Классификация угроз информационной безопасности

В настоящий момент в мире разработано множество стандартов, рекомендаций и других нормативных документов, содержащих как методологии управления рисками, так и основные подходы к этому важному процессу. Самые распространенные мировые практики управления рисками ИБ определены в NIST 800-30, ISO/IEC 27005, COBIT, ITIL, OCTAVE и др. Но, тем не менее, в соответствии с этими стандартами, основой для проведения анализа рисков информационной безопасности и важнейшей стороной определения требований к системе защиты является формирование модели потенциального нарушителя, а также идентификация, анализ и классификация угроз с последующей оценкой степени вероятности их реализации.

В соответствии с ГОСТ Р 50922-2006 «Угроза безопасности информации» представляет собой совокупность условий и факторов, создающих потенциальную или реально существующую опасность нарушения безопасности информации. Для того чтобы правильно определить возможные угрозы, в первую очередь, необходимо определить защищаемые объекты. К таким объектам могут относиться как материальные, так и абстрактные ресурсы, например, документы и другие носители информации, помещения, оборудование системы, а также сотрудники и клиенты.

Вторым этапом является рассмотрение и классификация угроз, которые могут повлиять на работу системы и организации в целом, а, порой, и привести к негативным последствиям.

С точки зрения практического подхода, обычно угрозы классифицируются по виду нарушаемого свойства информации:

Нарушение конфиденциальности информации. В результате реализации угрозы информация становится доступной пользователям, не располагающими полномочиями по ознакомлению с ней.

Нарушение целостности информации. Следствием является искажение или модификация, а также потеря части данных.

Нарушение доступности информации. К этому приводит блокирование доступа к данным или выход из строя и сбоя функционирования технических средств и оборудования.

В целом, классификация угроз может быть проведена по множеству признаков, но, как в зарубежных (Harmonized Threat and Risk Assessment Methodology, CSE), так и в отечественных стандартах (ГОСТ Р ИСО/МЭК 1335-1-2006) угрозы принято разделять по природе возникновения. В частности, на угрозы, обусловленные человеческим фактором, и на угрозы среды (естественные), к которым относятся угрозы, возникшие в результате явлений, не зависящих от человека, к примеру, природных и стихийных. Здесь необходимо отметить, что самой неприятной особенностью таких угроз является невозможность их прогнозирования.

В свою очередь, угрозы, связанные с проявлением человеческого фактора, могут различаться по способу осуществления: случайные или целенаправленные (преднамеренные). Случайные (непреднамеренные) угрозы могут быть связаны с различными ошибками, например: с проектированием системы защиты, ошибками работников при работе в системе, ошибками в аппаратной платформе и установленном программном обеспечении и др. Другая же группа, чаще всего связана с алчными целями, целями материальной выгоды или даже моральными предубеждениями злоумышленников.

Другим немаловажным аспектом при определении актуальных угроз безопасности информации, является идентификация возможных источников угроз. В соответствии с отечественными стандартами, источником угроз безопасности информации является субъект доступа, материальный объект или физическое явление, являющиеся причиной возникновения угрозы безопасности информации. Такими источниками обычно принято считать аварии и стихийные бедствия, сбои и отказы функционирования технических средств, действия нарушителей и сотрудников, несанкционированные программно-аппаратные средства (закладки, кейлоггеры и др.), а также ошибки, возникшие на различных этапах жизненного цикла системы (проектировании, разработки и внедрения или эксплуатации).

В зависимости от расположения источника угроз принято выделять внутренние и внешние угрозы, т.е. угрозы расположенные внутри контролируемой зоны (порча оборудования, инсайдерские угрозы) или за ее пределами (утечки по техническим каналам, по оптическим или ПЭМИН). В большинстве стандартов по-своему также осуществляется и классификация возможных источников угроз. Например, в «Базовой модели угроз безопасности ПДн при их обработке в ИСПДн» ФСТЭК России, помимо угроз связанных с внешним или внутренним нарушителем дополнительно выделяют угрозы, возникающие в результате внедрения аппаратных закладок и вредоносных программ. А в Рекомендациях в области стандартизации Банка России (РC БР ИББС-2.2-2009), выделено шесть независимых классов источников угроз информационной безопасности.

Дополнительно можно классифицировать угрозы по степени воздействия на системы (характеру угрозы, в соответствии с Базовой моделью угроз ФСТЭК) и по способу доступа к защищаемым ресурсам. По степени воздействия различают пассивные и активные угрозы. Пассивные, в случае реализации не вносят каких-либо изменений в состав и структуру системы, к примеру, копирование и хищение конфиденциальной информации. Активные же угрозы, оказывают влияние на работу системы, в частности примером такой угрозы является «Отказ в обслуживании». По способу доступа к защищаемым ресурсам принято разделять на угрозы, использующих стандартный доступ, например, незаконное получение учетных данных путем подкупа, шантажа законного обладателя, либо, угрозы, использующие нестандартный (скрытый) доступ − использование недекларированных возможностей средств защиты и программных закладок в ПО в обход имеющихся в системе средства защиты информации. К тому же часто встречается классификация по использованию нарушителями физического и технического доступа, как, например, указано в методике OCTAVE.

Таким образом, классификацию угроз, характерных для той или иной системы можно продолжать, основываясь при этом либо на методологиях, описанных в отечественных и зарубежных стандартах, либо используя практический опыт, но в любом случае их перечисление является важным этапом определения уязвимостей и создает фундамент для будущего проведения анализа рисков.

12.3 Классификация угроз информационной безопасности

Классификация всех возможных угроз информационной безопасности может быть проведена по ряду базовых признаков.

1. По природе возникновения.

Естественные угрозы – угрозы, вызванные воздействиями на АС и ее компоненты объективных физических процессов или стихийных природных явлений, не зависящих от человека.

Искусственные угрозы – угрозы информационной безопасности АС, вызванные деятельностью человека.

2. По степени преднамеренности проявления.

Угрозы случайного действия и/или угрозы, вызванные ошибками или халатностью персонала. Угрозы, не связанные с преднамеренными действиями злоумышленников и реализуемые в случайные моменты времени, называют случайными или непреднамеренными.

Реализация угроз этого класса приводит к наибольшим потерям информации (до 80% ущерба). При этом может происходить уничтожение, нарушение целостности, доступности и конфиденциальности информации, например:

− проявление ошибок программно-аппаратных средств;

− некомпетентное использование, настройка или неправомерное отключение средств защиты персоналом службы безопасности;

− неумышленные действия, приводящие к частичному или полному отказу системы или разрушению аппаратных, программных, информационных ресурсов системы (неумышленная порча оборудования, удаление, искажение файлов с важной информацией или программ, в том числе системных и т.п.);

− неправомерное включение оборудования или изменение режимов работы устройств и программ;

− неумышленная порча носителей информации;

− пересылка данных по ошибочному адресу абонента (устройства);

− ввод ошибочных данных;

− неумышленное повреждение каналов связи.

Угрозы преднамеренного действия, например:

− традиционный или универсальный шпионаж и диверсии (подслушивание, визуальное наблюдение; хищение документов и машинных носителей, хищение программ и атрибутов системы защиты, подкуп и шантаж сотрудников, сбор и анализ отходов машинных носителей, поджоги, взрывы);

− несанкционированный доступ к информации (реализуется посредством отсутствия системы разграничения доступа, сбоями или отказами технических средств, фальсификацией полномочий);

− побочные электромагнитные излучения и наводки;

− несанкционированная модификация структур (алгоритмической, программной, технической);

− информационные инфекции (вредительские программы).

3. По непосредственному источнику угроз.

Угрозы, непосредственным источником которых является природная среда (стихийные бедствия, магнитные бури, радиоактивное излучение и т.п.).

Угрозы, источником которых является человек, например:

− внедрение агентов в число персонала системы (в том числе, возможно, и в административную группу, отвечающую за безопасность);

− вербовка (путем подкупа, шантажа и т.п.) персонала или отдельных пользователей, имеющих определенные полномочия;

− угроза несанкционированного копирования секретных данных пользователем;

− разглашение, передача или утрата атрибутов разграничения доступа (паролей, ключей шифрования, идентификационных карточек, пропусков и т.п.).

Угрозы, непосредственным источником которых являются санкционированные программно-аппаратные средства, например:

− запуск технологических программ, способных при некомпетентном пользовании вызывать потерю работоспособности системы (зависания или зацикливания) или необратимые изменения в системе (форматирование или реструктуризацию носителей информации, удаление данных и т.п.);

− возникновение отказа в работе операционной системы.

Угрозы, непосредственным источником которых являются несанкционированные программно-аппаратные средства, например:

− нелегальное внедрение и использование неучтенных программ (игровых, обучающих, технологических и других, не являющихся необходимыми для выполнения нарушителем своих служебных обязанностей) с последующим необоснованным расходованием ресурсов (загрузка процессора, захват оперативной памяти и памяти на внешних носителях);

− заражение компьютера вирусами с деструктивными функциями.

4. По положению источника угроз.

Угрозы, источник которых расположен вне контролируемой зоны территории (помещения), например:

− перехват побочных электромагнитных, акустических и других излучений устройств и линий связи, а также наводок активных излучений на вспомогательные технические средства, непосредственно не участвующие в обработке информации (телефонные линии, сети питания, отопления и т.п.);

− перехват данных, передаваемых по каналам связи, и их анализ с целью выяснения протоколов обмена, правил вхождения в связь и авторизации пользователя и последующих попыток их имитации для проникновения в систему;

− дистанционная фото- и видеосъемка.

Угрозы, источник которых расположен в пределах контролируемой зоны территории (помещения), например:

− хищение производственных отходов (распечаток, записей, списанных носителей информации и т.п.);

− отключение или вывод из строя подсистем обеспечения функционирования вычислительных систем (электропитания, охлаждения и вентиляции, линий связи и т.д.);

− применение подслушивающих устройств.

Угрозы, источник которых имеет доступ к периферийным устройствам (терминалам).

Угрозы, источник которых расположен в автоматизированной системе, например:

− проектирование архитектуры системы и технологии обработки данных, разработка прикладных программ, которые представляют опасность для работоспособности системы и безопасности информации;

− некорректное использование ресурсов АС.

5. По степени зависимости от активности АС.

Угрозы, которые могут проявляться независимо от активности АС, например:

− вскрытие шифров криптозащиты информации;

− хищение носителей информации (магнитных дисков, лент, микросхем памяти, запоминающих устройств и компьютерных систем).

Угрозы, которые могут проявляться только в процессе автоматизированной обработки данных (например, угрозы выполнения и распространения программных вирусов).

6. По степени воздействия на АС.

Пассивные угрозы, которые при реализации ничего не меняют в структуре и содержании АС, например: угроза копирования секретных данных.

Активные угрозы, которые при воздействии вносят изменения в структуру и содержание АС, например:

− внедрение аппаратных спецвложений, программных «закладок» и «вирусов» («троянских коней» и «жучков»), т.е. таких участков программ, которые не нужны для выполнения заявленных функций, но позволяют преодолеть систему защиты, скрытно и незаконно осуществить доступ к системным ресурсам с целью регистрации и передачи критической информации или дезорганизации функционирования системы;

− действия по дезорганизации функционирования системы (изменение режимов работы устройств или программ, забастовка, саботаж персонала, постановка мощных активных радиопомех на частотах работы устройств системы и т.п.);

− угроза умышленной модификации информации.

7. По этапам доступа пользователей или программ к ресурсам АС.

Угрозы, которые могут проявляться на этапе доступа к ресурсам АС (например, угрозы несанкционированного доступа в АС).

Угрозы, которые могут проявляться после разрешения доступа к ресурсам АС (например, угрозы несанкционированного или некорректного использования ресурсов АС).

8. По способу доступа к ресурсам АС.

Угрозы, направленные на использование прямого стандартного пути доступа к ресурсам АС. Например:

− незаконное получение паролей и других реквизитов разграничения доступа

(агентурным путем, используя халатность пользователей, подбором, имитацией интерфейса системы и т.д.) с последующей маскировкой под зарегистрированного пользователя («маскарад»);

− несанкционированное использование терминалов пользователей, имеющих уникальные физические характеристики, такие как номер рабочей станции в сети, физический адрес, адрес в системе связи, аппаратный блок кодирования и т.п.

Угрозы, направленные на использование скрытого нестандартного пути доступа к ресурсам АС, например:

− вход в систему в обход средств защиты (загрузка посторонней операционной системы со сменных магнитных носителей и т.п.);

− угроза несанкционированного доступа к ресурсам АС путем использования недокументированных возможностей ОС.

9. По текущему месту расположения информации, хранимой и обрабатываемой в АС.

Угрозы доступа к информации на внешних запоминающих устройства (например, угроза несанкционированного копирования секретной информации с жесткого диска).

Угрозы доступа к информации в оперативной памяти, например:

− чтение остаточной информации из оперативной памяти;

− чтение информации из областей оперативной памяти, используемых операционной системой (в том числе подсистемой защиты) или другими пользователями, в асинхронном режиме, используя недостатки мультизадачных АС и систем программирования;

− угроза доступа к системной области оперативной памяти со стороны прикладных программ.

Угрозы доступа к информации, циркулирующей в линиях связи, например:

− незаконное подключение к линиям связи с целью работы «между строк» с использованием пауз в действиях законного пользователя от его имени с последующим вводом ложных сообщений или модификацией передаваемых сообщений;

− незаконное подключение к линиям связи с целью прямой подмены законного пользователя путем его физического отключения после входа в систему и успешной аутентификации с последующим вводом дезинформации и навязыванием ложных сообщений;

− перехват всего потока данных с целью дальнейшего анализа не в реальном масштабе времени.

Угрозы доступа к информации, отображаемой на терминале или печатаемой на принтере, например, угроза записи отображаемой информации на скрытую видеокамеру.

Классификация угроз безопасности информации в компьютерных системах

Для того чтобы обеспечить эффективную защиту информации, необходимо в первую очередь рассмотреть и проанализировать все факторы, представляющие угрозу информационной безопасности.

Угроза информационной безопасности КС — потенциально возможное событие, процесс или явление, которое может оказать нежелательное воздействие на систему и привести к уничтожению, утрате целостности, конфиденциальности или доступности информации. Такие угрозы, воздействуя на информацию через компоненты КС, могут привести к уничтожению, искажению, копированию, несанкционированному распространению информации, к ограничению или блокированию доступа к ней. В настоящее время известен достаточно обширный перечень угроз, который классифицируют по нескольким признакам.

По природе возникновения различают:

· естественные угрозы, вызванные воздействиями на КС объективных физических процессов или стихийных природных явлений, не зависящих от человека;

· искусственные угрозы безопасности, вызванные деятельностью человека.

По степени преднамеренности проявления угрозы различают:

· непреднамеренные (случайные), вызванные ошибками (сбоями) аппаратно-программного обеспечения или действиями персонала;

· преднамеренные (умышленные действия, например, шпионаж и диверсии).

По степени воздействия на КС различают:

· пассивные угрозы, которые при реализации ничего не меняют в структуре и содержании КС (угроза копирования данных);

· активные угрозы, которые при воздействии вносят изменения в структуру и содержание КС (внедрение аппаратных и программных спецвложений).

По расположению источника угроз:

· внутренние (источники угроз располагаются внутри системы);

· внешние (источники угроз находятся вне системы).

По текущему месту расположения информации в КС:

· угроза доступа к информации на внешних запоминающих устройствах (ЗУ), например, копирование данных с жесткого диска;

· угроза доступа к информации в оперативной памяти (несанкционированное обращение к памяти);

· угроза доступа к информации, циркулирующей в линиях связи (путем незаконного подключения).

По непосредственному источнику угроз. Источниками угроз могут быть:

· природная среда, например, стихийные бедствия;

· человек, например, разглашение конфиденциальных данных;

· санкционированные программно-аппаратные средства, например, отказ в работе операционной системы;

· несанкционированные программно-аппаратные средства, например, заражение компьютера вирусами.

По цели воздействия на КС:

· угрозы нарушения конфиденциальности информации, в результате реализации которых информация становится доступной субъекту, не располагающему полномочиями для ознакомления с ней;

· угрозы нарушения целостности информации, к которым относится любое злонамеренное искажение информации;

· угрозы нарушения доступности информации, возникающие в тех случаях, когда доступ к некоторому ресурсу автоматизированной системы для легальных пользователей блокируется. Отметим, что реальные угрозы информационной безопасности далеко не всегда можно строго отнести к какой-то одной из перечисленных категорий. Так, например, угроза хищения носителей информации может быть при определённых условиях отнесена ко всем трём категориям.

По способам реализации угрозы могут осуществляться:

· по техническим каналам, которые включают каналы побочных электромагнитных излучений и наводок, акустические, оптические, радиотехнические, химические и каналам утечки информации;

· по каналам специального влияния за счет формирования специальных полей и сигналов с целью разрушения системы или защиты нарушения целостности информации;

· несанкционированным доступом (НСД) в результате подключения к аппаратуре и линиям связи, маскировки под зарегистрированных (законных пользователей), преодоления мер защиты для получения (использования) информации или навязывания ошибочной, применения закладных устройств и встроенных программ и внедрения компьютерных вирусов.

Несанкционированный доступ возможен:

· при отсутствии или ошибках системы разграничения доступа;

· при сбое или отказе в компьютерных системах;

· при ошибках в программном обеспечении;

· при ошибочных действиях пользователей или обслуживающего персонала компьютерных систем;

· при фальсификации полномочий.

Перечисление угроз, характерных для той или иной автоматизированной системы, является важным этапом анализа уязвимостей автоматизированных систем, проводимого, например, в рамках аудита информационной безопасности, и создаёт базу для последующего проведения анализа рисков.

Дата добавления: 2016-10-26; просмотров: 2673; ЗАКАЗАТЬ НАПИСАНИЕ РАБОТЫ