Приклади загроз

Статистичні дані накопичуються збиранням інформації про різні типи загроз із довкілля. Ці дані повинні бути отримані і використовуватися організацією в процесі виявляння загрози. Деякі загрози мають спрямовану дію на окремі елементи організації, наприклад викликають збої інформаційних систем. Загрози можуть мати специфічне територіальне походження, наприклад ушкодження будівель від ураганів чи спалахів блискавки. Загроза може діяти зсередини організації, наприклад, саботаж службовців, чи зовні, наприклад, навмисний злом чи промислове шпигунство. Шкода, викликана небажаним інцидентом, може мати тимчасовий, легко відновлюваний характер чи остаточний і безповоротний, як у випадку знищення активів.

Обсяги шкоди заподіяні загрозою, можуть варіювати в широких межах для кожного конкретного випадку. Наприклад:

– програмний вірус може заподіяти різні обсяги шкоди залежно від його впливання;

– землетрус у зоні специфічного територіального розташування може мати різну силу в кожному конкретному випадку.

Такі загрози часто характеризуються обсягами заподіюваної ними шкоди. Наприклад:

– вірус можна охарактеризувати як такий, що руйнує чи не руйнує;

– силу землетрусу можна відобразити за шкалою Ріхтера.

Прояви загроз можуть впливати на більш ніж один вид активів. У цьому випадку вони спричинюють різні конфлікти, що впливають на активи. Наприклад, програмний вірус може вразити єдину інформаційну систему. Однак той самий програмний вірус, потрапивши на основний мережний файл-сервер, може поширитися на декілька інформаційних систем. Різноманітні загрози чи їх прояв у різних місцях можуть постійно завдавати великої шкоди. Якщо шкода, заподіяна загрозою, є постійною, то можна використовувати універсальний, визначений підхід. Однак якщо обсяги заподіяної шкоди змінюються в широких межах, необхідно використовувати конкретизований підхід, що відповідає локалізації загрози.

Загрози характеризуються даними, що містять корисну інформацію. Приклади такої інформації:

– джерело (внутрішнє чи зовнішнє);

– мотивація, наприклад збагачення, конкуренція;

– частота появи;

– серйозність загрози.

Оточення й мікро політика організації можуть мати істотне значення й обумовлювати вплив загроз на організацію.

У критичних ситуаціях деякі загрози в певних мікро політичних середовищах не розглядають і вважають безпечними. Всі аспекти щодо оточення й діяльності треба розглядати стосовно загроз.

Вразливості

Вразливості звичайно пов’язані зі слабкими місцями в активах, а саме у розташуванні організації, процесах, персоналі, керуванні, адмініструванні, апаратному та програмному забезпеченні, в інформації. їх використовують як потенційну загрозу для заподіяння шкоди системі інформаційних технологій чи діловій активності в цілому. Вразливість сама по собі не є причиною шкоди; вразливість є тільки умовою чи множиною умов, які можуть допустити вплив загрози на активи. Вразливість, що виникає з різних джерел, наприклад від активів, повинна братися до уваги. Вразливість може зникнути чи втратити актуальність, якщо відбудуться зміни в активах.

Вразливість послабляє експлуатовану систему і може призводити до небажаних наслідків. Вразливість – непряма причина шкоди, заподіюваної загрозою. Наприклад, відсутність механізмів контролювання за доступом до службових і гостьових приміщень – вразливість, що може дати змогу загрозі з легкістю впливати на активи і призводити до їхньої втрати. Специфіка конкретної системи чи організації спричинює те, що не всі вразливості чутливі до загроз. Треба негайно приділяти увагу вразливості, що має відповідну загрозу. Оскільки оточення може змінюватися динамічно, усі вразливості потрібно постійно перевіряти щодо відкритості до старих і нових загроз.

Аналіз вразливості – це експертиза слабких місць, вразливих до ідентифікованих загроз. Цей аналіз повинен брати до уваги середовище й наявні засоби захисту. Вразливість специфічної системи чи активів до загрози описує способи, якими система чи активи можуть бути ушкоджені.

Ураження

Ураження – наслідок небажаного інциденту, спричинений навмисним чи випадковим впливом на активи. Наслідки можуть бути згубними для деяких активів, нанести ушкодження системі інформаційних технологій, призвести до втрати конфіденційності, цілісності, доступності, обліковості, достовірності чи надійності. Можливі також і побічні наслідки, такі як фінансові втрати частки чи ринку, іміджу компанії. Уведення кількісних характеристик уражень дає можливість знаходити компромісне рішення між втратами в результаті небажаного інциденту і витратами на засоби захисту, які страхують від небажаного інциденту. Необхідно враховувати також і частоту появи небажаних інцидентів. Це особливо важливо, коли заподіяна шкода в кожному окремому випадку незначна, проте сумарні втрати як наслідок багатьох випадків протягом періоду часу будуть дуже великими. Запобігання ураженням є важливим складником у зменшенні ризику і виборі засобів безпеки.

Кількісні і якісні характеристики ураження можна отримати через:

– визначання фінансових витрат;

– надання емпіричного рангу серйозності, наприклад, від одного до десяти;

– використовування залежностей, обраних із заздалегідь визначеного списку, наприклад: низько, середньо, високо.

Ризик

Ризик – ймовірність того, що активи чи група активів уразливі до загрози, що може спричинювати їхнє ушкодження чи знищення. Разові чи численні загрози, що повторюються, можуть скористатися окремою чи множинною вразливістю.

Сценарій ризику описує, як специфічна загроза чи група загроз може скористатися конкретною вразливістю чи групою вразливостей, що шкодять активам. Ризик характеризується комбінацією двох чинників: ймовірністю появи небажаного інциденту і його ураженням. Будь-яка зміна стану активів, загроз, вразливостей і засобів захисту може вплинути на ризики. Чим раніше будуть виявлені зміни в оточенні чи в самій системі, тим більше можливостей для дій, що зменшують ризик.

Засоби безпеки

Засоби безпеки– засоби, процедури чи механізми, що можуть захистити від загроз, зменшити вразливість, обмежити ураження внаслідок небажаного інциденту, знайти небажані інциденти і полегшити процес відновлення. Ефективна безпека звичайно потребує комбінації різних засобів безпеки для забезпечення багаторівної безпеки активів. Наприклад, механізми контролювання доступу, що їх застосовують у інформаційних системах, повинні супроводжуватися засобами керування аудитом, увагою персоналу, навчанням і безпекою фізичних засобів. Деякі засоби безпеки вже існують як частина оточення чи як властивий аспект активів, або вже існують в системі чи організації.

Засоби безпеки можуть виконувати одну чи кілька таких функцій: виявляння, стримування, запобігання, обмеження, корекція, відновлювання, контролювання й усвідомлення. Відповідний добір засобів безпеки – невід’ємна частина правильно виконаної програми безпеки. Багато засобів безпеки можуть виконувати декілька функцій. Часто вигідніше і дешевше вибрати засоби безпеки, що реалізують декілька функцій. Деякі приклади дільниць, де використовують засоби безпеки:

– фізичне оточення;

– технічне оточення (апаратні засоби, програмне забезпечення і зв’язок);

– персонал;

– адміністрація.

Поняття безпеки – засоби безпеки і їхній взаємозв'язок з персоналом. Оточення і внутрішні умови, у яких діє організація, часто впливають на вибір засобів безпеки і на розуміння безпеки організації в цілому. Деякі засоби безпеки посилають суворе і чітке повідомлення про тривогу відкритим текстом до підрозділу організації, яка займається безпеки. Реагуючи на це повідомлення, важливо точно визначити засоби безпеки, що не суперечать мікро політиці і (або) оточенню, у якому діє організація.

Приклади засобів безпеки:

– файрволи в мережі;

– моніторинг і аналіз мережі;

– шифрування з метою забезпечення конфіденційності;

– цифрові підписи;

– програми антивірусів;

– резервні копії інформації;

– безперебійні джерела живлення;

– механізми контролювання доступу.

Залишковий ризик

Ризики, звичайно, лише частково зменшуються за допомогою засобів безпеки. Часткове зменшення – єдине, що найчастіше може бути досягнуто, подальші зменшення спричиняють невиправданий ріст вартості. Це показує, що завжди наявні так звані залишкові ризики. Частина оцінок з безпеки або відповідає потребам організації, або допускає залишковий ризик. Цей процес відомий як допускання ризику.

Керування треба здійснювати з урахуванням усіх залишкових ризиків в умовах уражень та ймовірності їхньої появи. Рішення про допустимість залишкового ризику повинні приймати ті, хто приймає рішення у разі появи небажаного інциденту і хто уповноважений застосовувати додаткові засоби безпеки, якщо рівень залишкового ризику є неприйнятний.

Обмеження

Обмеження звичайно установлює чи визнає керівництво організації з урахуванням чинників оточення, в якому діє організація. Розглядають, наприклад, такі обмеження:

– організаційні;

– фінансові;

– навколишні;

– персональні;

– часові;

– юридичні;

– технічні;

– мікрополітичні/соціальні.

Усі ці чинники треба враховувати під час вибору і застосування засобів безпеки. Періодично наявні та нові обмеження треба переглядати, фіксуючи будь-які зміни. Необхідно також відзначити, що обмеження можуть змінюватися з часом, географією і соціальним еволюціонуванням, а також з мікро політикою організації. Оточення і мікро політика, у яких діє організація, можуть негативно впливати на різні елементи безпеки, особливо на загрози, ризики і засоби безпеки.