Информация как ценность; Информационные угрозы (угрозы конфиденциальности, целостности, доступности); классификация угроз, ущерб, уровень риска, стратегии управления рисками

Под безопасностью информации будем понимать такое ее состояние, при котором исключается возможность ознакомления с этой информацией, ее изменения или уничтожения лицами, не имеющими на это права, а также утечки за счет побочных электромагнитных излучений и наводок, специальных устройств перехвата (уничтожения) при передаче между объектами вычислительной техники.

Под защитой информации понимается совокупность мероприятий, направленных на обеспечение целостности и конфиденциальности обрабатываемой в АСУ информации, а также доступности информации для органов управления.

Целью защиты информации в АСУ является сведение к минимуму потерь в управлении, вызванных нарушением целостности данных, их конфиденциальности или недоступности информации для потребителей.

Объект - совокупность зданий или помещений с размещенными в них техническими средствами обработки, передачи и хранения информации, объединенная едиными информационными потоками.

Охраняемая зона объекта - ограниченная территория, имеющая обозначенный периметр, на которой принимаются меры по предотвращению проникновения на объект нарушителей, способных причинить ущерб информационным ресурсам.

Рубежи защиты - созданные на объекте при помощи организационных и технических мер различные процедуры, препятствующие несанкционированному доступу к информации.

Главным критерием в выборе средств защиты интеллектуальной собственности следует считать ее ценность (реальную или потенциальную). Эта ценность должна определяться в первую очередь приносимым доходом, а также компенсацией возможных затрат на ее защиту. Для конкурентов же эта ценность должна компенсировать риск, связанный с ее получением (добыванием).

Для того чтобы обеспечить эффективную защиту интеллектуальной собственности, необходимо провести ее анализ и оце­нить ценность и уязвимость.

Ценность интеллектуальной собственности позволяет установить возможный ущерб от овладения информацией конкурентами.

Уязвимость дает возможность выявить характерные особенности и недостатки объекта защиты, которые могут облегчить проникновение злоумышленника к охраняемым сведениям.

Утечка — это бесконтрольный выход конфиденциальной информации за пределы организации или круга лиц, которым она была доверена по службе или стала известна в процессе работы.

Несанкционированный доступ — совокупность приемов и порядок действий с целью получения (добывания) охраняемых сведений незаконным, противоправным путем.

Злоумышленник преследует три цели, осуществляя несанкционированный доступ к источникам конфиденциальной информации:

· получить необходимую информацию в требуемом для конкурентной борьбы объеме и ассортименте;

· иметь возможность вносить изменения в информационные потоки конкурента в соответствии со своими интересами;

· нанести ущерб конкуренту путем уничтожения материальных и информационных ценностей.

По виду НСД угрозы делятся на:

· Угрозы, приводящие к нарушению конфиденциальности информации (копирование, распространение)

· Угрозы, приводящие к несанкционированному, в том числе случайному воздействию на информацию (нарушение целостности)

· Угрозы, приводящие к несанкционированному, в том числе случайному воздействию на программно-аппаратные элементы ИСПДН (нарушение доступности)

Угрозы с применением программно-аппатартных средств приводят к несанкционированному доступу в результате которого осуществляется нарушение целостности, конфиденциальности и доступности информации.

· Угрозы проникновения в ОС компьютера при помощи штатного ПО (непосредственный доступ, удаленный доступ)

· Угрозы создания нештатных режимов работы программных средств за счет изменения служебных данных

· Угрозы внедрения вредоносных программ

По степени преднамеренности действий:

· Случайные (неумышленные действия, например, сбои в работе систем, стихийные бедствия).

· Преднамеренные (умышленные действия, например, шпионаж и диверсии).

По расположению источника угроз:

· Внутренние (источники угроз располагаются внутри системы).

· Внешние (источники угроз находятся вне системы).

По размерам наносимого ущерба:

· Общие (нанесение ущерба объекту безопасности в целом, причинение значительного ущерба).

· Локальные (причинение вреда отдельным частям объекта безопасности).

· Частные (причинение вреда отдельным свойствам элементов объекта безопасности).

По степени воздействия на информационную систему:

· Пассивные (структура и содержание системы не изменяются).

· Активные (структура и содержание системы подвергается изменениям).

Источники угроз:

· Нарушитель (внешний, внутренний)

· Носитель вредоносной программы

· Аппаратная закладка

Одно из ключевых понятий в оценке эффективности проявления угроз объекту информационной безопасности — ущерб, наносимый этому объекту (предприятию) в результате воздействия угроз.

Прямой ущерб информационной безопасности предприятия возникает вследствие утечки конфиденциальной информации. Косвенный ущерб — потери, которые несет предприятие в связи с ограничениями на распространение информации, в установленном порядке, отнесенной к категории конфиденциальной (это издержки на защиту информации).

Описание ущерба, наносимого предприятию в результате утечки конфиденциальной информации, основывается на его количественных и качественных показателях, которые базируются на одном из принципов засекречивания информации (отнесения ее к категории конфиденциальной) — принципе обоснованности. Он заключается в установлении (путем экспертных оценок) целесообразности засекречивания конкретных сведений (отнесения содержащейся в них информации к категории конфиденциальной), а также вероятных последствий этих действий, с учетом решаемых предприятием задач и поставленных целей.

Введение ограничений на распространение информации (в связи с ее засекречиванием или отнесением к категории конфиденциальной) приводит и к позитивным, и к негативным последствиям. К основным позитивным последствиям следует отнести предотвращение возможного прямого ущерба информационной безопасности предприятия из-за утечки защищаемой информации. Негативные последствия связаны с наличием (вероятным возрастанием) косвенного ущерба или издержек в виде затрат на защиту информации и величины упущенной выгоды, которая может быть получена при ее открытом распространении.

Общий ущерб безопасности предприятия от утечки конфиденциальной информации определяют следующим образом.

Ущерб – физическое повреждение или другой вред здоровью людей, имуществу (активам) или окружающей среде. Количественная величина ущерба не всегда поддается оценке. В этих случаях для оценки ущерба может использоваться качественное описание.

Непосредственный ущерб связан с причинением физического, материального, финансового или морального вреда непосредственно субъекту ПД. Он возникает за счет незаконного использования (в том числе распространения) ПД или за счет несанкционированной модификации этих данных и может проявляться в виде:

· нанесения вреда здоровью субъекта ПД;

· незапланированных и (или) непроизводительных финансовых или материальных затрат субъекта;

· потери субъектом свободы действий вследствие шантажа и угроз, осуществляемых с использованием ПД;

· нарушения конституционных прав субъекта вследствие вмешательства в его личную жизнь путем осуществления контактов с ним по различным поводам без его на то согласия (например – рассылка персонифицированных рекламных предложений и т.п.).

Опосредованный ущерб связан с причинением вреда обществу и (или) государству вследствие нарушения нормальной деятельности экономических, политических, военных, медицинских, правоохранительных, социальных, кредитно-финансовых и иных государственных органов, органов местного самоуправления, муниципальных органов, организаций различных форм собственности за счет неправомерных действий с ПД.

Отечественный ГОСТ Р 51898 – 2002 определяет, что «безопасность – отсутствие недопустимого риска». То есть определяет через другое понятие «риска», которое более емко, чем просто понятие «опасности». К тому же упоминается не просто риск, а недопустимый риск. На этом понятие остановимся подробнее.

Информационный риск (ИТ - риск) — реальные или потенциально возможные действия или условия, приводящие к изменению или уничтожению ин­формации в информационной системе, а также к прямым матери­альным убыткам за счет воздействия на материальные ресурсы.

Иными словами, IT-риски связаны с созданием, передачей, хранением и использованием информации с помощью электронных носителей и иных средств связи. С информационным риском наиболее связаны операционный риск и риск информационной безопасности.

Уязвимым является каждый компонент информационной системы. Старая система, подвергшаяся небольшим модификациям, может быть проанализирована только с точки зрения оценки влияния новых элементов на безопасность всей системы.

Основные этапы:

Ø Выбор методики оценки рисков: приемлемы ли существующие риски, и если нет, то какие защитные средства экономически выгодно использовать. Управление рисками - типичная оптимизационная задача, и существует довольно много программных средств, способных помочь в ее решении.

Ø Анализ угроз и их последствий. Первый шаг в анализе угроз - их идентификация. Анализируемые виды угроз следует выбрать из соображений здравого смысла, но в пределах выбранных видов провести максимально полное рассмотрение. Целесообразно выявлять не только сами угрозы, но и источники их возникновения. После идентификации угрозы необходимо оценить вероятность ее осуществления.

Ø Оценка рисков (виды потерь). После того, как накоплены исходные данные и оценена степень неопределенности, можно переходить к обработке информации, то есть собственно к оценке рисков. Это возможно с помощью различных инструментальных средств, а также с использованием различных методов моделирования процессов защиты информации.

Информационный ущерб может рассматриваться и с точки зре­ния потерь, приводящих к какой-либо убыточности, в частности, в тех случаях, когда они могут быть оценены.

Потери, связанные с материальным ущербом. Речь идет о компенсации или размещении утраченных или похищенных матери­альных средств. К этой сумме может добавиться целый ряд других, может быть даже более значительных:

o стоимость компенсации, возмещение другого косвенно утра­ченного имущества;

o стоимость ремонтно-восстановительных работ;

o расходы на анализ и исследование причин и величины ущер­ба;

расходы на восстановление информации, связанные с возобновлением работы сети по сбору, хранению, обработке к конт­ролю данных.

потери, связанные со снижением общего потен­циала предприятия, вызываемого следующими причинами:

o снижение банковского доверия;

o уменьшение размеров прибыли;

o потеря клиентуры;

o снижение доходов предприятия и др.

Ø Выбор защитных мер. Выбирая защитные меры, приходится учитывать не только прямые расходы на закупку оборудования и/или программ, но и расходы на внедрение новинки и, в частности, на обучение и переподготовку персонала. Выбирая подходящий способ защиты, целесообразно учитывать возможность экранирования одним сервисом безопасности сразу нескольких прикладных сервисов.

Ø Реализация и проверка выбранных мер. Реализацию и проверку новых регуляторов безопасности следует предварительно распланировать. В плане необходимо учесть наличие финансовых средств, сроки обучения персонала. Нужно составить план тестирования (автономного и комплексного), если речь идет о программно-техническом механизме защиты.

Архитектура ЭВМ.