Информационным технологиям, использующим все более новые разработки в компьютерной сфере, с каждым днем находятся новые области применения: от простых гаджетов и персональных компьютеров до умных домов и автопилотов транспортных средств. Все это приводит к увеличению объемов передаваемых, используемых и хранимых данных, что, в свою очередь, создает все больше моделей угроз информационной безопасности. А значит, все больше возможностей для злоумышленников воспользоваться слабостью устаревших систем защиты информации. В данной статье кратко рассмотрено, что представляют собой угрозы и какие они бывают.
Механизм выявления угроз
Анализ проблем безопасности нужно проводить с учетом экономических интересов, угроз и потерь, к которым может привезти успешность предполагаемой атаки на информационную систему определенного предприятия. Частная модель угроз безопасности информационной системы строится на основе следующего анализа:
- источник атаки: внешний или внутренний относительно защищаемого объекта (предприятия, организации и т. д.);
- учет всех зон риска: экономическая сфера компании, физические и информационные ресурсы;
- факторы влияния на безопасность: уязвимость данных и информации, степень их защищенности, ПО, компьютеры предприятия и другие устройства, материальные и денежные ресурсы, работники;
- выявление видов, масштабов и направлений возможных атак;
- способы реализации угрозы: объект атаки, механизм и скорость действия, предрасполагающие факторы уязвимости;
- последствия: оцениваются с точки зрения денежных потерь, морального вреда и возможной компенсации.
Существует два основных взгляда на любую угрозу. Ее отождествляют с одним или несколькими видами и способами реализации атаки в соответствии с теорией информационной безопасности или с результатами ее воздействия на рассматриваемую компанию, т. е. с последствиями, к которым она приводит.
Юридические аспекты угрозы информационной безопасности
Модель угрозы информационной системе рассматривается в прочной связке с понятием ущерба в первой части 15-й статьи Гражданского кодекса РФ. Он определен как фактические расходы, понесенные субъектом в результате нарушения его прав (кража конфиденциальной информации, ее распространение или использование в корыстных целях), потери и повреждения имущества, а также расходы на восстановление.
В России вопрос касательно защиты информации по сей день остается достаточно сложным. Ведь даже сейчас не существует в этой области общепринятой нормы на терминологию. В разных законах одни и те же сущности могут определяться по-разному. Хотя принимаются меры для стандартизации терминологии в данной области.
Классификация угроз
Любая, даже базовая, модель угроз информационной безопасности требует анализа и обязательной идентификации как возможных атак, так и методов ее реализации. Для этих целей созданы различные классификации (по источнику, по вероятности, по характеру, по объекту, по последствиям), которые позволяют наиболее точным образом спроектировать ответную реакцию защиты на ту или иную атаку. Угрозы классифицируются благодаря следующим критериям:
- Компоненты информационной системы, на которые могут быть нацелены атаки. К ним относятся данные, компьютеры и ПО, сети и прочие структуры, поддерживающие работу системы.
- Методы осуществления, которые могут быть как случайные, так и преднамеренные. Также учитываются события техногенного или природного генеза.
- Местоположение источника атаки - внешнее или внутреннее по отношению к используемой системе.
- Составляющие информационной безопасности, на которые могут быть нацелены атаки, а именно, доступность, конфиденциальность и целостность данных.
Анализ и классификация позволяют добиться состояния системы защиты, когда большая часть возможных угроз идентифицирована и сопоставлены способы нейтрализации. Разумеется, не имеет смысла каждую систему защиты строить для обороны от всего и вся. Применяется вероятностный подход и оценивается актуальность каждого отдельного класса угроз, и именно против них в системе защиты будут предприняты меры.
Алгоритм анализа и оценки угроз
С помощью анализа строится матрица связей моделей угроз информационной безопасности, уязвимых точек и вероятных последствий успешной атаки. Вычисляется коэффициент степени опасности каждого отдельного нападения как произведение коэффициента опасности угрозы на коэффициент опасности источника атаки. Принятие подобных мер позволяет:
- определить приоритетные цели для системы защиты;
- установить список актуальных атак и источников угроз;
- найти уязвимости информационной системы;
- оценить возможность осуществления успешной атаки на основе взаимосвязи уязвимостей и источников угроз;
- разработать подробный ход той или иной угрозы и построить защиту для реагирования на возможный сценарий атаки;
- детально описать последствия успешной атаки;
- спроектировать систему защиты и комплекс управления информационной безопасностью организации.
Пользователи системы как основной источник угроз
Модель угроз информационной безопасности ФСТЭК ставит ошибки персонала (пользователей, администраторов, операторов и других лиц, занимающихся обслуживанием систем) на одно из первых мест по части размеров причиненного ущерба. По данным исследований, порядка 65 % убытков при успешных атаках происходит из-за случайных ошибок, совершенных по невнимательности, халатности или из-за отсутствия правильной подготовки сотрудников. Подобные нарушения могут представлять как источник самостоятельных угроз (ввод неправильных данных, ошибки в программах, приводящие к краху системы), так и уязвимость (ошибки администратора), которой могут воспользоваться атакующие.
Пользователи системы в качестве прямой угрозы
Как уже ранее отмечалось, сам пользователь может быть опасен и являться моделью угрозы информационной безопасности. Образцы подобной ситуации рассмотрим ниже:
- злонамеренные - вывод из строя информационной системы, или, например, закладка логической бомбы в коде базы данных, которая сработает при определенных условиях и разрушит хранящуюся в ней информацию;
- непреднамеренные - случайное искажение данных или их потеря;
- взлом системы управления;
- кража персональных данных (пароли, адреса, банковские счета);
- передача персональных данных посторонним лицам или организациям.
Пользователи системы как непрямая угроза
Уязвимости системы также должны быть рассмотрены в модели угроз информационной безопасности организации. Примерами обоснованности данного подхода могут являться действия пользователей, приводящие к ослаблению защиты системы и открывающие путь к прямой угрозе:
- отказ от работы с информационной системой, например, как следствие нежелания осваивать новое программное обеспечение;
- несоответствие ПО требованиям пользователя;
- невозможность полноценной работы из-за отсутствия соответствующих навыков (недостаточное знание компьютерных технологий, неумение обрабатывать сообщения об ошибках) и возникающие в результате этого сбои в работе системы.
Автоматизация и угрозы
Пользователь может представлять собой весомый список угроз для информационной системы. Поэтому логичным решением по борьбе с непреднамеренными ошибками будет уменьшение их доли и переход к автоматизации: применение догмы Fool Proof Device, стандартизация, регламентация и строгий контроль действий пользователя. Однако и тут существуют модели угроз информационной безопасности, которые следует учитывать:
- забытое аннулирование доступа к системе уволенного сотрудника;
- некачественная документация автоматизированной системы и отсутствие технической поддержки;
- нарушение правил эксплуатации, как случайное, так и умышленное;
- выход из штатного режима работы из-за действий пользователей (слишком большое число запросов) или администрирующего персонала (плохая оценка объемов обрабатываемых данных в единицу времени);
- ошибки при настройке;
- отказы в аппаратно-программном обеспечении;
- нарушение целостности данных из-за сбоев в работе системы.
Прочие угрозы
В информационную систему, помимо ее основной структуры, входит и вспомогательная, которая обеспечивает работу основных частей системы. Для поддерживающих структур также следует рассматривать модели угроз информационной безопасности. Примером таковых являются техногенные и природные катастрофы. Опишем подробнее угрозы более масштабного характера:
- Нарушения в работе систем связи (интернет, электрическая сеть, водоканалы, газоснабжение, охлаждение).
- Повреждение или разрушение зданий.
- Чрезвычайные ситуации в городе или стране, когда граждане в силу каких-либо причин отказываются выполнять свои должностные обязанности: гражданские войны, крупные аварии, террористические взрывы или их угроза, забастовки и т. д.
- Стихийные бедствия.
По данным статистики, на долю стихийных и техногенных бедствий приходится от 13 % до 15 % потерь, которые терпят информационные системы. В силу данного обстоятельства существуют даже те информационные системы, которым необходимо продолжать работать в штатном режиме, даже несмотря на стихийные катастрофы.
Виды защищаемой информации
Любая организация, одним из ресурсов которой является информация, может иметь частные модели угроз информационной безопасности. Они будут порождаться внутренней структурой данной компании, которая формируется на основе подразделений, сотрудников, технических средств, экономических связей, внутренних социальных отношений и т. д. Поэтому общая масса внутренней и внешней информации, обслуживающая ее система и технологии, специалисты и персонал составляют информационно-технологический ресурс.
Так, для любой коммерческой компании информация может подразделяться на: служебную, конфиденциальную, секретную, коммерческую тайну. Хотя для любой негосударственной организации информация подразделяется на достаточно простые классы. Но даже в упрощенном случае все должно быть строго классифицировано и закреплено соответствующими нормативными актами, чтобы можно было построить правильную и, главное, рабочую систему защиты информации.
Итог
Грамотная организация системы защиты информации представляет собой сложный процесс, а зачастую и дорогостоящий. Для выполнения данной задачи необходимо провести детальную инвентаризацию всех ресурсов с информацией, разбить все данные на категории, выполнить классификацию моделей угроз информационной безопасности, спроектировать и разработать систему защиты, включая все регламентирующие документы, подобрать аппаратно-программные средства, достаточные для реализации рабочего процесса на должном уровне с соблюдением защиты информации и пр.
Организация защиты информации требует компетентных специалистов в этой сфере и грамотного руководства компании, которое будет готово соблюдать требуемые нормы безопасности и выделять ресурсы на их поддержку.