Культура информационной безопасности

Угрозы информационной безопасности

Культура информационной безопасности

2019

Объектами защиты  

• - все виды информационных ресурсов;
• - права граждан, юридических лиц и государства на получение, распространение и использование информации;
• - система формирования, распространения и использования информации (информационные системы и технологии, библиотеки, архивы, персонал, нормативные документы и т.д.);
• - система формирования общественного сознания (СМИ, социальные институты и т.д.)

Информационные ресурсы (документированная информация)  - информация, зафиксированная на материальном носителе с реквизитами, позволяющими ее идентифицировать

УГРОЗЫ ИБ

• Угроза безопасности информации – это потенциально возможное воздействие на информацию, которое прямо или косвенно может нанести урон пользователям или владельцам информации.
• Угрозу отождествляют обычно либо с характером (видом, способом) дестабилизирующего воздействия на материальные объекты, программные средства или информацию, либо с последствиями (результатами) такого воздействия.

Юридическое понимание угроз

"фактические расходы, понесенные субъектом в результате нарушения его прав (например, кражи, разглашения или использования нарушителем конфиденциальной информации), утраты или повреждения имущества, а также расходы, которые он должен будет произвести для восстановления нарушенного права и стоимости поврежденного или утраченного имущества" .

(Гражданский Кодекс РФ (часть I, ст. 15))

Классификация угроз

Критерии классификации:

• по важнейшим составляющим информационной безопасности (доступность, целостность, конфиденциальность), против которых направлены угрозы в первую очередь;
• по компонентам информационных систем и технологий (данные, программно-аппаратные комплексы, сети, поддерживающая инфраструктура), на которые угрозы непосредственно нацелены;
• по способу осуществления (случайные или преднамеренные действия, события техногенного или природного масштаба);
• по локализации источника угроз (вне или внутри информационной технологии или системы).

Виды угроз ИБ

• естественные  угрозы физических воздействий на информацию стихийных природных явлений – угрозы не зависящие от деятельности человека;
• искусственные  угрозы –угрозы, вызванные человеческой деятельностью и являющиеся гораздо более опасными.

Естественные угрозы

По статистике, на долю огня, воды и пр. (среди которых самый опасный — сбой электропитания) приходится 13-15% потерь, нанесенных производственным информационным системам и ресурсам.

Искусственные угрозы

По мотивам:

• непреднамеренные  (случайные), преднамеренные  (умышленные)

Непреднамеренные угрозы

• ошибки в проектировании КС;
• ошибки в разработке программных средств;
• случайные сбои в работе аппаратных средств, линий связи, энергоснабжения;
• ошибки пользователей;
• воздействие на аппаратные средства физических полей других электронных устройств (при несоблюдении условий их электромагнитной совместимости) и др.

Искусственные преднамеренные угрозы

Группы угроз

Угрозы

Конфиденциальность информации – субъективно определяемая характеристика информации, указывающая на необходимость введения ограничений на круг субъектов, имеющих доступ к данной информации.

Нарушение установленных ограничений на доступ к информации.

Целостность информации – свойство информации, заключающееся в ее существовании в неискаженном виде (неизменном по отношению к некоторому фиксированному ее состоянию).

Несанкционированное изменение информации (случайное или преднамеренное).

Доступность информации – свойство компьютерной системы (среды, средств и технологии обработки), в которой циркулирует информация, характеризующееся способностью обеспечивать своевременный беспрепятственный доступ субъектов к интересующей их информации и готовность соответствующих автоматизированных служб к обслуживанию поступающих от субъектов запросов всегда, когда в обращении к ним возникает необходимость.

Несанкционированное блокирование доступа к информации. Блокирование может быть постоянным или временным (достаточным для того, чтобы информация стала бесполезной).

Непреднамеренные ошибки

До 65% потерь возникают из-за непреднамеренных ошибок, совершенных по неосторожности, халатности или несоответствующей подготовки персонала.

Пользователи как источники угроз

• намеренная (встраивание логической бомбы, которая со временем разрушит программное ядро или приложения) или непреднамеренная потеря или искажение данных и информации, "взлом" системы администрирования, кража данных и паролей, передача их посторонним лицам и т.д.;
• нежелание пользователя работать с информационной системой (чаще всего проявляется при необходимости осваивать новые возможности или при расхождении между запросами пользователей и фактическими возможностями и техническими характеристиками) и намеренный вывод из строя её программно-аппаратных устройств;
• невозможность работать с системой в силу отсутствия соответствующей подготовки (недостаток общей компьютерной грамотности, неумение интерпретировать диагностические сообщения, неумение работать с документацией и т. п.).

источники внутренних системных отказов

• невозможность работать с системой в силу отсутствия технической поддержки (неполнота документации, недостаток справочной информации и т. п.);
• отступление (случайное или умышленное) от установленных правил эксплуатации;
• выход системы из штатного режима эксплуатации в силу случайных или преднамеренных действий пользователей или обслуживающего персонала (превышение расчетного числа запросов, чрезмерный объем обрабатываемой информации и т. п.);
• ошибки конфигурирования системы;
• отказы программного и аппаратного обеспечения;
• разрушение данных;
• разрушение или повреждение аппаратуры.

Угрозы ПО отношению к поддерживающей инфраструктуре

• нарушение работы (случайное или умышленное) систем связи, электропитания, водо- и/или теплоснабжения, кондиционирования;
• разрушение или повреждение помещений;
• невозможность или нежелание обслуживающего персонала и/или пользователей выполнять свои обязанности (гражданские беспорядки, аварии на транспорте, террористический акт или его угроза, забастовка и т. п.).

Охраняемая информация

Охраняемая информация

Информация, оборот которой контролируется

Информация, доступ к которой запрещено контролировать

Информация с ограниченным доступом

Государственные секреты

Информация о гражданах

Информация коммерческого характера (коммерческая тайна)

Объекты промышленной собственности

Объекты авторского права

Несекретные ИР, имеющее гос. значение

Тайна личной жизни

Персональные данные

Гос.тайна

Служебная тайна

Необъекты ИС

Объекты интеллектуальной собственности

Тайна корреспонденции, сообщений, голосования

Профессиональная тайна

Нотариальных действий

Исповеди

Врачебная

Адвокатская

Методы реализации угроз

К основным направлениям реализации злоумышленником информационных угроз относятся:

• непосредственное обращение к объектам доступа;
• создание программных и технических средств, выполняющих обращение к объектам доступа в обход средств защиты;
• модификация средств защиты, позволяющая реализовать угрозы информационной безопасности;
• внедрение в технические средства системы программных или технических механизмов, нарушающих её предполагаемую структуру и функции.

Уровни доступа к информации

• уровень носителей информации;
• уровень средств взаимодействия с носителем;
• уровень представления информации;
• уровень содержания информации.

Распределение методов реализации угроз ИБ по уровням

Уровень доступа к информации

Основные методы реализации угроз информационной безопасности

Угроза раскрытия параметров системы

Носителей информации

Средств взаимодействия с носителем

Угроза нарушения конфиденциальности

Определение типа и параметров носителей информации.

Представления информации

Получение информации о программно-аппаратной среде; получение детальной информации о функциях, выполняемых системой; получение данных о применяемых системах защиты.

Хищение (копирование) носителей информации; перехват ПЭМИН.

Угроза нарушения целостности

Уничтожение машинных носителей информации.

Определение способа представления информации.

Несанкционированный доступ к ресурсам системы; совершение пользователем несанкционированных действий; несанкционированное копирование программного обеспечения; перехват данных, передаваемых по каналам связи.

Угроза нарушения доступности

Содержания информации

Внесение пользователем несанкционированных изменений в программы и данные; установка и использование нештатного программного обеспечения; заражение программными вирусами

Выведение из строя машинных носителей информации.

Визуальное наблюдение; раскрытие представления информации (дешифрование).

Определение содержания данных на качественном уровне.

Проявление ошибок проектирования и разработки программно-аппаратных компонент системы; обход механизмов защиты.

Внесение искажения в представление данных; уничтожение данных.

Раскрытие содержания информации.

Искажение соответствия синтаксических и семантических конструкций языка.

Внедрение дезинформации.

Запрет на использование информации.