1.1Введение

Современный компьютерный мир, в котором данные, процессы и информационные объекты распределены по локальным и глобальным сетям, серьезно обеспокоен своей безопасностью.

Любая информационная система подвержена различным воздействиям, приводящим к снижению информационной безопасности предприятия, сводящемуся к тем или иным убыткам в его деятельности. Такие действия принято называть угрозами или рисками. Под угрозой следует понимать реальные или потенциально возможные действия или условия, приводящие к овладению, хищению, искажению, изменению или уничтожению информации в информационной системе, а также к прямым материальным убыткам за счет воздействия на материальные ресурсы.

Угрозы можно классифицировать по разным признакам: по воздействию на основные характеристики ИС, по природе возникновения, по ориентации.

Требования к ИС:

Готовность — способность информационной системы обеспечить законным пользователям условия доступа к ресурсам в соответствии принятым режимом работы.

Надежность — способность системы обеспечивать целостность и сохранность информации ее законных пользователей.

Конфиденциальность — способность системы обеспечивать информационные потребности только законным пользователям в рамках их интересов.

Угрозы информационной системе можно рассматривать с позиций их воздействия на эти характеристики ИС. То есть бывают следующие угрозы для информационных систем, соответствующие нарушениям вышеуказанных требований к ИС: «отказ в обслуживании», «нарушение целостности (модификация)», «нарушение конфиденциальности».

Угрозы могут также классифицироваться по природе возникновения — стихийные бедствия, несчастные случаи (чрезвычайные происшествия), различного рода ошибки или злоупотребления, сбои и отказы оборудования и др.

Кроме того, угрозы могут быть классифицированы по ориентации: угрозы персоналу, материальным и финансовым ресурсам и информации, как составным элементам информационной системы.

На стадии концептуальной проработки вопросов безопасности информационной системы представляется возможным рассмотрение общего состава потенциальных угроз. Конкретные перечни, связанные со спецификой рассматриваемой информационной системы и условий ее работы требуют определенной детализации и характерны для этапа разработки конкретного проекта системы безопасности ИС.

Политика безопасности — набор законов, правил и практического опыта, на основе которых строится управление, защита и распределение конфиденциальной информации.

К угрозам в более широком смысле относятся:

— похищения и угрозы похищения сотрудников, персонала, членов их семей и близких родственников,

— убийства, сопровождаемые насилием, издевательствами и пытками;

— психологический террор, угрозы, запугивание, шантаж, вымогательство;

— грабежи с целью завладения денежными средствами, ценностями и документами.

Преступные посягательства в отношении помещений (в том числе и жилых), зданий и персонала проявляются в виде:

— взрывов;

— обстрелов из огнестрельного оружия, сигнальных ракетниц, ручных гранатометов;

— минирования, в том числе с применением дистанционного управления;

— поджогов, бросков канистр и иных емкостей с легко воспламеняющейся жидкостью;

— нападения, вторжения, захваты, пикетирования, блокирования;

— акты вандализма, повреждения входных дверей, решеток, ограждений, витрин, мебели, а также транспортных средств личных и служебных.

Цель подобных акций:

— откровенный террор в отношении коммерческого предприятия;

— нанесение серьезного морального и материального ущерба;

— срыв на длительное время нормального функционирования;

— вымогательство значительных сумм денег или каких-либо льгот (кредиты, отсрочка платежей и т. п.) перед лицом террористической угрозы.

Угрозы информационным ресурсам проявляются в овладении конфиденциальной информацией, ее модификации в интересах злоумышленника или ее разрушении с целью нанесения материального ущерба.