ИБ
.pdf—возгорания, затопления (без вмешательства людей);
—выхода из строя источников питания;
—воздействия природных явлений.
Этот вид дестабилизирующего воздействия приводит к реализации трех форм проявления уязвимости информации: уничтожению, блокированию, искажению.
Сбои в работе систем могут осуществляться посредством:
—появления технических неисправностей элементов систем;
—воздействия природных явлений;
—нарушения режима работы источников питания.
Результатом дестабилизирующего воздействия также являются уничтожение, блокирование, искажение информации.
Видом дестабилизирующего воздействия на информацию со стороны технологических процессов отдельных промышленных объектов является изменение структуры окружающей среды. Это воздействие осуществляется путем:
—изменения естественного радиационного фона окружающей среды, происходящего при функционировании объектов ядерной энергетики;
—изменения химического состава окружающей среды, происходящего при функционировании объектов химической промышленности;
—изменения локальной структуры магнитного поля, происходящего вслед-
ствие деятельности объектов радиоэлектроники и по изготовлению некоторых видов вооружения и военной техники.
Этот вид дестабилизирующего воздействия в конечном итоге приводит к хищению конфиденциальной информации.
Пятый источник дестабилизирующего воздействия на информацию — природные явления, как уже отмечалось, включает стихийные бедствия и атмосферные явления (колебания).
К стихийным бедствиям и одновременно видам воздействия следует отнести: землетрясение, наводнение, ураган (смерч), шторм, оползни, лавины, извержения вулканов; к атмосферным явлениям (видам воздействия): грозу, дождь, снег, перепады температуры и влажности воздуха, магнитные бури.
Способами воздействия со стороны и стихийных бедствий, и атмосферных явлений могут быть разрушение (поломка), землетрясение, сожжение носителей информации средств отображения, хранения, обработки, воспроизведения, передачи информации и средств связи, систем обеспечения функционирования этих
средств, нарушение режима работы средств и систем, а также технологии обработки информации, создание паразитных наводок (грозовые раз ряды).
Эти виды воздействия приводят к пяти формам проявления уязвимости информации: потере, уничтожению, искажению, блокированию и хищению.
При рассмотрении признаков и составляющих угрозы защищаемой информации было сказано, что в основе любого дестабилизирующего воздействия лежат определенные причины, побудительные мотивы, которые обусловливают появление того или другого вида и способа воздействия. Вместе с тем и причины имеют под собой основания — обстоятельства или предпосылки, которые вызывают данные причины, способствуют их появлению. Однако наличие источников, видов, способов, причин и обстоятельств (предпосылок) дестабилизирующего воздействия на информацию представляет потенциально существующую опасность, которая может быть реализована только при наличии определенных условий для этого
8. Причины, обстоятельства и условия, вызывающие дестабилизирующее воздействие на защищаемую информацию.
Поскольку виды и способы дестабилизирующего воздействия зависят от источников воздействия, то и причины, обстоятельства (предпосылки) и условия должны быть привязаны к источникам воздействия.
Применительно к людям причины, обстоятельства и условия в большинстве случаев увязаны еще и с характером воздействия — преднамеренным или непреднамеренным.
К причинам, вызывающим преднамеренное дестабилизирующее воздействие, следует отнести:
—стремление получить материальную выгоду (подзаработать);
—стремление нанести вред (отомстить) руководству или коллеге по работе, а иногда и государству;
—стремление оказать бескорыстную услугу приятелю из конкурирующей фирмы;
—стремление продвинуться по службе;
—стремление обезопасить себя, родных и близких от угроз, шантажа, наси-
лия;
—стремление показать свою значимость.
Обстоятельствами (предпосылками), способствующими появлению этих причин, могут быть:
—тяжелое материальное положение, финансовые затруднения;
—корыстолюбие, алчность;
—склонность к развлечениям, пьянству, наркотикам;
—зависть, обида;
—недовольство государственным строем, политическое или научное инакомыслие;
—личные связи с представителями конкурента;
—недовольство служебным положением, карьеризм;
—трусость, страх;
—тщеславие, самомнение, завышенная самооценка, хвастовство.
К условиям, создающим возможность для дестабилизирующего воздействия на информацию, можно отнести:
—недостаточность мер, принимаемых для защиты информации, в том числе из-за недостатка ресурсов;
—недостаточное внимание и контроль со стороны администрации вопросам защиты информации;
—принятие решений по производственным вопросам без учета требований по защите информации;
—плохие отношения между сотрудниками и сотрудников с администрацией.
Причинами непреднамеренного дестабилизирующего воздействия на информацию со стороны людей могут быть:
—неквалифицированное выполнение операций;
—халатность, безответственность, недисциплинированность, недобросовестное отношение к выполняемой работе;
—небрежность, неосторожность, неаккуратность;
—физическое недомогание (болезни, переутомление, стресс, апатия).
К обстоятельствам (предпосылкам) появления этих причин можно отнести:
—низкий уровень профессиональной подготовки;
—излишнюю болтливость, привычку делиться опытом, давать советы;
—незаинтересованность в работе (вид работы, ее временный характер, зарплата), отсутствие стимулов для ее совершенствования;
—разочарованность в своих возможностях и способностях;
—перезагруженность работой, срочность ее выполнения, нарушение режима работы;
—плохое отношение со стороны администрации.
Условиями для реализации непреднамеренного дестабилизирующего воздействия на информацию могут быть:
—отсутствие или низкое качество правил работы с защищаемой информа-
цией;
—незнание или нарушение правил работы с информацией исполнителями;
—недостаточный контроль со стороны администрации за соблюдением режима конфиденциальности;
—недостаточное внимание со стороны администрации условиям работы, профилактики заболеваний, повышению квалификации.
Причинами дестабилизирующего воздействия на информацию со стороны технических средств отображения, хранения, обработки, воспроизведения, передачи информации и средств связи могут быть:
—недостаток или плохое качество средств;
—низкое качество режима функционирования средств;
—перезагруженность средств;
—низкое качество технологии выполнения работ;
—дестабилизирующее воздействие на средства со стороны других источников воздействия.
К обстоятельствам (предпосылкам), вызывающим эти причины, следует отнести:
—недостаточность финансовых ресурсов, выделяемых на приобретение и эксплуатацию средств;
—плохой выбор средств;
—старение (износ) средств;
—конструктивные недоработки или ошибки при монтаже средств;
—ошибки при разработке технологии выполнения работ, в том числе программного обеспечения;
—дефекты используемых материалов;
—чрезмерный объем обрабатываемой информации;
—причины, лежащие лежащие в основе дестабилизирующего воздействия на средства со стороны других источников воздействия.
Условиями, обеспечивающими реализацию дестабилизирующего воздействия на информацию со стороны технических средств, могут являться:
—недостаточное внимание к составу и качеству средств со стороны админи-
страции, нередко из-за недопонимания их значения;
—нерегулярный профилактический осмотр средств;
—низкое качество обслуживания средств.
Причины, обстоятельства (предпосылки) и условия дестабилизирующего воздействия на информацию со стороны систем обеспечения функционирования средств отображения, хранения, обработки, воспроизведения, передачи информации и средств связи «вписываются» в причины и обстоятельства воздействия со стороны самих средств.
Причиной дестабилизирующего воздействия на информацию со стороны технологических процессов отдельных промышленных объектов является специфика технологии, обстоятельством — необходимость такой технологии, а условием
— отсутствие возможностей противодействия изменению структуры окружающей среды.
В основе дестабилизирующего воздействия на информацию со стороны природных явлений заложены внутренние причины и обстоятельства, неподконтрольные людям, а следовательно, и не поддающиеся нейтрализации или устранению.
9. Виды уязвимости информации и формы ее проявления.
Уязвимость – некая слабость, которую можно использовать для нарушения системы или содержащейся в ней информации (определение из базовой модели угроз ИСПДн).
Уязвимость - это любая характеристика или свойство информационной системы, использование которой нарушителем может привести к реализации угрозы.
Классификация уязвимостей.
А) Источники возникновения уязвимостей
Часть уязвимостей закладывается ещё на этапе проектирования. В качестве примера можно привести сервис TELNET , в котором имя пользователя и пароль передаются по сети в открытом виде. Это явный недостаток, заложенный на этапе проектирования. Некоторые уязвимости подобного рода трудно назвать недостатками, скорее это особенности проектирования. Например, особенность сетей Ethernet - общая среда . передачи.
Другая часть уязвимостей возникает на этапе реализации (программирования). К таким уязвимостям относятся, например, ошибки программирования стека TCP/IP приводящие к отказу в обслуживании. Сюда следует отнести и ошибки при написании приложений, приводящие к переполнению буфера.
Уязвимости могут быть следствием ошибок, допущенных в процессе эксплуатации информационной системы. Сюда относятся неверное конфигурирование операционных систем, протоколов и служб, нестойкие пароли пользователей и др.
Б) Классификация уязвимостей по уровню в инфраструктуре АС
Следующий вариант классификации - по уровню информационной структуры организации. Это наиболее наглядный вариант классификации, т. к. он показывает, что конкретно уязвимо.
К уровню сети относятся уязвимости сетевых протоколов - стека TCP/IP, протоколов NetBEUI , IPX / SPX .
Уровень операционной системы охватывает уязвимости Windows , UNIX , Novell и т. д., т.е. конкретной ОС.
На уровне баз данных находятся уязвимости конкретных СУБД - Oracle , MSSQL , Sybase . Этот уровень рассматривается отдельно, потому что базы данных, как правило, являются неотъемлемой частью любой компании.
К уровню приложений относятся уязвимости программного обеспечения WEB , SMTP серверов и т. п.
Классификация уязвимостей по степени риска
Этот вариант классификации достаточно условный, однако, если придерживаться взгляда компании Internet Security Systems , можно выделить три уровня риска:
Высокий уровень риска
Уязвимости, позволяющие атакующему получить непосредственный доступ к узлу с правами суперпользователя, или в обход межсетевых экранов, или иных средств защиты.
Средний уровень риска
Уязвимости, позволяющие атакующему получить информацию, которая с высокой степенью вероятности позволит получить доступ к узлу.
Низкий уровень риска
Уязвимости, позволяющие злоумышленнику осуществлять сбор критической
информации о системе.
ДОПОЛНЕНИЯ
10. Каналы и методы несанкционированного доступа к конфиденциальной информации.
Несанкционированный доступ к информации (НСД) — доступ к информации, нарушающий правила разграничения доступа с использованием штатных средств, предоставляемых средствами вычислительной техники или автоматизированными системами.
Каналы утечки информации — методы и пути утечки информации из информационной системы; паразитная (нежелательная) цепочка носителей информации, один или несколько из которых являются (могут быть) правонарушителем или его специальной аппаратурой.
Все каналы утечки данных можно разделить на косвенные и прямые. Косвенные каналы не требуют непосредственного доступа к техническим средствам информационной системы. Прямые соответственно требуют доступа к аппаратному обеспечению и данным информационной системы.
Примеры косвенных каналов утечки:
-Кража или утеря носителей информации, исследование не уничтоженного мусора;
-Дистанционное фотографирование, прослушивание;
-Перехват электромагнитных излучений. Примеры прямых каналов утечки: -Инсайдеры (человеческий фактор).
-Утечка информации вследствие несоблюдения коммерческой тайны; -Прямое копирование.
Каналы |
Подробности |
Методы |
|
|
Технические |
Акустические: |
Установка радио-закладок в |
||
|
1. |
Воздушные; |
стенах и мебели; съем информа- |
|
|
ции по системе вентиляции; съем |
|||
|
2. |
Вибрационные; |
||
|
информации |
с использованием |
||
|
3. |
Электроакустические; |
диктофонов; |
съем информации |
|
4. |
Оптико-электронные; |
направленным микрофоном, за |
|
|
счет структурного звука в стенах |
|||
|
5. |
Параметрические; |
и перекрытиях; съем информа- |
|
|
ции за счет наводок; лазерный |
|||
|
|
|
||
|
|
|
съем акустической информации |
|
|
|
|
с окон; высокочастотный канал |
|
|
|
|
утечки в бытовой технике |
|
|
визуально-оптические; |
Наблюдение, |
фотографирование, |
|
|
|
|
видеосъемка объекта |
|
|
электромагнитные; |
Утечка за счет побочного излуче- |
||
|
|
|
ния терминала; |
|
|
|
|
съем информации с дисплея; |
|
|
|
|
утечка по цепям заземления; |
|
|
|
|
утечка по трансляционной цепи и |
|
|
|
|
громко говорящей связи; |
|
|
|
|
утечка по охранно-пожарной сиг- |
|
|
|
|
нализации; |
|
|
|
|
утечка по сети электропитания. |
|
|
|
|
|
|
Каналы |
Подробности |
Методы |
|
|
|
компьютерные. |
Программно-аппаратные заклад- |
||
|
|
ки; |
|
|
|
|
компьютерные |
вирусы, |
логиче- |
|
|
ские бомбы, троянские кони и |
||
|
|
т.п.; |
|
|
|
|
подключение к удаленному ком- |
||
|
|
пьютеру. |
|
|
|
|
|
|
|
М а т е р и а л ь - |
Снятие информации не- |
Несанкционированное |
размно- |
|
но-веществен- |
посредственно с её носи- |
жение, копирования или хище- |
||
ные |
теля |
ния носителей информации; |
||
|
|
визуальный съем информации с |
||
|
|
дисплея или документов; |
|
|
|
|
использование |
производствен- |
|
|
|
ных и технологических отходов. |
||
Легальные |
Анализ открытых источ- |
Литература; |
|
|
|
ников |
периодические издание; |
|
|
|
|
|
||
|
|
выведывание под благовидным |
||
|
|
предлогом информации |
у лиц, |
|
|
|
располагающих |
интересующей |
|
|
|
информацией; |
|
|
|
|
СМИ; |
|
|
|
|
интернет. |
|
|
Агентурные |
Использование агентов |
Внедрение своих агентов в орга- |
||
|
|
низацию; |
|
|
|
|
проведение беседы (анкетирова- |
||
|
|
ния) с агентами находящимися |
||
|
|
(работающими) в организации; |
||
|
|
вербовка агентов уже находящих- |
||
|
|
ся (работающих) в организации. |
||
|
|
|
|
|