Рис. 3. Общая классификация угроз безопасности

Естественные угрозы - это угрозы, вызванные воздействиями на КС и ее элементы объективных физических процессов или стихийных природных явлений, независящих от человека.

Искусственные угрозы - это угрозы КС, вызванные деятельностью человека. Среди них, исходя из мотивации действий, можно выделить:

непреднамеренные (неумышленные, случайные) угрозы, вызванные ошибками в проектировании КС и ее элементов, ошибками в программном обеспечении, ошибками в действиях персонала и т.п.;

преднамеренные (умышленные) угрозы, связанные с корыстными устремлениями людей (злоумышленников).

Источники угроз по отношению к КС могут быть внешними или внутренними (компоненты самой КС - ее аппаратура, программы, персонал).

Анализ негативных последствий реализации угроз предполагает обязательную идентификацию возможных источников угроз, уязвимостей, способствующих их проявлению и методов реализации. И тогда цепочка вырастает в схему, представленную на рис. 4.

Рис. 4. Модель реализации угроз информационной безопасности

Угрозы классифицируются по возможности нанесения ущерба субъекту отношений при нарушении целей. Ущерб может быть причинен каким-либо субъектом (преступление, вина или небрежность), а также стать следствием, не зависящим от субъекта проявлений. Угроз не так уж и много. При обеспечении конфиденциальности информации это может быть хищение (копирование) информации и средств ее обработки, а также ее утрата (неумышленная потеря, утечка). При обеспечении целостности информации список угроз таков: модификация (искажение) информации; отрицание подлинности информации; навязывание ложной информации. При обеспечении доступности информации возможно ее блокирование, либо уничтожение самой информации и средств ее обработки.

Все источники угроз можно разделить на классы, обусловленные типом носителя, а классы на группы по местоположению (рис. 5а). Уязвимости также можно разделить на классы по принадлежности к источнику уязвимостей, а классы на группы и подгруппы по проявлениям (рис. 5б). Методы реализации можно разделить на группы по способам реализации (рис. 5в). При этом необходимо учитывать, что само понятие «метод», применимо только при рассмотрении реализации угроз антропогенными источниками. Для техногенных и стихийных источников это понятие трансформируется в понятие «предпосылка».

Рис. 5. Структура классификаций: а) «Источники угроз»; б) «Уязвимости»; в) «Методы реализации»

Классификация возможностей реализации угроз (атак), представляет собой совокупность возможных вариантов действий источника угроз определенными методами реализации с использованием уязвимостей, которые приводят к реализации целей атаки. Цель атаки может не совпадать с целью реализации угроз и может быть направлена на получение промежуточного результата, необходимого для достижения в дальнейшем реализации угрозы. В случае такого несовпадения атака рассматривается как этап подготовки к совершению действий, направленных на реализацию угрозы, т.е. как «подготовка к совершению» противоправного действия. Результатом атаки являются последствия, которые являются реализацией угрозы и/или способствуют такой реализации.

Исходными данными для проведения оценки и анализа угроз безопасности при работе в сети служат результаты анкетирования субъектов отношений, направленные на уяснение направленности их деятельности, предполагаемых приоритетов целей безопасности, задач, решаемых в сети и условий расположения и эксплуатации сети.

2.1.2 Наиболее распространенные угрозы

Самыми частыми и самыми опасными (с точки зрения размера ущерба) являются непреднамеренные ошибки штатных пользователей, операторов, системных администраторов и других лиц, обслуживающих компьютерную сеть.

Иногда такие ошибки и являются собственно угрозами (неправильно введенные данные или ошибка в программе, вызвавшая крах системы), иногда они создают уязвимые места, которыми могут воспользоваться злоумышленники (таковы обычно ошибки администрирования). По некоторым данным, до 65% потерь - следствие непреднамеренных ошибок.

Пожары и наводнения не приносят столько бед, сколько безграмотность и небрежность в работе.

Очевидно, самый радикальный способ борьбы с непреднамеренными ошибками - максимальная автоматизация и строгий контроль.

Другие угрозы доступности можно классифицировать по компонентам КС, на которые нацелены угрозы:

отказ пользователей;

внутренний отказ сети;

отказ поддерживающей инфраструктуры.

Обычно применительно к пользователям рассматриваются следующие угрозы:

нежелание работать с информационной системой (чаще всего проявляется при необходимости осваивать новые возможности и при расхождении между запросами пользователей и фактическими возможностями и техническими характеристиками);

невозможность работать с системой в силу отсутствия соответствующей подготовки (недостаток общей компьютерной грамотности, неумение интерпретировать диагностические сообщения, неумение работать с документацией и т.п.);

невозможность работать с системой в силу отсутствия технической поддержки (неполнота документации, недостаток справочной информации и т.п.).

Основными источниками внутренних отказов являются:

отступление (случайное или умышленное) от установленных правил эксплуатации;

выход системы из штатного режима эксплуатации в силу случайных или преднамеренных действий пользователей или обслуживающего персонала (превышение расчетного числа запросов, чрезмерный объем обрабатываемой информации и т.п.);

ошибки при (пере)конфигурировании системы;

отказы программного и аппаратного обеспечения;

разрушение данных;

разрушение или повреждение аппаратуры.

По отношению к поддерживающей инфраструктуре рекомендуется рассматривать следующие угрозы:

нарушение работы (случайное или умышленное) систем связи, электропитания, водо- и/или теплоснабжения, кондиционирования;

разрушение или повреждение помещений;

невозможность или нежелание обслуживающего персонала и/или пользователей выполнять свои обязанности (гражданские беспорядки, аварии на транспорте, террористический акт или его угроза, забастовка и т.п.).

Весьма опасны так называемые "обиженные" сотрудники - нынешние и бывшие. Как правило, они стремятся нанести вред организации - "обидчику", например:

испортить оборудование;

встроить логическую бомбу, которая со временем разрушит программы и/или данные;

удалить данные.

Обиженные сотрудники, даже бывшие, знакомы с порядками в организации и способны нанести немалый ущерб. Необходимо следить за тем, чтобы при увольнении сотрудника его права доступа (логического и физического) к информационным ресурсам аннулировались.

2.1.3 Вредоносное программное обеспечение

Одним из опаснейших способов проведения атак является внедрение в атакуемые системы вредоносного программного обеспечения.

Выделяют следующие аспекты вредоносного ПО:

вредоносная функция;

способ распространения;

внешнее представление.

Часть, осуществляющая разрушительную функцию, предназначается для:

внедрения другого вредоносного ПО;

получения контроля над атакуемой системой;

агрессивного потребления ресурсов;

изменения или разрушения программ и/или данных.

По механизму распространения различают:

вирусы - код, обладающий способностью к распространению (возможно, с изменениями) путем внедрения в другие программы;

"черви" - код, способный самостоятельно, то есть без внедрения в другие программы, вызывать распространение своих копий по сети и их выполнение (для активизации вируса требуется запуск зараженной программы).

Вирусы обычно распространяются локально, в пределах узла сети; для передачи по сети им требуется внешняя помощь, такая как пересылка зараженного файла. "Черви", напротив, ориентированы в первую очередь на путешествия по сети.

Иногда само распространение вредоносного ПО вызывает агрессивное потребление ресурсов и, следовательно, является вредоносной функцией. Например, "черви" "съедают" полосу пропускания сети и ресурсы почтовых систем.

Вредоносный код, который выглядит как функционально полезная программа, называется троянским. Например, обычная программа, будучи пораженной вирусом, становится троянской; порой троянские программы изготавливают вручную и подсовывают доверчивым пользователям в какой-либо привлекательной упаковке (обычно при посещении файлообменных сетей или игровых и развлекательных сайтов).

1. 2.2 Разработка концепции ИБ

3. 2.2.1 Цели и задачи информационной безопасности

Режим информационной безопасности – это комплекс организационных и программно-технических мер, которые должны обеспечивать следующие параметры:

• доступность и целостность информации;

• конфиденциальность информации;

• невозможность отказа от совершенных действий;

• аутентичность электронных документов.

Цель информационной безопасности - обеспечить бесперебойную работу организации и свести к минимуму ущерб от событий, таящих угрозу безопасности, посредством их предотвращения и сведения последствий к минимуму.

К задачам информационной безопасности бухгалтерии ООО магазин «Стиль» относится:

• объективная оценка текущего состояния информационной безопасности;

• обеспечение защиты и надежного функционирования прикладных информационных сервисов;

• обеспечение безопасного доступа в Интернет с защитой от вирусных атак и спама;

• защита системы электронного документооборота;

• организация защищенного информационного взаимодействия с территориально удаленными офисами и мобильными пользователями;

• получение защищенного доступа к информационной системе организации;

• обеспечение целостности и доступности информации;

• предотвращение некорректного изменения и модификации данных.

1. 2.2.2 Общие направления информационной безопасности

Проблема обеспечения необходимого уровня защиты информации – весьма сложная задача, требующая для своего решения не просто осуществления некоторой совокупности научных, научно-технических и организационных мероприятий и применения специфических средств и методов, а создания целостной системы организационных мероприятий и применения специфических средств и методов по защите информации.

В рамках комплексного подхода к внедрению системы безопасности для бухгалтерии ООО «Стиль» можно выделить следующие общие направления:

• внедрение решений по сетевой безопасности с применением средств компьютерной защиты информации;

• внедрение систем однократной аутентификации (SSO);

• внедрение системы контроля целостности информационной системы;

• внедрение решений по мониторингу и управлению информационной безопасностью;

• внедрение системы контроля доступа к периферийным устройствам и приложениям;

• внедрение систем защиты от модификации и изменения информации.

Основными требованиями к комплексной системе защиты информации являются:

• система защиты информации должна обеспечивать выполнение

информационной системой своих основных функций без существенного ухудшения характеристик последней;

• система защиты должна быть экономически целесообразной;

• защита информации должна обеспечиваться на всех этапах жизненного цикла, при всех технологических режимах обработки информации, в том числе при проведении ремонтных и регламентных работ;

• в систему защиты информации должны быть заложены возможности ее совершенствования и развития в соответствии с условиями эксплуатации и конфигурации;

• система защиты в соответствии с установленными правилами должна обеспечивать разграничение доступа к конфиденциальной информации с отвлечением нарушителя на ложную информацию, т.е. обладать свойствами активной и пассивной защиты;

• система защиты должна позволять проводить учет и расследование случаев нарушения безопасности информации;

• применение системы защиты не должно быть сложной для пользователя, не вызывать психологического противодействия и желания обойтись без нее.

1. 2.2.3 Основные аспекты, решаемые при разработке ИБ

Уязвимость данных в информационной системе бухгалтерии компании обусловлена долговременным хранением большого объема данных на магнитных носителях, одновременным доступом к ресурсам нескольких пользователей. Можно выделить следующие трудности при разработке системы информационной безопасности:

• на сегодняшний день нет единой теории защищенных систем;

• производители средств защиты в основном предлагают отдельные компоненты для решения частных задач, оставляя вопросы формирования системы защиты и совместимости этих средств на усмотрение потребителей;

• для обеспечения надежной защиты необходимо разрешить целый комплекс технических и организационных проблем и разработать соответствующую документацию.

Для преодоления вышеперечисленных трудностей необходима координация действий всех участников информационного процесса. Обеспечение информационной безопасности - достаточно серьезная задача, поэтому необходимо, прежде всего, разработать концепцию безопасности информации, где определить интересы компании, принципы обеспечения и пути поддержания безопасности информации, а также сформулировать задачи по их реализации.

В основе комплекса мероприятий по информационной безопасности должна быть стратегия защиты информации. В ней определяются цели, критерии, принципы и процедуры, необходимые для построения надежной системы защиты. В разрабатываемой стратегии должны найти отражение не только степень защиты, поиск брешей, места установки брандмауэров или proxy-серверов и т. п. В ней необходимо еще четко определить процедуры и способы их применения для того, чтобы гарантировать надежную защиту.

Важнейшей особенностью общей стратегии информационной защиты является исследование системы безопасности. Можно выделить два основных направления:

• анализ средств защиты;

• определение факта вторжения.

На основе концепции безопасности информации разрабатываются стратегия безопасности информации и архитектура системы защиты информации. Следующий этап обобщенного подхода к обеспечению безопасности состоит в определении политики, содержание которой - наиболее рациональные средства и ресурсы, подходы и цели рассматриваемой задачи.

1. 2.3 Анализ рисков

3. 2.3.1 Оценка и анализ рисков ИБ

На этапе анализа рисков определяется возможность понести убытки из-за нарушения режима информационной безопасности организации, детализируются характеристики (или составляющие) рисков для информационных ресурсов и технологий. Под управлением рисками понимается процесс идентификации и уменьшения рисков, которые могут воздействовать на информационную систему.

В простейшем случае используется оценка двух факторов: вероятность происшествия и тяжесть возможных последствий. Обычно считается, что риск тем больше, чем больше вероятность происшествия и тяжесть последствий.

Общая идея выражена формулой:

РИСК = P происшествия * ЦЕНА ПОТЕРИ.

Определим субъективную шкалу вероятностей событий: