации (Data protection).

Методы и средства обеспечения информационной безопасности (защиту информации) можно разделить на:

административные (организационные) меры защиты информации;

физические и технические средства и способы защиты информации;

аппаратно-программные средства защиты информации.