я загроза жорстко пов'язано з юридичною категорією В«збитокВ», яку Цивільний Кодекс визначає як В«фактичні витрати, понесені суб'єктом у результаті порушення його прав (наприклад, розголошення або використання порушником конфіденційної інформації), втрати або пошкодження майна, а також витрати, які він повинен буде зробити для відновлення порушеного права і вартості пошкодженого чи втраченого майна В»[3]. p> Аналіз негативних наслідків реалізації загроз припускає обов'язкову ідентифікацію можливих джерел загроз, вразливостей, що сприяють їх прояву і методів реалізації. І тоді ланцюжок виростає в схему, представлену на рис. 1.1. p> Загрози класифікуються за можливості нанесення шкоди суб'єкту відносин при порушенні цілей безпеки. Збиток може бути заподіяна будь-яким суб'єктом (Злочин, вина або недбалість), а також стати наслідком, не залежних від суб'єкта проявам. Загроз не так вже й багато. При забезпеченні конфіденційності інформації це може бути розкрадання (копіювання) інформації і засобів її обробки, а також її втрата (ненавмисна втрата, витік).
В
Рис. 1.1. Модель реалізації загроз інформаційної безпеки
Джерело: Вихорев С., Кобцев Р. Як визначити джерела загроз.// Відкриті системи. - 2002. - № 07-08.С.43. br/>
При забезпеченні цілісності інформації список загроз такий: модифікація (спотворення) інформації; заперечення автентичності інформації; нав'язування неправдивої інформації. При забезпеченні доступності інформації можливе її блокування, або знищення самої інформації та засобів її обробки. p> Всі джерела загроз можна розділити на класи, зумовлені типом носія, а класи на групи за місцю розташування (рис. 1.2а).
Вразливості також можна розділити на класи за належністю до джерела вразливостей, а класи на групи і підгрупи по проявах (ріс.1.2б). Методи реалізації можна розділити на групи за способами реалізації (ріс.1.2в). При цьому необхідно враховувати, що саме поняття В«методВ», застосовується лише при розгляді реалізації загроз антропогенними джерелами.
Для техногенних та стихійних джерел це поняття трансформується в поняття В«передумоваВ». <В
Рис. 1.2. Структура класифікацій
а) "Джерела загрозВ»; p> б) В«УразливостіВ»;
в) В«Методи реалізації В»
Джерело: Вихорев С., Кобцев Р. Як визначити джерела загроз.// Відкриті системи. - 2002. - № 07-08.С.56. br/>
Класифікація можливостей реалізації загроз (атак), являє собою сукупність можливих варіантів дій джерела загроз певними методами реалізації з використанням вразливостей, які призводять до реалізації цілей атаки. Мета атаки може не збігатися з метою реалізації загроз і може бути спрямована на отримання проміжного результату, необхідного для досягнення надалі реалізації загрози. У разі такого неспівпадіння атака розглядається як етап підготовки до вчинення дій, спрямованих на реалізацію загрози, тобто як В«Підготовка до вчиненняВ» протиправної дії. Результатом атаки є наслідки, які є реалізацією загрози і/або сприяють такій реалізації. p> Сам підхід до аналізу і оцінки стану безпеки інформації грунтується на обчисленні вагових коефіцієнтів небезпеки для джерел загроз і вразливостей, порівняння цих коефіцієнтів з наперед заданим критерієм і послідовному скороченні (Виключення) повного переліку можливих джерел загроз і вразливостей до мінімально актуального для конкретного об'єкта. p> Вихідними даними для проведення оцінки та аналізу служать результати анкетування суб'єктів відносин, спрямовані на з'ясування спрямованості їх діяльності, передбачуваних пріоритетів цілей безпеки, завдань, що вирішуються автоматизованою системою і умов розташування та експлуатації об'єкта. Завдяки такому підходу можливо:
• встановити пріоритети цілей безпеки для суб'єкта відносин;
• визначити перелік актуальних джерел загроз;
• пЂ визначити перелік актуальних вразливостей;
• оцінити взаємозв'язок загроз, джерел загроз і вразливостей;
• визначити перелік можливих атак на об'єкт;
• описати можливі наслідки реалізації загроз. p> Джерела загроз безпеки інформації поділяються на зовнішні і внутрішні.
До зовнішніх джерел відносяться:
- недружня політика іноземних держав в галузі інформаційного моніторингу, поширення інформації та нових інформаційних технологій;
- діяльність іноземних розвідувальних і спеціальних, спрямована проти інтересів Російської Федерації;
- діяльність іноземних економічних структур, спрямована проти інтересів Російської Федерації;
- злочинні дії міжнародних груп, формувань та окремих осіб;
- стихійні лиха та катастрофи.
Внутрішніми джерелами є:
- протизаконна діяльність політичних, економічних і кримінальних структур та окремих осіб в області формування, розповсюдження і ви...
