Виды и состав угроз информационной безопасности

Под угрозой безопасности информации понимается совокупность условий и факторов, создающих потенциальную или реально существующую опасность нарушения безопасности информации.

Фактор, воздействующий на защищаемую информацию - явление, действие или процесс, результатом которого могут быть утечка, искажение, уничтожение защищаемой информации, блокирование доступа к ней.

Источник угрозы безопасности информации - субъект (физическое лицо, материальный объект или физическое явление), являющийся непосредственной причиной возникновения угрозы безопасности информации.

Уязвимость информационной системы (брешь) - свойство информационной системы, обусловливающее возможность реализации угроз безопасности обрабатываемой в ней информации.

По отношению к информации и информационным ресурсам можно выделить угрозы целостности, конфиденциальности, достоверности и доступности информации, проявляющиеся в различных формах нарушений (рис. 1.).

Как правило, вышеперечисленные угрозы информационным ресурсам реализуются следующими способами:

1. Через имеющиеся агентурные источники в органах государственного управления и коммерческих структурах, имеющих возможность получения конфиденциальной информации (суды, налоговые органы, коммерческие банки и т. д.).

2. Путем подкупа лиц, непосредственно работающих в организации или структурах, напрямую связанных с ее деятельностью.

3. Путем перехвата информации, циркулирующей в средствах и системах связи и вычислительной технике с помощью технических средств разведки и съема информации.

4. Путем прослушивания конфиденциальных переговоров и другими способами несанкционированного доступа к источникам конфиденциальной информации.

Рис. 1. Влияние угроз информации на критерии информационной безопасности

Информационная безопасность оказывает влияние на защищенность интересов в различных сферах жизнедеятельности общества и государства. В каждой из них имеются свои особенности обеспечения информационной безопасности, связанные со спецификой объектов обеспечения безопасности, степенью их уязвимости в отношении угроз информационной безопасности.

Например, с позиции обеспечения безопасности информации в компьютерных системах (КС) все множество потенциальных угроз безопасности информации в КС может быть разделено на два класса.

Угрозы, которые не связаны с преднамеренными действиями злоумышленников и реализуются в случайные моменты времени, называют случайными или непреднамеренными.

Реализация угроз этого класса приводит к наибольшим поте­рям информации (по статистическим данным - до 80% от ущерба, наносимого информационным ресурсам КС любыми угрозами). При этом могут происходить уничтожение, нарушение целостно­сти и доступности информации. Реже нарушается конфиденци­альность информации, однако при этом создаются предпосылки для злоумышленного воздействия на информацию.

Стихийные бедствия и аварии чреваты наиболее разрушительными последствиями для информации, так как носители подвергаются физическому разрушению, информация утрачивается или доступ к ней становится невозможен.

Сбои и отказы сложных систем неизбежны. В результате сбо­ев и отказов нарушается работоспособность технических средств, уничтожаются и искажаются данные и программы, нарушается алгоритм работы устройств. Нарушения алгоритмов работы отдельных узлов и устройств могут также привести к нарушению конфиденциальности информации. Например, сбои и отказы средств выдачи информации могут привести к несанкционированному доступу к информации путем несанкционированной ее.передачи в канал связи, на печатающее устройство и т. п.

Ошибки при разработке КС, алгоритмические и программ­ные ошибки приводят к последствиям, аналогичным последстви­ям (сбоев и отказов технических средств. Кроме того, такие ошиб­ки могут быть использованы злоумышленниками для воздействия на ресурсы КС. Особую опасность представляют ошибки в опера­ционных системах (ОС) и в программных средствах защиты ин­формации.

Согласно данным Национального института стандартов и технологий США (NIST) 65% случаев нарушения безопасности информации происходит в результате ошибок пользователей и обслуживающего персонала. Некомпетентное, небрежное или невнимательное выполнение функциональных обязанностей со­трудниками приводят к уничтожению, нарушению целостности и конфиденциальности информации, а также компрометации меха­низмов защиты.

Другой класс угроз безопасности информации в компьютерных системах составля­ют преднамеренно создаваемые угрозы. Угрозы этого класса в соответствии с их физической сущностью и механизмами реали­зации могут быть распределены по пяти группам:

- традиционный или универсальный шпионаж и диверсии;

- несанкционированный доступ к информации;

- электромагнитные излучения и наводки;

- модификация структур;

- вредоносные программы.

В качестве источников нежелательного воздействия на ин­формационные ресурсы по-прежнему актуальны методы и сред­ства шпионажа и диверсий, которые использовались и исполь­зуются для добывания или уничтожения информации. Эти методы также действенны и эффективны в условиях применения компьютерных систем. Чаще всего они ис­пользуются для получения сведений о системе защиты с целью проникновения в систему, а также для хищения и уничтожения ин­формационных ресурсов.

Угрозы в коммерческой деятельности также имеют свои особенности.

По отношению к отдельной организации сущест­вуют следующие основные виды внешних угроз:

1. Недобросовестные конкуренты.

2. Криминальные группы иформирования.

3. Противозаконные действия отдельных лиц и организаций административного аппарата, в том числе и налоговых служб.

4. Нарушение установленного регламента сбора, обработки и пе­редачи информации.

Основные виды внутренних угроз:

1. Преднамеренные преступные действия собственного персонала организации.

2. Непреднамеренные действия и ошибки сотрудников.

3. Отказ оборудования и технических средств.

4. Сбои программного обеспечения средств обработки информации.

Внутренние и внешние угрозы тесно взаи­модействуют. Например, общая тенденция криминализации хозяй­ственной деятельности ведет к снижению морально-этических норм сотрудников всех рангов, часто толкает их на действия, наносящие ущерб предприятию.

Соотношение внутренних и внешних угроз в соответствии с характеризуется следующими показателями: 81,7% угроз совершает­ся либо самими сотрудниками организаций, либо при их прямом или опосредованном участии (внутренние угрозы); 17,3% угроз — внеш­ние угрозы или преступные действия; 1,0% угроз — угрозы со сторо­ны случайных лиц.

Объектами различных угроз в коммерческой деятельности являются:

1. Человеческие ресурсы (персонал, сотрудники, компаньоны и др.), включая трудовые и кадровые ресурсы.

2. Материальные ресурсы.

3. Финансовые ресурсы.

4. Временные ресурсы.

5. Информационные ресурсы, включая интеллектуальные ресурсы (патенты, незавершенные проектно-конструкторские разработки, ноу-хау, программные продукты, массивы бухгалтерской и статистической информации и пр.).

Наиболее опасным источником угроз предприятиям выступа­ют собственные сотрудники. Мотивами внутренних угроз в этом случае являют­ся безответственность, некомпетентность (низкая квалификация), личные побуждения (самоутверждение, корыстные интересы).

В условиях сохраняющейся высокой степени монополизации российской экономики опасность предпринимательству представляет недобросовестная конкуренция, представляющая собой:

1. Все действия, ведущие к тому, что потребитель может принять предприятие, товары, промышленную или коммерческую деятельность данной организации за предприятие, товары, промышленную или коммерческую деятельность конкурента.

2. Ложные заявления в ходе коммерческой деятельности, дискредитирующие предприятие, товары, промышленную или коммерческую деятельность конкурента.

3. Использование в ходе коммерческой деятельности указаний или обозначений, которые вводят потребителя в заблуждение относительно природы, способа изготовления, характеристик, пригодности для определенных целей или количества товаров.

Реализация угроз в данном случае снижает эффективность и надежность функционирования организаций, а в отдельных слу­чаях, приводят к прекращению их деятельности из-за опасности экономического, социального, правового, организационного, ин­формационного, экологического, технического и криминального характера. Объектами угроз могут быть элементы вещественного, личного («человеческого»), финансового, информационного и ино­го капитала, составляющего экономическую основу деятельности предпринимательства.

Каждая угроза влечет за собой определенный ущерб (потери) — моральные или ма­териальные, а меры по противодействию этой угрозе призваны сни­зить ее величину до приемлемого уровня.

Оценка возможных ущербов (потерь) предполагает знание видов потерь, связанных с предпринимательской деятельностью, и умение вычисления их вероятностной прогнозной величины. Существуют следующие виды возможных ущербов (потерь):

1. Материальные виды потерь проявляются в непредусмотренных предпринимательским проектом дополнительных затратах или прямых потерях оборудования, имущества, продукции, сырья, энергии и т. д.

2. Трудовые потери — это потери рабочего времени, вызванные случайными, непредвиденными обстоятельствами; измеряются в часах рабочего времени. Перевод трудовых потерь в денежное выражение осуществляется путем умножения трудочасов на стоимость (цену) одного часа.

3. Кадровые потери — потери необходимых предприятию про­фессиональных, высококвалифицированных работников; измеря­ются в затратах на подбор и обучение нового кадрового состава в де­нежном выражении.

4. Финансовые потери — прямой денежный ущерб, связанный с непредусмотренными платежами, выплатой штрафов, уплатой дополнительных налогов, потерей денежных средств и ценных бумаг.

5. Временные потери. Происходят, когда процесс предпринимательской деятельности идет медленнее, чем намечено. Прямая оценка таких потерь осуществляется в часах, днях, неделях, месяцах за­паздывания в получении намеченного результата. Чтобы перевести оценку потерь времени в денежное измерение, необходимо устано­вить, к каким потерям дохода, прибыли способны приводить потери времени. В конечном итоге оцениваются в денежном выражении.

6. Информационные потери. Одни из самых серьезных потерь в бизнесе, способные привести к краху всей организации. Исчисляются в стоимостном выражении.

7. Особые виды потерь проявляются в виде нанесения ущерба здоровью и жизни людей, окружающей среде, престижу предпринимателя, а также вследствие других неблагоприятных социальных и морально - психологических последствий.

Информационный ущерб (потери) связан с наличием в процессе предпринимательской деятельности информационного риска, кото­рый входит в общий предпринимательский риск.

Информационный риск - вероятность (угроза) потерь активов субъекта экономики (предпринимателя) в результате потерь, порчи, искажения и разглашения информации.

Информационный риск классифицируется следующим образом:

- риск прерывания информации (прекращение нормальной обработки информации, например, вследствие разрушения, вывода из строя вычислительных средств). Такая категория действий может вызвать весьма серьезные последствия, если даже информация при этом не подвергается никаким воздействиям;

- риск кражи информации (считывание или копирование информации, хищение магнитных носителей информации и результатов печати с целью получения данных, которые могут быть использованы против интересов владельца (собственника) информации);

- риск модификация информации (внесение несанкционированных изменений в данные, направленных на причинение ущерба владельцу (собственнику) информации);

- риск разрушения данных (необратимое изменение информации, приводящее к невозможности ее использования);

- риск электромагнитного воздействия и перехвата информации в автоматизированных и информационных системах (АИС);

- риск съема информации по акустическому каналу;

- риск прекращения питания АИС и поддерживающей инфраструктуры);

- риск ошибки операторов и поставщиков информационных ресурсов АИС;

- риск сбоев программного обеспечения АИС;

- риск неисправности аппаратных устройств АИС (в результате халатных действий сотрудников, несоблюдения техники безопасности, природных катаклизмов, сбоев программных средств и т. д.).

В конечном итоге все противоправные действия приводят к нарушению конфиденциальности, достоверности, целостности и доступности информации.

Таким образом, перечень угроз и источников их возникновения достаточно разнообразен и предложенная классификация не является исчерпывающей. Противодействие проявлениям угроз осуществляется по различным направлениям, с использованием полного арсенала методов и средств защиты.