Угрозы и уязвимости

В настоящее время автоматизированные системы, построенные на основе различных средств вычислительной техники (компьютеров), являются основным инструментом накопления, хранения и обработки различной информации.

Под автоматизированной системой (АС) понимают систему, состоящую из персонала и комплекса средств автоматизации его деятельности, реализующую информационную технологию выполнения установленных функций, в которой совокупность информационного и программного обеспечения образуют информационно-программное обеспечение (ИПО).

Широкое распространение и применение АС привело к созданию сетей для организации обмена различной информацией -текстовой, звуковой, графической, мультимедийной и др. В составе ИПО АС появились компоненты, обеспечивающие реализацию различных сетевых сервисов - электронной почты, обмена данными в реальном масштабе времени, доступа к сетевым базам данных. И все эти объекты могут подвергаться и подвергаются атакам со стороны некоторой социальной группы лиц.

При хранении, поддержании и предоставлении доступа к любому информационному объекту его владелец, либо уполномоченное им лицо, накладывает набор правил по работе с ней. Умышленное их нарушение классифицируется как атака на информацию.

Безопасность информации - состояние защищенности информации, характеризуемое способностью персонала, технических средств и информационных технологий обеспечивать конфиденциальность (то есть сохранение в тайне от субъектов, не имеющих полномочий на ознакомление), целостность и доступность информации при ее обработке техническими средствами.

Под защитой информации от несанкционированного доступа (НСД) понимают деятельность, направленную на предотвращение или существенное затруднение НСД к информации (или воздействия на информацию) и ее носителям с нарушением установленных прав или правил.

Под носителями информации понимают человека, органы, системы и средства, обеспечивающие получение, обработку, хранение, передачу и использование информации. Под угрозами понимают потенциальную или реально существующую опасность совершения какого-либо деяния (действия или бездействия), направленного против объекта защиты, наносящего ущерб собственнику (владельцу, пользователю) информационных ресурсов.

Угрозы сами по себе не проявляются. Все угрозы могут быть реализованы (с помощью методов реализации) только при наличии каких-нибудь слабых мест - уязвимостей, присущих конкретной АС.

Уязвимость информационной системы - любая характеристика или элемент информационной системы, использование которых нарушителем может привести к реализации угрозы.

Если есть какие-либо действия, следовательно есть и носители этих действий, из которых эти угрозы могут исходить - источники угроз (ИУ). В качестве источников угроз могут выступать как субъекты (личность), так и объективные проявления.

Субъект доступа к информации - участник правоотношений в информационных процессах. Источники угроз могут находиться как внутри объекта информатизации (внутренние ИУ), так и вне его (внешние ИУ).

Источники угроз, исходящие от субъектов, действия которых могут быть квалифицированы как преднамеренные (умышленные) и непреднамеренные (случайные) преступления, называют антропогенными НУ.

Все уязвимости можно разделить на косвенные и прямые. Косвенными называются уязвимости, использование которых для НСД не требует непосредственного доступа к техническим устройствам АС. Косвенные уязвимости возникают, например, вследствие недостаточной защищенности помещений. Нарушителю представляется возможность применения подслушивающих устройств, дистанционного фотографирования, перехвата электромагнитных излучений, хищения носителей данных и производственных отходов (бумажные документы, картриджи, магнитные ленты, съемные диски или кассеты, оптические носители, листинги программ, тестовые данные).

Прямые уязвимости требуют непосредственного доступа к техническим средствам АС и данным. Наличие прямых уязвимостей обусловлено недостатками технических и программных средств зашиты, ОС, СУБД математического и программного обеспечения, а также правил работы с защищаемой информацией.

Прямые уязвимости позволяют нарушителю подключиться к аппаратуре АС, получить доступ к данным и выполнить действия по анализу, модификации и уничтожению данных.

В соответствии с целями защиты информационно-программного обеспечения (ИПО) нарушения безопасности состоят в нарушении:

- конфиденциальности информации;

- целостности информации;

- надежности программ.

Учитывая, что для использования какого-либо ресурса в АС первоначально нужно осуществить доступ к этому ресурсу (получить разрешение доступа), угроза преднамеренного действия обычно включает две фазы реализации:

проникновение, заключающееся в попытке несанкционированного доступа к ресурсам АС;

воздействие на ИПО, заключающееся в несанкционированном использовании ресурсов АС после доступа к ним.

В зависимости от способа реализации можно выделить следующие основные виды угроз.

1. Угрозы несанкционированного доступа к ресурсам АС: несанкционированных пользователей;

несанкционированных программ;

несанкционированных пользователей от имени санкционированных (угроза маскировки злоумышленника).

2. Угрозы несанкционированного использования ресурсов АС:

данных (копирования, модификации, печати и др.);

копирования программ;

модификации программ;

исследования программ.

3. Угрозы некорректного использования ресурсов АС:

случайного доступа со стороны прикладных программ к разделам основ ной памяти, не принадлежащим данным программам;

случайного доступа к системным областям дисковой памяти;

некорректного изменения базы данных (ввода неверных данных, нарушения ссылочной целостности данных);

возникновения ошибок в работе пользователей или обслуживающего персонала АС .

4. Угрозы проявления ошибок в программных и аппаратных средствах АС, допущенных при разработке данных средств:

• при выработке спецификаций на разрабатываемые средства;

• при проектировании разрабатываемых средств;

• при реализации проектов разрабатываемых средств.

5. Угрозы перехвата потока данных, циркулирующего в линиях связи АС с целью хищения, модификации или переадресации информации.

6. Угрозы отправления данных в вычислительной сети от имени другого пользователя с целью хищения информации или нанесения ущерба.

7. Угрозы несанкционированной регистрации электромагнитных излучений с целью хищения информации.

8. Угрозы хищения документов, носителей информации и устройств, входящих в состав АС.

9. Угрозы несанкционированного изменения состава компонентов АС или злоумышленного вывода их из строя.

Реализация любых угроз выполняется через уязвимые элементы АС.