Источники угрозы безопасности информации

хищение носителей информации (магнитных дисков, лент, микросхем памяти, запоминающих устройств и целых ПЭВМ);

несанкционированное копирование носителей информации;

хищение производственных отходов (распечаток, записей, списанных носителей информации и т.п.);

чтение остаточной информации из оперативной памяти и с внешних запоминающих устройств;

чтение информации из областей оперативной памяти, используемых операционной системой (в том числе подсистемой зашиты) или другими пользователями, в асинхронном режиме используя недостатки мультизадачных операционных систем и систем программирования;

незаконное получение паролей и других реквизитов разграничения доступа (агентурным путем, используя халатность пользователей, путем подбора, путем имитации интерфейса системы и т.д.) с последующей маскировкой под зарегистрированного пользователя ("маскарад");

несанкционированное использование терминалов пользователей, имеющих уникальные физические характеристики, такие как номер рабочей станции в сети, физический адрес, адрес в системе связи, аппаратный блок кодирования и т.п.;

вскрытие шифров криптозащиты информации;

внедрение аппаратных "спецвложений", программных "закладок" и "вирусов" ("троянских коней" и "жучков"), то есть таких участков программ, которые не нужны для осуществления заявленных функций, но позволяющих преодолевать систему зашиты, скрытно и незаконно осуществлять доступ к системным ресурсам с целью регистрации и передачи критической информации или дезорганизации функционирования системы;

незаконное подключение к линиям связи с целью работы "между строк", с использованием пауз в действиях законного пользователя от его имени с последующим вводом ложных сообщений или модификацией передаваемых сообщений;

незаконное подключение к линиям связи с целью прямой подмены законного пользователя путем его физического отключения после входа в систему и успешной аутентификации с последующим вводом дезинформации и навязыванием ложных сообщений.

Следует заметить, что чаще всего для достижения поставленной цели злоумышленник использует не один, а некоторую совокупность из перечисленных выше путей[7.3].

Рассмотрим другие критерии классификации угроз:

по положению относительно контролируемой зоны: внутренние и внешние угрозы. В качестве примера внешних угроз может быть перехват данных , передаваемых по сети или утечка через ПЭМИН. К внутренним угрозам можно отнести хищение носителей с конфиденциальной информацией, порчу оборудования, применение различного рода закладок.

по степени воздействия на АС: пассивные и активные. Пассивные угрозы - угрозы, не нарушающие состав и нормальную работу АС. Пример - копирование конфиденциальной информации, утечка через технические каналы утечки, подслушивание и т.п. Активная угроза, соответственно, нарушает нормальное функционирование АС, ее структуру или состав.

по виду нарушаемого свойства информации - конфиденциальности, доступности, целостности.

К угрозам доступности можно отнести как искусственные, например, повреждение оборудования из-за грозы или короткого замыкания, так и естественные угрозы. В настоящее время широко распространены сетевые атаки на доступность информации -DDOS-атаки, которые мы рассмотрим в ходе данного курса более подробно.

В последнее время в специальной литературе всё чаще говорится о динамической и статической целостностях. К угрозамстатической целостности относится незаконное изменение информации, подделка информации, а также отказ от авторства. Угрозами динамической целостности является нарушение атомарности транзакций, внедрение нелегальных пакетов в информационный поток и т.д.

Также важно отметить, что не только данные являются потенциально уязвимыми к нарушению целостности, но и программная среда. Заражение системы вирусом может стать примером реализации угрозы целостности.

К угрозам конфиденциальности можно отнести любые угрозы, связанные с незаконным доступом к информации, например, перехват передаваемых по сети данных с помощью специальной программы или неправомерный доступ с использованиемподобранного пароля. Сюда можно отнести и "нетехнический" вид угрозы, так называемый, "маскарад" - выполнение действий под видом лица, обладающего полномочиями для доступа к данным.

по типу системы, на которую направлена угроза: системы на базе автономного рабочего места и система, имеющая подключение к сети общего пользования.

по способу реализации: несанкционированный доступ (в том числе случайный) к защищаемой информации, специальное воздействие на информацию, утечка информации через технические каналы утечки.

Наиболее распространенными являются классификации по способу реализации и по виду нарушаемого свойства информации.

Компании, занимающиеся разработками в области информационной безопасности, регулярно проводят аналитические исследования по утечкам информации. Результаты публикуются на их официальных сайтах. Приведем некоторую статистику из ежегодного аналитического отчета компании "InfoWath" за 2010 год. Согласно отчету, в 2010 году соотношение случайных и намеренных утечек составило 60/40 ( рис. 1), что говорит о необходимости применения защитных мер не только от умышленных действий нарушителей, но и от случайных угроз.

Рис. 1. Соотношение случайных и умышленных утечек в 2010 году

Соотношение каналов утечки сильно зависит от типа носителя информации - рис. 2

Рис. 2. Распределение случайных и умышленных утечек по каналам

В случае обработки защищаемой информации на компьютере преобладают умышленные утечки, а в случае использования бумажного носителя и доступа по сети - случайные. Неосторожная работа сотрудника с принтером зачастую приводит к утечке конфиденциальной информации: распечатал документ и забыл его, отправил не на тот сетевой принтер, проставил не тот адрес при автоматической распечатке и рассылке писем.

Для специалиста в области информационной безопасности важно знать критерии классификации угроз и их соотношение с целью систематизации своих знаний при построении системы защиты, в частности, проведения оценки рисков и выбора оптимальных средств защиты.

Методы оценки опасности угроз

безопасность автоматизированный защита угроза

При определении угроз на конкретном объекте защиты важно понимать, что нельзя учесть абсолютно все угрозы, а тем более защититься от них. Здесь уместно говорить о принципе разумности и достаточности. При идентификации угрозы необходимо установить все возможные источники этой угрозы, так как зачастую угроза возникает вследствие наличия определенной уязвимости и может быть устранена с помощью механизма защиты (например, механизм аутентификации). К идентификации угроз можно подходить двумя путями - по уязвимостям, повлекшим за собой появление угрозы, или по источникам угроз.

Опасность угрозы определяется риском в случае ее успешной реализации. Риск - потенциально возможный ущерб. Допустимость риска означает, что ущерб в случае реализации угрозы не приведет к серьезным негативным последствиям для владельца информации. Ущерб подразделяется на опосредованный и непосредственный. Непосредственный связан с причинением материального, морального, финансового , физического вреда владельцу информации. Опосредованный (косвенный) ущерб связан с причинением вреда государству или обществу, но не владельцу информации.

Для оценки рисков целесообразно привлекать экспертов - специалистов в области информационной безопасности, которые должны обладать:

знаниями законодательства РФ, международных и национальных стандартов в области обеспечения информационной безопасности;

знаниями нормативных актов и предписаний регулирующих и надзорных органов в области обеспечения информационной безопасности;

знаниями внутренних документов организации, регламентирующих деятельность в области обеспечения информационной безопасности;

знаниями о современных средствах вычислительной и телекоммуникационной техники, операционных системах, системах управления базами данных, а также о конкретных способах обеспечения информационной безопасности в них;

знаниями о возможных источниках угроз ИБ, способах реализации угроз ИБ, частоте реализации угроз ИБ в прошлом;

пониманием различных подходов к обеспечению информационной безопасности, знания защитных мер, свойственных им ограничений.

Существуют различные методы оценки риска, образующие два взаимодополняющих друг друга вида - количественный и качественный.

Целью количественной оценки риска является получение числовых значений потенциального ущерба для каждой конкретной угрозы и для совокупности угроз на защищаемом объекте, а также выгоды от применения средств защиты. Основным недостатком данного подхода является невозможность получения конкретных значений в некоторых случаях. Например, если в результате реализации угрозы наносится ущерб имиджу организации, непонятно, как количественно оценить подобный ущерб.

Рассмотрим количественный подход боле подробно на примере метода оценки рисков, предлагаемого компанией Microsoft. При количественной оценке рисков необходимо определить характеристики и факторы, указанные ниже.

Стоимость активов. Для каждого актива организации, подлежащего защите, вычисляется его денежная стоимость. Активами считается все, что представляет ценность для организации, включая как материальные активы (например, физическую инфраструктуру), так и нематериальные (например, репутацию организации и цифровую информацию). Часто именно стоимость актива используется для того, чтобы определить меры безопасности для конкретного актива. Для назначения стоимости конкретному активу необходимо определить следующее:

общая стоимость актива для организации. Например, веб-сервер, обрабатывающий заказы покупателей в Интернет-магазине. Пусть он при работе круглый год и круглосуточно приносит в среднем 2000 рублей в час, тогда в год - 17 520 000 рублей.

ущерб в случае потери актива (в частности, выхода из строя). Допустим, рассматриваемый выше веб-сервер вышел из строя на 7 часов. При расчете делается допущение, что каждый час он приносит одинаковую прибыль, тогда за 7 часов простоя (например, в случае успешной DoS-атаки) убыток составит 7000 рублей.

косвенный ущерб в случае потери актива. В описанном выше случае компания, которая владеет Интернет-магазином, может потерпеть убытки в результате негативного отношения покупателей к выходу из строя веб-сервера. Естественно, расчет косвенных убытков является наиболее трудной задачей и почти никогда не бывает точным. Допустим, чтобы восстановить репутацию, компания должна потратить 100 000 на рекламу Интернет-магазина и ожидает, что годовой объем продаж упадет на 0.5 процентов, то есть на 87 600 рублей. Сложив две полученные величины, получим косвенный ущерб в виде 187 600 рублей.

Ожидаемый разовый ущерб - ущерб, полученный в результате разовой реализации одной угрозы. Другими словами, это денежная величина, сопоставленная одиночному событию и характеризующая потенциальный ущерб, который понесет компания, если конкретная угроза сможет использовать уязвимость. Вычисляется умножением стоимости актива на величину фактора подверженности воздействию. Последний выражает в процентах величину ущерба от реализации угрозы конкретному активу. Кажется сложным, но на примере всё более понятно. Допустим, стоимость актива 35 000 рублей и в результате пожара ущерб составит 25% от его стоимости, соответственно, ожидаемый разовый ущерб будет равен 8750рублей.

Ежегодная частота возникновения ( по-простому вероятность) - ожидаемое число проявления угрозы в течение года. Понятно, что величина может меняться от 0 до 100 процентов и не может быть определена точно. В идеальном случае определяется на основе статистики.

Общий годовой ущерб - величина, характеризующая общие потенциальные потери организации в течение одного года. Это произведение ежегодной величины возникновения на ожидаемый разовый ущерб от реализации угрозы. Например, вероятность пожара статистически равна 0,1, тогда ущерб будет 0.1*8750 рублей=875 рублей. После расчета этого показателя организация может принять меры по уменьшению риска, то есть если речь идет о безопасности, использовать средства защиты информации. В частности от пожара можно применить резервное копирование информации и тогда потери в случае сгорания компьютера будут исчисляться только стоимостью оборудования.

Результатом проведения количественного анализа является:

перечень активов (ресурсов) организации, подлежащих защите;

перечень существующих угроз;

вероятность успешной реализации угроз;

потенциальный ущерб для организации от реализации угроз в годовой период.

Понятно, что рассмотренные выше показатели рассчитываются преимущественно на основе субъективных мнений экспертов в области безопасности, руководства организации или других лиц, выполняющих оценку, следовательно, несмотря на кажущуюся точность данного подхода он не менее "расплывчат", чем качественный анализ рисков.

Качественная оценка рисков оперирует не численными значениями, а качественными характеристиками угроз. Как правило, анализ рисков выполняется путем заполнения опросных листов и проведения совместных обсуждений с участием представителей различных групп организации, таких как эксперты по информационной безопасности, менеджеры и сотрудники ИТ-подразделений, владельцы и пользователи бизнес-активов.

В общем случае риск от реализации угрозы определяется на основании следующих качественных оценок:

вероятности реализации угрозы;

величины ущерба в случае реализации угрозы.

Каждой угрозе присваивается ранг, отображающий вероятность ее возникновения. Можно использовать трехбалльную шкалу (низкая=1, средняя=2, высокая=3 вероятность). Основными факторами при оценке вероятности являются:

расположение источника угрозы;

мотивация источника угрозы (если угроза не случайная);

предположения о квалификации и (или) ресурсах источника угрозы;

статистические данные о частоте реализации угрозы ее источником в прошлом;

информация о способах реализации угроз ИБ;

информация о сложности обнаружения реализации угрозы рассматриваемым источником;

наличие контрмер.

Если для оценки угрозы привлекаются несколько экспертов и их оценки различаются, рекомендуется в качестве итоговой брать наибольшую оценку вероятности реализации угрозы.

Так как при оценке потенциального ущерба необходимо учитывать не только материальные факторы, но и такие, как потеря репутации, потеря конкурентоспособности, кража производственных идей и пр. Естественно, оценить ущерб точно в том или ином случае очень сложно, вот почему чаще всего потенциальный ущерб ранжируется по аналогии с вероятностью возникновения, например, по трехбалльной шкале. К основным факторам для оценки потенциального ущерба относятся:

степень влияния на непрерывность работы;

степень влияния на деловую репутацию;

объем финансовых и материальных потерь;

объем финансовых, людских и временных затрат на восстановление системы после атаки.

Для оценки риска можно применить банальное умножение вероятности угрозы на потенциальный ущерб. Если в обоих случаях использовалась трехбалльная шкала, то получится в итоге шесть значений: 1,2, 3,4,6,9. Первые два результата можно отнести к низкому риску, вторые два - к среднему, третий и четвертый - к высокому. Таким образом, получим опять трехбалльную шкалу , по которой можно оценить опасность той или иной угрозы.

Совокупный риск вычисляется по простой формуле:

- порядковый номер угрозы;

- вероятность реализации i-й угрозы;

- потенциальный ущерб от i-й угрозы.

При этом можно пренебречь угрозами, вероятность которых очень мала. Например, землетрясение. Несмотря на то, что ущерб от него может быть очень велик, вероятность возникновения в рассматриваемый интервал времени стремится к нулю.

Подход по сути очень похож на количественный, за исключением того, что активам присваивается относительная стоимость и участникам оценки не приходится тратить много времени на расчет конкретных показателей. Следовательно, достоинством метода является быстрота расчета и ,соответственно, принятия контрмер и снижения риска. Недостатком является неоднозначность получаемых результатов и сложность расчета эффективности и разумности применения тех или иных мер защиты.

Каждый из рассмотренных подходов имеет свои достоинства и недостатки. Сравнение двух подходов представлено в таблице 1.

Таблица 1.

Проанализировав таблицу можно сделать вывод о том, что для маленьких организаций целесообразней использовать качественный подход, для больших - количественный. Оценка риска производится для какого-то заданного промежутка времени, что обусловлено динамичностью современных информационных систем. Рассматриваемый период должен быть достаточно велик для учета наиболее распространенных угроз и в то же время не превышать величину, по истечению которой система так меняется, что оценка теряет какой-либо смысл. Обычно интервал составляет 1-5 лет.

Размещено на Allbest.ru