Классификация уязвимостей информационных систем
Угрозы, как правило, появляются не сами по себе, а через уязвимости, приводящие к нарушению безопасности в информационных системах. Уязвимости присущие информационным системам, неотделимы от нее, и обуславливаются недостатками процесса функционирования, свойствами архитектуры информационной системы, протоколами обмена и интерфейсами, применяемым программным обеспечением и аппаратной платформой, условиями эксплуатации и расположения.
Источники угроз могут использовать уязвимости для нарушения безопасности информации, получения незаконной выгоды (нанесения ущерба собственнику, владельцу, пользователю информации).
Устранение или существенно ослабление уязвимостей, влияет на возможности реализации угроз безопасности информации.
Существует следующая классификация уязвимостей:
1. Объективные – зависят от особенностей построения и технических характеристик оборудования, применяемого в информационных системах. Полное устранение этих уязвимостей невозможно, они могут существенно ослабляться техническими и инженерно – техническими методами. К ним можно отнести:
1.1. Сопутствующие техническим средствам излучения:
· Электромагнитные (побочные излучения элементов технических средств, кабельных линий технических средств, излучения на частотах работы генераторов, на частотах самовозбуждения усилителей);
· Электрические (наводки электромагнитных излучений на линии и проводки, просачивание сигналов в сети электропитания, в цепи заземления, неравномерность потребления тока электропитания);
· Звуковые (акустические, виброакустические).
1.2. Активизируемые:
· Аппаратные закладки (устанавливаемые в телефонные линии, в сети электропитания, в помещениях, в технических средствах);
· Программные закладки(вредоносные программы, технологические выходы из программ, нелегальные копии программного обеспечения).
1.3. Определяемые особенностями элементов:
· Элементы, обладающие электроакустическими преобразованиями(телефонные аппараты, громкоговорители, микрофоны);
· Элементы подверженные воздействию электромагнитного поля(магнитные носители, микросхемы).
1.4. Определяемые особенностями защищаемого объекта:
· Местоположением объекта(отсутствие контролируемой зоны, наличие прямой видимости объектов, удаленных и мобильных элементов объекта);
· Организацией каналов обмена информацией (использование радиоканалов, глобальных информационных сетей, арендуемых каналов).
2. Субъективные – зависят от действий сотрудников, в основном устраняются организационными и программно – аппаратными методами:
2.1. Ошибки:
· При подготовке и использовании программно обеспечения (при разработке алгоритмов и программного обеспечения, инсталляции и загрузке программного обеспечения, эксплуатации программного обеспечения, вводе данных);
· При управлении сложными системами (при использовании возможностей самообучения систем, организация управления потоками обмена информации);
· При эксплуатации технических средств (при включении/выключении технических средств, использовании технических средств охраны, использование средств обмена информацией).
2.1. Нарушения:
· Режима охраны и защиты (доступа на объект, доступа к техническим средствам);
· Режима эксплуатации технических средств (энергообеспечения, жизнеобеспечения);
· Режима использования информации (обработка и обмен информацией, хранение и уничтожение носителей информации, уничтожения производственных отходов и брака);
· Режима конфиденциальности (сотрудники в не рабочее время, уволенные сотрудники; обиженные сотрудники).
3. Случайные – зависят от особенностей окружающей информационную систему среды и непредвиденных обстоятельств.
3.1. Сбои и отказы:
· Отказы и неисправности технических средств (обрабатывающих информацию, обеспечивающих работоспособность средств обработки информации, обеспечивающих охрану и контроль доступа);
· Старение и размагничивание носителей информации (дискет и съемных носителей, жестких дисков, микросхем, кабелей и соединительных линий);
· Сбои программного обеспечения (операционных систем и СУБД, прикладных программ, сервисных программ, антивирусных программ);
· Сбои электроснабжения (оборудования, обрабатывающего информацию; обеспечивающего и вспомогательного оборудования);
3.2. Повреждения:
· Жизнеобеспечивающих коммуникаций (электро-, водо-, газо-, теплоснабжения, канализации; кондиционирования и вентиляции);
· Ограждающих конструкций (внешних ограждений территорий, стен и перекрытий зданий; корпусов технологического оборудования).