Источники угроз безопасности информации, их классификация

В качестве источников угроз  могут быть: действия субъекта (антропогенные  источники угроз); технические средства (техногенные источники угрозы); стихийные источники.

К антропогенным источникам угроз относятся субъекты, действия которых могут быть квалифицированы  как умышленные или случайные  преступления. К техногенным источникам угроз относятся источники, определяемые технократической деятельностью человека и развитием цивилизации. К стихийным  источникам угроз относятся стихийные  бедствия или иные обстоятельства, которые невозможно или возможно предусмотреть, но невозможно предотвратить  при современном уровне человеческого  знания и возможностей. Однако наибольший ущерб информации и информационным системам наносят неправомерные  действия сотрудников и компьютерные вирусы. Американские специалисты утверждают, что до 85% случаев промышленного  шпионажа ведётся силами сотрудников  компании, в которой это происходит. В 2005 г. более трети финансовых потерь и потерь данных в организациях происходило  по вине их собственных сотрудников. Решение этих проблем относится  к компетенции администрации  и службы безопасности организации. При этом рекомендуется шифровать  даже внутрифирменную переписку.

Вирусы представляют широко распространённое явление, отражающееся на большинстве пользователей компьютеров, особенно работающих в сетях и  с нелицензионным программным обеспечением. Вирусы появились в результате создания самозапускающихся программ. Внешняя схожесть этих программ с биологией и медициной по характеру воздействия на программно-технические средства способствовала появлению таких терминов, как: вирус, заражение, лечение, профилактика, прививки, доктор и др. Процесс внедрения вирусом своей копии в другую программу (системную область диска и т.д.) называется заражением, а программа или иной объект – заражёнными. Вирусы – это класс программ, незаконно проникающих в компьютеры пользователей и наносящих вред их программному обеспечению, информационным файлам и даже техническим устройствам, например, жёсткому магнитному диску. С развитием сетевых информационных технологий вирусы стали представлять реальную угрозу для пользователей сетевых и локальных компьютерных систем.

Вирусы проникают и  в карманные персональные компьютеры (КПК) Первая троянская программа  для КПК (Backdoor.WinCE.Brador.a – утилита скрытого дистанционного доступа) обнаружена в августе 2004 года. Она может добавлять, удалять файлы на КПК, а также пересылать их автору вируса. Программа-вирус обычно состоит из уникальной последовательности команд – сигнатур (знаков) и поведений, что позволяет создавать обнаруживающие их программы-антивирусы. Некоторые вирусы не имеют уникальных сигнатур и поведения и могут видоизменять самих себя (полиморфные). Всё большую роль в области несанкционированных воздействий на информацию, здания, помещения, личную безопасность пользователя и обслуживающий персонал играют ошибочные (в т.ч. случайные) и преднамеренные действия людей.

Типичными причинами нарушения  безопасности на объекте являются: ошибки индивидов или неточные их действия; неисправность и (или) отказ  используемого оборудования; непредсказуемые и недопустимые внешние проявления; неисправность и (или) отсутствие необходимых средств защиты; случайные и преднамеренные воздействия на информацию, защищаемые элементы оборудования, человека и окружающую среду.

Установлено, что ошибочные  действия людей составляют 50–80%, а  технических средств – 15–25% нарушений  безопасности объектов и данных. Ошибочные  и несанкционированные действия людей объясняются недостаточной  их дисциплинированностью и подготовленностью  к работе, опасной технологией  и несовершенством используемой ими техники. Известно, что число  связанных с человеческим фактором техногенных аварий и катастроф  доходит до двух третей от общего их количества. Отрицательные информационные социально-психологические воздействия, в т.ч. дискомфорт, человек получает и в процессе работы с огромными  массивами данных. Кроме стресса, он становится жертвой информационных перегрузок, информационного шума и  т.п.

Анализ угроз ИБ показывает, что они также могут быть разделены  на два вида: внутренние и внешние. Внутренние угрозы безопасности объекта  защиты: неквалифицированная корпоративная  политика по организации информационных технологий и управлению безопасностью  корпорации; отсутствие должной квалификации персонала по обеспечению деятельности и управлению объектом защиты; преднамеренные и непреднамеренные действия персонала  по нарушению безопасности; техногенные  аварии и разрушения, пожары.

Внешние угрозы безопасности объекта защиты: негативные воздействия  недобросовестных конкурентов и  государственных структур; преднамеренные и непреднамеренные действия заинтересованных структур и лиц (сбор информации, шантаж, искажение имиджа, угрозы физического  воздействия и др.); утечка конфиденциальной информации из носителей информации и обусловленных каналов связи; несанкционированное проникновение на объект защиты; несанкционированный доступ к носителям информации и обусловленным каналам связи с целью хищения, искажения, уничтожения, блокирования информации; стихийные бедствия и другие форс-мажорные обстоятельства; преднамеренные и непреднамеренные действия системных интеграторов и поставщиков услуг по обеспечению безопасности, поставщиков технических и программных продуктов, кадров.

При комплексном подходе  к анализу угроз ИБ объекта  информатизации необходимо провести: описание объекта; классификацию источников угроз; классификацию уязвимостей; классификацию методов реализации угроз; ранжирование актуальных атак; классификацию методов парирования  угроз.

Структурированное описание объекта информатизации, представленное в виде типовых структурных компонентов  информационной системы и связей между ними, характеризующих направления  циркуляции и параметры потоков  информации в совокупности с текстовыми пояснениями, позволяет выявить  точки возможного применения угроз  или вскрыть существующие уязвимости.

Анализ и оценка возможностей реализации угроз должны быть основаны на построении модели угроз, классификации, анализе и оценки источников угроз, уязвимостей и методов реализации. Моделирование процессов нарушения  информационной безопасности может  осуществляться на основе рассмотрения логической цепочки: угроза – источник угрозы – метод реализации –  уязвимость – последствия. Каждый компонент  рассматриваемой логической цепочки  целесообразно описывается с  необходимой подробностью.

Угрозы классифицируются по возможности нанесения ущерба при нарушении целей информационной безопасности; источники угроз –  по типу и местоположению носителя угрозы; уязвимости – по принадлежности к источнику уязвимостей, возможным проявлениям. Классификация атак представляет собой совокупность возможных вариантов действий источника угроз определенными методами реализации с использованием уязвимостей, которые приводят к реализации целей атаки. Цель атаки может не совпадать с целью реализации угроз и быть направлена на получение промежуточного результата, необходимого для достижения в дальнейшем реализации угрозы. В случае несовпадения целей атаки с целью реализации угрозы сама атака рассматривается как этап подготовки к совершению действий, направленных на угрозы, то есть как «подготовка к совершению» противоправного действия. На основе проведенной классификации, ранжирования, анализа и определения актуальных угроз, источников угроз и уязвимостей определяются варианты возможных атак, которые позволяют оценить состояние информационной безопасности и оптимизировать выбор методов парирования угроз.

3. Методы парирования  угроз.

Средства и методы защиты информации обычно делят на две большие  группы: организационные и технические. Под организационными подразумеваются законодательные, административные и физические, а под техническими – аппаратные, программные и криптографические мероприятия, направленные на обеспечение защиты объектов, людей и информации. С целью организации защиты объектов используют системы охраны и безопасности объектов – это совокупность взаимодействующих радиоэлектронных приборов, устройств и электрооборудования, средств технической и инженерной защиты, специально подготовленного персонала, а также транспорта, выполняющих названную функцию. При этом используются различные методы, обеспечивающие санкционированным лицам доступ к объектам и ИР. К ним относят аутентификацию и идентификацию пользователей.

Аутентификация – это  метод независимого от источника  информации установления подлинности  информации на основе проверки подлинности  её внутренней структуры (“это тот, кем  назвался?”).

Авторизация – в информационных технологиях это предоставление определённых полномочий лицу или группе лиц на выполнение некоторых действий в системе обработки данных. (“имеет ли право выполнять данную деятельность?”). Посредством авторизации устанавливаются и реализуются права доступа к ресурсам.

Идентификация – это метод  сравнения предметов или лиц  по их характеристикам, путём опознавания  по предметам или документам, определения  полномочий, связанных с доступом лиц в помещения, к документам и т.д. (“это тот, кем назвался и  имеет право выполнять данную деятельность?”).

В современных информационных технологиях для эффективного использования  этих методов, кроме физических мер  охраны объектов, широко применяются  программно-технические средства, основанные на использовании биометрических систем, криптографии и др.

Эффективность защиты информации в значительной степени зависит  от своевременности обнаружения  и исключения воздействий на неё, а, при необходимости, восстановления программ, файлов, информации, работоспособности  компьютерных устройств и систем. Важной составляющей выполнения подобные действия являются программные и  технические средства защиты.

Программные средства защиты – это самый распространённый метод защиты информации в компьютерах  и информационных сетях. Обычно они  применяются при затруднении  использования некоторых других методов и средств. Проверка подлинности  пользователя обычно осуществляется операционной системой. Пользователь идентифицируется своим именем, а средством аутентификации служит пароль.

Программные средства защиты представляют комплекс алгоритмов и  программ специального назначения и  общего обеспечения работы компьютеров  и информационных сетей. Они нацелены на: контроль и разграничение доступа  к информации, исключение несанкционированных  действий с ней, управление охранными  устройствами и т.п. Программные  средства защиты обладают универсальностью, простотой реализации, гибкостью, адаптивностью, возможностью настройки системы  и др.

Широко применяются программные  средства для защиты от компьютерных вирусов. Для защиты машин от компьютерных вирусов, профилактики и “лечения”  используются программы-антивирусы, а  также средства диагностики и  профилактики, позволяющие не допустить  попадания вируса в компьютерную систему, лечить заражённые файлы и  диски, обнаруживать и предотвращать  подозрительные действия. Антивирусные программы оцениваются по точности обнаружения и эффективному устранение вирусов, простое использование, стоимость, возможности работать в сети.

Наибольшей популярностью  пользуются программы, предназначенные  для профилактики заражения, обнаружения  и уничтожения вирусов. Среди  них отечественные антивирусные программы DrWeb (Doctor Web) И. Данилова и AVP (Antiviral Toolkit Pro) Е. Касперского. Они обладают удобным интерфейсом, средствами сканирования программ, проверки системы при загрузке и т.д. В России используются и зарубежные антивирусные программы.

Абсолютно надёжных программ, гарантирующих обнаружение и  уничтожение любого вируса, не существует. Только многоуровневая оборона способна обеспечить наиболее полную защиту от вирусов. Важным элементом защиты от компьютерных вирусов является профилактика. Антивирусные программы применяют одновременно с регулярным резервированием данных и профилактическими мероприятиями. Вместе эти меры позволяют значительно снизить вероятность заражения вирусом.

Основными мерами профилактики вирусов являются:

1) применение лицензионного  программного обеспечения;

2) регулярное использование  нескольких постоянно обновляемых  антивирусных программ для проверки  не только собственных носителей  информации при переносе на  них сторонних файлов, но и  любых “чужих” дискет и дисков  с любой информацией на них,  в т.ч. и переформатированных;

3) применение различных  защитных средств при работе на компьютере в любой информационной среде (например, в Интернете). Проверка на наличие вирусов файлов, полученных по сети;

4) периодическое резервное  копирование наиболее ценных  данных и программ.

Одним из наиболее известных  способов защиты информации является её кодирование (шифрование, криптография). Оно не спасает от физических воздействий, но в остальных случаях служит надёжным средством. Код характеризуется: длиной – числом знаков, используемых при кодировании и структурой – порядком расположения символов, используемых для обозначения классификационного признака. Средством кодирования  служит таблица соответствия (например кодовая таблица ASCII).

Общие методы криптографии существуют давно. Она считается  мощным средством обеспечения конфиденциальности и контроля целостности информации. Пока альтернативы методам криптографии нет. Стойкость криптоалгоритма зависит от сложности методов преобразования. Вопросами разработки, продажи и использования средств шифрования данных и сертификации средств защиты данных занимается Гостехкомиссия РФ. Если использовать 256 и более разрядные ключи, то уровень надёжности защиты данных составит десятки и сотни лет работы суперкомпьютера. Для коммерческого применения достаточно 40-, 44-разрядных ключей.