2015-05-06
4344
Угрозы, как возможные опасности совершения какого-либо действия, направленного против объекта защиты, проявляются не сами по себе, а через уязвимости (факторы), приводящие к нарушению безопасности информации на конкретном объекте информатизации.
Уязвимости присущи объекту информатизации, неотделимы от него и обуславливаются недостатками процесса функционирования, свойствами архитектуры автоматизированных систем, протоколами обмена и интерфейсами, применяемыми программным обеспечением и аппаратной платформой, условиями эксплуатации и расположения.
Источники угроз могут использовать уязвимости для нарушения безопасности информации, получения незаконной выгоды (нанесения ущерба собственнику, владельцу, пользователю информации) Кроме того, возможно не злонамеренные действия источников угроз по активизации тех или иных уязвимостей, наносящих вред.
Каждой угрозе могут быть сопоставлены различные уязвимости. Устранение или существенное ослабление уязвимостей влияет на возможность реализации угроз безопасности информации.
|
|
|
Для удобства анализа, уязвимости разделены на классы (обозначаются заглавными буквами), группы (обозначаются римскими цифрами) и подгруппы (обозначаются строчными буквами). Уязвимости безопасности информации могут быть:
[А] объективными
[В] субъективными
[С] случайными.
Объективные уязвимости
Объективные уязвимости зависят от особенностей построения и технических характеристик оборудования, применяемого на защищаемом объекте. Полное устранение этих уязвимостей невозможно, но они могут существенно ослабляться техническими и инженерно-техническими методами парирования угроз безопасности информации. К ним можно отнести:
[А.I] сопутствующие техническим средствам излучения
[A.I.a] электромагнитные (побочные излучения элементов технических средств [1], кабельных линий технических средств [2], излучения на частотах работы генераторов [3], на частотах самовозбуждения усилителей [4])
[A.I.b] электрические (наводки электромагнитных излучений на линии и проводники [1], просачивание сигналов в цепи электропитания, в цепи заземления [2], неравномерность потребления тока электропитания [3])
[A.I.c] звуковые (акустические [1], виброакустические [2])
[A.II] активизируемые
[A.II.a] аппаратные закладки (устанавливаемые в телефонные линии [1], в сети электропитания [2], в помещениях [3], в технических средствах [4])
[A.II.b] программные закладки (вредоносные программы [1], технологические выходы из программ [2], нелегальные копии ПО [3])
[A.III] определяемые особенностями элементов
[A.III.a] элементы, обладающие электроакустическими преобразованиями (телефонные аппараты [1], громкоговорители и микрофоны [2], катушки индуктивности [3], дроссели [4], трансформаторы и пр. [5])
|
|
|
[A.III.b] элементы, подверженные воздействию электромагнитного поля (магнитные носители [1], микросхемы [2], нелинейные элементы, поверженные ВЧ навязыванию [3])
[A.IV] определяемые особенностями защищаемого объекта
[A.IV.a] местоположением объекта (отсутствие контролируемой зоны [1], наличие прямой видимости объектов [2], удаленных и мобильных элементов объекта [3], вибрирующих отражающих поверхностей [4])
[A.IV.b] организацией каналов обмена информацией (использование радиоканалов [1], глобальных информационных сетей [2], арендуемых каналов [3])
Субъективные уязвимости
Субъективные уязвимости зависят от действий сотрудников и, в основном, устраняются организационными и программно-аппаратными методами:
[B.I] ошибки
[B.I.a] при подготовке и использовании программного обеспечения (при разработке алгоритмов и программного обеспечения [1], инсталляции и загрузке программного обеспечения [2], эксплуатации программного обеспечения [3], вводе данных [4])
[B.I.b] при управлении сложными системами (при использовании возможностей самообучения систем [1], настройке сервисов универсальных систем [2], организации управления потоками обмена информации [3])
[B.I.c] при эксплуатации технических средств (при включении/выключении технических средств [1], использовании технических средств охраны [2], использовании средств обмена информацией [3])
[B.II] нарушения
[B.II.a] режима охраны и защиты (доступа на объект [1], доступа к техническим средствам [2])
[B.II.b] режима эксплуатации технических средств (энергообеспечения [1], жизнеобеспечения [2])
[B.II.c] режима использования информации (обработки и обмена информацией [1], хранения и уничтожения носителей информации [2], уничтожения производственных отходов и брака [3])
[B.II.d] режима конфиденциальности (сотрудниками в нерабочее время [1], уволенными сотрудниками [2]).
Случайные уязвимости
Случайные уязвимости зависят от особенностей окружающей защищаемый объект среды и непредвиденных обстоятельств. Эти факторы, как правило, мало предсказуемы и их устранение возможно только при проведении комплекса организационных и инженерно-технических мероприятий по противодействию угрозам информационной безопасности:
[C.I] сбои и отказы
[C.I.a] отказы и неисправности технических средств (обрабатывающих информацию [1], обеспечивающих работоспособность средств обработки информации [2], обеспечивающих охрану и контроль доступа [3])
[C.I.b] старение и размагничивание носителей информации (дискет и съемных носителей [1], жестких дисков [2], элементов микросхем [3], кабелей и соединительных линий [4])
[C.I.c] сбои программного обеспечения (операционных систем и СУБД [1], прикладных программ [2], сервисных программ [3], антивирусных программ [4])
[C.I.d] сбои электроснабжения (оборудования, обрабатывающего информацию [1], обеспечивающего и вспомогательного оборудования [2])
[C.II] повреждения
[C.II.a] жизнеобеспечивающих коммуникаций (электро-, водо-, газо-, теплоснабжения, канализации [1], кондиционирования и вентиляции [2])
[C.II.b] ограждающих конструкций (внешних ограждений территорий, стен и перекрытий зданий [1], корпусов технологического оборудования [2])
