Modele zagrożeń bezpieczeństwa informacji: rodzaje i opis

Technologie informacyjne wykorzystujące coraz więcej nowych rozwiązań w dziedzinie komputerów, każdego dnia są nowymi obszarami zastosowania: od prostych gadżetów i komputerów osobistych po inteligentne domy i autopiloty pojazdów. Wszystko to prowadzi do zwiększenia ilości przesyłanych, używanych i przechowywanych danych, co z kolei tworzy coraz większą liczbę modeli zagrożeń dla bezpieczeństwa informacji. Stąd coraz więcej okazji dla intruzów do korzystania ze słabości przestarzałych systemów bezpieczeństwa informacji. W tym artykule krótko omówiono, co stanowi zagrożenia i czym one są.

Mechanizm wykrywania zagrożeń

Analiza problemów bezpieczeństwa musi być prowadzona z uwzględnieniem interesów ekonomicznych, zagrożeń i strat, które mogą przynieść sukces rzekomego ataku na system informacyjny określonego przedsiębiorstwa. Prywatny model zagrożeń bezpieczeństwa informacji systemu oparty jest na takiej analizie:


  • źródło ataku: zewnętrzne lub wewnętrzne w odniesieniu do chronionego obiektu (przedsiębiorstwa, organizacje itp.);
  • uwzględniające wszystkie obszary ryzyka: sferę gospodarczą przedsiębiorstwa, zasoby fizyczne i informacyjne;
  • czynniki wpływające na bezpieczeństwo: wrażliwość danych i informacji, stopień ich bezpieczeństwa, oprogramowanie, komputery w przedsiębiorstwie i inne urządzenia będące zasobami materialnymi i finansowymi, pracownicy;
  • Wykrywanie typów, skal i kierunków możliwych ataków;
  • metody realizacji zagrożenia: przedmiot ataku, mechanizm i szybkość działania,czynniki przyczyniające się do podatności;
  • Konsekwencje: oszacowane z punktu widzenia strat pieniężnych, moralnych i możliwych odszkodowań.
  • Istnieją dwa główne poglądy na każde zagrożenie. Utożsamiany jest z jednym lub kilkoma rodzajami i metodami realizacji ataków zgodnie z teorią bezpieczeństwa informacji lub wynikami jej wpływu na tę firmę, to znaczy z konsekwencjami, do których prowadzi.


    Prawne aspekty zagrożenia bezpieczeństwem informacji

    Model zagrożenia dla systemu informacyjnego rozpatrywany jest w ścisłym powiązaniu z pojęciem szkody w pierwszej części 15 artykułu kodeksu cywilnego Federacji Rosyjskiej. Określa się go jako rzeczywiste koszty poniesione przez podmiot w wyniku naruszenia jego praw (kradzież poufnych informacji, ich rozpowszechnianie lub wykorzystanie do celów samolubnych), utratę i uszkodzenie mienia, a także koszt odzyskiwania. W Rosji kwestia bezpieczeństwa informacji jest dziś dość trudna. Nawet teraz, w tej dziedzinie, nie ma ogólnie przyjętej normy dotyczącej terminologii. W różnych prawach tę samą istotę można zdefiniować inaczej. Mimo że podejmowane są środki w celu standaryzacji terminologii w tym obszarze.

    Klasyfikacja zagrożeń

    Każdy, nawet podstawowy model zagrożeń bezpieczeństwa informacji wymaga analizy i obowiązkowej identyfikacji zarówno możliwych ataków, jak i metod ich realizacji. W tym celu stworzono różne klasyfikacje (źródło, prawdopodobieństwo, charakter, obiekt i konsekwencja), które pozwalają na najdokładniejszy sposób zaprojektowania odpowiedniej odpowiedzi obronnejlub inny atak. Zagrożenia są klasyfikowane według następujących kryteriów:
  • Składniki systemu informatycznego, które mogą atakować. Należą do nich dane, komputery i sieci oraz inne struktury wspierające pracę systemu.
  • Metody realizacji, które mogą być zarówno losowe, jak i celowe. Uwzględniane są również zdarzenia genetyki stworzonej przez człowieka lub naturalnej.
  • Lokalizacja źródła ataku - zewnętrznego lub wewnętrznego w stosunku do używanego systemu.
  • Elementy bezpieczeństwa informacji, które mogą być celem ataków, a mianowicie dostępność, poufność i integralność danych.
  • Analiza i klasyfikacja pozwalają na uzyskanie stanu systemu ochrony, kiedy zidentyfikowane zostaną większość możliwych zagrożeń i porównane zostaną metody neutralizacji. Oczywiście nie ma sensu budować każdego systemu obronnego dla obrony przed wszystkim. Stosuje się podejście probabilistyczne, ocenia się znaczenie każdej kategorii zagrożeń i jest przeciwko nim, że środki zostaną podjęte w systemie ochrony.

    Algorytm analizy i oceny zagrożeń

    Z pomocą analizy tworzona jest matryca relacji między modelami zagrożeń dla bezpieczeństwa informacji, lukami i prawdopodobnymi konsekwencjami udanego ataku. Obliczany jest współczynnik stopnia zagrożenia każdego pojedynczego ataku jako iloczynu czynnika ryzyka zagrożenia czynnika ryzyka źródła ataku. Zastosowanie takich środków pozwala:
  • określić priorytetowe cele systemu ochrony;
  • ustanawia listę tematycznych ataków i źródeł zagrożeń;
  • , aby znaleźćpodatność systemu informatycznego;
  • w celu oceny możliwości skutecznego ataku w oparciu o wzajemne powiązania słabych punktów i źródeł zagrożeń;
  • opracować szczegółowy przebieg jednego lub drugiego zagrożenia i stworzyć ochronę w odpowiedzi na ewentualny scenariusz ataku;
  • szczegółowo opisują konsekwencje udanego ataku;
  • zaprojektowanie systemu bezpieczeństwa i złożonej organizacji zarządzania bezpieczeństwem informacji.
  • Użytkownicy systemu jako główne źródło zagrożeń

    Model zagrożenia bezpieczeństwa informacji FSTEC umieszcza personel (użytkowników, administratorów, operatorów i inny personel utrzymania systemu) na jednym z pierwszych miejsc pod względem wielkości szkód. Według badań około 65% strat w udanych atakach wynika z przypadkowych błędów popełnionych z powodu nieuwagi, zaniedbań lub z powodu braku odpowiedniego szkolenia pracowników. Takie naruszenia mogą stanowić źródło niezależnych zagrożeń (wprowadzenie nieprawidłowych danych, błędów w programach prowadzących do awarii systemu) i luk w zabezpieczeniach (błędy administratora), które mogą zostać wykorzystane przez napastników.

    Użytkownicy systemu jakości bezpośredniego zagrożenia

    Jak już wspomniano, sam użytkownik może być niebezpieczny i stanowić wzór zagrożenia bezpieczeństwa informacji. Przykłady takiej sytuacji są omówione poniżej:
  • złośliwe - awaria systemu informatycznego lub, na przykład, logiczna zakładka bomby w kodzie bazy danych, która działa w określonych warunkach i niszczy to, co jest w niej przechowywane;
  • niezamierzone - przypadkowe uszkodzenie lub utrata danych;
  • zły system zarządzania;
  • kradzież danych osobowych (hasła, adresy, rachunki bankowe);
  • przekazanie danych osobowych stronom trzecim lub organizacjom.
  • Użytkownicy systemu jako zagrożenie pośrednie

    Luki w systemie należy również uwzględnić w modelu zagrożeń bezpieczeństwa organizacji. Przykładem ważności tego podejścia mogą być działania użytkowników, które prowadzą do osłabienia ochrony systemu i otwierają drogę do bezpośredniego zagrożenia:

  • odmowa pracy z systemem informacyjnym, na przykład w wyniku niechęci do opracowania nowego oprogramowania;
  • nieprzestrzeganie wymagań użytkowników;
  • ​​
  • niemożność pracy w pełnym wymiarze godzin ze względu na brak odpowiednich umiejętności (niewystarczająca wiedza na temat technologii komputerowej, niezdolność do przetwarzania komunikatów o błędach) i wynikające z tego niepowodzenia w systemie.
  • Automatyzacja i zagrożenia

    Użytkownik może stanowić znaczącą listę zagrożeń dla systemu informatycznego. Dlatego logicznym rozwiązaniem w walce z niezamierzonymi błędami będzie zmniejszenie ich udziału i przejście do automatyzacji: zastosowanie dogmatu Fool Proof Device, standaryzacja, regulacja i ścisła kontrola działań użytkownika. Istnieją jednak również modele zagrożeń bezpieczeństwa informacji, które należy wziąć pod uwagę:
  • zapomniane unieważnienie dostępu do systemu emerytowanego pracownika;
  • Niewystarczająca dokumentacja zautomatyzowanego systemu i brak wsparcia technicznego;
  • naruszenia zasad użytkowania, zarówno przypadkowych, jak i celowych;
  • wyjście z normalnego trybu pracy w związku z działaniami użytkownika (zbyt duża liczba wniosków) lub personelem administracyjnym (zła ocena wielkości przetworzonych danych w jednostce czasu);
  • błędy konfiguracji;
  • awarii sprzętu sprzętowego;
  • Naruszenie integralności danych w wyniku awarii systemu.
  • Inne zagrożenia

    System informacyjny, oprócz swojej głównej struktury, obejmuje również pomocnicze, które zapewnia pracę głównych części systemu. Struktury wspierające powinny również uwzględniać modele zagrożeń bezpieczeństwa informacji. Przykładem tego są katastrofy spowodowane przez człowieka i klęski żywiołowe. Opiszmy bardziej szczegółowe zagrożenia na większą skalę:
  • Naruszenia pracy systemów komunikacyjnych (Internet, sieć elektryczna, zaopatrzenie w wodę, dostawy gazu, chłodzenie).
  • Uszkodzenie lub niszczenie budynków.
  • Sytuacje nadzwyczajne w mieście lub kraju, w którym obywatele odmawiają wykonywania obowiązków służbowych z jakiegokolwiek powodu: wojny domowe, poważne wypadki, zamachy terrorystyczne lub groźby terrorystyczne, strajki itp.
  • Klęski żywiołowe.
  • Według statystyk udział klęsk żywiołowych i katastrof spowodowanych przez człowieka stanowi od 13 do 15% strat poniesionych przez systemy informacyjne. Z tego powodu istnieją nawet te systemy informacyjne, które muszą nadal działać w zwykłym trybie, nawet pomimo klęsk żywiołowych.

    Rodzaje chronionych informacji

    DowolnyOrganizacja, której jednym z zasobów są informacje, może mieć prywatne modele zagrożeń bezpieczeństwa informacji. Zostaną one generowane wewnętrzną strukturę firmy, która opiera się na wydziały, pracowników, stosunków gospodarczych, technicznych, wewnętrznych stosunków społecznych i tak dalej. D. W związku z tym całkowita masa serwisów informacyjnych wewnętrznych i zewnętrznych do swoich systemów i technologii specjalistów i kadry tworzyć zasoby informacyjne i technologiczne.
    Tak więc, dla każdej komercyjnej informacji gospodarczej można podzielić na: zastrzeżonych, poufnych, tajnych, tajemnicy handlowej. Chociaż dla każdej organizacji pozarządowej informacja jest podzielona na raczej proste klasy. Ale nawet w przypadku uproszczonej należy ściśle sklasyfikowany i przypisać odpowiednie przepisy, aby móc zbudować właściwą ochronę danych i nad systemem operacyjnym.

    Podsumowanie

    Właściwa organizacja systemu bezpieczeństwa informacji jest złożonym procesem i często kosztownym. W tym celu konieczne jest przeprowadzenie szczegółowej inwentaryzacji wszystkich zasobów informacji, złamać wszystkie dane na kategorie wykonywania modeli klasyfikacyjnych zagrożeń dla bezpieczeństwa informacji, projekt i opracowanie systemu ochrony, w tym wszystkich dokumentów prawnych, wyboru sprzętu i oprogramowania wystarczające do realizacji przepływu pracy na odpowiednim poziomy zgodności z bezpieczeństwem informacji itp.
    Organizacja ochrony informacji wymaga kompetentnych specjalistów w tej dziedzinie ikompetentne kierownictwo firmy, które będzie gotowe do przestrzegania niezbędnych standardów bezpieczeństwa i alokacji zasobów na ich wsparcie.

    Powiązane publikacje