Взаимосвязь угроз безопасности информации с источниками, уязвимостью и рисками

Угрозы безопасности информации не возникают сами по себе. Они всегда обусловлены уязвимостью информации, проявляющуюся через уязвимость носителей информации, уязвимость информационной системы в которой защищаемая информация обрабатывается и наличием источника угрозы (от чего или от кого угроза исходит).

Уязвимость (информационной системы); брешь - свойство информационной системы, обусловливающее возможность реализации угроз безопасности обрабатываемой в ней информации. Если уязвимость соответствует угрозе, то существует риск.

Источник угрозы безопасности информации - субъект (физическое лицо, материальный объект или физическое явление), являющийся непосредственной причиной возникновения угрозы безопасности информации.

На основе анализа угроз безопасности информации выполняется анализ и оценка степени риска, для принятия решения о том, какие контрмеры (функции защиты) применить для предотвращения угроз и противодействия дестабилизирующим воздействиям.

Риск - ожидаемые потери или возможный результат реализации угрозы при наличии уязвимости и определенных обстоятельств или событий, приводящих к реализации угрозы. Возможность того, что определенная угроза реализуется вследствие наличия определенной уязвимости системы.

Оценка степени риска отвечает на вопрос «сколько средств нужно затратить на систему защиты» и сопоставить стоимость системы защиты со стоимостью (ценой, важностью) защищаемой информацией для нахождения оптимального в экономическом отношении решения.

19 Структурно-логическая схема угрозы безопасности информации

Анализ негативных последствий реализации угроз в отношении информационной системы или другого технического средства обработки информации на объекте информатизации, предполагает обязательную идентификацию: уязвимостей, способствующих появлению и реализации угроз; возможных источников угроз; самих угроз, выражаемых через способы реализации угроз, связанных со злоумышленными действиями людей, или через каналы (среду) реализации способа, или результат воздействия.

Исходя из этого, можно представить общую структурно -логическую схему угрозы.

Взаимосвязь угроз безопасности информации с источниками, уязвимостью и рисками - student2.ru

Угрозы, связанные со злоумышленными действиями людей всегда включают способ и средство реализации, а также канал (среду) через который осуществляется воздействие. С учётом этого все взаимосвязанные с такой угрозой элементы могут быть представлены в виде определённого профиля угрозы, представляющего собой кортеж: источник угрозы, способ реализации, канал реализации, уязвимость, риск.

20 Общая классификация угроз безопасности информации

В современной защите информации существует несколько подходов к классификации угроз безопасности информации. Классификация всегда проводится по определённым классифицирующим признакам.

С учётом классификаций используемых в нормативно- методических документах, стандартах по защите информации, угрозы могут быть классифицированы по следующим признакам:

- по источнику угрозы: объективные (естественные), субъективные (искусственные);

- по отношению к объекту: внутренние, внешние;

- по степени преднамеренности (для субъективных угроз): преднамеренные, непреднамеренные;

- по цели действия: угрозы конфиденциальности, угрозы целостности, угрозы доступности, угрозы праву собственности (для объектов интеллектуальной собственности);

- по характеру воздействия: активные, пассивные;

- по характеру нанесённого ущерба: материальный (экономический), моральный (политический).

Общая классификация угроз безопасности информации и их краткая характеристика приводится в таблице

Признак класса Вид угрозы Характеристика
По источнику угрозы Объективные (естественные) угрозы, вызванные воздействиями на системы обработки информации и ее компоненты объективных физических процессов или стихийных природных явлений, независящих от человека.
Субъективные (искусственные) угрозы, вызванные умышленными или неумышленными действиями человека
По отношению к объекту защиты Внутренние источник которых, расположен в пределах контролируемой зоны (территории, помещения)
Внешние источник которых, расположен вне контролируемой зоны (территории, помещения)
По степени преднамеренности (для субъективных) Случайные вызванные ошибками или халатностью персонала (непреднамеренные воздействия)
Преднамеренные вызванные целенаправленными действиями людей
По цели действия Угроза конфиденциальности разглашение, НСД, получение разведка-
Угроза целостности искажение (модификация), уничтожение,
копирование
Угроза доступности блокирование доступа к информации или носителю
Угроза праву собственности на информацию несанкционированное тиражирование и распространение объектов интеллектуальной собственности
По характеру воздействия Активные (атаки) которые, при воздействии, вносят изменения в структуру и содержание АС («троянский конь» и др.)
Пассивные которые при реализации ничего не меняют в структуре и содержании АС (угроза копирования секретных данных)
По характеру нанесённого ущерба Материальный потеря упущенной выгоды в результате разглашения коммерческой тайны, утраты интернет - ресурса.
Моральный (политический, личный, общественный)


21 Цели и задачи оценки угроз безопасности информации

Оценка угроз защищаемой информации является одним из этапов проектирования системы защиты объекта информатизации и комплексной системы защиты информации на предприятии в целом. Ей предшествует обследование объекта информатизации и оценка состава, категорий и ценности защищаемой информации, а также систем хранения обработки и передачи информации.

В общем случае оценка угроз защищаемой информации и системам её обработки представляет собой анализ рисков - процесс определения угроз, уязвимостей, возможного ущерба, а также контрмер. Для этого разрабатывается модель угроз безопасности информации.

Модель угроз (безопасности информации)- физическое, математическое, описательное представление свойств или характеристик угроз безопасности информации.

Частными задачами при моделировании и оценке угроз являются:

- обоснование (выбор) системы показателей, необходимых для оценки уязвимости информации;

- выбор (разработка) методики для проведения исследований и определения состава угроз;

- определение и анализ множества видов уязвимости информации, носителей и систем её обработки;

- определение и анализ источников угроз и дестабилизирующих факторов;

- определение и анализ множества каналов несанкционированного воздействия на информацию и системы её обработки (каналов утечки информации и несанкционированного доступа );

- определение возможных способов реализации угроз и способов атак на системы обработки (АС);

- определение относительно полного множества реальных угроз и рисков, которые будут положены в основу для определения требований к системе защиты информации, с целью уменьшить или исключить риски.

Для формирования полного множества угроз может быть предложен алгоритм, который включает:

- формирование начальной структуры угроз;

- выявление множества угроз (факторов) методами структурно-логического анализа;

- уточнение и пополнение множества угроз (факторов) на основе опыта защиты и статистических данных;

- уточнение и пополнение множества угроз (факторов) экспертными оценками;

- уточнение и пополнение множества угроз (факторов) имитационным моделированием;

- уточнение и пополнение множества угроз (факторов) натурными экспериментами.

22 Источники угроз безопасности информации

Основной причиной существования и реализации угроз безопасности информации являются источники угроз. В качестве источников угроз безопасности информации могут выступать как физические лица (группа физических лиц), так и объективные проявления: явления природного и техногенного характера, и процессы хранения, обработки и передачи информации. Источники угроз безопасности информации разделяются на два класса: объективные, субъективные. Каждый класс, включает два подкласса: внешние источники, внутренние источники.

Классификация источников угроз безопасности информации приведена на рисунке.

Взаимосвязь угроз безопасности информации с источниками, уязвимостью и рисками - student2.ru

Наши рекомендации