Основные виды защищаемой информации


Виды угроз информационной безопасности и классификация источников угроз

Угрозы возникают из противоречий экономических интересов различных элементов, взаимодействующих как внутри, так и вне социально- экономической систем, в том числе и в информационной сфере. Они и определяют содержание и направления деятельности по обеспечению общей и информационной безопасности. Следует отметить, что анализ проблем экономической безопасности необходимо проводить, учитывая взаимосвязи экономических противоречий, угроз и потерь, к которым может приводить реализация угроз. Такой анализ приводит к следующей цепочке:

ð <источник угрозы (внешняя и/или внутренняя среда предприятия)> →

ð <зона риска (сфера экономической деятельности предприятия, способы её реализации, материальные и информационные ресурсы)> →

ð <фактор (степень уязвимости данных, информации, программного обеспечения, компьютерных и телекоммуникационных устройств, материальных и финансовых ресурсов, персонала)> →

ð <угроза (вид, величина, направление)> →

ð <возможность её реализации (предпосылки, объект, способ действия, скорость и временной интервал действия)> →

ð <последствия (материальный ущерб, моральный вред, размер ущерба и вреда, возможность компенсации)> →.

Угрозу отождествляют обычно либо с характером (видом, способом) дестабилизирующего воздействия на материальные объекты, программные средства или информацию либо с последствиями (результатами) такого воздействия.

С правовой точки зрения понятие угроза жестко связано с юридической категорией ущерб, которую Гражданский кодекс РФ (часть I, ст. 15) определяет как «фактические расходы, понесенные субъектом в результате нарушения его прав (например, кражи, разглашения или использования нарушителем конфиденциальной информации), утраты или повреждения имущества, а также расходы, которые он должен будет произвести для восстановления нарушенного права и стоимости поврежденного или утраченного имущества».

Анализ негативных последствий возникновения и осуществления угроз предполагает обязательную идентификацию возможных источников угроз, уязвимостей, способствующих их проявлению, и методов реализации. В связи с этим угрозы экономической и информационной безопасности необходимо классифицировать с тем, чтобы наиболее полно и адекватно проводить указанную идентификацию: по источнику угрозы, по природе возникновения, по вероятности реализации, по отношению к виду человеческой деятельности, по объекту посягательства, по последствиям, по возможностям прогнозирования.

Угрозы можно классифицировать по нескольким критериям:

· по важнейшим составляющим информационной безопасности (доступность, целостность, конфиденциальность), против которых направлены угрозы в первую очередь;

· по компонентам информационных систем и технологий (данные, программно-аппаратные комплексы, сети, поддерживающая инфраструктура), на которые угрозы непосредственно нацелены;

· по способу осуществления (случайные или преднамеренные действия, события техногенного или природного масштаба);

· по локализации источника угроз (вне или внутри информационной технологии или системы).

В ходе анализа необходимо убедиться, что большинство возможных источников угроз и уязвимости идентифицировано и сопоставлено друг с другом, а со всеми идентифицированными источниками угроз и уязвимостям сопоставлены методы их нейтрализации и устранения. Указанная классификация может служить основой для выработки методики оценки актуальности той или иной угрозы, и при обнаружении наиболее актуальных угроз могут приниматься меры по выбору методов и средств для их предотвращения или нейтрализации.

При выявлении актуальных угроз экспертно-аналитическим методом определяются объекты защиты, подверженные воздействию той или иной угрозы, характерные источники этих угроз и уязвимости, способствующие реализации угроз. На основании анализа составляется матрица взаимосвязи источников угроз и уязвимостей, из которой определяются возможные последствия реализации угроз (атаки) и вычисляется коэффициент значимости (степени опасности) этих атак как произведение коэффициентов опасности соответствующих угроз и источников угроз, определенных ранее.

Благодаря такому подходу возможно:

· установить приоритеты целей безопасности для субъекта отношений;

· определить перечень актуальных источников угроз;

· определить перечень актуальных уязвимостей;

· оценить взаимосвязь уязвимостей, источников угроз, возможности их осуществления;

· определить перечень возможных атак на объект;

· разработать сценарии возможных атак;

· описать возможные последствия реализации угроз;

· разработать комплекс защитных мер и систему управления экономической и информационной безопасностью предприятия.

Выше было отмечено, что самыми частыми и самыми опасными (с точки зрения размера ущерба) являются непреднамеренные ошибки штатных пользователей, операторов, системных администраторов и других лиц, обслуживающих информационные системы. Иногда такие ошибки и являются собственно угрозами (неправильно введенные данные или ошибка в программе, вызвавшая крах системы), иногда они создают уязвимые места, которыми могут воспользоваться злоумышленники (таковы обычно ошибки администрирования). По некоторым данным, до 65% потерь возникают из-за непреднамеренных ошибок, совершенных по неосторожности, халатности, или несоответствующей подготовки персонала.

Обычно пользователи могут быть источниками следующих угроз:

- намеренная (встраивание логической бомбы, которая со временем разрушит программное ядро или приложения) или непреднамеренная потеря или искажение данных и информации, «взлом» системы администрирования, кража данных и паролей, передача их посторонним лицам и т.д.;

- нежелание пользователя работать с информационной системой (чаще всего проявляется при необходимости осваивать новые возможности или при расхождении между запросами пользователей и фактическими возможностями и техническими характеристиками) и намеренный вывод из строя её программно-аппаратных устройств

- невозможность работать с системой в силу отсутствия соответствующей подготовки (недостаток общей компьютерной грамотности, неумение интерпретировать диагностические сообщения, неумение работать с документацией и т.п.).

Очевидно, что эффективный способ борьбы с непреднамеренными ошибками – максимальная автоматизация и стандартизация информационных процессов, использование устройств «защита от дурака», регламентация и строгий контроль действий пользователей. Необходимо также следить за тем, чтобы при увольнении сотрудника его права доступа (логического и физического) к информационным ресурсам аннулировались.

Основными источниками внутренних системных отказов являются:

- невозможность работать с системой в силу отсутствия технической поддержки (неполнота документации, недостаток справочной информации и т.п.);

- отступление (случайное или умышленное) от установленных правил эксплуатации

- выход системы из штатного режима эксплуатации в силу случайных или преднамеренных действий пользователей или обслуживающего персонала (превышение расчетного числа запросов, чрезмерный объем обрабатываемой информации и т.п.);

- ошибки конфигурирования системы;

- отказы программного и аппаратного обеспечения;

- разрушение данных;

- разрушение или повреждение аппаратуры.

По отношению к поддерживающей инфраструктуре рекомендуется рассматривать следующие угрозы:

· нарушение работы (случайное или умышленное) систем связи, электропитания, водо- и/или теплоснабжения, кондиционирования;

· разрушение или повреждение помещений;

· невозможность или нежелание обслуживающего персонала и/или пользователей выполнять свои обязанности (гражданские беспорядки, аварии на транспорте, террористический акт или его угроза, забастовка и т.п.).

Опасны, разумеется, стихийные бедствия (наводнения, землетрясения, ураганы) и события, являющиеся результатом техногенных катастроф (пожары, взрывы, обрушения зданий и т.д.). По статистике, на долю огня, воды и тому подобных «злоумышленников» (среди которых самый опасный – сбой электропитания) приходится 13-15% потерь, нанесенных производственным информационным системам и ресурсам.

Результаты проведения оценки и анализа могут быть использованы при выборе адекватных оптимальных методов парирования угроз, а также при аудите реального состояния информационной безопасности объекта.

Для создания оптимальной системы информационной безопасности предприятия необходимо грамотно оценить ситуацию, выявить возможные риски, разработать концепцию и политику безопасности, на основе которых строится модель системы и вырабатываются соответствующие механизмы реализации и функционирования.

 

Любое предприятие, получающее ресурсы, в том числе и информационные, перерабатывает их в продукты своей деятельности. При этом оно порождает специфическую внутреннюю среду, которая формируется совокупностью структурных подразделений, персоналом, техническими средствами и технологическими процессами, экономическими и социальными отношениями как внутри предприятия, так и во взаимодействии с внешней средой.

Информация внутренней среды отражает финансово-экономическое состояние предприятия и результаты его деятельности. Обработка этой информации осуществляется посредством стандартных формализованных процедур, «заложенных» в модули корпоративной информационной системы. Внутренняя информация, как правило, точна и адекватно отражает состояние предприятия.

Примеры внутренней информации: регистрационные и уставные документы, долговременные и текущие планы, приказы, распоряжения, отчеты, производственные данные, данные о движении финансов и других ресурсов, подготовке персонала, сферах применения продуктов деятельности, методы и каналы сбыта, техника продаж, заказы, логистика, информация о поставщиках, партнёрах.

Источники внутренней информации: директорат и администрация предприятия, планово-финансовые подразделения, бухгалтерия, ИТ-отделы и вычислительные центры, отделы главного инженера и главного механика, производственные подразделения, юридические, эксплуатационные и ремонтные службы, отделы логистики, закупки и сбыта и т.д.

Внешняя среда – государственные, экономические, политические и социальные субъекты, действующие за пределами предприятия, которое имеет связи и отношения с ними. Соответственно, организационные структуры предприятия формируют экономические, политические, социальные, технические, технологические, научные и другие отношения с государственными органами, партнерами, потребителями, конкурентами, социальными институтами и общественными организациями.

Информация внешней среды часто неполна, противоречива, приблизительна, разнородна, неадекватно отражает состояние внешней среды. Примеры внешней информации: информация о состоянии рынка – его долговременное и текущее состояние (тенденции в деловой среде, колебания спроса и предложения, нестабильность ситуации, изменчивость, противоречивость требований), изменения в законодательстве, ожидания потребителей, «происки» конкурентов, последствия политических событий и т.д.

 

Контрольные вопросы

1. Что является содержанием понятия «экономическая безопасность предприятия»?

2. Как можно охарактеризовать понятие «информационная безопасность» и что оно в себя включает (основные составляющие)?

3. О каких основных аспектах следует говорить при построении систем корпоративной информационной безопасности?

4. Для чего необходимо формировать политику информационной безопасности и из каких основных разделов она состоит?

5. Кто разрабатывает политику информационной безопасности предприятия? Какие менеджеры и специалисты входят в рабочую группу?

6. Какие вопросы информационной безопасности являются ключевыми?

7. Из чего складывается инфраструктура информационной безопасности?

8. Какие существуют виды угроз ИБ и каким образом оцениваются соответствующие риски?

9. На какие виды подразделяется защищаемая информация?

10. На основании каких законов Российской Федерации осуществляется правовое обеспечение и взаимодействие в информационной сфере?

11. Как распределяется ответственность в информационной сфере? Во внешней среде предприятия? Во внутренней среде?

12. Что включает в себя модель информационной безопасности?

13. В каких аспектах рассматриваются мероприятия по защите информации?

14. Каким образом оценивается соотношение эффективности и рентабельности систем информационной безопасности?