8.2. Виды и особенности угроз информационной безопасности
Факт разглашения (распространения) информации ограниченного доступа за пределами санкционированного круга лиц является утечкой информации.
Каналы утечки информации разделяют на четыре группы [4].
1-я группа – каналы, связанные с доступом к элементам системы обработки данных, но не требующие изменения компонентов системы. К этой группе относятся каналы, образующиеся за счет:
-
дистанционного скрытого видеонаблюдения или фотографирования;
-
применения подслушивающих устройств;
-
перехвата электромагнитных излучений и наводок и т. д.
-
2-я группа – каналы, связанные с доступом к элементам системы и изменением структуры ее компонентов. К ней относятся:
-
наблюдение за информацией в процессе обработки с целью ее запоминания;
-
хищение носителей информации;
-
сбор производственных отходов, содержащих обрабатываемую информацию;
-
преднамеренное считывание данных из файлов других пользователей;
-
чтение остаточной информации, т. е. данных, остающихся на магнитных носителях после выполнения заданий;
-
копирование носителей информации;
-
преднамеренное использование для доступа к информации терминалов зарегистрированных пользователей;
-
маскировка под зарегистрированного пользователя путем похищения паролей и других реквизитов разграничения доступа к информации, используемой в системах обработки;
-
использование для доступа к информации так называемых «люков», «дыр» и «лазеек», т. е. возможностей обхода механизма разграничения доступа, возникающих вследствие несовершенства общесистемных компонентов программного обеспечения.
-
3-я группа, которая включает:
-
незаконное подключение специальной регистрирующей аппаратуры к устройствам системы или линиям связи (перехват модемной и факсимильной связи);
-
злоумышленное изменение программ таким образом, чтобы эти программы наряду с основными функциями обработки информации осуществляли также несанкционированный сбор и регистрацию защищаемой информации;
-
злоумышленный вывод из строя механизмов защиты.
-
4-я группа, к которой относятся:
-
несанкционированное получение информации путем подкупа или шантажа должностных лиц соответствующих служб;
-
получение информации путем подкупа и шантажа сотрудников, знакомых, обслуживающего персонала или родственников, знающих о роде деятельности.
Потенциальное наличие в информационной системе каналов утечки информации создает угрозы для ее информационной безопасности.
Угроза в уголовном праве – намерение нанести физический, материальный или иной вред отдельному лицу или общественным интересам, выраженное словесно, письменно, действиями либо другим способом.
Применительно к информационной системе угроза – событие, которое потенциально может нанести вред организации путем раскрытия, модификации или разрушения критической информации, или отказа в обслуживании критическими сервисами. Классификация угроз представлена на рис. 8.2.
Естественные угрозы – это угрозы, вызванные воздействиями на элементы информационной системы объективных физических процессов или стихийных природных явлений, не зависящих от человека. Так, стихийные бедствия (пожар, молния, ураган, землетрясение, наводнение, электромагнитные и ионизирующие излучения, военные действия и др.) могут привести к утечке информации, исказить ее или полностью уничтожить.
Искусственные угрозы [4, 10] – это угрозы, порожденные человеческой деятельностью, поэтому они воздействуют наиболее интенсивно и являются для информационной системы более опасными, чем естественные угрозы.
К непреднамеренным (пассивным) угрозам относятся:
-
утечка информации при текучке специалистов;
-
некомпетентная эксплуатация информационной системы и средств ее защиты;
-
недостатки в проектировании и сооружении зданий, помещений, систем вентиляции, отопления и др., способствующие утечке информации;
-
ошибки проектирования и производства изделий, вычислительной техники и оргтехники;
-
ошибки проектирования, производства, прокладки и установки средств связи и коммуникаций;
-
ошибки разработки и применения программного обеспечения;
-
использование неучтенного программного обеспечения;
-
ошибки процессов подготовки, ввода, обработки и вывода информации;
-
сбои, отказы в работе аппаратуры, приводящие к искажению или уничтожению информации.
Рис. 8.2
Преднамеренными (активными) угрозами являются преднамеренные действия людей с целью нанесения вреда (ущерба), например:
-
физическое разрушение информационной системы или вывод из строя ее наиболее важных компонент;
-
утечка информации при целенаправленной миграции специалистов для передачи определенных сведений;
-
внедрение в систему агентов и вербовка сотрудников;
-
контактный доступ к служебным разговорам и просмотру документов с целью передачи их содержания;
-
фотографирование, хищение, искажение или уничтожение документов, фотографий, чертежей, описаний изобретений, новых технологий и др.;
-
визуально-оптические способы получения информации;
-
бесконтактное подслушивание служебных разговоров с помощью технических средств;
-
несанкционированный доступ к ресурсам ЭВМ и компьютерных сетей, средствам связи и оргтехники;
-
доступ к сменным машинным носителям информации (хищение, копирование, модификация);
-
разработка и использование бесконтрольных программ для искажения или уничтожения информации на машинных носителях;
-
перехват данных в процессе информационного обмена;
-
возможность фиксации электромагнитных и акустических излучений от ЭВМ, сигналов, наводимых в токопроводящих коммуникациях, радиосигналов и сигналов спутниковой связи.
Активные виды угроз могут повлечь за собой совершение компьютерных преступлений.
В главе 31 «Преступления против информационной безопасности» [37] определены следующие виды преступлений:
-
несанкционированный доступ к компьютерной информации;
-
модификация компьютерной информации;
-
компьютерный саботаж;
-
неправомерное завладение компьютерной информацией;
-
изготовление либо сбыт специальных средств для получения неправомерного доступа к компьютерной системе или сети;
-
разработка, использование либо распространение вредоносных программ;
-
нарушение правил эксплуатации компьютерной системы или сети.
Вероятность проявления и ущерб от реализации той или иной угрозы в зависимости от типа информационной системы могут быть различными. Наличие самой угрозы еще не означает, что она нанесет вред. Когда появляется слабое место в средствах обеспечения безопасности системы и система становится видима из внешнего мира, возникает риск.
Риск – это ситуация, когда имеется уязвимое место в защите, и может быть нанесен вред информационной системе.
Существуют различные методики оценки рисков. Самая простая состоит в оценке суммарного ущерба от предполагаемых угроз, когда в первом приближении под риском понимается произведение «возможного ущерба от угрозы» на «вероятность угрозы»
,
где R – суммарный риск от реализации n угроз;
Ri = Qi Pi – риск от реализации i-й угрозы;
Qi – ущерб от реализации i-й угрозы;
Pi – вероятность реализации i-й угрозы.
В ряде случаев величину ущерба целесообразно оценить не материальной величиной, а дискретным числом (уровнем), отражающим свойства ущерба, так, как это представлено, например, в табл. 8.1.
Таблица 8.1
| Величина ущерба | Описание |
| 0 | Раскрытие информации принесет ничтожный моральный и финансовый ущерб фирме |
| 1 | Ущерб от угрозы есть, но он незначителен, основные финансовые операции и положение фирмы на рынке не затронуты |
| 2 | Финансовые операции не ведутся в течение некоторого времени, за это время фирма терпит убытки, но ее положение на рынке и количество клиентов изменяются минимально |
|
|
|
| Продолжение табл. 8.1 | |
| 3 | Значительные потери на рынке и в прибыли. От фирмы уходит значительная часть клиентов |
| 4 | Потери очень значительны, фирма на период до года теряет положение на рынке. Для восстановления положения требуются крупные финансовые займы |
| 5 | Фирма прекращает существование |
Таким образом, целесообразность обеспечения информационной безопасности определяется величиной предполагаемого риска. Вопрос об информационной безопасности необходимо решать в случае, если затраты на обеспечение защиты критической информации меньше величины суммарного риска. Если это не так, то требования к безопасности необходимо снижать.
- Т 30 Теоретические основы компьютерных информационных технологий: Учеб. Пособие / в. В. Тебекин. – Мн.: Част. Ин-т упр. И пред., 2005. – 172 с.
- Содержание
- Тема 1. Основы информационных технологий 6
- Тема 2. Сетевые информационные технологии 47
- Тема 3. Корпоративные информационные технологии и системы автоматизации экономической деятельности 82
- Тема 4. Технологии обеспечения безопасности информационных систем 112
- Тема 5. Основы проектирования компьютерных информационных технологий и систем 147
- Тема 1. Основы информационных технологий
- 1. Основные понятия информационных технологий (ит)
- 1.1. Информационное общество и информатизация
- 1.2. Информационные технологии
- 1.2.2. История развития информационных технологий
- 1.2.3. Этапы развития компьютерных информационных технологий
- 1.2.4. Классификация компьютерных информационных технологий
- 1.3. Информационные ресурсы
- 2. Информационные системы
- 2.1. Определение информационной системы
- 2.2. Классификация информационных систем
- Признак структурированности задач
- Функциональный признак
- Уровень управления
- Классификация по степени автоматизации
- Характер использования информации
- Классификация по сфере применения
- 2.3. Виды обеспечения информационной системы
- Техническое обеспечение (то)
- Программное обеспечение (по)
- Математическое обеспечение
- Информационное обеспечение
- Организационное обеспечение
- Правовое обеспечение
- 2.4. Аппаратное (техническое) обеспечение ис
- 3. Программное обеспечение информационных систем
- 3.1. Программная конфигурация
- 3.2. Операционные системы и их классификация
- 3.3. Служебное программное обеспечение [33]
- 3.4. Прикладные программные средства [30, 33]
- Тема 2. Сетевые информационные технологии
- 4. Основные понятия и принципы построения компьютерных сетей
- 4.1. Определение и классификация компьютерной (вычислительной) сети
- Классификация компьютерных сетей
- Технологии и сети
- 4.2. Принципы передачи информации в лвс
- 4.2.1. Эталонная модель osi [11, 40]
- Уровни модели osi
- 4.2.2. Протоколы и интерфейсы
- 4.2.3 Уровни модели osi Физический уровень
- Канальный уровень
- Сетевой уровень
- Транспортный уровень
- Сеансовый уровень
- Представительский уровень
- Прикладной уровень
- 4.3. Программные и аппаратные компоненты вычислительной сети
- 4.4. Физическая и логическая схемы лвс
- 5. Глобальная сеть Интернет
- 5.1. История Интернет
- 5.2. Основные принципы работы сети Интернет
- 5.3. Основные ресурсы Интернет [30, 33]
- Распределенная гипертекстовая информационная система www
- Тема 3. Корпоративные информационные технологии и системы автоматизации экономической деятельности
- 6. Корпоративные информационные системы
- 6.1. Общие понятия о корпоративной информационной системе
- 6.1.1. Определение корпоративной информационной системы
- 6.1.2. Задачи и цели кис
- 6.1.3. Принципы построения кис
- 6.1.4. Классификация кис
- 6.2. Архитектура кис
- Почтовый сервер (Mail server) – сервер, обеспечивающий прием и передачу электронных писем пользователей, а также их маршрутизацию.
- 6.3. Основные компоненты кис (аппаратно-программная реализация)
- 6.4. Обобщенная структура кис
- 7. Системы автоматизации офисной деятельности
- 7.1. Основные понятия автоматизации
- Автоматизация объекта осуществляется средствами автоматизации.
- 7.2. Системы автоматизации офисной деятельности
- Электронная печать (Stamp of approval) – специальный код сообщения, который присоединяется к электронной подписи и является ее составной частью.
- 7.3. Средства офисной автоматизации и организации коллективной работы в сети
- Ввод информации в систему
- Хранение информации, навигация, поиск и фильтрация документов
- Коллективная работа с документами
- Коллективная работа в сети
- Вывод информации из системы
- Тема 4. Технологии обеспечения безопасности информационных систем
- 8. Информационная безопасность, политика информационной безопасности
- 8.1. Основные понятия информационной безопасности
- 8.2. Виды и особенности угроз информационной безопасности
- 8.3. Политика информационной безопасности организации
- 9.1. Административные (организационные) меры защиты информации
- 9.2. Физическая и техническая защита информационных систем
- 9.3. Технические средства и способы защиты информации
- 9.4. Аппаратные (компьютерные) средства защиты [10]
- 9.5. Программные средства защиты [4, 10, 26, 28]
- 9.5.1. Защита ресурсов ис от несанкционированного доступа
- 9.5.2. Резервное копирование и архивация информации
- 9.5.3. Защита от вредоносных программ (компьютерных вирусов)
- Кв, нарушающие целостность информации
- Кв, нарушающие конфиденциальность информации
- 9.5.4. Шифрование информации
- 9.6. Критерии оценки защищенности систем информационной безопасности [4, 7, 43]
- Тема 5. Основы проектирования компьютерных информационных технологий и систем
- 10. Технологии проектирования систем и процессов
- 10.1. Проектирование автоматизированных систем обработки информации
- 10.2. Понятие о реинжиниринге бизнес-процессов
- Среди широко используемых систем можно выделить следующие.
- 10.4. Технологии искусственного интеллекта (ии)
- Функциональная сппр (данные формы представления).
- Сппр с использованием независимых витрин данных (данные витрины данных формы представления).
- Сппр на основе двухуровневого хранилища данных (данные хранилище данных формы представления).
- Сппр на основе трехуровневого хранилища данных (см. Рис. 10.1)
- Литература
- Источники информации b интернет
- Тебекин Владислав Владимирович теоретические основы компьютерных информационных технологий
- 220086, Г. Минск, ул. Славинского, 1, корп. 3.