Угрозы информационной (компьютерной) безопасности – это различные действия, которые могут привести к нарушениям информационной безопасности. Другими словами, это потенциально возможные события/процессы или действия, которые могут нанести ущерб информационным и компьютерным системам.
Угрозы ИБ можно разделить на два типа: естественные и искусственные. К естественным относятся природные явления, которые не зависят от человека, например, ураганы, наводнения, пожары и т.д. Искусственные угрозы зависят непосредственно от человека и могут быть преднамеренные и непреднамеренные. Непреднамеренные угрозы возникают из-за неосторожности, невнимательности и незнания. Примером таких угроз может быть установка программ, которые не входят в число необходимых для работы, в дальнейшем нарушающих работу системы, что и приводит к потере информации. Преднамеренные угрозы, в отличие от предыдущих, создаются специально. К ним можно отнести атаки злоумышленников как извне, так и изнутри компании. Результат этого вида угроз – огромные потери компанией денежных средств и интеллектуальной собственности.
В зависимости от различных способов классификации все возможные угрозы информационной безопасности можно разделить на следующие основные подгруппы:
Нежелательный контент включает в себя не только вредоносные программы, потенциально опасные программы и спам, которые непосредственно созданы для того, чтобы уничтожить или украсть информацию, но и сайты, которые запрещены законодательством, или нежелательные сайты, что содержат информацию, не соответствующую возрасту потребителя.
Несанкционированный доступ – просмотр информации сотрудником, который не имеет разрешения пользоваться данной информацией, путем нарушения должностных полномочий. Несанкционированный доступ приводит к утечке информации. В зависимости от того, какая информация и где она хранится, утечки могут организовываться разными способами, а именно через атаки на сайты, взлом программ, перехват данных по сети, использование несанкционированных программ.
Утечка информации в зависимости от того, чем она была вызвана, может разделяться на умышленную и случайную. Случайные утечки происходят из-за ошибок оборудования, программного обеспечения и человека. А умышленные, в отличие от случайных, организовываются преднамеренно, с целью получить доступ к данным, нанести ущерб.
Потерю данных можно считать одной из основных угроз информационной безопасности. Нарушение целостности информации может быть вызвано неисправностью оборудования или умышленными действия пользователей, будь то они сотрудниками или злоумышленниками.
Не менее опасной угрозой является фрод (мошенничество с использованием информационных технологий). К мошенничеству можно отнести не только манипуляции с кредитными картами (кардинг) и взлом онлайн-банка, но и внутренний фрод. Целью этих экономических преступлений является обход законодательства, политики, нормативных актов компании, присвоение имущества.
Ежегодно по всему миру возрастает террористическая угроза постепенно перемещаясь в виртуальное пространство. На сегодняшний день никого не удивляет возможность атак на АСУ ТП различных предприятий. Но подобные атаки не проводятся без предварительной разведки, для чего и нужен кибершпионаж, который поможет собрать необходимые данные. Существует также такое понятие, как информационная война, которая отличается от обычной войны только тем, что в качестве оружия выступает тщательно подготовленная информация.
Нарушение информационной безопасности может быть вызвано как спланированными действиями злоумышленника, так и неопытностью сотрудника. Пользователь должен иметь хоть какое-то понятие об ИБ, вредоносном программном обеспечении, чтобы своими действиями не нанести ущерб компании и самому себе.
Чтобы пробиться через защиту и получить доступ к нужной информации злоумышленники используют слабые места и ошибки в работе программного обеспечения, веб-приложений, ошибки в конфигурациях файрволов, прав доступа, прибегают к прослушиванию каналов связи и использованию клавиатурных шпионов.
Потеря информации может быть обусловлена не только внешними атаками злоумышленников и неаккуратностью сотрудников, но и работниками компании, которые заинтересованы в получении прибыли в обмен на ценные данные организации, в которой работают или работали.
Источниками угроз выступают киберпреступные группы и государственные спецслужбы (киберподразделения), которые используют весь арсенал доступных киберсредств:
То, чем будет производиться атака, зависит от типа информации, ее расположения, способов доступа к ней и уровня защиты. Если атака будет рассчитана на неопытность жертвы, то возможно использование спам рассылок.
Оценивать угрозы информационной безопасности необходимо комплексно, при этом методы оценки будут различаться в каждом конкретном случае. Например, чтобы исключить потерю данных из-за неисправности оборудования, нужно использовать качественные комплектующие, проводить регулярное техническое обслуживание, устанавливать стабилизаторы напряжения. Дальше следует устанавливать и регулярно обновлять программное обеспечение.
Отдельное внимание нужно уделить защитному ПО, базы которого должны обновляться ежедневно:
• защита от нежелательного контента (антивирус, антиспам, веб-фильтры, анти-шпионы);
• фаерволы и системы обнаружения вторжений IPS;
• IDM;
• PUM;
• защита веб-приложений;
• анти-ддос;
• WAF;
• анализ исходного кода;
• антифрод;
• защита от таргетированных атак;
• SIEM;
• системы обнаружения аномального поведения пользователей (UEBA);
• защита АСУ ТП;
• защита от утечек данных;
• DLP;
• Шифрование;
• защита мобильных устройств;
• резервное копирование;
• системы отказоустойчивости.
Угроза безопасности информационных систем
Под угрозой (вообще) обычно понимают потенциально возможные событие, действие (воздействие), процесс или явление, которые могут привести к нанесению ущерба чьим-либо интересам. Исходя из этого определения, угрозой безопасности информационных систем (УБИС) принято называть потенциально возможные событие, процесс или явление, которые посредством воздействия на информацию или другие компоненты информационных систем могут прямо или косвенно привести к нанесению ущерба интересам субъектов информационных отношений. Реализация угрозы приводит к нарушению информационной безопасности, что, в свою очередь, наносит ущерб интересам субъектов информационных отношений.
Статистика свидетельствует, что основными причинами нарушений информационной безопасности являются:
• стихийные бедствия и аварии (наводнение, ураган, землетрясение, пожар и т. п.), приводящие к повреждениям элементов информационных систем;
• сбои и отказы оборудования (технических средств) информационных систем;
• последствия ошибок проектирования и разработки компонентов информационных систем (аппаратных средств, технологии обработки информации, программ, структур данных и т. п.);
• ошибки эксплуатации (пользователей, операторов и другого персонала);
• преднамеренные действия нарушителей и злоумышленников (обиженных лиц из числа персонала, преступников, шпионов, диверсантов и т. п.).
Анализ этих причин позволяет сделать вывод, что существует большое количество угроз безопасности информации различного происхождения. Поэтому их следует классифицировать.
Учитывая выводы, сформулированные в, источники угроз безопасности информационных систем можно классифицировать по различным признакам:
1. Направленность угроз. Этот признак определяет одно из свойств, определяющих безопасность информации. По этому признаку можно выделить:
• угрозы доступности информации путем воздействия на аппаратные элементы информационных систем;
• угрозы целостности информации, предполагающие:
а) нарушение физической целостности путем уничтожения или повреждения данных;
б) нарушение логической структуры данных путем ее искажения;
в) нарушение содержания данных путем их несанкционированной модификации;
• угрозы конфиденциальности информации в результате несанкционированного ее получения. Следствием этого может стать присвоение чужого права собственности.
2. Происхождение угроз. Предполагается существование двух возможных классов угроз с точки зрения их происхождения: случайное и преднамеренное.. Случайное происхождение угроз обусловлено спонтанными обстоятельствами, возникающими в информационных системах в процессе их функционирования независимо от воли людей. Наиболее известными событиями такого рода являются отказы, сбои, ошибки, стихийные бедствия и побочные влияния. Сущность перечисленных событий (кроме стихийных бедствий, сущность которых ясна) определяется следующим образом:
• отказ — нарушение работоспособности какого-либо элемента системы, приводящее к невозможности выполнения им основных своих функций;
• сбой — временное нарушение работоспособности какого-либо элемента системы, следствием чего может быть неправильное выполнение им в этот момент своей функции;
• ошибка — неправильное (разовое или систематическое) выполнение элементом одной или нескольких функций, происходящее вследствие специфического (постоянного или временного) его состояния;
• побочное влияние — негативное воздействие на систему в целом или на отдельные ее элементы, оказываемое какими-либо явлениями, происходящими внутри системы или во внешней среде. Преднамеренное происхождение угрозы обусловливается злоумышленными действиями людей.
3. Предпосылки появления угроз. Различаются две возможные разновидности предпосылок.
Объективные:
а) количественная недостаточность элементов системы означает физическую нехватку одного или нескольких элементов системы, вызывающую нарушения технологического процесса обработки данных и/или перегрузку имеющихся элементов;
б) качественная недостаточность — несовершенство конструкции (организации) элементов системы, вследствие чего могут появляться возможности случайного или преднамеренного негативного воздействия на обрабатываемую или хранимую информацию.
Субъективные:
а) деятельность разведывательных органов иностранных государств — специально организуемая деятельность государственных органов, профессионально ориентированных на добывание необходимой информации всеми доступными средствами. К основным видам разведки относятся агентурная и техническая. Агентурная разведка — это несанкционированная деятельность профессиональных разведчиков, завербованных агентов и так называемых «доброжелателей». Техническая разведка включает радиоразведку (перехват радиоэлектронными средствами информации, циркулирующей в телекоммуникационных каналах), радиотехническую разведку (регистрацию спецсредствами электромагнитных излучений технических систем) и космическую разведку (использование космических кораблей и искусственных спутников Земли для наблюдения за территорией, ее фотографирования, регистрации радиосигналов и получения полезной информации любыми другими доступными способами);
б) промышленный шпионаж — негласная деятельность организации или ее представителей по добыванию информации, специально охраняемой от несанкционированной ее утечки или хищения, с целью создания для себя благоприятных условий и получения максимальных выгод (недобросовестная конкуренция);
в) злоумышленные действия уголовных элементов — хищение информации или компьютерных программ в целях наживы;
г) действия недобросовестных сотрудников — хищение (копирование) или уничтожение информационных массивов и/или программ по эгоистическим или корыстным мотивам, а также в результате несоблюдения установленного порядка работы с информацией.
4. Источники угроз. Угрозы безопасности информационных систем реализуются путем воздействия на структурно-функциональные элементы информационных систем. Для того чтобы уяснить, каким образом можно осуществить такое воздействие, следует рассмотреть структуру ИС. На основании анализа состава данной схемы можно сделать вывод о том, что в составе информационной системы имеется две группы элементов: персонал и аппаратно-программные средства. Обе группы элементов могут быть как объектами воздействия угроз безопасности, так и источниками этих угроз.
Персонал выполняет функции пользователей, администраторов системы, администраторов баз данных, специалистов по эксплуатации аппаратных средств, программистов и т. д.
Аппаратно-программные средства составляют техническую основу информационной системы. В зависимости от назначения ИС количество, состав и способы соединения этих элементов в разных ИС могут различаться.
Тем не менее можно с высокой степенью достоверности утверждать, что основными аппаратными элементами информационных систем являются:
• рабочие станции — отдельные ЭВМ или удаленные терминалы сети, на которых реализуются автоматизированные рабочие места пользователей, т. е. пользователей (потребителей) информации или участников информационных процессов;
• серверы (файлов, печати, баз данных и т. п.) — высокопроизводительные ЭВМ, предназначенные для реализации функций хранения, печати данных, обслуживания рабочих станций сети и подобных действий;
• межсетевые мосты (шлюзы, центры коммутации пакетов, коммуникационные ЭВМ) — элементы, обеспечивающие соединение нескольких сетей передачи данных либо нескольких сегментов одной и той же сети, имеющих различные протоколы взаимодействия;
• каналы связи (локальные либо с узлами коммутации).
Воздействие угроз безопасности на аппаратные элементы информационных систем приводит к нарушению их работоспособности.
Принято различать три степени таких нарушений:
• отказ — нарушение работоспособности элемента системы, приводящее к невозможности выполнения ею своих основных функций;
• сбой — временное нарушение работоспособности элемента системы, приводящее к неправильному выполнению ею своих основных функций;
• ошибка — неправильное выполнение элементом системы одной или нескольких функций.
C точки зрения обеспечения безопасности информации эти аппаратные элементы отличаются своими свойствами, определяющими их устойчивость по отношению к угрозам безопасности информации.
Рабочие станции являются наиболее доступными компонентами сетей и именно с них могут быть предприняты наиболее многочисленные попытки совершения несанкционированных действий. C рабочих станций осуществляется управление процессами обработки информации, запуск программ, ввод и корректировка данных, на дисках рабочих станций могут размещаться важные данные и программы обработки. На видеомониторы и печатающие устройства рабочих станций выводится информация при работе пользователей (операторов), выполняющих различные функции и имеющих разные полномочия по доступу к данным и другим ресурсам системы. Именно поэтому рабочие станции должны быть надежно защищены от доступа посторонних лиц, а их операционные системы должны содержать средства разграничения доступа к ресурсам со стороны законных пользователей, имеющих разные полномочия. Кроме того, средства защиты должны предотвращать нарушения нормальной настройки рабочих станций и режимов их функционирования, вызванные неумышленным вмешательством неопытных (невнимательных) пользователей.
Серверы (Host-машины) и мосты нуждаются в особой защите, так как они особо привлекательны для злоумышленников. Первые — так как в них концентрируются большие объемы информации, а вторые — как элементы, в которых осуществляется преобразование (возможно, через открытую, нешифрованную форму представления) данных при согласовании протоколов обмена в различных участках сети.
Таким образом, можно сделать вывод, что объектами воздействия внешних угроз безопасности информационных систем могут стать:
а) персонал, обслуживающий эту информационную систему, или ее пользователи;
б) аппаратно-программные элементы информационной системы, среди которых можно выделить:
• аппаратные устройства информационной системы;
• кабельные системы, включающие внутренние линии связи и силовые кабели;
• данные, хранящиеся в информационной системе и/или обрабатываемые ею;
• программное обеспечение информационной системы.
Результатом отказов, сбоев и ошибок работы аппаратного оборудования могут стать потери или искажение данных. В свою очередь, это приводит к нарушению целостности или доступности информации.
Более серьезными угрозами безопасности являются действия персонала, которые могут быть как случайными, так и преднамеренными. Случайные действия представляют собой результат ошибок, вызванных некомпетентностью, халатностью или болезнью людей. Побудительными мотивами для преднамеренных действий могут стать злонамеренные помыслы пользователей или специалистов, а также их подкуп или вербовка представителями преступных группировок или конкурентов.
Ошибки обслуживающего персонала и пользователей или их умышленные действия могут привести к случайному уничтожению или изменению данных, т. е. к нарушению целостности или доступности информации. Кроме того, только действия людей могут привести к нарушению конфиденциальности информации в результате несанкционированного копирования, уничтожения или подделки информации или же ознакомления посторонних лиц с конфиденциальной информацией, составляющей тайну.
Под источником угроз безопасности информационных систем принято понимать непосредственный генератор или носитель этой угрозы.
Из вышеизложенного вытекает, что такими источниками могут быть:
а) люди из числа пользователей, персонал, обслуживающий информационную систему, или посторонние лица;
б) технические устройства ввода, хранения, обработки и передачи данных;
в) программы системные или прикладные;
г) внешняя среда, генерирующая побочные шумы или сигналы.
Для оценки степени значимости этих угроз можно использовать статистические данные, свидетельствующие о том, что основными причинами потери информации в коммерческих фирмах являются: сбои жесткого диска и операционной системы, ошибки пользователя, сбои в программах, компьютерные вирусы, природные катаклизмы.
Виды информационных угроз
Информационные угрозы могут быть обусловлены:
• естественными факторами (пожар, наводнение, и др.);
• человеческими факторами.
Последние, в свою очередь, подразделяются на:
• угрозы, носящие случайный, неумышленный характер. Это угрозы, связанные с ошибками процесса подготовки, обработки и передачи информации;
• угрозы, обусловленные умышленными, преднамеренными действиями людей. Это угрозы, связанные с несанкционированным доступом к ресурсам АИС.
Умышленные угрозы преследуют цель нанесения ущерба пользователям АИС и, в свою очередь, подразделяются на активные и пассивные.
Пассивные угрозы, как правило, направлены на несанкционированное использование информационных ресурсов, не оказывая при этом влияния на их функционирование (прослушивание).
Активные угрозы имеют целью нарушение нормального процесса функционирования системы посредством целенаправленного воздействия на аппаратные, программные и информационные ресурсы. Источниками активных угроз могут быть непосредственные действия злоумышленников, программные вирусы и т.п.
Умышленные угрозы также подразделяются на внутренние, возникающие внутри управляемой организации, и внешние.
Под внутренними угрозами понимаются — угрозы безопасности информации инсайдером (исполнителем) которых является внутренний по отношению к ресурсам организации субъект (инсайдер).
Под внешними угрозами понимаются — угрозы безопасности информации инициатором (исполнителем) которых является внешний по отношению к ресурсам организации субъект (удаленный хакер, злоумышленник).
Внутренние угрозы:
• Утечки информации;
• Неавторизованный доступ.
Внешние угрозы:
• Вредоносные программы (вирусы, троянцы, черви и т.д.);
• Атаки хакеров;
• DDos-атаки;
• Таргетированные атаки;
• Спам;
• Фишинг;
• Промышленные угрозы (stuxnet, flame, duqu);
• Шпионское программное обеспечение (spyware, adware);
• botnets (ботнеты или зомби-сети).
Модели информационных угроз
Анализ проблем безопасности нужно проводить с учетом экономических интересов, угроз и потерь, к которым может привезти успешность предполагаемой атаки на информационную систему определенного предприятия.
Частная модель угроз безопасности информационной системы строится на основе следующего анализа:
• источник атаки: внешний или внутренний относительно защищаемого объекта (предприятия, организации и т. д.);
• учет всех зон риска: экономическая сфера компании, физические и информационные ресурсы;
• факторы влияния на безопасность: уязвимость данных и информации, степень их защищенности, ПО, компьютеры предприятия и другие устройства, материальные и денежные ресурсы, работники;
• выявление видов, масштабов и направлений возможных атак;
• способы реализации угрозы: объект атаки, механизм и скорость действия, предрасполагающие факторы уязвимости;
• последствия: оцениваются с точки зрения денежных потерь, морального вреда и возможной компенсации.
Существует два основных взгляда на любую угрозу. Ее отождествляют с одним или несколькими видами и способами реализации атаки в соответствии с теорией информационной безопасности или с результатами ее воздействия на рассматриваемую компанию, т. е. с последствиями, к которым она приводит.
Модель угрозы информационной системе рассматривается в прочной связке с понятием ущерба в первой части 15-й статьи Гражданского кодекса РФ. Он определен как фактические расходы, понесенные субъектом в результате нарушения его прав (кража конфиденциальной информации, ее распространение или использование в корыстных целях), потери и повреждения имущества, а также расходы на восстановление.
В России вопрос касательно защиты информации по сей день остается достаточно сложным. Ведь даже сейчас не существует в этой области общепринятой нормы на терминологию. В разных законах одни и те же сущности могут определяться по-разному. Хотя принимаются меры для стандартизации терминологии в данной области.
Любая, даже базовая, модель угроз информационной безопасности требует анализа и обязательной идентификации как возможных атак, так и методов ее реализации. Для этих целей созданы различные классификации (по источнику, по вероятности, по характеру, по объекту, по последствиям), которые позволяют наиболее точным образом спроектировать ответную реакцию защиты на ту или иную атаку.
Угрозы классифицируются благодаря следующим критериям:
• Компоненты информационной системы, на которые могут быть нацелены атаки. К ним относятся данные, компьютеры и ПО, сети и прочие структуры, поддерживающие работу системы.
• Методы осуществления, которые могут быть как случайные, так и преднамеренные. Также учитываются события техногенного или природного генеза.
• Местоположение источника атаки - внешнее или внутреннее по отношению к используемой системе.
• Составляющие информационной безопасности, на которые могут быть нацелены атаки, а именно, доступность, конфиденциальность и целостность данных.
Анализ и классификация позволяют добиться состояния системы защиты, когда большая часть возможных угроз идентифицирована и сопоставлены способы нейтрализации. Разумеется, не имеет смысла каждую систему защиты строить для обороны от всего и вся. Применяется вероятностный подход и оценивается актуальность каждого отдельного класса угроз, и именно против них в системе защиты будут предприняты меры.
С помощью анализа строится матрица связей моделей угроз информационной безопасности, уязвимых точек и вероятных последствий успешной атаки. Вычисляется коэффициент степени опасности каждого отдельного нападения как произведение коэффициента опасности угрозы на коэффициент опасности источника атаки.
Принятие подобных мер позволяет:
• определить приоритетные цели для системы защиты;
• установить список актуальных атак и источников угроз;
• найти уязвимости информационной системы;
• оценить возможность осуществления успешной атаки на основе взаимосвязи уязвимостей и источников угроз;
• разработать подробный ход той или иной угрозы и построить защиту для реагирования на возможный сценарий атаки;
• детально описать последствия успешной атаки;
• спроектировать систему защиты и комплекс управления информационной безопасностью организации.
Модель угроз информационной безопасности ФСТЭК ставит ошибки персонала (пользователей, администраторов, операторов и других лиц, занимающихся обслуживанием систем) на одно из первых мест по части размеров причиненного ущерба. По данным исследований, порядка 65 % убытков при успешных атаках происходит из-за случайных ошибок, совершенных по невнимательности, халатности или из-за отсутствия правильной подготовки сотрудников. Подобные нарушения могут представлять как источник самостоятельных угроз (ввод неправильных данных, ошибки в программах, приводящие к краху системы), так и уязвимость (ошибки администратора), которой могут воспользоваться атакующие.
Как уже ранее отмечалось, сам пользователь может быть опасен и являться моделью угрозы информационной безопасности.
Образцы подобной ситуации рассмотрим ниже:
• злонамеренные - вывод из строя информационной системы, или, например, закладка логической бомбы в коде базы данных, которая сработает при определенных условиях и разрушит хранящуюся в ней информацию;
• непреднамеренные - случайное искажение данных или их потеря;
• взлом системы управления;
• кража персональных данных (пароли, адреса, банковские счета);
• передача персональных данных посторонним лицам или организациям.
Уязвимости системы также должны быть рассмотрены в модели угроз информационной безопасности организации.
Примерами обоснованности данного подхода могут являться действия пользователей, приводящие к ослаблению защиты системы и открывающие путь к прямой угрозе:
• отказ от работы с информационной системой, например, как следствие нежелания осваивать новое программное обеспечение;
• несоответствие ПО требованиям пользователя;
• невозможность полноценной работы из-за отсутствия соответствующих навыков (недостаточное знание компьютерных технологий, неумение обрабатывать сообщения об ошибках) и возникающие в результате этого сбои в работе системы.
Пользователь может представлять собой весомый список угроз для информационной системы. Поэтому логичным решением по борьбе с непреднамеренными ошибками будет уменьшение их доли и переход к автоматизации: применение догмы Fool Proof Device, стандартизация, регламентация и строгий контроль действий пользователя.
Однако и тут существуют модели угроз информационной безопасности, которые следует учитывать:
• забытое аннулирование доступа к системе уволенного сотрудника;
• некачественная документация автоматизированной системы и отсутствие технической поддержки;
• нарушение правил эксплуатации, как случайное, так и умышленное;
• выход из штатного режима работы из-за действий пользователей (слишком большое число запросов) или администрирующего персонала (плохая оценка объемов обрабатываемых данных в единицу времени);
• ошибки при настройке;
• отказы в аппаратно-программном обеспечении;
• нарушение целостности данных из-за сбоев в работе системы.
В информационную систему, помимо ее основной структуры, входит и вспомогательная, которая обеспечивает работу основных частей системы. Для поддерживающих структур также следует рассматривать модели угроз информационной безопасности. Примером таковых являются техногенные и природные катастрофы.
Опишем подробнее угрозы более масштабного характера:
• Нарушения в работе систем связи (интернет, электрическая сеть, водоканалы, газоснабжение, охлаждение).
• Повреждение или разрушение зданий.
• Чрезвычайные ситуации в городе или стране, когда граждане в силу каких-либо причин отказываются выполнять свои должностные обязанности: гражданские войны, крупные аварии, террористические взрывы или их угроза, забастовки и т. д.
• Стихийные бедствия.
По данным статистики, на долю стихийных и техногенных бедствий приходится от 13 % до 15 % потерь, которые терпят информационные системы. В силу данного обстоятельства существуют даже те информационные системы, которым необходимо продолжать работать в штатном режиме, даже несмотря на стихийные катастрофы.
Любая организация, одним из ресурсов которой является информация, может иметь частные модели угроз информационной безопасности. Они будут порождаться внутренней структурой данной компании, которая формируется на основе подразделений, сотрудников, технических средств, экономических связей, внутренних социальных отношений и т. д. Поэтому общая масса внутренней и внешней информации, обслуживающая ее система и технологии, специалисты и персонал составляют информационно-технологический ресурс.
Так, для любой коммерческой компании информация может подразделяться на: служебную, конфиденциальную, секретную, коммерческую тайну. Хотя для любой негосударственной организации информация подразделяется на достаточно простые классы. Но даже в упрощенном случае все должно быть строго классифицировано и закреплено соответствующими нормативными актами, чтобы можно было построить правильную и, главное, рабочую систему защиты информации.
Угрозы информационной информации
Одной из важных задач обеспечения информационной безопасности объекта является оценивание и прогнозирование угроз — источников и способов их реализации, использующих те или иные уязвимости объектов.
К угрозам информационной безопасности объекту относятся любые явления, действия, обстоятельства, события, которые могут являться причиной нанесения ущерба путем нарушения основных свойств защищенности «информационного измерения» объекта, обусловливаемых информацией и информационной инфраструктурой. Реализация угрозы выступает как атака.
Источниками угрозы могут быть преднамеренные злоумышленные действия отдельных лиц, в том числе легитимных пользователей, или их сообществ, случайные (ошибочные) действия обслуживающего персонала и пользователей, выход из строя (отказы) и сбои оборудования, природные явления и стихийные бедствия.
Источники угроз информационной безопасности разделяются на внешние и внутренние, случайные и преднамеренные.
Расширенный перечень угроз — их источников и способов воздействия — представлен в Доктрине информационной безопасности России 11J.
Внутренними источниками угроз являются:
• неправомерные действия государственных, политических и экономических структур, приводящие к нарушению законных прав граждан и организаций в информационной сфере;
• вынужденное (в силу объективного отставания отечественной промышленности) использование импортных аппаратно-программных средств в информационных и телекоммуникационных системах;
• нарушение установленного регламента сбора, обработки и передачи информации;
• преднамеренные действия и ошибки персонала информационных и телекоммуникационных систем;
• отказы технических средств и сбои программного обеспечения в информационных и телекоммуникационных системах;
• использование ^сертифицированных (в соответствии с требованиями безопасности) средств информатизации и связи, а также средств защиты информации и контроля их эффективности;
• привлечение к работам по созданию, развитию и защите информационных и телекоммуникационных систем организаций и фирм, не имеющих государственных лицензий на осуществление этих видов деятельности.
К внешним источникам относятся:
• недружественная политика и деятельность политических, экономических, информационных и других структур иностранных государств в области глобального информационного мониторинга, распространения информации и новых информационных технологий;
• преступные действия международных групп, формирований и отдельных лиц;
• катастрофы и стихийные бедствия.
Способы воздействия угроз на объекты информационной безопасности подразделяются на организационно-правовые, технические и физические.
Организационно-правовые способы включают неправомерное ограничение доступа граждан и организаций к информации, невыполнение требований законодательства в информационной сфере.
Технические способы осуществления угроз включают:
• перехват информации через электромагнитные и акустические поля и излучения, в том числе побочные электромагнитные излучения и наводки (ПЭМИН); анализ трафика, дешифрирование и навязывание сообщений и команд управления; радиоэлектронное подавление линий связи и систем управления;
• несанкционированный доступ к информационным ресурсам, незаконное использование и распространение информации, копирование, уничтожение и искажение данных в информационных системах, нарушение технологий информационного обмена, сбора, обработки и хранения информации;
• применение интеллектуальных воздействий (вредоносных программ, ложных команд и дезинформирующих сообщений, имитирующих и разрушающих воздействий), внедрение электронных устройств перехвата информации и т.п.
К физическим способам относятся уничтожение или разрушение средств связи и обработки информации, а также уничтожение, повреждение, хищение носителей информации.
К угрозам информационной безопасности Российской Федерации, в частности, относятся:
1) противодействие реализации гражданами своих конституционных прав на личную и семейную тайну, тайну переписки, телефонных переговоров и иных сообщений;
2) противоправные сбор и использование информации;
3) разработка и распространение вредоносных программ, нарушающих нормальное функционирование информационных и информационно-телекоммуникационных систем, в том числе систем защиты информации;
4) уничтожение, повреждение, радиоэлектронное подавление или разрушение средств и систем обработки информации, телекоммуникации и связи;
5) утечка информации по техническим каналам;
6) внедрение электронных устройств для перехвата информации в технические средства обработки, хранения и передачи информации по каналам связи, а также в служебные помещения органов государственной власти, предприятий, учреждений и организаций независимо от формы собственности;
7) уничтожение, повреждение, разрушение или хищение машинных и других носителей информации;
8) перехват информации в сетях передачи данных и на линиях связи, дешифрование этой информации и навязывание ложной информации;
9) использование ^сертифицированных отечественных и зарубежных информационных технологий, средств защиты информации, средств информатизации, телекоммуникации и связи при создании и развитии российской информационной инфраструктуры;
10) несанкционированный доступ к информации, находящейся в банках и базах данных;
11) нарушение законных ограничений на распространение информации.
Наиболее опасные угрозы безопасности информационным активам организации проявляются в следующих формах:
1) мошенничество, связанное с завладением чужим имуществом или приобретением права на него путем обмана или злоупотребления доверием, основанных на неправомерном доступе к информационно-коммуникационным системам, конфиденциальной информации, на подделке или искажении электронных документов в информационных и коммуникационных системах, сетях связи;
2) клевета, основанная на распространении заведомо ложной информации, порочащей честь и достоинство руководителей организации;
3) нарушение авторских и смежных прав, связанных с объектами интеллектуальной собственности;
4) шантаж, связанный с угрозой распространения персональных данных, иной информации, охраняемой законом в режиме тайны;
5) противоправное раскрытие информации ограниченного доступа третьим лицам;
6) уничтожение или повреждение информационных ресурсов, информационно-коммуникационных систем и сетей связи посредством использования и распространения вредоносных программ, нарушения правил эксплуатации ЭВМ и их сетей;
7) причинение имущественного ущерба собственнику или иному владельцу информационно-коммуникационных систем и сетей связи путем обмана или злоупотребления доверием без признаков хищения.
Вследствие проявления указанных угроз существенно возрастают риски, связанные с осуществлением основной деятельности организации (риск утраты репутации, риск ликвидности, операционные риски, риски утраты собственности или важных активов организации). Эти риски связаны с возможностью возникновения ситуаций проявления угроз, требующих дополнительных, часто существенных затрат материальных, людских, временных, финансовых и иных ресурсов на ликвидацию последствий проявления угроз. Увеличение рисков приводит к увеличению издержек и соответствующему снижению эффективности деятельности организации, уменьшению ее конкурентоспособности.
В свою очередь угрозы собственно корпоративным информационным и телекоммуникационным системам и сетям могут быть обобщены в следующие группы:
1) компрометация конфиденциальности (несанкционированное получение и распространение), искажение (модификация), имитация и уничтожение информации при несанкционированном доступе;
2) анализ трафика сети, перехват информации в каналах (особенно в радиоканалах), несанкционированное декодирование и расшифровывание информации, перехват информации по техническим каналам утечки информации;
3) применение интеллектуальных воздействий (вредоносных программ, ложных команд, имитирующих и разрушающих воздействий), создание ложных серверов и воздействие помех;
4) отказ в обслуживании, блокирование доступа, создание информационных перегрузок в каналах;
5) нарушение физической целостности.
Проблема предотвращения, парирования и нейтрализации угроз любого объекта (государства, корпорации, корпоративных информационных систем и сетей) и обеспечения их информационной безопасности решается комплексом правовых (в том числе нормативно-методических), организационных и технических (технологических) мер, методов и средств.
Источники информационных угроз
Как уже отмечалось, опасные воздействия на объекты информационной безопасности способны нарушить их устойчивость. Вместе с тем такие воздействия, угрожающие нарушить заданные параметры жизненно важных объектов информационной деятельности личности, общества и государства, сами по себе имеют значение последствий. В структуре угроз они занимают место условий возможного причинения вреда объектам безопасности.
Причины опасного воздействия содержат в себе глубинный потенциал предпосылок корневого характера, они имеют исходные основания проявления угроз, способных изменить параметры нормального функционирования системы (объекта).
Источники угроз информационной безопасности понимаются как исходные основания (причины) опасного воздействия на жизненно важные интересы личности, общества и государства в информационной сфере.
По типу источника угрозы подразделяются на имеющие социальный и природный характер. Угрозы социального характера проявляются в процессе взаимодействия между социальными общностями (группами), а природные угрозы — взаимодействия социальных групп с окружающей природной средой.
В зависимости от характера проявления опасного воздействия на объекты информационной безопасности источники угроз могут носить внешний либо внутренний характер.
К внешним источникам угроз информационной безопасности относятся:
• деятельность иностранных политических, экономических, военных, разведывательных и информационных структур, направленная против интересов Российской Федерации в информационной сфере;
• стремление ряда стран к доминированию и ущемлению интересов России в мировом информационном пространстве, вытеснению ее с внешнего и внутреннего информационных рынков;
• обострение международной конкуренции за обладание информационными технологиями и ресурсами;
• деятельность международных террористических организаций;
• увеличение технологического отрыва ведущих держав мира и наращивание их возможностей по противодействию созданию конкурентоспособных российских информационных технологий;
• деятельность космических, воздушных, морских и наземных технических и иных средств (видов) разведки иностранных государств;
• разработка рядом государств концепций информационных войн, предусматривающих создание средств опасного воздействия на информационные сферы других стран мира, нарушение нормального функционирования информационных и телекоммуникационных систем, сохранности информационных ресурсов, получение несанкционированного доступа к ним.
К внутренним источникам угроз информационной безопасности относятся:
• недостаточная экономическая мощь государства и недостаточное финансирование мероприятий по обеспечению информационной безопасности Российской Федерации;
• критическое состояние отечественных отраслей промышленности;
• отставание России от ведущих стран мира по уровню информатизации всех видов человеческой деятельности (государственного управления, промышленности, кредитно-финансовой сферы, образования, здравоохранения, сферы услуг и быта граждан);
• недостаточная разработанность нормативной правовой базы, регулирующей отношения в информационной сфере, а также недостаточная правоприменительная практика;
• неблагоприятная криминогенная обстановка, сопровождающаяся тенденциями сращивания государственных и криминальных структур в информационной сфере, получения криминальными структурами доступа к конфиденциальной информации, усиления влияния организованной преступности на жизнь общества;
• недостаточная координация деятельности по формированию и реализации единой государственной политики в области обеспечения информационной безопасности Российской Федерации;
• неразвитость институтов гражданского общества и недостаточный государственный контроль за развитием информационного рынка России;
• снижение эффективности системы образования и воспитания, недостаточное количество квалифицированных кадров в области обеспечения информационной безопасности;
• недостаточная активность федеральных органов государственной власти, органов государственной власти субъектов РФ в информировании общества о своей деятельности, в разъяснении принимаемых решений, в формировании открытых государственных ресурсов и развитии системы доступа к ним граждан.
Можно выделить несколько основных источников угроз безопасности информационного общества, которые могут затрагивать интересы личности, общества и государства.
К источникам угроз интересам личности можно отнести следующие исходные основания:
1) манипулирование сознанием человека. Наиболее опасным в этом отношении является существенное расширение возможности манипулирования сознанием человека за счет формирования вокруг него индивидуального "виртуального информационного пространства", а также возможности использования технологий воздействия на его психическую деятельность. Сложность процедур, реализуемых в современных технологиях доступа к информационным ресурсам, критически увеличивает зависимость человека от специалистов, осуществляющих разработку информационных технологий, определение алгоритмов поиска требуемой информации, ее предварительной обработки, приведения к виду, удобному для восприятия. По существу, эти люди во многом формируют для человека информационный фон его жизни, определяют условия, в которых он живет и действует, решает свои жизненные проблемы. Именно поэтому представляется исключительно важным обеспечить безопасность взаимодействия человека с информационной инфраструктурой;
2) незаконное использование информации о частной жизни человека и его персональных данных. Здесь имеется в виду использование персональных данных, накапливаемых различными структурами, в том числе органами государственной власти, ущемляющее правовой статус человека и гражданина, а также расширение возможности скрытого сбора информации, составляющей его личную и семейную тайну, сведений о его частной жизни. Это обусловлено трудностями реализации механизмов охраны этих сведений, дальнейшими успехами в области миниатюризации средств скрытого сбора и передачи информации.
К источникам угроз интересам общества можно отнести следующие параметры негативного воздействия на реализацию конституционных прав и свобод человека и гражданина в интересах упрочения демократии, достижения и поддержания общественного согласия, повышения созидательной активности населения:
1) непрерывное усложнение информационных систем и сетей связи, критически важных инфраструктур обеспечения жизни общества. Эти угрозы могут проявляться в виде намеренных и непреднамеренных ошибок, сбоев и отказов техники и программного обеспечения, вредного воздействия на эти инфраструктуры со стороны преступных и криминальных элементов. Объектами реализации угроз могут выступать информационные системы энергетической, транспортной, трубопроводной и некоторых других инфраструктур. Масштаб возможных последствий некорректностей в работе технического и программного обеспечения информационных систем до некоторой степени можно представить по затратам на решение "Проблемы". Как было отмечено выше, по некоторым оценкам, мировое сообщество затратило на эти цели около 500 млрд. долл., в России — немногим меньше одного млрд. руб.;
2) возможность концентрации средств массовой информации в руках монополистов либо небольшой группы лиц преступных намерений. Эти угрозы могут проявляться в виде манипулирования общественным мнением по отношению к тем или иным общественно значимым событиям, а также разрушения нравственных устоев общества путем навязывания ему чуждых ценностей;
3) расширение масштабов отечественной и международной компьютерной преступности. Эти угрозы могут проявляться в виде попыток осуществления мошеннических операций с использованием глобальных или отечественных информационно-телекоммуникационных систем, отмывания финансовых средств, полученных противоправным путем, получения неправомерного доступа к финансовой, банковской и другой информации, которая может быть использована в корыстных целях.
В современных условиях существенно возрастает опасность наступления подобных последствий в результате несанкционированных воздействий на соответствующие информационные и телекоммуникационные системы и сети связи со стороны преступных элементов. Стремительно растет угроза компьютерной преступности и в России. По данным МВД России, за последние годы общее количество зарегистрированных преступлений в сфере компьютерной информации возросло более чем в 60 раз, почти в 30 раз возросло количество преступлений, связанных с неправомерным доступом к компьютерной информации; почти в 140 раз — с созданием, использованием и распространением вредоносных программ для ЭВМ; в 75 раз — с незаконным производством, сбытом или приобретением в целях сбыта специальных технических средств, предназначенных для негласного получения информации.
К источникам угроз интересам государства можно отнести исходные основания негативного воздействия на гармоничное развитие информационной инфраструктуры страны, реализацию конституционных прав и свобод человека и гражданина в интересах укрепления конституционного строя, суверенитета и территориальной целостности страны, установление политической и социальной стабильности экономического развития, безусловное исполнение законов и поддержания правопорядка.
Наиболее опасными источниками угроз интересам государства в информационной сфере являются неконтролируемое распространение "информационного оружия" и развертывание гонки вооружений в этой области, попытки реализации концепций ведения "информационных войн". "Информационное оружие" представляет собой совокупность средств, методов и технологий, обеспечивающих возможность силового воздействия на информационную сферу противоположной стороны с целью разрушения ее информационной инфраструктуры, системы управления государством, снижения обороноспособности.
Разрушительное воздействие "информационного оружия" в информационном обществе может оказаться более мощным и эффективным, чем это представляется сейчас. Это особенно опасно в условиях существования почти монопольного положения компаний небольшого количества стран мира на рынке информационных продуктов, так как способно спровоцировать желание использовать имеющееся превосходство для достижения тех или иных политических целей.
Эти угрозы могут проявляться также в виде получения противоправного доступа к сведениям, составляющим государственную тайну, к другой конфиденциальной информации, раскрытие которой может нанести ущерб интересам государства.
Угрозы в информационной сфере
По своей общей направленности угрозы информационной безопасности РФ подразделяются на следующие виды:
1. угрозы конституционным правам и свободам человека и гражданина в области духовной жизни и информационной деятельности, индивидуальному, групповому и общественному сознанию, духовному возрождению России;
2. угрозы информационному обеспечению государственной политики РФ;
3. угрозы развитию отечественной индустрии информации, включая индустрию средств информатизации, телекоммуникации и связи, обеспечению потребностей внутреннего рынка в ее продукции и выходу этой продукции на мировой рынок, а также обеспечению накопления, сохранности и эффективного использования отечественных информационных ресурсов;
4. угрозы безопасности информационных и телекоммуникационных средств и систем, как уже развернутых, так и создаваемых на территории России.
Источники угроз информационной безопасности РФ подразделяются на внешние и внутренние.
Внешними источниками являются:
• деятельность иностранных политических, экономических, военных, разведывательных и информационных структур, направленная против интересов РФ в информационной сфере;
• стремление ряда стран к доминированию и ущемлению интересов России в мировом информационном пространстве, вытеснению ее с внешнего и внутреннего информационных рынков;
• обострение международной конкуренции за обладание информационными технологиями и ресурсами;
• деятельность международных террористических организаций;
• увеличение технологического отрыва ведущих держав мира и наращивание их возможностей по противодействию созданию конкурентоспособных российских информационных технологий;
• деятельность космических, воздушных, морских и наземных технических и иных средств (видов) разведки иностранных государств;
• разработка рядом государств концепций информационных войн, предусматривающих создание средств опасного воздействия на информационные сферы других стран мира, нарушение нормального функционирования информационных и телекоммуникационных систем, сохранности информационных ресурсов, получение несанкционированного доступа к ним.
Внутренними источниками являются:
• критическое состояние отечественных отраслей промышленности;
• неблагоприятная криминогенная обстановка, сопровождающаяся тенденциями сращивания государственных и криминальных структур в информационной сфере, получения криминальными структурами доступа к конфиденциальной информации, усиления влияния организованной преступности на жизнь общества, снижения степени защищенности законных интересов граждан, общества и государства в информационной сфере;
• недостаточная координация деятельности федеральных органов государственной власти, органов государственной власти субъектов РФ по формированию и реализации единой государственной политики в области обеспечения информационной безопасности РФ;
• недостаточная разработанность нормативной правовой базы, регулирующей отношения в информационной сфере, а также недостаточная правоприменительная практика;
• неразвитость институтов гражданского общества и недостаточный государственный контроль за развитием информационного рынка России;
• недостаточное финансирование мероприятий по обеспечению информационной безопасности РФ;
• недостаточная экономическая мощь государства;
• снижение эффективности системы образования и воспитания, недостаточное количество квалифицированных кадров в области обеспечения информационной безопасности;
• недостаточная активность федеральных органов государственной власти, органов государственной власти субъектов РФ в информировании общества о своей деятельности, в разъяснении принимаемых решений, в формировании открытых государственных ресурсов и развитии системы доступа к ним граждан;
• отставание России от ведущих стран мира по уровню информатизации федеральных органов государственной власти, органов государственной власти субъектов РФ и органов местного самоуправления, кредитно-финансовой сферы, промышленности, сельского хозяйства, образования, здравоохранения, сферы услуг и быта граждан.
Хотя в Доктрине и приведены эти внутренние источники, но фактически они являются не источниками, а уязвимостями. Все зависит от понимания этих понятий.
Внутренние информационные угрозы
Главные угрозы информационной безопасности связаны с утерей данных о клиентах, а именно утечкам подвержены такие личные данные:
1. телефоны и адреса;
2. история покупок;
3. ценовые и прочие характеристики сделок с клиентом;
4. номера кредитных карт;
5. предпочтения, дата рождения и другая информация собранная службой маркетинга;
6. пароли и логины от личных аккаунтов на корпоративном сайте.
Конечно, эти данные могут быть похищены в результате взлома, хакерской атаки, физического проникновения в места хранения информации и т.д. Далее конкуренты могут извлечь из них коммерческий интерес или просто опубликовать в интернете, нанеся удар по репутации компании, тут все зависит от намерений и способов получения защищаемой информации. Такие атаки дорого обходятся компаниям, потери подчас достигают сотен миллионов долларов. Защите информации от подобного вида угроз компании уделяют немало внимания и тратят значительные ресурсы на противодействие им – покупают антивирусы, системы противодействия вторжениям и межсетевые экраны. В сознании руководства созрело понимание о необходимости защитить информацию о своих клиентах таким путем. Благо системные администраторы устрашают руководителей потенциальными угрозами (и правильно делают) — так что защита от таких угроз стала делом привычным и даже обязательным. Повальная защищенность от таких угроз привела к тому, что значение этой угрозы снизилось кардинально. Действительно, чтобы завладеть информацией о клиентах, злоумышленнику необходимо провести дорогостоящую хакерскую атаку, которая с высокой вероятностью провалится, да и другие способы взлома достаточно дороги, несут в себе огромные риски и не гарантируют результат. Это даже в том случае, когда компания подвергающаяся атаке использует бесплатные программные средства информационной защиты. Казалось бы угрозы нет? Средства защиты стоят, программисты и системные администраторы получают зарплату, что еще нужно?
И, тем не менее, количество утечек и ущерб от них возрастает постоянно. По данным статистики такие утечки стоят компаниям в среднем около 2-10% недополученного дохода и это притом, что многие просто не знают о том, что утечки конфиденциальных данных у них уже происходят. Причина этого внутри предприятия – собственные сотрудники. Есть известная в среде безопасников поговорка – «во внешней среде есть сотни тех, кто хотел бы знать твои коммерческие тайны и единицы тех, кто мог бы их заполучить и этим людям еще нужно найти друг друга, а внутри компании есть сотни тех кто владеет коммерческой информацией и единицы тех кто хотят использовать ее во вред и они уже встретились!». Внутренние угрозы настолько велики, что подчас в опасности само существование предприятия. Ведущие консалтинговые компании заявляют, что 90% утечек произошли по вине персонала компаний. Почему сотрудники приводят к таким угрозам?
Причины могут быть такие:
1. Намеренная кража информации:
• Сотрудник получает деньги от конкурента за информацию;
• Сотрудник сам является инсайдером и паразитирует на одном хозяине в пользу другого;
• Сотрудник зол на предприятие, либо просто самоутверждается таким образом;
2. Утечка по халатности – случайная утечка.
Традиционные средства защиты тут не помогут. Специалисты рекомендуют для защиты от таких угроз использовать программные средства для мониторинга действий персонала. Часто такой мониторинг осуществляется скрыто от сотрудников, хотя иногда даже информация о наличии такого средства позволяет избежать многих проблем.
Такое средство наблюдения должно как минимум предоставлять следующую информацию:
• Отправка информации в интернет (в том числе по почте) и посещаемые сайты;
• Отправляемые файлы, а также файлы копируемые на съёмные носители информации;
• Распечатываемая документация;
• Вводимые тексты, переписка в чатах и содержащиеся в них подозрительные формулировки;
• Содержание деловых голосовых переговоров по Skype.
Также такое решение должно в целом позволять измерять эффективность работы персонала на своих рабочих местах. Не секрет, что для нашей страны реальность, когда многие сотрудники 4-5 часов рабочего времени посвящают чему угодно, но только не работе и при этом свято верят в то, что предприятие должно в срок выплачивать зарплату в полном объеме.
Классификация информационных угроз
В настоящий момент в мире разработано множество стандартов, рекомендаций и других нормативных документов, содержащих как методологии управления рисками, так и основные подходы к этому важному процессу. Самые распространенные мировые практики управления рисками ИБ определены в NIST 800-30, ISO/IEC 27005, COBIT, ITIL, OCTAVE и др. Но, тем не менее, в соответствии с этими стандартами, основой для проведения анализа рисков информационной безопасности и важнейшей стороной определения требований к системе защиты является формирование модели потенциального нарушителя, а также идентификация, анализ и классификация угроз с последующей оценкой степени вероятности их реализации.
В соответствии с ГОСТ Р 50922-2006 «Угроза безопасности информации» представляет собой совокупность условий и факторов, создающих потенциальную или реально существующую опасность нарушения безопасности информации. Для того чтобы правильно определить возможные угрозы, в первую очередь, необходимо определить защищаемые объекты. К таким объектам могут относиться как материальные, так и абстрактные ресурсы, например, документы и другие носители информации, помещения, оборудование системы, а также сотрудники и клиенты.
Вторым этапом является рассмотрение и классификация угроз, которые могут повлиять на работу системы и организации в целом, а, порой, и привести к негативным последствиям.
С точки зрения практического подхода, обычно угрозы классифицируются по виду нарушаемого свойства информации.
Нарушение конфиденциальности информации. В результате реализации угрозы информация становится доступной пользователям, не располагающими полномочиями по ознакомлению с ней.
Нарушение целостности информации. Следствием является искажение или модификация, а также потеря части данных.
Нарушение доступности информации. К этому приводит блокирование доступа к данным или выход из строя и сбоя функционирования технических средств и оборудования.
В целом, классификация угроз может быть проведена по множеству признаков, но, как в зарубежных (Harmonized Threat and Risk Assessment Methodology, CSE), так и в отечественных стандартах (ГОСТ Р ИСО/МЭК 1335-1-2006) угрозы принято разделять по природе возникновения. В частности, на угрозы, обусловленные человеческим фактором, и на угрозы среды (естественные), к которым относятся угрозы, возникшие в результате явлений, не зависящих от человека, к примеру, природных и стихийных. Здесь необходимо отметить, что самой неприятной особенностью таких угроз является невозможность их прогнозирования.
В свою очередь, угрозы, связанные с проявлением человеческого фактора, могут различаться по способу осуществления: случайные или целенаправленные (преднамеренные). Случайные (непреднамеренные) угрозы могут быть связаны с различными ошибками, например: с проектированием системы защиты, ошибками работников при работе в системе, ошибками в аппаратной платформе и установленном программном обеспечении и др. Другая же группа, чаще всего связана с алчными целями, целями материальной выгоды или даже моральными предубеждениями злоумышленников.
Другим немаловажным аспектом при определении актуальных угроз безопасности информации, является идентификация возможных источников угроз. В соответствии с отечественными стандартами, источником угроз безопасности информации является субъект доступа, материальный объект или физическое явление, являющиеся причиной возникновения угрозы безопасности информации. Такими источниками обычно принято считать аварии и стихийные бедствия, сбои и отказы функционирования технических средств, действия нарушителей и сотрудников, несанкционированные программно-аппаратные средства (закладки, кейлоггеры и др.), а также ошибки, возникшие на различных этапах жизненного цикла системы (проектировании, разработки и внедрения или эксплуатации).
В зависимости от расположения источника угроз принято выделять внутренние и внешние угрозы, т.е. угрозы расположенные внутри контролируемой зоны (порча оборудования, инсайдерские угрозы) или за ее пределами (утечки по техническим каналам, по оптическим или ПЭМИН). В большинстве стандартов по-своему также осуществляется и классификация возможных источников угроз. Например, в «Базовой модели угроз безопасности ПДн при их обработке в ИСПДн» ФСТЭК России, помимо угроз связанных с внешним или внутренним нарушителем дополнительно выделяют угрозы, возникающие в результате внедрения аппаратных закладок и вредоносных программ. А в Рекомендациях в области стандартизации Банка России (РC БР ИББС-2.2-2009), выделено шесть независимых классов источников угроз информационной безопасности.
Дополнительно можно классифицировать угрозы по степени воздействия на системы (характеру угрозы, в соответствии с Базовой моделью угроз ФСТЭК) и по способу доступа к защищаемым ресурсам. По степени воздействия различают пассивные и активные угрозы. Пассивные, в случае реализации не вносят каких-либо изменений в состав и структуру системы, к примеру, копирование и хищение конфиденциальной информации. Активные же угрозы, оказывают влияние на работу системы, в частности примером такой угрозы является «Отказ в обслуживании». По способу доступа к защищаемым ресурсам принято разделять на угрозы, использующих стандартный доступ, например, незаконное получение учетных данных путем подкупа, шантажа законного обладателя, либо, угрозы, использующие нестандартный (скрытый) доступ - использование недекларированных возможностей средств защиты и программных закладок в ПО в обход имеющихся в системе средства защиты информации. К тому же часто встречается классификация по использованию нарушителями физического и технического доступа, как, например, указано в методике OCTAVE.
Таким образом, классификацию угроз, характерных для той или иной системы можно продолжать, основываясь при этом либо на методологиях, описанных в отечественных и зарубежных стандартах, либо используя практический опыт, но в любом случае их перечисление является важным этапом определения уязвимостей и создает фундамент для будущего проведения анализа рисков.
Внешние информационные угрозы
Доклад Всемирного экономического форума «Глобальные риски» (“Global Risks”) рассматривает кибератаки как одну из основных угроз мировой экономике. По вероятности наступления, кибератаки входят в пятёрку наиболее вероятных глобальных угроз. Такое заключение Всемирного экономического форума свидетельствует о высокой актуальности и значительной опасности электронной преступности.
Следует отметить, что доклад Pricewaterhouse Coopers оперирует только официально признанными фактами электронных преступлений, равно как и официально объявленными цифрами убытков – реальная картина выглядит ещё более удручающей. Причём не только в США, эта тенденция является общемировой.
Итак, кибератаки сегодня – давно не голливудский миф, это реальная и серьёзная опасность информационной инфраструктуре, интеллектуальной и физической собственности государственных и коммерческих объектов. Наиболее распространённой и разнообразной по методам исполнения формой киберпреступности является использование вредоносного ПО. Такие угрозы представляют прямую опасность конфиденциальности и целостности информационных ресурсов организации. В атаках с использованием вредоносных кодов и приложений используются уязвимости информационных систем для осуществления несанкционированного доступа к базам данных, файловой системе локальной корпоративной сети, информации на рабочих компьютерах сотрудников. Спектр угроз информационной безопасности, вызванных использованием вредоносного программного обеспечения чрезвычайно широк.
Вот некоторые примеры таких угроз защиты информации:
• Внедрение вирусов и других разрушающих программных воздействий;
• Анализ и модификация/уничтожение установленного программного обеспечения;
• Внедрение программ-шпионов для анализа сетевого трафика и получения данных о системе и состоянии сетевых соединений;
• Использование уязвимостей ПО для взлома программной защиты с целью получения несанкционированных прав чтения, копирования, модификации или уничтожения информационных ресурсов, а также нарушения их доступности;
• Раскрытие, перехват и хищение секретных кодов и паролей;
• Чтение остаточной информации в памяти компьютеров и на внешних носителях;
• Блокирование работы пользователей системы программными средствами и т.д.
Как известно, все исконно русские женские имена оканчиваются либо на «а», либо на «я»: Анна, Мария, Ольга и т.д. Однако есть одно-единственное женское имя, которое не оканчивается ни на «а», ни на «я». Назовите его.
Статью подготовил категорийный менеджер по работе с ключевыми клиентами Умберг Эмиль Дмитриевич. 
