Основные виды защищаемой информации
Виды угроз информационной безопасности и классификация источников угроз
Угрозы возникают из противоречий экономических интересов различных элементов, взаимодействующих как внутри, так и вне социально- экономической систем, в том числе и в информационной сфере. Они и определяют содержание и направления деятельности по обеспечению общей и информационной безопасности. Следует отметить, что анализ проблем экономической безопасности необходимо проводить, учитывая взаимосвязи экономических противоречий, угроз и потерь, к которым может приводить реализация угроз. Такой анализ приводит к следующей цепочке:
ð <источник угрозы (внешняя и/или внутренняя среда предприятия)> →
ð <зона риска (сфера экономической деятельности предприятия, способы её реализации, материальные и информационные ресурсы)> →
ð <фактор (степень уязвимости данных, информации, программного обеспечения, компьютерных и телекоммуникационных устройств, материальных и финансовых ресурсов, персонала)> →
ð <угроза (вид, величина, направление)> →
ð <возможность её реализации (предпосылки, объект, способ действия, скорость и временной интервал действия)> →
ð <последствия (материальный ущерб, моральный вред, размер ущерба и вреда, возможность компенсации)> →.
Угрозу отождествляют обычно либо с характером (видом, способом) дестабилизирующего воздействия на материальные объекты, программные средства или информацию либо с последствиями (результатами) такого воздействия.
С правовой точки зрения понятие угроза жестко связано с юридической категорией ущерб, которую Гражданский кодекс РФ (часть I, ст. 15) определяет как «фактические расходы, понесенные субъектом в результате нарушения его прав (например, кражи, разглашения или использования нарушителем конфиденциальной информации), утраты или повреждения имущества, а также расходы, которые он должен будет произвести для восстановления нарушенного права и стоимости поврежденного или утраченного имущества».
Анализ негативных последствий возникновения и осуществления угроз предполагает обязательную идентификацию возможных источников угроз, уязвимостей, способствующих их проявлению, и методов реализации. В связи с этим угрозы экономической и информационной безопасности необходимо классифицировать с тем, чтобы наиболее полно и адекватно проводить указанную идентификацию: по источнику угрозы, по природе возникновения, по вероятности реализации, по отношению к виду человеческой деятельности, по объекту посягательства, по последствиям, по возможностям прогнозирования.
Угрозы можно классифицировать по нескольким критериям:
· по важнейшим составляющим информационной безопасности (доступность, целостность, конфиденциальность), против которых направлены угрозы в первую очередь;
· по компонентам информационных систем и технологий (данные, программно-аппаратные комплексы, сети, поддерживающая инфраструктура), на которые угрозы непосредственно нацелены;
· по способу осуществления (случайные или преднамеренные действия, события техногенного или природного масштаба);
· по локализации источника угроз (вне или внутри информационной технологии или системы).
В ходе анализа необходимо убедиться, что большинство возможных источников угроз и уязвимости идентифицировано и сопоставлено друг с другом, а со всеми идентифицированными источниками угроз и уязвимостям сопоставлены методы их нейтрализации и устранения. Указанная классификация может служить основой для выработки методики оценки актуальности той или иной угрозы, и при обнаружении наиболее актуальных угроз могут приниматься меры по выбору методов и средств для их предотвращения или нейтрализации.
При выявлении актуальных угроз экспертно-аналитическим методом определяются объекты защиты, подверженные воздействию той или иной угрозы, характерные источники этих угроз и уязвимости, способствующие реализации угроз. На основании анализа составляется матрица взаимосвязи источников угроз и уязвимостей, из которой определяются возможные последствия реализации угроз (атаки) и вычисляется коэффициент значимости (степени опасности) этих атак как произведение коэффициентов опасности соответствующих угроз и источников угроз, определенных ранее.
Благодаря такому подходу возможно:
· установить приоритеты целей безопасности для субъекта отношений;
· определить перечень актуальных источников угроз;
· определить перечень актуальных уязвимостей;
· оценить взаимосвязь уязвимостей, источников угроз, возможности их осуществления;
· определить перечень возможных атак на объект;
· разработать сценарии возможных атак;
· описать возможные последствия реализации угроз;
· разработать комплекс защитных мер и систему управления экономической и информационной безопасностью предприятия.
Выше было отмечено, что самыми частыми и самыми опасными (с точки зрения размера ущерба) являются непреднамеренные ошибки штатных пользователей, операторов, системных администраторов и других лиц, обслуживающих информационные системы. Иногда такие ошибки и являются собственно угрозами (неправильно введенные данные или ошибка в программе, вызвавшая крах системы), иногда они создают уязвимые места, которыми могут воспользоваться злоумышленники (таковы обычно ошибки администрирования). По некоторым данным, до 65% потерь возникают из-за непреднамеренных ошибок, совершенных по неосторожности, халатности, или несоответствующей подготовки персонала.
Обычно пользователи могут быть источниками следующих угроз:
- намеренная (встраивание логической бомбы, которая со временем разрушит программное ядро или приложения) или непреднамеренная потеря или искажение данных и информации, «взлом» системы администрирования, кража данных и паролей, передача их посторонним лицам и т.д.;
- нежелание пользователя работать с информационной системой (чаще всего проявляется при необходимости осваивать новые возможности или при расхождении между запросами пользователей и фактическими возможностями и техническими характеристиками) и намеренный вывод из строя её программно-аппаратных устройств
- невозможность работать с системой в силу отсутствия соответствующей подготовки (недостаток общей компьютерной грамотности, неумение интерпретировать диагностические сообщения, неумение работать с документацией и т.п.).
Очевидно, что эффективный способ борьбы с непреднамеренными ошибками – максимальная автоматизация и стандартизация информационных процессов, использование устройств «защита от дурака», регламентация и строгий контроль действий пользователей. Необходимо также следить за тем, чтобы при увольнении сотрудника его права доступа (логического и физического) к информационным ресурсам аннулировались.
Основными источниками внутренних системных отказов являются:
- невозможность работать с системой в силу отсутствия технической поддержки (неполнота документации, недостаток справочной информации и т.п.);
- отступление (случайное или умышленное) от установленных правил эксплуатации
- выход системы из штатного режима эксплуатации в силу случайных или преднамеренных действий пользователей или обслуживающего персонала (превышение расчетного числа запросов, чрезмерный объем обрабатываемой информации и т.п.);
- ошибки конфигурирования системы;
- отказы программного и аппаратного обеспечения;
- разрушение данных;
- разрушение или повреждение аппаратуры.
По отношению к поддерживающей инфраструктуре рекомендуется рассматривать следующие угрозы:
· нарушение работы (случайное или умышленное) систем связи, электропитания, водо- и/или теплоснабжения, кондиционирования;
· разрушение или повреждение помещений;
· невозможность или нежелание обслуживающего персонала и/или пользователей выполнять свои обязанности (гражданские беспорядки, аварии на транспорте, террористический акт или его угроза, забастовка и т.п.).
Опасны, разумеется, стихийные бедствия (наводнения, землетрясения, ураганы) и события, являющиеся результатом техногенных катастроф (пожары, взрывы, обрушения зданий и т.д.). По статистике, на долю огня, воды и тому подобных «злоумышленников» (среди которых самый опасный – сбой электропитания) приходится 13-15% потерь, нанесенных производственным информационным системам и ресурсам.
Результаты проведения оценки и анализа могут быть использованы при выборе адекватных оптимальных методов парирования угроз, а также при аудите реального состояния информационной безопасности объекта.
Для создания оптимальной системы информационной безопасности предприятия необходимо грамотно оценить ситуацию, выявить возможные риски, разработать концепцию и политику безопасности, на основе которых строится модель системы и вырабатываются соответствующие механизмы реализации и функционирования.
Любое предприятие, получающее ресурсы, в том числе и информационные, перерабатывает их в продукты своей деятельности. При этом оно порождает специфическую внутреннюю среду, которая формируется совокупностью структурных подразделений, персоналом, техническими средствами и технологическими процессами, экономическими и социальными отношениями как внутри предприятия, так и во взаимодействии с внешней средой.
Информация внутренней среды отражает финансово-экономическое состояние предприятия и результаты его деятельности. Обработка этой информации осуществляется посредством стандартных формализованных процедур, «заложенных» в модули корпоративной информационной системы. Внутренняя информация, как правило, точна и адекватно отражает состояние предприятия.
Примеры внутренней информации: регистрационные и уставные документы, долговременные и текущие планы, приказы, распоряжения, отчеты, производственные данные, данные о движении финансов и других ресурсов, подготовке персонала, сферах применения продуктов деятельности, методы и каналы сбыта, техника продаж, заказы, логистика, информация о поставщиках, партнёрах.
Источники внутренней информации: директорат и администрация предприятия, планово-финансовые подразделения, бухгалтерия, ИТ-отделы и вычислительные центры, отделы главного инженера и главного механика, производственные подразделения, юридические, эксплуатационные и ремонтные службы, отделы логистики, закупки и сбыта и т.д.
Внешняя среда – государственные, экономические, политические и социальные субъекты, действующие за пределами предприятия, которое имеет связи и отношения с ними. Соответственно, организационные структуры предприятия формируют экономические, политические, социальные, технические, технологические, научные и другие отношения с государственными органами, партнерами, потребителями, конкурентами, социальными институтами и общественными организациями.
Информация внешней среды часто неполна, противоречива, приблизительна, разнородна, неадекватно отражает состояние внешней среды. Примеры внешней информации: информация о состоянии рынка – его долговременное и текущее состояние (тенденции в деловой среде, колебания спроса и предложения, нестабильность ситуации, изменчивость, противоречивость требований), изменения в законодательстве, ожидания потребителей, «происки» конкурентов, последствия политических событий и т.д.
Контрольные вопросы
1. Что является содержанием понятия «экономическая безопасность предприятия»?
2. Как можно охарактеризовать понятие «информационная безопасность» и что оно в себя включает (основные составляющие)?
3. О каких основных аспектах следует говорить при построении систем корпоративной информационной безопасности?
4. Для чего необходимо формировать политику информационной безопасности и из каких основных разделов она состоит?
5. Кто разрабатывает политику информационной безопасности предприятия? Какие менеджеры и специалисты входят в рабочую группу?
6. Какие вопросы информационной безопасности являются ключевыми?
7. Из чего складывается инфраструктура информационной безопасности?
8. Какие существуют виды угроз ИБ и каким образом оцениваются соответствующие риски?
9. На какие виды подразделяется защищаемая информация?
10. На основании каких законов Российской Федерации осуществляется правовое обеспечение и взаимодействие в информационной сфере?
11. Как распределяется ответственность в информационной сфере? Во внешней среде предприятия? Во внутренней среде?
12. Что включает в себя модель информационной безопасности?
13. В каких аспектах рассматриваются мероприятия по защите информации?
14. Каким образом оценивается соотношение эффективности и рентабельности систем информационной безопасности?