Анализ проблем безопасности нужно проводить с учетом экономических интересов, угроз и потерь, к которым может привезти успешность предполагаемой атаки на информационную систему определенного предприятия.
Частная модель угроз безопасности информационной системы строится на основе следующего анализа:
• источник атаки: внешний или внутренний относительно защищаемого объекта (предприятия, организации и т. д.);
• учет всех зон риска: экономическая сфера компании, физические и информационные ресурсы;
• факторы влияния на безопасность: уязвимость данных и информации, степень их защищенности, ПО, компьютеры предприятия и другие устройства, материальные и денежные ресурсы, работники;
• выявление видов, масштабов и направлений возможных атак;
• способы реализации угрозы: объект атаки, механизм и скорость действия, предрасполагающие факторы уязвимости;
• последствия: оцениваются с точки зрения денежных потерь, морального вреда и возможной компенсации.
Существует два основных взгляда на любую угрозу. Ее отождествляют с одним или несколькими видами и способами реализации атаки в соответствии с теорией информационной безопасности или с результатами ее воздействия на рассматриваемую компанию, т. е. с последствиями, к которым она приводит.
Модель угрозы информационной системе рассматривается в прочной связке с понятием ущерба в первой части 15-й статьи Гражданского кодекса РФ. Он определен как фактические расходы, понесенные субъектом в результате нарушения его прав (кража конфиденциальной информации, ее распространение или использование в корыстных целях), потери и повреждения имущества, а также расходы на восстановление.
В России вопрос касательно защиты информации по сей день остается достаточно сложным. Ведь даже сейчас не существует в этой области общепринятой нормы на терминологию. В разных законах одни и те же сущности могут определяться по-разному. Хотя принимаются меры для стандартизации терминологии в данной области.
Любая, даже базовая, модель угроз информационной безопасности требует анализа и обязательной идентификации как возможных атак, так и методов ее реализации. Для этих целей созданы различные классификации (по источнику, по вероятности, по характеру, по объекту, по последствиям), которые позволяют наиболее точным образом спроектировать ответную реакцию защиты на ту или иную атаку.
Угрозы классифицируются благодаря следующим критериям:
• Компоненты информационной системы, на которые могут быть нацелены атаки. К ним относятся данные, компьютеры и ПО, сети и прочие структуры, поддерживающие работу системы.
• Методы осуществления, которые могут быть как случайные, так и преднамеренные. Также учитываются события техногенного или природного генеза.
• Местоположение источника атаки - внешнее или внутреннее по отношению к используемой системе.
• Составляющие информационной безопасности, на которые могут быть нацелены атаки, а именно, доступность, конфиденциальность и целостность данных.
Анализ и классификация позволяют добиться состояния системы защиты, когда большая часть возможных угроз идентифицирована и сопоставлены способы нейтрализации. Разумеется, не имеет смысла каждую систему защиты строить для обороны от всего и вся. Применяется вероятностный подход и оценивается актуальность каждого отдельного класса угроз, и именно против них в системе защиты будут предприняты меры.
С помощью анализа строится матрица связей моделей угроз информационной безопасности, уязвимых точек и вероятных последствий успешной атаки. Вычисляется коэффициент степени опасности каждого отдельного нападения как произведение коэффициента опасности угрозы на коэффициент опасности источника атаки.
Принятие подобных мер позволяет:
• определить приоритетные цели для системы защиты;
• установить список актуальных атак и источников угроз;
• найти уязвимости информационной системы;
• оценить возможность осуществления успешной атаки на основе взаимосвязи уязвимостей и источников угроз;
• разработать подробный ход той или иной угрозы и построить защиту для реагирования на возможный сценарий атаки;
• детально описать последствия успешной атаки;
• спроектировать систему защиты и комплекс управления информационной безопасностью организации.
Модель угроз информационной безопасности ФСТЭК ставит ошибки персонала (пользователей, администраторов, операторов и других лиц, занимающихся обслуживанием систем) на одно из первых мест по части размеров причиненного ущерба. По данным исследований, порядка 65 % убытков при успешных атаках происходит из-за случайных ошибок, совершенных по невнимательности, халатности или из-за отсутствия правильной подготовки сотрудников. Подобные нарушения могут представлять как источник самостоятельных угроз (ввод неправильных данных, ошибки в программах, приводящие к краху системы), так и уязвимость (ошибки администратора), которой могут воспользоваться атакующие.
Как уже ранее отмечалось, сам пользователь может быть опасен и являться моделью угрозы информационной безопасности.
Образцы подобной ситуации рассмотрим ниже:
• злонамеренные - вывод из строя информационной системы, или, например, закладка логической бомбы в коде базы данных, которая сработает при определенных условиях и разрушит хранящуюся в ней информацию;
• непреднамеренные - случайное искажение данных или их потеря;
• взлом системы управления;
• кража персональных данных (пароли, адреса, банковские счета);
• передача персональных данных посторонним лицам или организациям.
Уязвимости системы также должны быть рассмотрены в модели угроз информационной безопасности организации.
Примерами обоснованности данного подхода могут являться действия пользователей, приводящие к ослаблению защиты системы и открывающие путь к прямой угрозе:
Задавайте вопросы нашему консультанту, он ждет вас внизу экрана и всегда онлайн специально для Вас. Не стесняемся, мы работаем совершенно бесплатно!!!
Также оказываем консультации по телефону: 8 (800) 600-76-83, звонок по России бесплатный!
• отказ от работы с информационной системой, например, как следствие нежелания осваивать новое программное обеспечение;
• несоответствие ПО требованиям пользователя;
• невозможность полноценной работы из-за отсутствия соответствующих навыков (недостаточное знание компьютерных технологий, неумение обрабатывать сообщения об ошибках) и возникающие в результате этого сбои в работе системы.
Пользователь может представлять собой весомый список угроз для информационной системы. Поэтому логичным решением по борьбе с непреднамеренными ошибками будет уменьшение их доли и переход к автоматизации: применение догмы Fool Proof Device, стандартизация, регламентация и строгий контроль действий пользователя.
Однако и тут существуют модели угроз информационной безопасности, которые следует учитывать:
• забытое аннулирование доступа к системе уволенного сотрудника;
• некачественная документация автоматизированной системы и отсутствие технической поддержки;
• нарушение правил эксплуатации, как случайное, так и умышленное;
• выход из штатного режима работы из-за действий пользователей (слишком большое число запросов) или администрирующего персонала (плохая оценка объемов обрабатываемых данных в единицу времени);
• ошибки при настройке;
• отказы в аппаратно-программном обеспечении;
• нарушение целостности данных из-за сбоев в работе системы.
В информационную систему, помимо ее основной структуры, входит и вспомогательная, которая обеспечивает работу основных частей системы. Для поддерживающих структур также следует рассматривать модели угроз информационной безопасности. Примером таковых являются техногенные и природные катастрофы.
Опишем подробнее угрозы более масштабного характера:
• Нарушения в работе систем связи (интернет, электрическая сеть, водоканалы, газоснабжение, охлаждение).
• Повреждение или разрушение зданий.
• Чрезвычайные ситуации в городе или стране, когда граждане в силу каких-либо причин отказываются выполнять свои должностные обязанности: гражданские войны, крупные аварии, террористические взрывы или их угроза, забастовки и т. д.
• Стихийные бедствия.
По данным статистики, на долю стихийных и техногенных бедствий приходится от 13 % до 15 % потерь, которые терпят информационные системы. В силу данного обстоятельства существуют даже те информационные системы, которым необходимо продолжать работать в штатном режиме, даже несмотря на стихийные катастрофы.
Любая организация, одним из ресурсов которой является информация, может иметь частные модели угроз информационной безопасности. Они будут порождаться внутренней структурой данной компании, которая формируется на основе подразделений, сотрудников, технических средств, экономических связей, внутренних социальных отношений и т. д. Поэтому общая масса внутренней и внешней информации, обслуживающая ее система и технологии, специалисты и персонал составляют информационно-технологический ресурс.
Так, для любой коммерческой компании информация может подразделяться на: служебную, конфиденциальную, секретную, коммерческую тайну. Хотя для любой негосударственной организации информация подразделяется на достаточно простые классы. Но даже в упрощенном случае все должно быть строго классифицировано и закреплено соответствующими нормативными актами, чтобы можно было построить правильную и, главное, рабочую систему защиты информации.
Однажды один путешественник попал в плен к амазонкам. После недолгого совещания эти отважные воительницы приняли решение убить беднягу. Однако перед этим они предложили «идущему на смерть» исполнить его последнюю просьбу. Подумал-подумал путешественник и попросил амазонок кое-о-чем. Это-то, собственно говоря, его и спасло. -так, вопрос: какую просьбу высказал обреченный»?
Статью подготовил категорийный менеджер по работе с ключевыми клиентами Умберг Эмиль Дмитриевич. 
