| Понятие угрозы
Угроза – совокупность условий и факторов, создающих потенциальную или реально существующую опасность нарушения конфиденциальности, доступности и (или) целостности информации.
Виды противников или нарушителей
Под нарушителем ИБ понимается лицо, которое в результате умышленных или неумышленных действий может нанести ущерб информационным ресурсам предприятия. Под атакой на ресурсы корпоративной сети понимается попытка нанесения ущерба информационным ресурсам систем, подключенных к сети. Атака может осуществляться как непосредственно нарушителем, так и опосредованно, при помощи процессов, выполняющихся от лица нарушителя, либо путем внедрения в систему программных или
аппаратных закладок, компьютерных вирусов, троянских программ и т. п.
Все нарушители по признаку принадлежности к подразделениям, обеспечивающим функционирование ИС, делятся на внешних и внутренних.
Внутренние нарушители
Внутренним нарушителем может быть лицо из следующих категорий сотрудников обслуживающих подразделений:
· обслуживающий персонал (системные администраторы, администраторы БД, администраторы приложений и т.п., отвечающие за эксплуатацию и сопровождение технических и программных средств);
· программисты, отвечающие за разработку и сопровождение системного и прикладного ПО;
· технический персонал (рабочие подсобных помещений, уборщицы и т. п.);
· сотрудники бизнес подразделений предприятия, которым предоставлен доступ в помещения, где расположено компьютерное или телекоммуникационное оборудование.
Предполагается, что несанкционированный доступ на объекты системы посторонних лиц исключается мерами физической защиты (охрана территории, организация пропускного режима и т. п.).
Предположения о квалификации внутреннего нарушителя формулируются следующим образом:
· внутренний нарушитель является высококвалифицированным специалистом в области разработки и эксплуатации ПО и технических средств;
· знает специфику задач, решаемых обслуживающими подразделениями ИС предприятия;
· является системным программистом, способным модифицировать работу операционных систем;
· правильно представляет функциональные особенности работы системы и процессы, связанные с хранением, обработкой и передачей критичной информации;
· может использовать как штатное оборудование и ПО, имеющиеся в составе системы, так и специализированные средства, предназначенные для анализа и взлома компьютерных систем.
В зависимости от способа осуществления доступа к ресурсам системы и предоставляемых им полномочий внутренние нарушители подразделяются на пять категорий.
Категория А: не зарегистрированные в системе лица, имеющие санкционированный доступ в помещения с оборудованием. Лица, относящиеся к категории А могут: иметь доступ к любым фрагментам информации, распространяющейся по внутренним каналам связи корпоративной сети; располагать любыми фрагментами информации о топологии сети, об используемых коммуникационных протоколах и сетевых сервисах; располагать именами зарегистрированных пользователей системы и вести разведку паролей зарегистрированных пользователей.
Категория B: зарегистрированный пользователь системы, осуществляющий доступ к системе с удаленного рабочего места. Лица, относящиеся к категории B: располагают всеми возможностями лиц, относящихся к категории А; знают, по крайней мере, одно легальное имя доступа; обладают всеми необходимыми атрибутами, обеспечивающими доступ к системе (например, паролем); имеют санкционированный доступ к информации, хранящейся в БД и на файловых серверах корпоративной сети, а также на рабочих местах пользователей. Полномочия пользователей категории B по доступу к информационным ресурсам корпоративной сети предприятия должны регламентироваться политикой безопасности, принятой на предприятии.
Категория C: зарегистрированный пользователь, осуществляющий локальный либо удаленный доступ к системам входящим в состав корпоративной сети. Лица, относящиеся к категории С: обладают всеми возможностями лиц категории В; располагают информацией о топологии сети, структуре БД и файловых систем серверов; имеют возможность осуществления прямого физического доступа к техническим средствам ИС. Категория D: зарегистрированный пользователь системы с полномочиями системного (сетевого) администратора. Лица, относящиеся к категории D: обладают всеми возможностями лиц категории С; обладают полной информацией о системном и прикладном программном обеспечении ИС; обладают полной информацией о технических средствах и конфигурации сети; имеют доступ ко всем техническим и программным средствам ИС и обладают правами настройки технических средств и ПО.
Концепция безопасности требует подотчетности лиц, относящихся к категории D и осуществления независимого контроля над их деятельностью.
Категория E: программисты, отвечающие за разработку и сопровождение общесистемного и прикладного ПО, используемого в ИС. Лица, относящиеся к категории E: обладают возможностями внесения ошибок, программных закладок, установки троянских программ и вирусов на серверах корпоративной сети; могут располагать любыми фрагментами информации о топологии сети и технических средствах ИС.
Внешние нарушители
К внешним нарушителям относятся лица, пребывание которых в помещениях с оборудованием без контроля со стороны сотрудников предприятия невозможно.
Внешний нарушитель: осуществляет перехват, анализ и модификацию информации, передаваемой по линиям связи, проходящим вне контролируемой территории; осуществляет перехват и анализ электромагнитных излучений от оборудования ИС.
Предположения о квалификации внешнего нарушителя формулируются следующим образом:
· является высококвалифицированным специалистом в области использования технических средств перехвата информации;
· знает особенности системного и прикладного ПО, а также технических средств ИС;
· знает специфику задач, решаемых ИС;
· знает функциональные особенности работы системы и закономерности хранения, обработки и передачи в ней информации;
· знает сетевое и канальное оборудование, а также протоколы передачи данных, используемые в системе;
· может использовать только серийно изготовляемое специальное оборудование, предназначенное для съема информации с кабельных линий связи и из радиоканалов.
При использовании модели нарушителя для анализа возможных угроз ИБ необходимо учитывать возможность сговора между внутренними и внешними нарушителями.
Виды возможных нарушений информационной системы (по Мещерякову В.А.)
1. Неправомерное завладение информацией или нарушение исключительного права ее использования.
1.1. Неправомерное завладение информацией как совокупностью сведений, документов (нарушение исключительного права владения).
1.2. Неправомерное завладение информацией как товаром.
1.3. Неправомерное завладение информацией как идеей (алгоритмом, методом решения задачи).
2. Неправомерная модификация информации.
2.1. Неправомерная модификация информации как товара с целью воспользоваться ее полезными свойствами (снятие защиты).
2.2. Неправомерная модификация информации как идеи, алгоритма и выдача за свою (подправка алгоритма).
2.3. Неправомерная модификация информации как совокупности фактов, сведений.
3. Разрушение информации.
3.1. Разрушение информации как товара.
3.2. Уничтожение информации.
4. Действие или бездействие по созданию (генерации) информации с заданными свойствами.
4.1. Распространение по телекоммуникационным каналам информационно- вычислительных сетей информации, наносящей ущерб государству, обществу и личности.
4.2. Разработка и распространение компьютерных вирусов и прочих вредоносных программ для ЭВМ.
4.3. Преступная халатность при разработке (эксплуатации) программного обеспечения, алгоритма в нарушение установленных технических норм и правил.
5. Действия, направленные на создание препятствий пользования информацией законным пользователям.
5.1. Неправомерное использование ресурсов автоматизированных систем (памяти, машинного времени и т. п.).
5.2. Информационное «подавление» узлов телекоммуникационных систем (создание потока ложных вызовов).
Опишем кратко основные особенности выделенных выше типов нарушений информационной безопасности.
Неправомерное завладение информацией как совокупностью сведений, фактов (нарушение исключительного права владения), т.е. ознакомление, а в некоторых случаях и распоряжение информацией субъектом, не имеющим на это законного права. Это наиболее часто встречающийся класс простейших преступных деяний, к которым относятся, как правило, без должного внимания. Примером данного вида деяний является ознакомление служащего банка с записью в базе данных о размере вклада того или иного клиента, его адресе, видах сделок и т. п. Результаты данного действия могут быть записаны на машинный носитель информации (магнитный или лазерный диск, магнитную ленту и т. п.), бумагу или просто остаться в памяти человека.
Неправомерное завладение информацией как товаром (незаконное копирование информации как товара). Это наиболее распространенный вид преступных деяний, который заключается в копировании программ или целой информационной системы (банка данных, электронного архива и т.п.) без согласия (разрешения) владельца или собственника. Данный вид деяний очень широко распространен в нашей стране как форма получения современного программного обеспечения. Еще более усложнилась задача защиты авторских прав в условиях развития глобальных сетей. Если на физических носителях правонарушители создают и распространяют хотя и большое, но все же конечное количество контрафактных экземпляров, то с публикацией в Интернет информация сразу становится доступной миллионам потребителей. Затруднено и установление фактических обстоятельств дела - субъектов, места совершения преступления, - ведь информация может быть размещена нарушителем на сервере, находящимся на территории другого государства.
Неправомерное завладение информацией как идеей, алгоритмом (методом преобразования информации). Данный вид преступления заключается в ознакомлении с использующимся методом расчета каких-либо оценок, алгоритмом принятия решений в экспертной системе или другой автоматизированной системе принятия решений. Примером такого деяния может быть ознакомление с методом расчета вероятности преодоления противоракетной обороны средствами воздушно-космического нападения вероятного противника, ознакомление с использующимся типом (механизмом) системы защиты информации в электронной системе платежей банка.
Неправомерная модификация информации как товара. Данный вид деятельности, так же как и неправомерное завладение информацией как товаром, получил большое распространение в России, однако ни в уголовном, ни в административно-правовом порядке ненаказуем. Многие фирмы-производители программного обеспечения, стараясь защитить себя от компьютерного пиратства, разрабатывают и используют различные методы защиты от копирования и анализа своих разработок. Однако экономические условия, в которых функционирует наша экономика, а также принципиальная невозможность создания абсолютных средств защиты информации приводят к тому, что в программное обеспечение или базу данных, полученную однажды законным (или «полузаконным» путем), вносится модификация, позволяющая делать неограниченное количество копий и использовать полезные свойства информации как товара без каких- либо ограничений (временных или по числу раз запуска), наложенных разработчиком.
Неправомерная модификация информации как идеи. Данный вид преступного деяния встречается гораздо реже и заключается не только в получении какого-либо программного обеспечения, но и его обязательный предварительный анализ. Примером такого рода действий могут служить широко известные случаи преступления в банковской сфере, когда в алгоритмы выполнения действий с записями на счетах, взимания процентов и прочих вносились незапланированные модификации, при которых с каждой операции на заранее подготовленный счет делались отчисления. Практически все известные на сегодняшний день преступления такого рода совершены разработчиками программного обеспечения и чаще всего теми же, которые его эксплуатируют.
Неправомерная модификация информации как совокупности фактов. Данный вид преступлений особенно широкое распространение получил в автоматизированных банковских системах, так как именно в них записи в полях баз данных отражают определенные денежные суммы или другие сведения, которые имеют конкретное денежное или иное экономическое выражение.
Разработка и распространение компьютерных вирусов. Этот вид деяний является очень распространенным в настоящее время и может соперничать по количеству зарегистрированных фактов разве что только с неправомерным завладением информацией как товаром.
Преступная халатность при разработке программного обеспечения, алгоритма в нарушение установленных технических норм и правил. Развитие вычислительной техники и информатики привело к тому, что автоматизированные системы управления находят свое применение практически во всех отраслях техники и экономики. Не являются исключением и вооружение, объекты атомной энергетики, непрерывные химические производства, системы управления воздушным движением, а также другие объекты, аварии и неисправности которых могут причинить огромный ущерб и непоправимые последствия. В связи с этим уже в настоящее время у нас в стране и за рубежом разработаны стандарты, инструкции и рекомендации, определяющие порядок разработки, испытания, эксплуатации и сопровождения программных средств критического приложения. Таким образом, здесь под составом преступления следует понимать нарушение этих установленных правил, которые повлекли за собой тяжкие последствия.
Неправомерное использование ресурсов автоматизированных систем. Развитие вычислительной техники, появление сетей привело к возможности их коллективного использования различными субъектами. При этом потребители запрашивают и оплачивают определенный вычислительный или временной ресурс. Под составом преступного деяния здесь следует понимать скрытый неправомерный захват вычислительного ресурса коллективного пользования каким-либо субъектом с намерениями минимизации либо полного исключения своих затрат за время его использования.
Информационное подавление узлов телекоммуникационных систем. Появление доступных информационных систем коллективного пользования, построенных на основе стандартных телефонных каналов взаимосвязанной системы связи России, позволило решать задачи информационного обеспечения самых широких кругов потребителей. В частности, с использованием этой информационной технологии разрабатывались системы электронных торгов на биржах, передачи ценовой информации, проведения электронных платежей. Большую роль в этом играет оперативность получения информации с использованием систем такого рода. Преднамеренная чрезмерная загрузка коммутирующих узлов делает оперативное получение информации невозможным.
Анализ угроз информационной безопасности
К наиболее важным свойствам угрозы относятся избирательность, предсказуемость и вредоносность.
Избирательность характеризует нацеленность угрозы на нанесение вреда тем или иным конкретным свойствам объекта безопасности.
Предсказуемость характеризует наличие признаков возникновения угрозы, позволяющих заранее прогнозировать возможность появления угрозы и определять конкретные объекты безопасности, на которые она будет направлена.
Вредоносность характеризует возможность нанесения вреда различной тяжести объекту безопасности. Вред, как правило, может быть оценен стоимостью затрат на ликвидацию последствий проявления угрозы либо на предотвращение ее появления.
Необходимо выделить два наиболее важных типа угроз:
1. намерение нанести вред, которое проявляется в виде объявленного мотива деятельности субъекта;
2. возможность нанесения вреда – существование достаточных для этого условий и факторов.
Особенность первого типа угроз заключается в неопределенности возможных последствий, неясности вопроса о наличии у угрожающего субъекта сил и средств, достаточных для осуществления намерения.
Возможность нанесения вреда заключается в существовании достаточных для этого условий и факторов. Особенность угроз данного типа состоит в том, что оценка потенциала совокупности факторов, которые могут послужить превращению этих возможностей и условий во вред, может быть осуществлена только собственно субъектами угроз.
Между угрозой и опасностью нанесения вреда всегда существует устойчивая причинно-следственная связь.
Угроза всегда порождает опасность. Опасность также можно представить как состояние, в котором находится объект безопасности вследствие возникновения угрозы этому объекту. Главное отличие между ними заключается в том, что опасность является свойством объекта информационной безопасности и характеризует его способность противостоять проявлению угроз, а угроза – свойством объекта взаимодействия или находящихся во взаимодействии элементов объекта безопасности, выступающих в качестве источника угроз. Понятие угрозы имеет причинно-следственную связь не только с понятием опасности, но и с возможным вредом как последствием негативного изменения условий существования объекта. Возможный вред определяет величину опасности.
Классификация видов угроз информационной безопасности по различным признакам
Существует несколько видов классификации угроз информационной безопасности объекта.
Угрозы делят:
· по источнику (его местонахождению) – на внутренние (возникают непосредственно на объекте и обусловлены взаимодействием между его элементами или субъектами) и внешние (возникают вследствие его взаимодействия с внешними объектами);
· по вероятности реализации – на потенциальные и реальные;
· по размерам наносимого ущерба - на общие (наносят вред объекту безопасности в целом, оказывая существенное негативное воздействия на условия его деятельности), локальные (затрагивают условия существования отдельных элементов объекта безопасности) и частные (наносят вред отдельным свойствам элементов объекта или отдельным направлениям его деятельности);
· по природе происхождения - на случайные (не связанные с действиями персонала, состоянием и функционированием объекта информационной безопасности, такие как отказы, сбои и ошибки в работе средств автоматизации, стихийные бедствия и другие чрезвычайные обстоятельства) и преднамеренные (обусловлены злоумышленными действиями людей);
· по предпосылкам возникновения – на объективные (вызваны недостатком системы информационной безопасности объекта, например, несовершенством разработанных нормативно-методических и организационно-плановых документов, отсутствием подготовленных специалистов по защите информации и т.п.) и субъективные (обусловлены деятельностью персонала объекта безопасности, например, ошибками в работе, низким уровнем подготовки в вопросах защиты информации, злоумышленными действиями или намерениями посторонних лиц);
· по видам объектов безопасности – на угрозы собственно информации (обусловлены попытками получения защищаемой информации различными способами и методами независимо от ее местонахождения), угрозы персоналу объекта (связаны с уменьшением влияния персонала на ситуацию в сфере обеспечения информационной безопасности, с попытками получения конфиденциальной информации от допущенного к ней персонала), угрозы деятельности по обеспечению информационной безопасности (направлены на снижение эффективности или нейтрализацию усилий, предпринимаемых руководством и персоналом объекта безопасности для исключения утечки защищаемых сведений, утраты или хищения носителей, ослабление системы защиты информации).
Представим следующую классификацию угроз, связанную со свойствами информации.
Свойства информации:
· доступность информации (возможность за приемлемое время получить требуемую информационную услугу);
· целостность информации (актуальность и непротиворечивость информации, ее защищенность от разрушения и несанкционированного изменения);
· конфиденциальность информации (защита от несанкционированного ознакомления);
Исходя из свойств информации, выделим следующие виды угроз:
Угроза раскрытия параметров системы: появление новых угроз; выявление уязвимостей; увеличение рисков; увеличение успешности атаки. Угрозу раскрытия можно рассматривать как опосредованную. Последствия её реализации не причиняют какой-либо ущерб обрабатываемой информации, но дают возможность реализоваться первичным или непосредственным угрозам. Для открытых систем угроза раскрытия параметров системы считается неактуальной.
Угроза нарушения конфиденциальности заключается в том, что информация становится известной тому, кто не располагает полномочиями доступа к ней. Иногда, в связи с угрозой нарушения конфиденциальности, используется термин «утечка».
Угроза нарушения целостности включает в себя любое умышленное изменение информации, хранящейся в вычислительной системе или передаваемой из одной системы в другую, в том числе и несанкционированное изменение информации при случайных ошибках программного или аппаратного обеспечения. Санкционированными изменениями являются те, которые сделаны уполномоченными лицами с обоснованной целью (например, периодическая запланированная коррекция некоторой базы данных).
Угрозы нарушения целостности, конфиденциальности, безопасности можно считать первичными или непосредственными, так как реализация перечисленных угроз приведёт к непосредственному воздействию на защищаемую информацию.
Угроза отказа служб возникает всякий раз, когда в результате преднамеренных действий, предпринимаемых другим пользователем или злоумышленником, блокируется доступ к некоторому ресурсу вычислительной системы. Реально блокирование может быть постоянным - запрашиваемый ресурс никогда не будет получен, или оно может вызывать только задержку запрашиваемого ресурса, достаточно долгую для того, чтобы он стал бесполезным. В этих случаях говорят, что ресурс исчерпан.
Примеры реализации угроз информационной безопасности
Пример угрозы нарушения конфиденциальности информации - доступное хранение резервных копий данных.
Пример угрозы нарушения целостности информации.
Примерами нарушения статической целостности являются:
· ввод неверных данных;
· несанкционированное изменение данных;
· изменение программного модуля вирусом. Примеры нарушения динамической целостности:
· нарушение атомарности транзакций;
· дублирование данных;
· внесение дополнительных пакетов в сетевой трафик.
Пример нарушения доступности информации:
· отказ пользователей (неумение работать с ИС);
· внутренний отказ информационной системы (ошибки при переконфигурировании системы, отказы программного и аппаратного обеспечения, разрушение данных);
· отказ поддерживающей инфраструктуры (нарушение работы систем связи, электропитания, разрушение и повреждение помещений). | 
