Таксономия нарушений информационной безопасности вычислительной системы. Основные понятия в области информационной безопасности

Классификация источников угроз

Классификация угроз информационной безопасности

Тема 2 - Угрозы информационной безопасности

Понятия угрозы безопасности объекта и уязвимости объекта были введены ранее. Для полного представления взаимодействия угрозы и объекта защиты введем понятия источника угрозы и атаки.

Угроза безопасности объекта - возможное воздействие на объект, которое прямо или косвенно может нанести ущерб его безопасности.

Источник угрозы - это потенциальные антропогенные , техногенные или стихийные носители угрозы безопасности.

Уязвимость объекта - это присущие объекту причины, приводящие к нарушению безопасности информации на объекте.

Атака - это возможные последствия реализации угрозы при взаимодействии источника угрозы через имеющиеся уязвимости. Атака - это всегда пара «источник - уязвимость», реализующая угрозу и приводящая к ущербу.

Рисунок 2.1

Предположим , студент ходит на учебу каждый день и при этом пересекает проезжую часть в неположенном месте. И однажды он попадает под машину, что причиняет ему ущерб, при котором он теряет трудоспособность и не может посещать занятия. Проанализируем данную ситуацию. Последствия в данном случае - это убытки, которые студент понес в результате несчастного случая. Угрозой у нас выступает автомобиль, который сбил студента. Уязвимостью явилось то, что студент пересекал проезжую часть в неустановленном месте. А источником угрозы в данной ситуации явилась та некая сила, которая не дала возможности водителю избежать наезда на студента.

С информацией не намного сложнее . Угроз безопасности информации не так уж и много. Угроза, как следует из определения, - это опасность причинения ущерба, то есть в этом определении проявляется жесткая связь технических проблем с юридической категорией, каковой является «ущерб».

Проявления возможного ущерба могут быть различны:

Моральный и материальный ущерб деловой репутации организации;

Моральный, физический или материальный ущерб, связанный с разглашением персональных данных отдельных лиц;

Материальный (финансовый) ущерб от разглашения защищаемой (конфиденциальной) информации;

Материальный (финансовый) ущерб от необходимости восстановления нарушенных защищаемых информационных ресурсов;

Материальный ущерб (потери) от невозможности выполнения взятых на себя обязательств перед третьей стороной;

Моральный и материальный ущерб от дезорганизации деятельности организации;

Материальный и моральный ущерб от нарушения международных отношений.

Угрозами безопасности информации являются нарушения при обеспечении:

2. Доступности;

3. Целостности.

Конфиденциальность информации - это свойство информации быть известной только аутентифицированным законным ее владельцам или пользователям.

Нарушения при обеспечении конфиденциальности:

Хищение (копирование) информации и средств ее обработки;

Утрата (неумышленная потеря, утечка) информации и средств ее обработки.

Доступность информации - это свойство информации быть доступной для аутентифицированных законных ее владельцев или пользователей.

Нарушения при обеспечении доступности:

Блокирование информации;

Уничтожение информации и средств ее обработки.

Целостность информации - это свойство информации быть неизменной в семантическом смысле при воздействии на нее случайных или преднамеренных искажений или разрушающих воздействий.

Нарушения при обеспечении целостности:

Модификация (искажение) информации;

Отрицание подлинности информации;

Навязывание ложной информации.

Носителями угроз безопасности информации являются источники угроз. В качестве источников угроз могут выступать как субъекты (личность), так и объективные проявления. Причем, источники угроз могут находиться как внутри защищаемой организации - внутренние источники, так и вне ее - внешние ис-точники.

Все источники угроз безопасности информации можно разделить на три основные группы:

1 Обусловленные действиями субъекта (антропогенные источники угроз).

2 Обусловленные техническими средствами (техногенные источники угрозы).

3 Обусловленные стихийными источниками.

Антропогенными источниками угроз безопасности информации выступают субъекты, действия которых могут быть квалифицированы как умышленные или случайные преступления. Только в этом случае можно говорит о причинении ущерба. Эта группа наиболее обширна и представляет наибольший интерес с точки зрения организации защиты, так как действия субъекта всегда можно оценить, спрогнозировать и принять адекватные меры. Методы противодействия в этом случае управляемы и напрямую зависят от воли организаторов защиты информации.

В качестве антропогенного источника угроз можно рассматривать субъекта, имеющего доступ (санкционированный или несанкционированный) к работе со штатными средствами защищаемого объекта. Субъекты (источники), действия которых могут привести к нарушению безопасности информации, могут быть как внешние, так и внутренние. Внешние источники могут быть случайными или пред-намеренными и иметь разный уровень квалификации.

Внутренние субъекты (источники), как правило, представляют собой высококвалифицированных специалистов в области разработки и эксплуатации программного обеспечения и технических средств, знакомы со спецификой решаемых задач, структурой и основными функциями и принципами работы программно-аппаратных средств защиты информации, имеют возможность использования штатного оборудования и технических средств сети.

Необходимо учитывать также, что особую группу внутренних антропогенных источников составляют лица с нарушенной психикой и специально внедренные и завербованные агенты, которые могут быть из числа основного, вспомогательного и технического персонала, а также представителей службы защиты информации. Данная группа рассматривается в составе перечисленных выше источников угроз, но методы парирования угрозам для этой группы могут иметь свои отличия.

Вторая группа содержит источники угроз, определяемые технократической деятельностью человека и развитием цивилизации. Однако последствия, вызванные такой деятельностью, вышли из-под контроля человека и существуют сами но себе. Данный класс источников угроз безопасности информации особенно актуален в современных условиях, так как в сложившихся условиях эксперты ожидают резкого роста числа техногенных катастроф, вызванных физическим и моральным устареванием используемого оборудования, а также отсутствием материальных средств на его обновление. Технические средства, являющиеся источниками потенциальных угроз безопасности информации, также могут быть внешними и внутренними.

Третья группа источников угроз объединяет обстоятельства, составляющие непреодолимую силу, то есть такие обстоятельства, которые носят объективный и абсолютный характер, распространяющийся на всех. К непреодолимой силе в законодательстве и договорной практике относят стихийные бедствия или иные обстоятельства, которые невозможно предусмотреть или предотвратить или возможно предусмотреть, но невозможно предотвратить при современном уровне че-ловеческого знания и возможностей. Такие источники угроз совершенно не поддаются прогнозированию, и поэтому меры защиты от них должны применяться всегда.

Стихийные источники потенциальных угроз информационной безопасности, как правило, являются внешними по отношению к защищаемому объекту и под ними понимаются, прежде всего, природные катаклизмы.

Классификация и перечень источников угроз приведены в таблице 2.1.

Таблица 2.1 - Классификация и перечень источников угроз информационной безопасности

Антропогенные источники	Внешние	Криминальные структуры
Потенциальные преступники и хакеры
Недобросовестные партнеры
Технический персонал поставщиков телекоммуникационных услуг
Представители надзорных организаций и аварийных служб
Представители силовых структур
Внутренние	Основной персонал (пользователи, программисты, разработчики)
Представители службы защиты информации (администраторы)
Вспомогательный персонал (уборщики, охрана)
Технический персонал (жизнеобеспечение, эксплуатация)
Техногенные источники	Внешние	Средства связи
Сети инженерных коммуникации (водоснабжения, канализации)
Транспорт
Внутренние	Некачественные технические средства обработки информации
Некачественные программные средства обработки информации
Вспомогательные средства (охраны, сигнализации, телефонии)
Другие технические средства, применяемые в учреждении
Стихийные источники	Внешние	Пожары
Землетрясения
Наводнения
Ураганы
Магнитные бури
Радиоактивное излучение
Различные непредвиденные обстоятельства
Необъяснимые явления
Другие форс-мажорные обстоятельства

Все источники угроз имеют разную степень опасности К опуг, которую можно количественно оценить, проведя их ранжирование. При этом оценка степени опасности проводится по косвенным показателям.

В качестве критериев сравнения (показателей) можно выбрать:

Возможность возникновения источника K 1 - определяет степень доступности к возможности использовать уязвимость для антропогенных источников, удаленность от уязвимости для техногенных источников или особенности обстановки для случайных источников;

Готовность источника К 2 - определяет степень квалификации и привлекательность совершения деяний со стороны источника угрозы для антропогенных источников или наличие необходимых условий для техногенных и стихийных источников;

Фатальность К 3 - определяет степень неустранимости последствий реализации угрозы.

Каждый показатель оценивается экспертно-аналитическим методом по пятибалльной системе. Причем, 1 соответствует самой минимальной степени влияния оцениваемого показателя на опасность использования источника, а 5 - максимальной.

К опуг для отдельного источника можно определить как отношение произведения вышеприведенных показателей к максимальному значению (125):

Угрозы , как возможные опасности совершения какого-либо действия, направленного против объекта защиты, проявляются не сами по себе, а через уязвимости, приводящие к нарушению безопасности информации на конкретном объекте информатизации.

Уязвимости присущи объекту информатизации, неотделимы от него и обусловливаются недостатками процесса функционирования, свойствами архитектуры автоматизированных систем, протоколами обмена и интерфейсами, применяемыми программным обеспечением и аппаратной платформой, условиями эксплуатации и расположения.

Источники угроз могут использовать уязвимости для нарушения безопасности информации, получения незаконной выгоды (нанесения ущерба собственнику, владельцу, пользователю информации). Кроме того, возможны не злонамеренные действия источников угроз по активизации тех или иных уязвимостей, наносящих вред.

Каждой угрозе могут быть сопоставлены различные уязвимости. Устранение или существенное ослабление уязвимостей влияет на возможность реализации угроз безопасности информации.

Уязвимости безопасности информации могут быть:

Объективными;

Субъективными;

Случайными.

Объективные уязвимости зависят от особенностей построения и технических характеристик оборудования, применяемого на защищаемом объекте. Полное устранение этих уязвимостей невозможно, но они могут существенно ослабляться техническими и инженерно-техническими методами парирования угроз безопасности информации.

Субъективные уязвимости зависят от действий сотрудников и, в основном устраняются организационными и программно-аппаратными методами.

Случайные уязвимости зависят от особенностей окружающей защищаемый объект среды и непредвиденных обстоятельств. Эти факторы, как правило, мало предсказуемы и их устранение возможно только при проведении комплекса организационных и инженерно-технических мероприятий по противодействию, угрозам информационной безопасности.

Классификация и перечень уязвимостей информационной безопасности приведены в таблице 2.2.

Таблица 2.2 - Классификация и перечень уязвимостей информационной безопасности

Объективные уязвимости	Сопутствующие техническим средствам излучения	Электромагнитные	Побочные излучения элементов технических средств
Кабельных линий технических средств
Излучения на частотах работы генераторов
На частотах самовозбуждения усилителей
Электрические	Наводки электромагнитных излучений на линии и проводники
Просачивание сигналов в цепи электропитания, в цепи заземления
Неравномерность потребления тока электропитания
Звуковые	Акустические
Виброакустические
Активизируемые	Аппаратные закладки устанавливаемые	В телефонные линии
В сети электропитания
В помещениях
В технических средствах
Программные закладки	Вредоносные программы
Технологические выходы из программ
Нелегальные копии ПО
Определяемые особенностями элементов	Элементы, обладающие электроакустическими преобразованиями	Телефонные аппараты
Громкоговорители и микрофоны
Катушки индуктивности
Дроссели
Трансформаторы и пр.
Элементы, подверженные воздействию электромагнитного поля	Магнитные носители
Микросхемы
Нелинейные элементы, подверженные ВЧ навязыванию
Определяемые особенностями защищаемого объекта	Местоположением объекта	Отсутствие контролируемой зоны
Наличие прямой видимости объектов
Удаленных и мобильных элементов объекта
Вибрирующих отражающих поверхностей
Организацией каналов обмена информацией	Использование радиоканалов
Глобальных информационных сетей
Арендуемых каналов
Субъективные уязвимости	Ошибки (халатность)	При подготовке и использовании программного обеспечения	При разработке алгоритмов и программного обеспечения
При инсталляции и загрузке программного обеспечения
При эксплуатации программного обеспечения
При вводе данных (информации)
При настройке сервисов универсальных систем
Самообучающейся (самонастраивающейся) сложной системы систем
При эксплуатации технических средств	При включении/выключении технических средств
При использовании технических средств охраны
Некомпетентные действия	При конфигурировании и управлении сложной системы
При настройке программного обеспечения
При организации управления потоками обмена информации
При настройке технических средств
При настройке штатных средств защиты программного обеспечения
Неумышленные действия	Повреждение (удаление) программного обеспечения
Повреждение (удаление) данных
Повреждение (уничтожение) носителей информации
Повреждение каналов связи
Нарушения	Режима охраны и защиты	Доступа на объект
Доступа к техническим средствам
Соблюдения конфиденциальности
Режима эксплуатации технических средств и ПО	Энергообеспечения
Жизнеобеспечения
Установки нештатного оборудования
Инсталляции нештатного ПО (игрового, обучающего, технологического)
Использования информации	Обработки и обмена информацией
Хранения и уничтожения носителей информации
Уничтожения производственных отходов и брака
Психогенные	Психологические	Антагонистические отношения (зависть, озлобленность, обида)
Неудовлетворенность своим положением
Неудовлетворенность действиями руководства (взыскание, увольнение)
Психологическая несовместимость
Психические	Психические отклонения
Стрессовые ситуации
Физиологические	Физическое состояние (усталость, болезненное состояние)
Психосоматическое состояние
Случайные уязвимости	Сбои и отказы	Отказы и неисправности технических средств	Обрабатывающих информацию
Обеспечивающих работоспособность средств обработки информации
Обеспечивающих охрану и контроль доступа
Старение и размагничивание носителей информации	Дискет и съемных носителей
Жестких дисков
Элементов микросхем
Кабелей и соединительных линий
Сбои программного обеспечения	Операционных систем и СУБД
Прикладных программ
Сервисных программ
Антивирусных программ
Сбои электроснабжения	Оборудования, обрабатывающего информацию
Обеспечивающего и вспомогательного оборудования

Все уязвимости имеют разную степень опасности K опуяз, которую можно количественно оценить, проведя их ранжирование.

При этом в качестве критериев сравнения можно выбрать:

Фатальность K 4 - определяет степень влияния уязвимости на неустранимость последствий реализации угрозы;

Доступность K 5 - определяет возможность использования уязвимости источником угроз;

Количество K 6 - определяет количество элементов объекта, которым характерен та или иная уязвимость.

K опуяз для отдельной уязвимости можно определить как отношение произведения вышеприведенных показателей к максимальному значению (125):

Модель нарушителя информационной безопасности - это набор предположений об одном или нескольких возможных нарушителях информационной безопасности, их квалификации, их технических и материальных средствах и т. д.

Правильно разработанная модель нарушителя является гарантией построения адекватной системы обеспечения информационной безопасности. Опираясь на построенную модель, уже можно строить адекватную систему информационной защиты.

Чаще всего строится неформальная модель нарушителя, отражающая причины и мотивы действий, его возможности, априорные знания, преследуемые цели, их приоритетность для нарушителя, основные пути достижения поставленных целей: способы реализации исходящих от него угроз, место и характер действия, возможная тактика и т. п. Для достижения поставленных целей нарушитель должен приложить определенные усилия и затратить некоторые ресурсы.

Определив основные причины нарушений, представляется возможным оказать на них влияние или необходимым образом скорректировать требования к системе защиты от данного типа угроз. При анализе нарушений защиты необходимо уделять внимание субъекту (личности) нарушителя. Устранение причин или мотивов, побудивших к нарушению, в дальнейшем может помочь избежать повторения подобного случая.

Модель может быть не одна, целесообразно построить несколько отличающихся моделей разных типов нарушителей информационной безопасности объекта защиты.

Для построения модели нарушителя используется информация, полученная от служб безопасности и аналитических групп, данные о существующих средствах доступа к информации и ее обработки, о возможных способах перехвата данных на стадиях их передачи, обработки и хранении, об обстановке в коллективе и на объекте защиты, сведения о конкурентах и ситуации на рынке, об имевших место свершившихся случаях нарушения информационной безопасности и т. п.

Кроме этого оцениваются реальные оперативные технические возможности злоумышленника для воздействия на систему защиты или на защищаемый объект. Под техническими возможностями подразумевается перечень различных технических средств, которыми может располагать нарушитель в процессе совершения действий, направленных против системы информационной защиты.

Нарушители бывают внутренними и внешними.

Среди внутренних нарушителей в первую очередь можно выделить:

Непосредственных пользователей и операторов информационной системы, в том числе руководителей различных уровней;

Администраторов вычислительных сетей и информационной безопасности;

Прикладных и системных программистов;

Сотрудников службы безопасности;

Технический персонал по обслуживанию зданий и вычислительной техники, от уборщицы до сервисного инженера;

Вспомогательный персонал и временных работников.

Среди причин, побуждающих сотрудников к неправомерным действиям, можно указать следующие:

Безответственность;

Ошибки пользователей и администраторов;

Демонстрацию своего превосходства (самоутверждение);

- «борьбу с системой»;

Корыстные интересы пользователей системы;

Недостатки используемых информационных технологий.

Группу внешних нарушителей могут составлять:

Клиенты;

Приглашенные посетители;

Представители конкурирующих организаций;

Сотрудники органов ведомственного надзора и управления;

Нарушители пропускного режима;

Наблюдатели за пределами охраняемой территории.

Помимо этого классификацию можно проводить по следующим параметрам.

Используемые методы и средства:

Сбор информации и данных;

Пассивные средства перехвата;

Использование средств, входящих в информационную систему или систему ее защиты, и их недостатков;

Активное отслеживание модификаций существующих средств обработки информации, подключение новых средств, использование специализированных утилит, внедрение программных закладок и «черных ходов» в систему, подключение к каналам передачи данных.

Уровень знаний нарушителя относительно организации информационной структуры:

Типовые знания о методах построения вычислительных систем, сетевых протоколов, использование стандартного набора программ;

Высокий уровень знаний сетевых технологий, опыт работы со специализированными программными продуктами и утилитами;

Высокие знания в области программирования, системного проектирования и эксплуатации вычислительных систем;

Обладание сведениями о средствах и механизмах защиты атакуемой системы;

Нарушитель являлся разработчиком или принимал участие в реализации системы обеспечения информационной безопасности.

Время информационного воздействия:

В момент обработки информации;

В момент передачи данных;

В процессе хранения данных (учитывая рабочее и нерабочее состояния системы).

По месту осуществления воздействия:

Удаленно с использованием перехвата информации, передающейся по каналам передачи данных, или без ее использования;

Доступ на охраняемую территорию;

Непосредственный физический контакт с вычислительной техникой, при этом можно выделить: доступ к рабочим станциям, доступ к серверам предприятия, доступ к системам администрирования, контроля и управления информационной системой, доступ к программам управления системы обеспечения информационной безопасности.

В таблице 2.3 приведены примеры моделей нарушителей информационной безопасности и их сравнительная характеристика.

Таблица 2.3 - Сравнительная характеристика нескольких моделей нарушителя

Характеристика	Хакер-одиночка	Группа хакеров	Конкуренты	Госструктуры, спецподразделения
Вычислительная мощность технических средств	Персональный компьютер	ЛВС, использование чужих вычислительных сетей	Мощные вычислительные сети	Неограниченная вычислительная мощность
Доступ к интернету, тип каналов доступа	Модем или выделенная линия	Использование чужих каналов с высокой пропускной способностью	Собственные каналы с высокой пропускной способностью	Самостоятельный контроль над маршрутизацией трафика в Интернете
Финансовые возможности	Сильно ограничены	Ограничены	Большие возможности	Практически неограниченные
Уровень знаний в области IT	Невысокий	Высокий	Высокий	Высокий, разработчики стандартов
Используемые технологии	Готовые программы, известные уязвимости	Поиск новых уязвимостей, изготовление вредоносных программ	Современные методы проникновения в информационные системы и воздействия на потоки данных в ней	Доскональные знания информационных технологий: возможные уязвимости и недостатки
Знания о построении системы защиты объекта	Недостаточные знания о построении информационной системы	Могут предпринимать усилия для получения представления о принципах функционирования системы защиты	Могут предпринимать усилия для получения представления о принципах функционирования системы защиты, внедрять своего представителя в службу безопасности	В процессе сертификации системы представители госорганов могут получать достаточно полную информацию о ее построении
Преследуемые цели	Эксперимент	Внесение искажений в работу системы	Блокировка функционирования системы, подрыв имиджа, разорение	Непредсказуемые
Характер действий	Скрытый	Скрытый	Скрытый или открытый демонстративный	Может не утруждать себя сокрытием своих действий
Глубина проникновения	Чаще всего останавливается после первого успешного воздействия	До момента достижения поставленной цели или появления серьезного препятствия	До победного конца	Ничего не способно их остановить

В данной статье делается попытка рассмотреть реальные угрозы информационной безопасности, которые могут возникнуть в современных условиях. Следует отметить, что статья не претендует на статус «учебника по информационной безопасности», и все изложенное в ней – исключительно мнение автора.

Традиционной ошибкой многих руководителей российских компаний является недооценка либо переоценка угроз информационной безопасности предприятия. Зачастую ИТ безопасность воспринимается ими в лучшем случае как одно из вспомогательных мероприятий по обеспечению безопасности в целом, иногда же ей вообще не отводится хоть сколько-нибудь значимой роли – мол, это все забота системных администраторов. Подобный вариант характерен прежде всего для небольших и частично – для средних компаний. Вторая крайность – переоценка значения ИТ безопасности – встречается в основном среди крупных компаний и характеризуется возведением комплекса мероприятий по обеспечению ИТ безопасности в ранг «гиперстратегии», относительно которой строится основная стратегия деятельности.

Ни для кого не секрет, что в современном мире бизнес в той или иной степени зависим от информационных технологий. Преимущества от применения ИТ для бизнеса очевидны: скорость и простота порождения, распространения, манипуляций и поиска разнородной информации, упорядочивание ее по различным критериям, простота хранения, возможность доступа практически из любой точки мира… Все эти преимущества требуют хорошо отлаженной поддержки и сопровождения, которая, в свою очередь, предъявляет определенные требования к базовой ИТ инфраструктуре. С другой стороны, в информационных системах, часто находится информация, разглашение которой является крайне нежелательным (например, конфиденциальная информация, либо информация, составляющая коммерческую тайну). Нарушение режима нормального функционирования инфраструктуры либо получение доступа к информации, которая расположена в ИС, являются угрозами информационной безопасности.

Таким образом, угрозы информационной безопасности предприятия можно условно разделить на несколько классов:

• Угрозы нарушения доступности
• Угрозы нарушения целостности
• Угрозы нарушения конфиденциальности

Угрозы нарушения доступности – это угрозы, связанные с увеличением времени получения той или иной информации или информационной услуги. Нарушение доступности представляет собой создание таких условий, при которых доступ к услуге или информации будет либо заблокирован, либо возможен за время, которое не обеспечит выполнение тех или иных бизнес-целей. Рассмотрим пример: в случае выхода из строя сервера, на котором расположена требуемая для принятия стратегического решения информация, нарушается свойство доступности информации. Аналогичный пример: в случае изоляции по какой-либо причине (выход из строя сервера, отказ каналов связи и т.д.) почтового сервера можно говорить о нарушении доступности ИТ услуги «электронная почта». Особо следует отметить тот факт, что причина нарушения доступности информации или информационной услуги не обязательно должна находиться в зоне ответственности владельца услуги или информации. Например, в рассмотренном выше примере с нарушением доступности почтового сервера причина (отказ каналов связи) может лежать вне зоны ответственности администраторов сервера (например, отказ магистральных каналов связи). Также следует отметить, что понятие «доступность» субъективно в каждый момент времени для каждого из субъектов, потребляющих услугу или информацию в данный момент времени. В частности, нарушение доступности почтового сервера для одного сотрудника может означать срыв индивидуальных планов и потерю контракта, а для другого сотрудника той же организации – невозможность получить выпуск свежих новостей.

Угрозы нарушения целостности – это угрозы, связанные с вероятностью модификации той или иной информации, хранящейся в ИС. Нарушение целостности может быть вызвано различными факторами – от умышленных действий персонала до выхода из строя оборудования. Нарушение целостности может быть как умышленным, так и неумышленным (причиной неумышленного нарушения целостности может выступать, например, неисправно работающее оборудование).

Угрозы нарушения конфиденциальности – это угрозы, связанные с доступом к информации вне привилегий доступа, имеющегося для данного конкретного субъекта. Подобные угрозы могут возникать вследствие «человеческого фактора» (например, случайное делегировании тому или иному пользователю привилегий другого пользователя), сбоев работе программных и аппаратных средств.

Реализация каждой из указанных угроз в отдельности или их совокупности приводит к нарушению информационной безопасности предприятия.

Собственно говоря, все мероприятия по обеспечению информационной безопасности должны строиться по принципу миниманизации указанных угроз.

Все мероприятия по обеспечению ИБ условно можно рассматривать на двух основных уровнях: на уровне физического доступа к данным и на уровне логического доступа к данным, которые являются следствием административных решений (политик).

На уровне физического доступа к данным рассматриваются механизмы защиты данных от несанкционированного доступа и механизмы защиты от повреждения физических носителей данных. Защита от несанкционированного доступа предполагает размещения серверного оборудования с данными в отдельном помещении, доступ к которому имеет лишь персонал с соответствующими полномочиями. На этом же уровне в качестве средств защиты возможно создание географически распределенной системы серверов. Уровень защиты от физического повреждения предполагает организацию различного рода специализированных систем, предотвращающих подобные процессы. К их числу относят: серверные кластера и back-up (резервного копирования) сервера. При работе в кластере (например, двух серверов) в случае физического отказа одного из них второй будет продолжать работу, таким образом работоспособность вычислительной системы и данных не будет нарушена. При дополнительной организации резервного копирования (back-up сервера) возможно быстрое восстановление вычислительной системы и данных даже в случае выхода из строя второго сервера в кластере.

Уровень защиты от логического доступа к данным предполагает защиту от несанкционированного доступа в систему (здесь и далее по тексту под системой понимается ИТ система, предназначенная для порождения, хранения и обработки данных любого класса – от простых учетных систем до решений класса ERP) как на уровне баз данных, так и на уровне ядра системы и пользовательских форм. Защита на этом уровне предполагает принятие мер по предотвращению доступа к базе данных как из Интернет, так и из локальной сети организации (на последний аспект обеспечения безопасности традиционно обращается мало внимания, хотя этот аспект напрямую связан с таким явлением, как промышленный шпионаж). Защита ядра системы предполагает, наряду с обозначенными выше мерами, вычисление контрольных сумм критических частей исполнимого кода и периодический аудит этих контрольных сумм. Подобный подход позволяет повысить общую степень защищенности системы. (Следует отметить, что указанное мероприятие не является единственным; оно приводится как удачный пример). Обеспечение безопасности на уровне пользовательских форм декларирует обязательное шифрование трафика, передающегося по локальной сети (или через Интернет) между клиентом (пользовательской формой) и приложением (ядром системы). Также безопасность на этом уровне может обеспечиваться вычислением контрольных сумм этих форм, с последующей их проверкой, принятием идеологии «разделения данных и кода». Например, система, построенная по технологии «тонкого клиента» с позиций обеспечения безопасности на данном уровне имеет преимущество перед системой, построенной по технологии «толстого клиента», поскольку на уровне пользовательских форм не предоставляет доступа к коду бизнес-логики (например, путем дизассемблирования исполняемого файла). К этому же уровню защиты относится механизм сертификации, когда в обмене между пользовательской формой и сервером, а также подлинность самой пользовательской формы подтверждается третьим участником обмена – центром сертификации.

Аналогично, на уровне защиты от логического доступа на уровне баз данных доступа целесообразно вычислять контрольные суммы критически важных таблиц, и вести журнал учета доступа объектов к базе данных. В идеальном случае («тонкий клиент») доступ к базе данных имеет лишь серверное приложение (сервер бизнес-логики), а все остальные (сторонние) запросы к БД блокируются. Подобный подход позволит исключить несколько типов атак и сконцентрировать политику защиты БД на обеспечении безопасности «по критическим точкам».

К защите на уровне административных решений относят административные меры, направленные на создание четкой и понятной политики в отношении ИТ, ИС, информационной безопасности и т.д. Можно сказать, что данный уровень является по отношению к пользователю первичным – поскольку именно защита на уровне административных решений способна предотвратить большинство критических ситуаций, связанных с информационной безопасностью.

Следует рассмотреть еще два важных вопроса, связанных с безопасностью – методы и средства аутентификации пользователей и протоколирование событий, происходящих в ИС.

Аутентификация пользователей относится к логическому уровню обеспечения информационной безопасности. Цель этой процедуры состоит в том, чтобы во-первых, сообщить ИС, какой именно пользователь работает с ним, для предоставления ему соответствующих прав и интерфейсов; во-вторых, подтвердить права данного конкретного пользователя по отношению к ИС. Традиционно процедура аутентификации сводится к вводу пользователем имени пользователя (логина) и пароля.

Довольно часто, в критически важных приложениях, форма ввода имени пользователя/пароля представляет собой работающее в защищенном программном (реже – аппаратном) тоннеле приложение, безусловно шифрующее всю передающуюся по сети информацию. К сожалению, наиболее частой является ситуация, когда имя пользователя и пароль передаются по сети в открытом виде (например, по этому принципу работают большинство известных бесплатных почтовых систем в сети Интернет). Кроме программных (ввод комбинации имя пользователя/пароль) существуют и программно-аппаратные и аппаратные решения для аутентификации пользователей. К ним относятся дискеты и USB-носители с ключевым файлом (довольно часто – в комбинации с вводом обычного имени/пароля, для подтверждения полномочий на критичные действия), защищенным от копирования; однократно записываемые USB-носители с ключевым файлом; сканеры радужной оболочки глаза; сканеры отпечатков пальцев; системы антропологии. Одним из вариантов повышения степени защиты ИС является ограничение времени действия пароля и ограничение времени бездействия пользователя в ИС. Ограничение времени действия пароля представляет собой выдачу пароля, который действует лишь определенное число дней – 30, 60 и т.д. Соответственно, с периодической сменой паролей повышается степень защищенности ИС в целом. Ограничение времени бездействия пользователя предполагает автоматическое закрытия сеанса пользователя в случае, если в этом сеансе не была зафиксирована пользовательская активность в течении определенного периода времени.

Протоколирование всех событий, происходящих в ИС, необходимо для получения четкой картины о попытках несанкционированного доступа, либо по неквалифицированным действиям персонала по отношению к ИС. Частой ситуацией является введение в ИС специализированных модулей, анализирующих системные события, и предотвращающих деструктивные действия по отношению к ИС. Подобные модули могут работать, исходя из двух предпосылок: обнаружения вторжений и предотвращение превышения доступности. В первом случае модули статистически анализируют типичное поведение пользователя, и выдают «тревогу» в случае заметных отклонений (например, работа оператора в 22-30 первый раз за два года является безусловно подозрительной); во втором случае на основе анализа текущего сеанса работы пользователя пытаются предотвратить потенциально деструктивные действия (например, попытку удаления какой-либо информации).

Примечание:

ИБ – информационная безопасность

ИТ – информационные технологии

ИС – информационные системы или информационная система (по контексту)

Быстро развивающиеся компьютерные информационные технологии вносят заметные изменения в нашу жизнь. Информация стала товаром, который можно приобрести, продать, обменять. При этом стоимость информации часто в сотни раз превосходит стоимость компьютерной системы, в которой она хранится.

От степени безопасности информационных технологий в настоящее время зависит благополучие, а порой и жизнь многих людей. Такова плата за усложнение и повсеместное распространение автоматизированных систем обработки информации.

Под информационной безопасностью понимается защищенность информационной системы от случайного или преднамеренного вмешательства, наносящего ущерб владельцам или пользователям информации.

На практике важнейшими являются три аспекта информационной безопасности:

• доступность (возможность за разумное время получить требуемую информационную услугу);
• целостность (актуальность и непротиворечивость информации, ее защищенность от разрушения и несанкционированного изменения);
• конфиденциальность (защита от несанкционированного прочтения).

Нарушения доступности, целостности и конфиденциальности информации могут быть вызваны различными опасными воздействиями на информационные компьютерные системы.

Основные угрозы информационной безопасности

Современная информационная система представляет собой сложную систему, состоящую из большого числа компонентов различной степени автономности, которые связаны между собой и обмениваются данными. Практически каждый компонент может подвергнуться внешнему воздействию или выйти из строя. Компоненты автоматизированной информационной системы можно разбить на следующие группы:

• аппаратные средства - компьютеры и их составные части (процессоры, мониторы, терминалы, периферийные устройства - дисководы, принтеры, контроллеры, кабели, линии связи и т.д.);
• программное обеспечение - приобретенные программы, исходные, объектные, загрузочные модули; операционные системы и системные программы (компиляторы, компоновщики и др.), утилиты, диагностические программы и т.д.;
• данные - хранимые временно и постоянно, на магнитных носителях, печатные, архивы, системные журналы и т.д.;
• персонал - обслуживающий персонал и пользователи.

Опасные воздействия на компьютерную информационную систему можно подразделить на случайные и преднамеренные. Анализ опыта проектирования, изготовления и эксплуатации информационных систем показывает, что информация подвергается различным случайным воздействиям на всех этапах цикла жизни системы. Причинами случайных воздействий при эксплуатации могут быть:

• аварийные ситуации из-за стихийных бедствий и отключений электропитания;
• отказы и сбои аппаратуры;
• ошибки в программном обеспечении;
• ошибки в работе персонала;
• помехи в линиях связи из-за воздействий внешней среды.

Преднамеренные воздействия - это целенаправленные действия нарушителя. В качестве нарушителя могут выступать служащий, посетитель, конкурент, наемник. Действия нарушителя могут быть обусловлены разными мотивами:

• недовольством служащего своей карьерой;
• взяткой;
• любопытством;
• конкурентной борьбой;
• стремлением самоутвердиться любой ценой.

Можно составить гипотетическую модель потенциального нарушителя:

• квалификация нарушителя на уровне разработчика данной системы;
• нарушителем может быть как постороннее лицо, так и законный пользователь системы;
• нарушителю известна информация о принципах работы системы;
• нарушитель выбирает наиболее слабое звено в защите.

Наиболее распространенным и многообразным видом компьютерных нарушений является несанкционированный доступ (НСД). НСД использует любую ошибку в системе защиты и возможен при нерациональном выборе средств защиты, их некорректной установке и настройке.

Проведем классификацию каналов НСД, по которым можно осуществить хищение, изменение или уничтожение информации:

• Через человека:
  • хищение носителей информации;
  • чтение информации с экрана или клавиатуры;
  • чтение информации из распечатки.
• Через программу:
  • перехват паролей;
  • дешифровка зашифрованной информации;
  • копирование информации с носителя.
• Через аппаратуру:
  • подключение специально разработанных аппаратных средств, обеспечивающих доступ к информации;
  • перехват побочных электромагнитных излучений от аппаратуры, линий связи, сетей электропитания и т.д.

Особо следует остановиться на угрозах, которым могут подвергаться компьютерные сети. Основная особенность любой компьютерной сети состоит в том, что ее компоненты распределены в пространстве. Связь между узлами сети осуществляется физически с помощью сетевых линий и программно с помощью механизма сообщений. При этом управляющие сообщения и данные, пересылаемые между узлами сети, передаются в виде пакетов обмена. Компьютерные сети характерны тем, что против них предпринимают так называемые удаленные атаки . Нарушитель может находиться за тысячи километров от атакуемого объекта, при этом нападению может подвергаться не только конкретный компьютер, но и информация, передающаяся по сетевым каналам связи.

Обеспечение информационной безопасности

Формирование режима информационной безопасности - проблема комплексная. Меры по ее решению можно подразделить на пять уровней:

1. законодательный (законы, нормативные акты, стандарты и т.п.);
2. морально-этический (всевозможные нормы поведения, несоблюдение которых ведет к падению престижа конкретного человека или целой организации);
3. административный (действия общего характера, предпринимаемые руководством организации);
4. физический (механические, электро- и электронно-механические препятствия на возможных путях проникновения потенциальных нарушителей);
5. аппаратно-программный (электронные устройства и специальные программы защиты информации).

Единая совокупность всех этих мер, направленных на противодействие угрозам безопасности с целью сведения к минимуму возможности ущерба, образуют систему защиты .

Надежная система защиты должна соответствовать следующим принципам:

• Стоимость средств защиты должна быть меньше, чем размеры возможного ущерба.
• Каждый пользователь должен иметь минимальный набор привилегий, необходимый для работы.
• Защита тем более эффективна, чем проще пользователю с ней работать.
• Возможность отключения в экстренных случаях.
• Специалисты, имеющие отношение к системе защиты должны полностью представлять себе принципы ее функционирования и в случае возникновения затруднительных ситуаций адекватно на них реагировать.
• Под защитой должна находиться вся система обработки информации.
• Разработчики системы защиты, не должны быть в числе тех, кого эта система будет контролировать.
• Система защиты должна предоставлять доказательства корректности своей работы.
• Лица, занимающиеся обеспечением информационной безопасности, должны нести личную ответственность.
• Объекты защиты целесообразно разделять на группы так, чтобы нарушение защиты в одной из групп не влияло на безопасность других.
• Надежная система защиты должна быть полностью протестирована и согласована.
• Защита становится более эффективной и гибкой, если она допускает изменение своих параметров со стороны администратора.
• Система защиты должна разрабатываться, исходя из предположения, что пользователи будут совершать серьезные ошибки и, вообще, имеют наихудшие намерения.
• Наиболее важные и критические решения должны приниматься человеком.
• Существование механизмов защиты должно быть по возможности скрыто от пользователей, работа которых находится под контролем.

Аппаратно-программные средства защиты информации

Несмотря на то, что современные ОС для персональных компьютеров, такие, как Windows 2000, Windows XP и Windows NT, имеют собственные подсистемы защиты, актуальность создания дополнительных средств защиты сохраняется. Дело в том, что большинство систем не способны защитить данные, находящиеся за их пределами, например при сетевом информационном обмене.

Аппаратно-программные средства защиты информации можно разбить на пять групп:

1. Системы идентификации (распознавания) и аутентификации (проверки подлинности) пользователей.
2. Системы шифрования дисковых данных.
3. Системы шифрования данных, передаваемых по сетям.
4. Системы аутентификации электронных данных.
5. Средства управления криптографическими ключами.

1. Системы идентификации и аутентификации пользователей

Применяются для ограничения доступа случайных и незаконных пользователей к ресурсам компьютерной системы. Общий алгоритм работы таких систем заключается в том, чтобы получить от пользователя информацию, удостоверяющую его личность, проверить ее подлинность и затем предоставить (или не предоставить) этому пользователю возможность работы с системой.

При построении этих систем возникает проблема выбора информации, на основе которой осуществляются процедуры идентификации и аутентификации пользователя. Можно выделить следующие типы:

• секретная информация, которой обладает пользователь (пароль, секретный ключ, персональный идентификатор и т.п.); пользователь должен запомнить эту информацию или же для нее могут быть применены специальные средства хранения;
• физиологические параметры человека (отпечатки пальцев, рисунок радужной оболочки глаза и т.п.) или особенности поведения (особенности работы на клавиатуре и т.п.).

Системы, основанные на первом типе информации, считаются традиционными . Системы, использующие второй тип информации, называют биометрическими . Следует отметить наметившуюся тенденцию опережающего развития биометрических систем идентификации.

2. Системы шифрования дисковых данных

Чтобы сделать информацию бесполезной для противника, используется совокупность методов преобразования данных, называемая криптографией [от греч. kryptos - скрытый и grapho - пишу].

Системы шифрования могут осуществлять криптографические преобразования данных на уровне файлов или на уровне дисков. К программам первого типа можно отнести архиваторы типа ARJ и RAR, которые позволяют использовать криптографические методы для защиты архивных файлов. Примером систем второго типа может служить программа шифрования Diskreet, входящая в состав популярного программного пакета Norton Utilities, Best Crypt.

Другим классификационным признаком систем шифрования дисковых данных является способ их функционирования. По способу функционирования системы шифрования дисковых данных делят на два класса:

• системы "прозрачного" шифрования;
• системы, специально вызываемые для осуществления шифрования.

В системах прозрачного шифрования (шифрования "на лету") криптографические преобразования осуществляются в режиме реального времени, незаметно для пользователя. Например, пользователь записывает подготовленный в текстовом редакторе документ на защищаемый диск, а система защиты в процессе записи выполняет его шифрование.

Системы второго класса обычно представляют собой утилиты, которые необходимо специально вызывать для выполнения шифрования. К ним относятся, например, архиваторы со встроенными средствами парольной защиты.

Большинство систем, предлагающих установить пароль на документ, не шифрует информацию, а только обеспечивает запрос пароля при доступе к документу. К таким системам относится MS Office, 1C и многие другие.

3. Системы шифрования данных, передаваемых по сетям

Различают два основных способа шифрования: канальное шифрование и оконечное (абонентское) шифрование.

В случае канального шифрования защищается вся информация, передаваемая по каналу связи, включая служебную. Этот способ шифрования обладает следующим достоинством - встраивание процедур шифрования на канальный уровень позволяет использовать аппаратные средства, что способствует повышению производительности системы. Однако у данного подхода имеются и существенные недостатки:

• шифрование служебных данных осложняет механизм маршрутизации сетевых пакетов и требует расшифрования данных в устройствах промежуточной коммуникации (шлюзах, ретрансляторах и т.п.);
• шифрование служебной информации может привести к появлению статистических закономерностей в шифрованных данных, что влияет на надежность защиты и накладывает ограничения на использование криптографических алгоритмов.

Оконечное (абонентское) шифрование позволяет обеспечить конфиденциальность данных, передаваемых между двумя абонентами. В этом случае защищается только содержание сообщений, вся служебная информация остается открытой. Недостатком является возможность анализировать информацию о структуре обмена сообщениями, например об отправителе и получателе, о времени и условиях передачи данных, а также об объеме передаваемых данных.

4. Системы аутентификации электронных данных

При обмене данными по сетям возникает проблема аутентификации автора документа и самого документа, т.е. установление подлинности автора и проверка отсутствия изменений в полученном документе. Для аутентификации данных применяют код аутентификации сообщения (имитовставку) или электронную подпись.

Имитовставка вырабатывается из открытых данных посредством специального преобразования шифрования с использованием секретного ключа и передается по каналу связи в конце зашифрованных данных. Имитовставка проверяется получателем, владеющим секретным ключом, путем повторения процедуры, выполненной ранее отправителем, над полученными открытыми данными.

Электронная цифровая подпись представляет собой относительно небольшое количество дополнительной аутентифицирующей информации, передаваемой вместе с подписываемым текстом. Отправитель формирует цифровую подпись, используя секретный ключ отправителя. Получатель проверяет подпись, используя открытый ключ отправителя.

Таким образом, для реализации имитовставки используются принципы симметричного шифрования, а для реализации электронной подписи - асимметричного. Подробнее эти две системы шифрования будем изучать позже.

5. Средства управления криптографическими ключами

Безопасность любой криптосистемы определяется используемыми криптографическими ключами. В случае ненадежного управления ключами злоумышленник может завладеть ключевой информацией и получить полный доступ ко всей информации в системе или сети.

Различают следующие виды функций управления ключами: генерация, хранение, и распределение ключей.

Способы генерации ключей для симметричных и асимметричных криптосистем различны. Для генерации ключей симметричных криптосистем используются аппаратные и программные средства генерации случайных чисел. Генерация ключей для асимметричных криптосистем более сложна, так как ключи должны обладать определенными математическими свойствами. Подробнее на этом вопросе остановимся при изучении симметричных и асимметричных криптосистем.

Функция хранения предполагает организацию безопасного хранения, учета и удаления ключевой информации. Для обеспечения безопасного хранения ключей применяют их шифрование с помощью других ключей. Такой подход приводит к концепции иерархии ключей. В иерархию ключей обычно входит главный ключ (т.е. мастер-ключ), ключ шифрования ключей и ключ шифрования данных. Следует отметить, что генерация и хранение мастер-ключа является критическим вопросом криптозащиты.

Распределение - самый ответственный процесс в управлении ключами. Этот процесс должен гарантировать скрытность распределяемых ключей, а также быть оперативным и точным. Между пользователями сети ключи распределяют двумя способами:

• с помощью прямого обмена сеансовыми ключами;
• используя один или несколько центров распределения ключей.

Перечень документов

1. О ГОСУДАРСТВЕННОЙ ТАЙНЕ. Закон Российской Федерации от 21 июля 1993 года № 5485-1 (в ред. Федерального закона от 6 октября 1997 года № 131-ФЗ).
2. ОБ ИНФОРМАЦИИ, ИНФОРМАТИЗАЦИИ И ЗАЩИТЕ ИНФОРМАЦИИ. Федеральный закон Российской Федерации от 20 февраля 1995 года № 24-ФЗ. Принят Государственной Думой 25 января 1995 года.
3. О ПРАВОВОЙ ОХРАНЕ ПРОГРАММ ДЛЯ ЭЛЕКТРОННЫХ ВЫЧИСЛИТЕЛЬНЫХ МАШИН И БАЗ ДАННЫХ. Закон Российской Федерации от 23 фентября 1992 года № 3524-1.
4. ОБ ЭЛЕКТРОННОЙ ЦИФРОВОЙ ПОДПИСИ. Федеральный закон Российской Федерации от 10 января 2002 года № 1-ФЗ.
5. ОБ АВТОРСКОМ ПРАВЕ И СМЕЖНЫХ ПРАВАХ. Закон Российской Федерации от 9 июля 1993 года № 5351-1.
6. О ФЕДЕРАЛЬНЫХ ОРГАНАХ ПРАВИТЕЛЬСТВЕННОЙ СВЯЗИ И ИНФОРМАЦИИ. Закон Российской Федерации (в ред. Указа Президента РФ от 24.12.1993 № 2288; Федерального закона от 07.11.2000 № 135-ФЗ.
7. Положение об аккредитации испытательных лабораторий и органов по сертификации средств защиты информации по требованиям безопасности информации / Государственная техническая комиссия при Президенте Российской Федерации.
8. Инструкция о порядке маркирования сертификатов соответствия, их копий и сертификационных средств защиты информации / Государственная техническая комиссия при Президенте Российской Федерации.
9. Положение по аттестации объектов информатизации по требованиям безопасности информации / Государственная техническая комиссия при Президенте Российской Федерации.
10. Положение о сертификации средств защиты информации по требованиям безопасности информации: с дополнениями в соответствии с Постановлением Правительства Российской Федерации от 26 июня 1995 года № 608 "О сертификации средств защиты информации" / Государственная техническая комиссия при Президенте Российской Федерации.
11. Положение о государственном лицензировании деятельности в области защиты информации / Государственная техническая комиссия при Президенте Российской Федерации.
12. Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации: Руководящий документ / Государственная техническая комиссия при Президенте Российской Федерации.
13. Концепция защиты средств вычислительной техники и автоматизированных систем от несанкционированного доступа к информации: Руководящий документ / Государственная техническая комиссия при Президенте Российской Федерации.
14. Средства вычислительной техники. Межсетевые экраны. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации: Руководящий документ / Государственная техническая комиссия при Президенте Российской Федерации.
15. Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации: Руководящий документ / Государственная техническая комиссия при Президенте Российской Федерации.
16. Защита информации. Специальные защитные знаки. Классификация и общие требования: Руководящий документ / Государственная техническая комиссия при Президенте Российской Федерации.
17. Защита от несанкционированного доступа к информации. Термины и определения: Руководящий документ / Государственная техническая комиссия при Президенте Российской Федерации.

Нарушения ИБ. Интернет и безопасность корпоративного информационного пространства

Результаты опроса

М.С.Савельев
Заместитель директора по маркетингу
Компании "Информзащита"

Эффективная стратегия защиты корпоративной информационной среды (ИС) требует не только стремления к обеспечению всесторонней безопасности сети компании, но и анализа настоящего положения дел в этой области и оценки предпринимаемых действий для анализа существующих рисков и предупреждения нарушений. Результаты исследования, проведенного журналом "Information Security/Информационная безопасность", могут оказаться полезными для изучения проблем информационной безопасности (ИБ) компании.

Результаты данного опроса красноречиво свидетельствуют о том, что основная угроза безопасности корпоративного информационного пространства исходит именно изнутри компании.

"Гигиена" информационной системы компании

Практически никто из опрошенных не сталкивался со значительными нарушениями ИБ компании со стороны внешних злоумышленников (рис. 1). Половина респондентов утверждает, что на их памяти не случалось попыток проникновения в корпоративную ИС извне. Правда, для абсолютно точного заключения было бы интересно учитывать и еще один факт: имеют ли компании, участвующие в опросе, средства для обнаружения и предотвращения внешних атак, но такой вопрос не был задан.

В повседневной практике довольно часто приходится сталкиваться с тем, что, невзирая на наличие в своем арсенале средств защиты, отделы ИБ компаний и организаций не в состоянии успешно их эксплуатировать. Косвенным подтверждением тому служит картина ответов на вопрос "Насколько развито управление системой обеспечения ИБ?" (рис. 2): неэффективно используется даже такое "гигиеническое" средство защиты, как антивирус. В компаниях почти пятой части респондентов не осуществляется настройка опций автоматического обновления антивирусных баз – этот вопрос отдается на откуп пользователям. Отсюда совершенно очевидно следующее: руководство и IT-специалисты компаний-респондентов могут просто не подозревать о том, какие события происходят в их системах. К слову, современные угрозы, такие, как, например, бот-вирусы, можно обнаружить лишь по едва уловимым признакам, а точнее – только путем анализа тщательно настроенных средств защиты.

Самый опасный нарушитель – пользователь

Вопреки весьма расхожим в 2006 г. утверждениям об огромной опасности, исходящей от инсайдерских угроз, опрос журнала показал, что большая часть инцидентов в реальном опыте специалистов по ИБ – это неумышленные, непреднамеренные действия пользователей (рис. 3). Фактически пользователи нарушают установленные в организации правила использования корпоративной ИС, незлонамеренно совершив то или иное действие (рис. 4). Причем характерно, что правила поведения в области ИБ для сотрудников компаний предусмотрительно описаны (рис. 2) и в политике по информационной безопасности, и в обязанностях сотрудников, и в прочих документах. Несмотря на засвидетельствованное участниками анкетирования наличие в их компаниях специальных инструкций и документов по ИБ, имеет место множество нарушений безопасности из-за неосведомленности пользователей.

Не происходит ли это потому, что требования документов по ИБ до сотрудников не доводятся? Вответе на вопрос " Как сотрудники Вашей компаний узнают о своих обязанностях в области соблюдения ИБ?" (рис. 5), 15% респондентов заявили, что подобные требования существуют лишь на бумаге, и сотрудников организаций о них никак не информируют. Регулярные тренинги в области защиты информации проводятся лишь в пятой части опрошенных компаний. В подавляющем же большинстве случаев специалисты по ИБ несколько самонадеянно полагают, что сотрудники каким-то образом самостоятельно должны овладеть содержимым нормативных документов по безопасности. Смею утверждать, что даже ознакомление "под роспись" не дает никакого эффекта: мы все привыкли формально подписываться под инструкциями по технике безопасности, не вникая в их суть. Нередко и вовсе обходится без такового.

В погоне за тремя зайцами

Чем же для нас чреваты 10% выявленных нарушений? Судя по равномерному распределению ответов на вопрос "Охарактеризуйте важность корпоративной информации" (рис. 6), немногие из специалистов по ИБ действительно разбираются в сущности защищаемого бизнеса. Конечно, и сам вопрос задан несколько прямолинейно, но в практике довольно часто приходится сталкиваться с тем, что в погоне за тремя зайцами (целостностью, конфиденциальностью и доступностью) многие готовы ловить не то, что критично, а то, "кого легче поймать". Порой такие попытки начинают терять связь со здравым смыслом: в какой-то момент все силы службы безопасности затрачиваются на ограничение возможности использовать USB-носители, и при этом никак не контролируются электронная почта, факсы, принтеры и другие средства, позволяющие отправить информацию за пределы организации. Проблемы восстановления информации и работоспособности системы в случае сбоя вообще остаются без внимания. А между прочим это одна из главных угроз, если доверять результатам ответов на вопрос: "Укажите типы пользования информационными ресурсами компании сотрудниками с нарушением установленных режимов в прошлом году?" (рис. 4).

Не таким ли непониманием объясняется выявленное опросом противоречие: несмотря на огромное значение, которое руководство компаний придает вопросам безопасности (рис. 7), увеличить финансирование на обеспечение ИБ и совершенствовать системы защиты TOP-менеджеры не спешат (рис. 8).

Специалисты по безопасности "в собственном соку"

Из исследования совершенно очевидно, что многие специалисты по безопасности "варятся в собственном соку": отвечая на вопрос "К каким мерам по управлению и экспертизе ИБ обращалась Ваша компания за прошедший год?" (рис. 9), только 12,5% опрошенных заявили о том, что пользуются услугами и консультациями профессиональных консультантов по безопасности. Еще чуть более 6% обращаются к мировым стандартам и практикам. Остальные предпочитают сверять действительность лишь с собственным опытом и опытом своих коллег. Следует особо отметить тот факт, что значительная часть опрошенных уверена: количество инцидентов, связанных с ИБ, в будущем будет только расти, и выявлять их станет сложнее (рис. 10). Однако большинство респондентов надеются на некоторую панацею, на палочку-выручалочку в виде какого-то высокотехнологичного решения, которое спасет их от надвигающейся опасности. Отрадно констатировать, что основные надежды связываются именно с правильным выстраиванием и управлением процессами защиты. И это подтверждает наблюдаемый сегодня рост интереса к принимаемым международным стандартам по безопасности. Современные специалисты осознанно стремятся использовать рекомендации стандартов в повседневной деятельности.

Под угрозой информационной безопасности понимается случайная или преднамеренная деятельность людей или физическое явление, которые могут привести к нарушению безопасности информации. Далее рассмотрены основные виды и аспекты угроз информационной безопасности.

2.2.1 Классификация угроз информационной безопасности

Все множество потенциальных угроз информационной безопасности по природе их возникновения можно разделить на два класса (рисунок 7): естественные (объективные) и искусственные (субъективные).

Рисунок 7 - Угрозы безопасности

Естественные угрозы – это угрозы, вызванные воздействиями на автоматизированную систему и ее элементы объективных физических процессов или стихийных природных явлений, независящих от человека.

Искусственные угрозы – это угрозы информационной безопасности, вызванные деятельностью человека. Среди них, исходя из мотивации действий, можно выделить:

1. Непреднамеренные (неумышленные, случайные) угрозы, вызванные ошибками в проектировании автоматизированной системы и ее элементов, ошибками в программном обеспечении, ошибками в действиях персонала и т.п..

2. Преднамеренные (умышленные) угрозы, связанные с корыстными устремлениями людей (злоумышленников).

Источники угроз по отношению к автоматизированной системе могут быть внешними или внутренними. Внутренние угрозы реализуются компонентами самой информационной системы – аппаратно-программным обеспечением или персоналом.

К основным непреднамеренным искусственным угрозам информационной безопасности относятся действия, совершаемые людьми случайно, по незнанию, невнимательности или халатности, из любопытства, но без злого умысла:

1. Неумышленные действия, приводящие к частичному или полному отказу системы или разрушению аппаратных, программных, информационных ресурсов системы (неумышленная порча оборудования, удаление, искажение файлов с важной информацией или программ, в том числе системных и т.п.).

2. Неправомерное отключение оборудования или изменение режимов работы устройств и программ.

3. Неумышленная порча носителей информации.

4. Запуск технологических программ, способных при некомпетентном использовании вызывать потерю работоспособности системы (зависания или зацикливания) или осуществляющих необратимые изменения в системе (форматирование или реструктуризацию носителей информации, удаление данных и т.п.).

5. Нелегальное внедрение и использование неучтенных программ (игровых, обучающих, технологических и др., не являющихся необходимыми для выполнения нарушителем своих служебных обязанностей) с последующим необоснованным расходованием ресурсов (загрузка процессора, захват оперативной памяти и памяти на внешних носителях).

6. Заражение компьютера вирусами.

7. Неосторожные действия, приводящие к разглашению конфиденциальной информации, или делающие ее общедоступной.

8. Разглашение, передача или утрата атрибутов разграничения доступа (паролей, ключей шифрования, идентификационных карточек, пропусков).

9. Проектирование архитектуры системы, технологии обработки данных, разработка прикладных программ, с возможностями, представляющими опасность для работоспособности системы и безопасности информации.

10. Игнорирование организационных ограничений (установленных правил) при работе в системе.

11. Вход в систему в обход средств защиты (загрузка посторонней операционной системы со сменных магнитных носителей и т.п.).

12. Некомпетентное использование, настройка или неправомерное отключение средств защиты персоналом службы безопасности.

13. Пересылка данных по ошибочному адресу абонента (устройства).

14. Ввод ошибочных данных.

15. Неумышленное повреждение каналов связи.

К основным преднамеренным искусственным угрозам относятся:

1. Физическое разрушение системы (путем взрыва, поджога и т.п.) или вывод из строя всех или отдельных наиболее важных компонентов компьютерной системы (устройств, носителей важной системной информации, лиц из числа персонала и т.п.).

2. Отключение или вывод из строя подсистем обеспечения функционирования вычислительных систем (электропитания, охлаждения и вентиляции, линий связи и др.).

3. Действия по дезорганизации функционирования системы (изменение режимов работы устройств или программ, забастовка, саботаж персонала, постановка мощных активных радиопомех на частотах работы устройств системы и т.п.).

4. Внедрение агентов в число персонала системы (в том числе, возможно, и в административную группу, отвечающую за безопасность).

5. Вербовка (путем подкупа, шантажа и т.п.) персонала или отдельных пользователей, имеющих определенные полномочия.

6. Применение подслушивающих устройств, дистанционная фото и видеосъемка и т.п..

7. Перехват побочных электромагнитных, акустических и других излучений устройств и линий связи, а также наводок активных излучений на вспомогательные технические средства, непосредственно не участвующие в обработке информации (телефонные линии, сети питания, отопления и т.п.).

8. Перехват данных, передаваемых по каналам связи, и их анализ с целью выяснения протоколов обмена, правил вхождения в связь и авторизации пользователя и последующих попыток их имитации для проникновения в систему.

9. Хищение носителей информации (магнитных дисков, лент, микросхем памяти, запоминающих устройств и целых ПЭВМ).

10. Несанкционированное копирование носителей информации.

11. Хищение производственных отходов (распечаток, записей, списанных носителей информации и т.п.).

12. Чтение остаточной информации из оперативной памяти и с внешних запоминающих устройств.

13. Чтение информации из областей оперативной памяти, используемых операционной системой (в том числе подсистемой защиты) или другими пользователями, в асинхронном режиме используя недостатки мультизадачных операционных систем и систем программирования.

14. Незаконное получение паролей и других реквизитов разграничения доступа (агентурным путем, используя халатность пользователей, путем подбора, путем имитации интерфейса системы и т.д.) с последующей маскировкой под зарегистрированного пользователя («маскарад»).

15. Несанкционированное использование терминалов пользователей, имеющих уникальные физические характеристики, такие как номер рабочей станции в сети, физический адрес, адрес в системе связи, аппаратный блок кодирования и т.п..

16. Вскрытие шифров криптозащиты информации.

17. Внедрение аппаратных спец вложений, программных закладок и вирусов, т.е. таких участков программ, которые не нужны для осуществления заявленных функций, но позволяющих преодолевать систему защиты, скрытно и незаконно осуществлять доступ к системным ресурсам с целью регистрации и передачи критической информации или дезорганизации функционирования системы.

18. Незаконное подключение к линиям связи с целью работы «между строк», с использованием пауз в действиях законного пользователя от его имени с последующим вводом ложных сообщений или модификацией передаваемых сообщений.

19. Незаконное подключение к линиям связи с целью прямой подмены законного пользователя путем его физического отключения после входа в систему и успешной аутентификации с последующим вводом дезинформации и навязыванием ложных сообщений.

Чаще всего для достижения поставленной цели злоумышленник использует не один, а некоторую совокупность из перечисленных выше путей.