Угрозы безопасности
Характер данных
Характер деятельности
В некоторых областях, например в юриспруденции или медицине, все данные по своей природе являются строго конфиденциальными. Конфиденциальность медицинской карточки пациента или переговоров адвоката со своим клиентом защищается законом. Если в сети хранится документация, доступ к которой нежелательных лиц может привести к неприятным последствиям, то обязательно должен поддерживаться высокий уровень безопасности данных. В противном случае организация подвергается риску финансовых потерь или использования данных конкурентами во вред этой организации.
Перечислим другие типы организаций, данные которых могут быть конфиденциальными.
• Правоохранительные органы, суды или другие государственные учреждения.
• Образовательные организации, хранящие в сети информацию об успеваемости студентов.
• Медицинские учреждения и психиатрические клиники.
• Компании, имеющие контракты с оборонными ведомствами или выполняющие другие работы, связанные с обеспечением национальной безопасности.
• Любые организации, собирающие конфиденциальную информацию и гарантирующие ее неразглашение.
• Любые организации, производящие товары либо предоставляющие услуги в коммерческих или исследовательских областях, где уровень конкуренции достаточно высок.
• Любые организации, сети которых подключены к Internet.
Некоторые виды данных рассматриваются как конфиденциальные и должны быть защищены, независимо от характера деятельности организации. К ним относятся следующие виды данных.
• Платежные ведомости на зарплату и другая информация о наемных работниках.
• Бухгалтерская и налоговая информация.
• Промышленные секреты, такие, как тексты программ, планы и диаграммы организаций, рецепты, технология изготовления, коммерческие планы и т.д.
Если такая информация хранится в сети, то для ее защиты следует планировать высокий уровень безопасности.
Угрозы безопасности— потенциально существующая опасность случайного или преднамеренного разрушения, несанкционированного получения или модификации данных.
В большинстве случаев даже проведение анализа возможных опасностей позволяет персоналу лучше осознать проблемы, которые могут проявиться во время работы.
Проведем следующую классификацию угроз:
Естественные угрозы — это угрозы, вызванные воздействиями на информацию объективных физических процессов или стихийных природных явлений, независящих от человека.
Искусственные угрозы — это угрозы, вызванные деятельностью человека. Среди них, исходя из мотивации действий, моно выделить:
- непреднамеренные (неумышленные, случайное) угрозы,вызванные ошибками в проектировании ИС и ее элементов, ошибками в программном обеспечении, ошибками в действиях персонала и т.п.
- преднамеренные (умышленные)угрозы,связанные с корыстными устремлениями людей (злоумышленников) .
К случайным угрозам относятся:
♦ воздействие сильных магнитных полей на магнитные носители информации или дефекты оборудования, приводящее к разрушению хранимой информации;
♦ небрежное хранение и учет носителей, а также их нечеткая идентификация;
♦ программы пользователей, работающие в мультипрограммном режиме и содержащие невыявленные ошибки, представляют угрозу для правильно работавших программ;
♦ ошибки в программах обработки могут приводить к потере или искажению вводимой и хранящейся информации;
♦ ошибки ввода данных
♦ сбои и ошибки в работе аппаратуры, вызванные скачками напряжения в сети питания, неисправностями энергоснабжения, временными или постоянными ошибками в ее схемах;
♦ неумышленные действия, приводящие к частичному или полному отказу системы или разрушению аппаратных, программных, информационных ресурсов системы (неумышленная порча оборудования, удаление, искажение файлов с важной информацией или программ, в том числе системных и т.п.);
♦ неправомерное отключение оборудования или изменение режимов работы устройств и программ;
♦ неумышленная порча носителей информации;
♦ запуск технологических программ, способных при некомпетентном использовании привести к потере работоспособности системы (зависания или зацикливания) или осушествлякших необратимые изменения в систа-е (форматирование или реструктуризацию носителей информации, удалгние данных и т.п.);
♦ неосторожные действия, приводящие к разглашению конфиденциальной информации, или делающие ее общедоступной;
♦ пересылка данных по ошибочному адресу абонента (устройства);
♦ неумышленное повреждение каналов связи.
Умышленные угрозы:
♦ использование известного способа доступа к системе или ее части с целью навязывания запрещенных действий, обращения к файлам, содержащим интересующую информацию;
♦ маскировка под истинного пользователя после получения характеристик (авторизации) доступа;
♦ использование служебного положения, информации файлов сотрудниками вычислительной установки;
♦ физическое разрушение системы или вывод из строя наиболее важных компонентов ИС;
♦ отключение или вывод из строя подсистем обеспечения безопасности ИС;
♦ изменение режимов работы устройств или программ;
♦ подкуп или шантаж персонала или отдельных пользователей, имевших определенные полномочия;
♦ хищение носителей информации и несанкционированное копирование носителей информации;
♦ чтение остаточной информации из оперативной памяти и с внешних запоминающих устройств;
♦ незаконное получение паролей и других реквизитов разграничения доступа с последующей маскировкой под законного пользователя;
♦ вскрытие шифров криптозащиты информации;
♦ внедрение "вирусов";
♦ незаконное подключение к линиям связи;
♦ перехват данных, передаваемых по каналам связи.