Угрозы безопасности информации

Угроза безопасности – это действиеили событие, которое может привести к разрушению, искажению или несанкционированному использованию информационных ресурсов, включая хранимую и обрабатываемую информацию, а также программные и аппаратные средства.

Угрозу отождествляют обычно либо с характером (видом, способом) дестабилизирующего воздействия на информацию, либо с последствиями (результатами) такого воздействия. Однако такого рода термины могут иметь много трактовок. Возможен и иной подход к определению угрозы безопасности информации, базирующийся на понятии «угроза». Угроза - это намерение нанести физический, материальный или иной вред общественным или личным интересам, возможная опасность.

Классификация возможностей реализации угроз (атак), представляет собой совокупность возможных вариантов действий источника угроз определенными методами реализации с использованием уязвимостей, которые приводят к реализации целей атаки. Цель атаки может не совпадать с целью реализации угроз и может быть направлена на получение промежуточного результата, необходимого для достижения в дальнейшем реализации угрозы. В случае такого несовпадения атака рассматривается как этап подготовки к совершению действий, направленных на реализацию угрозы, т.е. как «подготовка к совершению» противоправного действия. Результатом атаки являются последствия, которые являются реализацией угрозы и/или способствуют такой реализации.

Сам подход к анализу и оценке состояния безопасности информации основывается на вычислении весовых коэффициентов опасности для источников угроз и уязвимостей, сравнения этих коэффициентов с заранее заданным критерием и последовательном сокращении (исключении) полного перечня возможных источников угроз и уязвимостей до минимально актуального для конкретного объекта.

Исходными данными для проведения оценки и анализа служат результаты анкетирования субъектов отношений, направленные на уяснение направленности их деятельности, предполагаемых приоритетов целей безопасности, задач, решаемых автоматизированной системой и условий расположения и эксплуатации объекта. Благодаря такому подходу возможно:

· установить приоритеты целей безопасности для субъекта отношений;

определить перечень актуальных источников угроз;

· определить перечень актуальных уязвимостей;

· оценить взаимосвязь угроз, источников угроз и уязвимостей;

· определить перечень возможных атак на объект;

· описать возможные последствия реализации угроз.

Угрозы безопасности информации делятся на естественные и искусственные.

Естественные угрозы (угрозы, вызванные воздействием на информационную систему объективных физических процессов, стихийных природных явлений, не зависящих от человека) делятся на:

· природные (стихийные бедствия, магнитные бури, радиоактивное излучение, осадки);

· технические. Связаны с надежностью технических средств обработки информации и систем обеспечения.

Искусственные делят на:

· случайные (непреднамеренные) - совершенные по незнанию и без злого умысла, из любопытности или халатности;

· умышленные (преднамеренные) - результат активного воздействия человека на объекты и процессы с целью умышленной дезорганизации функционирования информационной технологии, вывода ее из строя, проникновения в систему и несанкционированного доступа к информации.

Источником случайных угроз могут быть:

· отказы и сбои аппаратных средств в случае их некачественного исполнения и физического старения;

· помехи в каналах и на линиях связи от воздействия внешней среды;

· форсмажорные ситуации (пожар, выход из строя электропитания и т.д.);

· схемные системотехнические ошибки и просчеты разработчиков и производителей технических средств;

· алгоритмические и программные ошибки;

· неумышленные действия пользователей, приводящие к частичному или полному отказу технологии или разрушению аппаратных, программных, информационных ресурсов (неумышленная порча оборудования, удаление, искажение файлов с важной информацией или программ, в том числе системных и т. д.);

· неправомерное включение оборудования или изменение режимов работы устройств и программ;

· неумышленная порча носителей информации;

· запуск технологических программ, способных при некомпетентном использовании вызывать потерю работоспособности системы (зависания или зацикливания) или необратимые изменения в информационной технологии (форматирование или реструктуризация носителей информации, удаление данных и т. д.);

· нелегальное внедрение и использование неучтенных программ (игровых, обучающих, технологических и др., не являющихся необходимыми для выполнения нарушителем своих служебных обязанностей) с последующим необоснованным расходованием ресурсов (загрузка процессора, захват оперативной памяти и памяти на внешних носителях информации и т. д.);

· заражение компьютерными вирусами;

· неосторожные действия, приводящие к разглашению конфиденциальной информации или делающие ее общедоступной;

· разглашение, передача или утрата атрибутов разграничения доступа (паролей, ключей шифрования, идентификационных карточек, пропусков и т. д.);

· проектирование архитектуры технологии, разработка прикладных программ с возможностями, представляющими угрозу для работоспособности информационной технологии и безопасности информации;

· вход в систему в обход средств защиты (загрузка посторонней операционной системы со сменных носителей информации и т. д.); некомпетентное использование, настройка или неправомерное отключение средств защиты персоналом службы безопасности экономического объекта;

· пересылка данных по ошибочному адресу абонента или устройства;

· ввод ошибочных данных;

· неумышленное повреждение каналов связи и т. д.

Умышленные угрозы, в свою очередь, делятся на пассивные и активные.

Пассивные угрозы – это угрозы, направленные на несанкционированное использование информационных ресурсов, не оказывая при этом влияния на функционирование информационной системы. К ним относится, например, попытка получения информации, циркулирующей в каналах связи, посредством их прослушивания.

Активные угрозы – это угрозы, имеющие целью нарушение нормального функционирования информационной системы посредством целенаправленного воздействия на аппаратные, программные и информационные ресурсы. К ним относятся, например, разрушение или радио-электронное подавление каналов связи, вывод из строя рабочих станций сети, искажение сведений в базах данных либо в системной информации в информационных технологиях и т. д.

Среди умышленных угроз выделяют также следующие виды:

1. Внутренние. Возникают внутри управляемой организации. Они чаще всего сопровождаются социальной напряженностью и тяжелым моральным климатом на экономическом объекте, который провоцирует специалистов выполнять какие-либо правонарушения по отношению к информационным ресурсам

Внутренними источниками являются:

· противозаконная деятельность политических, экономических и криминальных структур и отдельных лиц в области формирования, распространения и использования информации, направленная в т.ч. и на нанесение экономического ущерба государству;

· неправомерные действия различных структур и ведомств, приводящие к нарушению законных прав работников в информационной сфере;

· нарушения установленных регламентов сбора, обработки и передачи информации;

· преднамеренные действия и непреднамеренные ошибки персонала автоматизированных систем, приводящие к утечке, уничтожению, искажению, подделке, блокированию, задержке, несанкционированному копированию информации;

· отказы технических средств и сбои программного обеспечения в информационных и телекоммуникационных системах;

· каналы побочных электромагнитных излучений и наводок технических средств обработки информации.

2. Внешние. Направлены на информационную технологию извне. Такие угрозы могут возникать из-за злонамеренных действий конкурентов, экономических условий и других причин (например, стихийных бедствий). К внешним источникам относятся:

· недружественная политика иностранных государств в области информационного мониторинга, распространения информации и новых информационных технологий;

· деятельность иностранных разведывательных и специальных, направленная против интересов Российской Федерации;

· деятельность иностранных экономических структур, направленная против интересов Российской Федерации;

· преступные действия международных групп, формирований и отдельных лиц; стихийные бедствия и катастрофы.

Практика функционирования информационных технологий показывает, что в настоящее время существует большое количество угроз безопасности информации. К основным угрозам безопасности информации и нормального функционирования информационной технологии относятся большое количество различных угроз, которые могут иметь локальный характер или интегрированный, т. е. совмещаться, комбинироваться или совпадать по своим действиям с другими видами угроз безопасности.

В целом можно выделить следующие умышленные угрозы безопасности данных в информационных технологиях (включая активные, пассивные, внутренние и внешние):

· взлом системы;

· компрометация информации;

· нарушение информационного обслуживания;

· незаконное использование привилегий;

· несанкционированное использование информационных ресурсов;

· несанкционированный доступ;

· отказ от информации;

· утечка конфиденциальной информации.

Взлом системы – это умышленное проникновение в информационную технологию, когда взломщик не имеет санкционированных параметров для входа. Способы взлома могут быть различными, и при некоторых из них происходит совпадение с ранее описанными угрозами. Например, использование пароля пользователя информационной технологии, который может быть вскрыт, например, путем перебора возможных паролей.

Основную нагрузку защиты системы от взлома несет программа входа. Алгоритм ввода имени и пароля, их шифрование, правила хранения и смены паролей не должны содержать ошибок. Противостоять взлому системы поможет, например, ограничение попыток неправильного ввода пароля (т. е. исключить достаточно большой перебор) с последующей блокировкой персонального компьютера (рабочей станции) и уведомлением администратора в случае нарушения. Кроме того, администратор безопасности должен постоянно контролировать активных пользователей системы: их имена, характер работы, время входа и выхода и т. д. Такие действия помогут своевременно установить факт взлома и предпринять необходимые действия.

Необходимо отметить, что особую опасность в настоящее время представляет проблема компьютерных вирусов и вредоносных программ, т. к. эффективной защиты против них разработать не удалось.

Этот вид угроз может быть непосредственно связан с понятием атака, который в настоящее время широко используется нарушителями против информационных технологий различных экономических объектов.

Атаки – это злонамеренные действия взломщика, попытки реализации им любого вида угрозы. Например, атакой является применение любой из вредоносных программ.

Среди атак на информационные системы и технологии часто выделяют «маскарад» и «взлом системы», которые могут быть результатом реализации разнообразных угроз (или комплекса угроз).

Маскарад - это выполнение каких-либо действий одного пользователя от имени другого. При этом такие действия другому пользователю могут быть разрешены. Нарушение заключается в присвоении прав и привилегий. Цель маскарада скрыть какие-либо действия за именем другого пользователя или присвоение прав и привилегий другого пользователя для доступа к его данным или для использования его привилегий. Примерами маскарада могут служить вход в систему под именем и паролем другого пользователя, создание и использование программ, которые в определенном месте могут изменить данные пользователя, передача данных в сети от имени другого пользователя и др.

Для предотвращения маскарада нужно использовать надежные методы идентификации контроль входа в систему, блокировку попыток взлома системы.

Условием, способствующим реализации многих видов угроз информации является наличие люков.

Люк – это скрытая, недокументированная точка входа в программный модуль, входящий в состав программного обеспечения информационной системы и информационной технологии. Люк вставляется в программу обычно на этапе отладки для облегчения работы, Этот модуль можно вызывать из разных частей программы, что позволяет обрабатывать их независимо. Забытый в программе люк позволяет вызвать программу нестандартным образом, что существенно влияет на состояние системы защиты. Люк может остаться в программе ненамеренно (забыли убрать) или намеренно (с целью тайного доступа к программе после ее установки). Люки представляют собой большую угрозу безопасности информации, но их сложно обнаружить, если не знать о них заранее. Защита от люков заключается в анализе текстов исходных программ при их приемке на наличие люков.

Компрометация информации – это один из видов информационных инфекций. Реализуется, как правило, посредством несанкционированных изменений в базе данных, в результате чего ее потребитель вынужден либо отказаться от нее, либо предпринимать дополнительные усилия для выявления изменений и восстановления истинных сведений. При использовании скомпрометированной информации потребитель подвергается опасности принятия неверных решений.

Нарушение информационного обслуживания – это весьма существенная и распространенная угроза, источником которой является сама автоматизированная информационная технология. Задержка с предоставлением информационных ресурсов абоненту может привести к тяжелым для него последствиям. Отсутствие у пользователя своевременных данных, необходимых для принятия решения, может вызвать его нерациональные действия.

Незаконное использование привилегий – еще один вид умышленных угроз безопасности информации. Любая защищенная технология содержит средства, используемые в чрезвычайных ситуациях, или средства, которые способны функционировать с нарушением существующей политики безопасности. Например, на случай внезапной проверки пользователь должен иметь возможность доступа ко всем наборам системы. Обычно эти средства используются администраторами, операторами, системными программистами и другими пользователями, выполняющими специальные функции.

Большинство систем защиты в таких случаях используют наборы привилегий, т. е. для выполнения определенной функции требуется определенная привилегия. Обычно пользователи имеют минимальный набор привилегий, администраторы – максимальный.

Наборы привилегий охраняются системой защиты. Несанкционированный (незаконный) захват привилегий возможен при наличии ошибок в системе защиты, но чаще всего происходит в процессе управления системой защиты, в частности, при небрежном пользовании привилегиями.

Строгое соблюдение правил управления системой защиты, а также принципа минимума привилегий позволяет избежать таких нарушений.

Большинство из перечисленных технических путей утечки информации поддаются надежной блокировке при правильно разработанной и реализуемой на практике системе обеспечения безопасности.

Несанкционированное использование информационных ресурсов – это, с одной стороны, последствие утечки информации и средство ее компрометации. С другой стороны, оно имеет самостоятельное значение, так как может нанести большой ущерб управляемой системе (вплоть до полного выхода информационной технологии из строя) или ее абонентам.

Несанкционированный доступ – это нарушение установленных правил разграничения доступа, последовавшее в результате случайных или преднамеренных действий пользователей или других субъектов системы разграничений.

Несанкционированный доступ к информации выражается в противоправном преднамеренном овладении конфиденциальной информацией лицом, не имеющим права доступа к охраняемым сведениям.

Наиболее распространенными путями несанкционированного доступа к информации являются:

· перехват электронных излучений;

· принудительное электромагнитное облучение (подсветка) линий связи с целью получения паразитной модуляции несущей;

· применение подслушивающих устройств (закладок);

· дистанционное фотографирование;

· перехват акустических излучений и восстановление текста принтера;

· чтение остаточной информации в памяти системы после выполнения санкционированных запросов;

· копирование носителей информации с преодолением мер защиты;

· маскировка под зарегистрированного пользователя («маскарад»);

· использование недостатков языков программирования и операционных систем;

· маскировка под запросы системы;

· использование программных ловушек;

· незаконное подключение к аппаратуре и линиям связи специально разработанных аппаратных средств, обеспечивающих доступ к информации;

· злоумышленный вывод из строя механизмов защиты;

· расшифровка специальными программами зашифрованной информации; информационные инфекции.

Перечисленные пути несанкционированного доступа требуют достаточно больших технических знаний и соответствующих аппаратных или программных разработок со стороны взломщика. Например, используются технические каналы утечки – это физические пути от источника конфиденциальной информации к злоумышленнику, посредством которых возможно получение охраняемых сведений. Причиной возникновения каналов утечки являются конструктивные и технологические несовершенства схемных решений либо эксплуатационный износ элементов. Все это позволяет взломщикам создавать действующие на определенных физических принципах преобразователи, образующие присущий этим принципам канал передачи информации – канал несанкционированного доступа.

Отказ от информации – это непризнание получателем или отправителем этой информации фактов ее получения или отправки. Это позволяет одной из сторон расторгать заключенные финансовые соглашения «техническим» путем, формально не отказываясь от них, нанося тем самым второй стороне значительный ущерб.

Утечка конфиденциальной информации – это бесконтрольный выход конфиденциальной информации за пределы информационной технологии или круга лиц, которым она была доверена по службе или стала известна в процессе работы.

Конфиденциальная информация – это информация, исключительное право на пользование которой принадлежит определенным лицам или группе лиц.

Раскрытие конфиденциальной информации может быть следствием разглашения конфиденциальной информации; утечки информации по различным, главным образом техническим, каналам (по визуально-оптическим, акустическим, электромагнитным и др.); несанкционированного доступа к конфиденциальной информации различными способами.

Можно выделить следующие пути утечки информации при обработке и передаче данных в автоматизированных информационных системах и технологиях:

· хищение носителей информации, незаконное считывание и копирование информации;

· использование программных ловушек;

· внедрение компьютерных вирусов;

· неправильная идентификация, отсутствие контроля ошибок, ошибки в программах;

· маскировка под пользователя, подбор пароля;

· ошибочная коммутация;

· неисправности аппаратуры;

· перехват информации в технических каналах ее утечки, внедрение электронных устройств перехвата информации в технические средства передачи информации и помещения;

· перехват, дешифрование и внедрение ложной информации в сетях передачи данных и линиях связи;

· радиоэлектронное подавление линий связи и систем управления;

· персонал: ошибки в работе оператора, искажение программной защиты, организация люков, ошибочная коммутация, бесконтрольное считывание, использование недостаточной защиты;

· примитивные пути несанкционированного доступа: хищение документальных отходов; инициативное сотрудничество; склонение к сотрудничеству со стороны взломщика; выпытывание; подслушивание; наблюдение и другие пути.

Любые способы утечки конфиденциальной информации могут привести к значительному материальному и моральному ущербу как для организации, где функционирует информационная технология, так и для ее пользователей.

Кто является нарушителем безопасности информации?

Нарушитель – это субъект, совершивший противоправные действия по отношению к информации. Нарушителями в информационных системах и технологиях экономического объекта являются, прежде всего, пользователи и работники, имеющие доступ к информации.

Для определения потенциального нарушителя следует определить предполагаемую категорию лиц, к которым может принадлежать нарушитель, мотивы действий нарушителей, квалификацию нарушителей и их техническую оснащенность.

Нарушители безопасности информации могут быть внутренними или внешними.

Внутренними нарушителями могут быть лица из следующих категорий персонала:

· специалисты (пользователи) информационной технологии;

· сотрудники-программисты, сопровождающие системное, общее и прикладное программное обеспечение;

· персонал, обслуживающий технические средства (инженерные работники информационной технологии);

· другие сотрудники, имеющие санкционированный доступ к ресурсам информационной технологии (в том числе подсобные рабочие, уборщицы, электрики, сантехники и т. д.);

· сотрудники службы безопасности информационной технологии; руководители различного уровня управления.

Доступ к ресурсам информационной технологии других посторонних лиц, не принадлежащих к указанным категориям, может быть ограничен организационно-режимными мерами. Однако следует также учитывать следующие категории посторонних лиц.

К внешнимнарушителями относятся:

· посетители (лица, приглашенные по какому-либо поводу);

· клиенты (представители сторонних организаций или граждане, с которыми работают специалисты организации);

· представители организаций, взаимодействующих по вопросам обеспечения жизнедеятельности экономического объекта (энерго-, водо-, теплоснабжения и т. д.), представители конкурирующих организаций, иностранных спец- служб, лиц, действующих по их заданию и т. д.;

· лица, случайно или умышленно нарушившие пропускной режим (даже без цели нарушения безопасности);

· любые лица за пределами контролируемой территории.

Можно выделить следующие мотивы действий нарушителей – корыстный интерес, безответственность, самоутверждение.

Всех нарушителей можно классифицировать по четырем классификационным признакам.

1. По уровню знаний об информационной технологии различают нарушителей: знающих функциональные особенности информационной технологии, умеющих пользоваться штатными средствами; обладающих высоким уровнем знаний и опытом работы с техническими средствами информационной технологии и их обслуживания; обладающих высоким уровнем знаний в области программирования и вычислительной техники, проектирования и эксплуатации информационных технологий; знающих структуру, функции и механизм действия средств защиты, их сильные и слабые стороны.

2. По уровню возможностей различают нарушителей: применяющих агентурные методы получения сведений; применяющих пассивные средства (технические средства перехвата без модификации компонентов информационной технологии); использующих только штатные средства и недостатки систем защиты для ее преодоления (несанкционированные действия с использованием разрешенных средств), а также компактные машинные носители информации, которые могут быть скрытно пронесены через посты охраны; применяющих методы и средства активного воздействия (модификация и подключение дополнительных устройств и пр.).

3. По времени действия различают нарушителей: действующих в процессе функционирования информационной технологии (во время работы компонентов системы); действующих в нерабочее время, во время плановых перерывов в работе информационной технологии, перерывов для обслуживания и ремонта и т. д., как в процессе функционирования информационной технологии, так и в нерабочее время.

4. По месту действия различают нарушителей: имеющих доступ в зону управления средствами обеспечения безопасности информационной системы; имеющих доступ в зону данных; действующих с автоматизированных рабочих мест (рабочих станций); действующих внутри помещений, но не имеющие доступа к техническим средствам; действующих с контролируемой территории без доступа в здания и сооружения; не имеющих доступа на контролируемую территорию организации.

Для построения надежной системы защиты информации требуются значительные материальные и финансовые затраты. Поэтому необходимо не просто разрабатывать частные механизмы защиты информации, а использовать целый комплекс мер, т.е. использовать специальные средства, методы и мероприятия с целью предотвращения потери данных. Для того, чтобы принятые меры оказались эффективными, необходимо определить:

· что такое угроза безопасности информации;

· выявить каналы утечки данных и пути несанкционированного доступа

· к защищаемой информации;

· определить потенциального нарушителя;

· построить эффективную систему защиты данных в информационных системах и технологиях.