8.2. Виды и особенности угроз информационной безопасности

Факт разглашения (распространения) информации ограниченного доступа за пределами санкционированного круга лиц является утечкой информации.

Каналы утечки информации разделяют на четыре группы [4].

1-я группа – каналы, связанные с доступом к элементам системы обработки данных, но не требующие изменения компонентов системы. К этой группе относятся каналы, образующиеся за счет:

• дистанционного скрытого видеонаблюдения или фотографирования;

• применения подслушивающих устройств;

• перехвата электромагнитных излучений и наводок и т. д.

• 2-я группа – каналы, связанные с доступом к элементам системы и изменением структуры ее компонентов. К ней относятся:

• наблюдение за информацией в процессе обработки с целью ее запоминания;

• хищение носителей информации;

• сбор производственных отходов, содержащих обрабатываемую информацию;

• преднамеренное считывание данных из файлов других пользователей;

• чтение остаточной информации, т. е. данных, остающихся на магнитных носителях после выполнения заданий;

• копирование носителей информации;

• преднамеренное использование для доступа к информации терминалов зарегистрированных пользователей;

• маскировка под зарегистрированного пользователя путем похищения паролей и других реквизитов разграничения доступа к информации, используемой в системах обработки;

• использование для доступа к информации так называемых «люков», «дыр» и «лазеек», т. е. возможностей обхода механизма разграничения доступа, возникающих вследствие несовершенства общесистемных компонентов программного обеспечения.

• 3-я группа, которая включает:

• незаконное подключение специальной регистрирующей аппаратуры к устройствам системы или линиям связи (перехват модемной и факсимильной связи);

• злоумышленное изменение программ таким образом, чтобы эти программы наряду с основными функциями обработки информации осуществляли также несанкционированный сбор и регистрацию защищаемой информации;

• злоумышленный вывод из строя механизмов защиты.

• 4-я группа, к которой относятся:

• несанкционированное получение информации путем подкупа или шантажа должностных лиц соот­ветствующих служб;

• получение информации путем подкупа и шантажа сотрудников, знакомых, обслуживающего персонала или родственников, знающих о роде деятельности.

Потенциальное наличие в информационной системе каналов утечки информации создает угрозы для ее информационной безопасности.

Угроза в уголовном праве – намерение нанести физический, материальный или иной вред отдельному лицу или общественным интересам, выраженное словесно, письменно, действиями либо другим способом.

Применительно к информационной системе угроза – событие, которое потенциально может нанести вред организации путем раскрытия, модификации или разрушения критической информации, или отказа в обслуживании критическими сервисами. Классификация угроз представлена на рис. 8.2.

Естественные угрозы – это угрозы, вызванные воздействиями на элементы информационной системы объективных физических процессов или стихийных природных явлений, не зависящих от человека. Так, стихийные бедствия (пожар, молния, ураган, землетрясение, наводнение, электромагнитные и ионизирующие излучения, военные действия и др.) могут привести к утечке информации, исказить ее или полностью уничтожить.

Искусственные угрозы [4, 10] – это угрозы, порожденные человеческой деятельностью, поэтому они воздействуют наиболее интенсивно и являются для информационной системы более опасными, чем естественные угрозы.

К непреднамеренным (пассивным) угрозам относятся:

• утечка информации при текучке специалистов;

• некомпетентная эксплуатация информационной системы и средств ее защиты;

• недостатки в проектировании и сооружении зданий, помещений, систем вентиляции, отопления и др., способствующие утечке информации;

• ошибки проектирования и производства изделий, вычислительной техники и оргтехники;

• ошибки проектирования, производства, прокладки и установки средств связи и коммуникаций;

• ошибки разработки и применения программного обеспечения;

• использование неучтенного программного обеспечения;

• ошибки процессов подготовки, ввода, обработки и вывода информации;

• сбои, отказы в работе аппаратуры, приводящие к искажению или уничтожению информации.

Рис. 8.2

Преднамеренными (активными) угрозами являются преднамеренные действия людей с целью нанесения вреда (ущерба), например:

• физическое разрушение информационной системы или вывод из строя ее наиболее важных компонент;

• утечка информации при целенаправленной миграции специалистов для передачи определенных сведений;

• внедрение в систему агентов и вербовка сотрудников;

• контактный доступ к служебным разговорам и просмотру документов с целью передачи их содержания;

• фотографирование, хищение, искажение или уничтожение документов, фотографий, чертежей, описаний изобретений, новых технологий и др.;

• визуально-оптические способы получения информации;

• бесконтактное подслушивание служебных разговоров с помощью технических средств;

• несанкционированный доступ к ресурсам ЭВМ и компьютерных сетей, средствам связи и оргтехники;

• доступ к сменным машинным носителям информации (хищение, копирование, модификация);

• разработка и использование бесконтрольных программ для искажения или уничтожения информации на машинных носителях;

• перехват данных в процессе информационного обмена;

• возможность фиксации электромагнитных и акустических излучений от ЭВМ, сигналов, наводимых в токопроводящих коммуникациях, радиосигналов и сигналов спутниковой связи.

Активные виды угроз могут повлечь за собой совершение компьютерных преступлений.

В главе 31 «Преступления против информационной безопасности» [37] определены следующие виды преступлений:

• несанкционированный доступ к компьютерной информации;

• модификация компьютерной информации;

• компьютерный саботаж;

• неправомерное завладение компьютерной информацией;

• изготовление либо сбыт специальных средств для получения неправомерного доступа к компьютерной системе или сети;

• разработка, использование либо распространение вредоносных программ;

• нарушение правил эксплуатации компьютерной системы или сети.

Вероятность проявления и ущерб от реализации той или иной угрозы в зависимости от типа информационной системы могут быть различными. Наличие самой угрозы еще не означает, что она нанесет вред. Когда появляется слабое место в средствах обеспечения безопасности системы и система становится видима из внешнего мира, возникает риск.

Риск – это ситуация, когда имеется уязвимое место в защите, и может быть нанесен вред информационной системе.

Существуют различные методики оценки рисков. Самая простая состоит в оценке суммарного ущерба от предполагаемых угроз, когда в первом приближении под риском понимается произведение «возможного ущерба от угрозы» на «вероятность угрозы»

,

где R – суммарный риск от реализации n угроз;

R_i = Q_i P_i – риск от реализации i-й угрозы;

Q_i – ущерб от реализации i-й угрозы;

P_i – вероятность реализации i-й угрозы.

В ряде случаев величину ущерба целесообразно оценить не материальной величиной, а дискретным числом (уровнем), отражающим свойства ущерба, так, как это представлено, например, в табл. 8.1.

Таблица 8.1

Величина ущерба	Описание
0	Раскрытие информации принесет ничтожный моральный и финансовый ущерб фирме
1	Ущерб от угрозы есть, но он незначителен, основные финансовые операции и положение фирмы на рынке не затронуты
2	Финансовые операции не ведутся в течение некоторого времени, за это время фирма терпит убытки, но ее положение на рынке и количество клиентов изменяются минимально
Продолжение табл. 8.1
3	Значительные потери на рынке и в прибыли. От фирмы уходит значительная часть клиентов
4	Потери очень значительны, фирма на период до года теряет положение на рынке. Для восстановления положения требуются крупные финансовые займы
5	Фирма прекращает существование

Таким образом, целесообразность обеспечения информационной безопасности определяется величиной предполагаемого риска. Вопрос об информационной безопасности необходимо решать в случае, если затраты на обеспечение защиты критической информации меньше величины суммарного риска. Если это не так, то требования к безопасности необходимо снижать.