організаційно-технічні заходи, спрямовані на забезпечення схоронності конфіденційних даних.
1.2 Загрози інформації. Способи їх впливу на об'єкти захисту інформації
Загрозу ототожнюють зазвичай або з характером (видом, способом) дестабілізуючого впливу на інформацію, або з наслідками (результатами) такого впливу. Однак такого роду терміни можуть мати багато трактувань. Можливий і інший підхід до визначення загрози безпеці інформації, що базується на понятті «загроза».
Відповідно до «Словником російської мови» Ожегова, «загроза» - це намір нанести фізичний, матеріальний чи іншу шкоду суспільним чи особистим інтересам, можлива небезпека.
Інакше кажучи, поняття загроза жорстко пов'язано з юридичною категорією «збиток», яку Цивільний Кодекс визначає як «фактичні витрати, понесені суб'єктом в результаті порушення його прав (наприклад, розголошення або використання порушником конфіденційної інформації), втрати або пошкодження майна, а також витрати, які він повинен буде зробити для відновлення порушеного права і вартості пошкодженого чи втраченого майна ».
Аналіз негативних наслідків реалізації загроз припускає обов'язкову ідентифікацію можливих джерел загроз, вразливостей, що сприяють їх прояву і методів реалізації. І тоді ланцюжок виростає в схему, представлену на рис. 1.1.
Загрози класифікуються за можливості нанесення шкоди суб'єкту відносин при порушенні цілей безпеки. Збиток може бути заподіяна будь-яким суб'єктом (злочин, вина або недбалість), а також стати наслідком, не залежних від суб'єкта проявів. Загроз не так вже й багато. При забезпеченні конфіденційності інформації це може бути розкрадання (копіювання) інформації і засобів її обробки, а також її втрата (ненавмисна втрата, витік).
Рис. 1.1 Модель реалізації загроз інформаційної безпеки
При забезпеченні цілісності інформації список загроз такий: модифікація (спотворення) інформації; заперечення автентичності інформації; нав'язування неправдивої інформації. При забезпеченні доступності інформації можливе її блокування, або знищення самої інформації та засобів її обробки.
Всі джерела погроз можна розділити на класи, обумовлені типом носія, а класи на групи по місцю розташування (рис. 1.2а).
Уразливості також можна розділити на класи за належністю до джерела вразливостей, а класи на групи і підгрупи по проявах (ріс.1.2б). Методи реалізації можна розділити на групи за способами реалізації (ріс.1.2в). При цьому необхідно враховувати, що саме поняття «метод», застосовується лише при розгляді реалізації загроз антропогенними джерелами.
Для техногенних та стихійних джерел це поняття трансформується в поняття «передумова».
Рис. 1.2. Структура класифікацій: а) «Джерела загроз»; б) «Уразливості»; в) «Методи реалізації»
Класифікація можливостей реалізації загроз (атак), являє собою сукупність можливих варіантів дій джерела загроз певними методами реалізації з використанням вразливостей, які призводять до реалізації цілей атаки. Мета атаки може не збігатися з метою реалізації загроз і може бути спрямована на отримання проміжного результату, необхідного для досягнення надалі реалізації загрози. У разі такого неспівпадання атака розглядається як етап підготовки до вчинення дій, спрямованих на реалізацію загрози, тобто як «підготовка до вчинення» протиправної дії. Результатом атаки є наслідки, які є реалізацією загрози і/або сприяють такої реалізації.
Сам підхід до аналізу й оцінки стану безпеки інформації грунтується на обчисленні вагових коефіцієнтів небезпеки для джерел загроз і вразливостей, порівняння цих коефіцієнтів з наперед заданим критерієм і послідовному скороченні (виключення) повного переліку можливих джерел загроз і вразливостей до мінімально актуального для конкретного об'єкта.
Вихідними даними для проведення оцінки та аналізу служать результати анкетування суб'єктів відносин, спрямовані на з'ясування спрямованості їх діяльності, передбачуваних пріоритетів цілей безпеки, завдань, що вирішуються автоматизованою системою і умов розташування та експлуатації об'єкта. Завдяки такому підходу можливо:
встановити пріоритети цілей безпеки для суб'єкта відносин;
визначити перелік актуальних джерел загроз;
? визначити перелік актуальних вразливостей;
оцінити взаємозв'язок загроз, джерел загроз і вразливостей;
визначити перелік можливих атак на об'єкт;
описати можливі наслідки реалізації загроз.
Джерела загроз безпеці інформації пі...
