Сервер аутентифікації Kerberos. 2 страница

На жаль, сучасна технологія програмування не дозволяє створюватибезпомилкові програми, що не сприяє швидкому розвитку засобів забезпеченняІБ. Варто виходити з того, що необхідно конструювати надійні системи(інформаційної безпеки) із залученням ненадійних компонентів (програм). Упринципі, це можливо, але вимагає дотримання певних архітектурнихпринципів і контролю стану захищеності протягом усього життєвого циклу ІС.

Наведемо ще кілька цифр. У березні 1999 року був опублікований черговий,четвертий по рахунку, річний звіт "Комп'ютерна злочинність і безпека-1999:проблеми й тенденції" (Issues and Trends: 1999 CS1/FB1 Computer Crime and SecuritySurvey). У звіті відзначається різкий ріст числа звернень до правоохоронних органівіз приводу комп'ютерних злочинів (32% із числа опитаних); 30% респондентівповідомили про те, що їхні інформаційні системи були зламані зовнішнімизловмисниками; атакам через Internet піддавалися 57% опитаних; у 55% випадкахвідзначалися порушення з боку власних співробітників. Примітно, що 33%респондентів на питання " чи були зламані ваші Web-сервери й системи електронноїкомерції за останні 12 місяців? " відповіли "не знаю".

В аналогічному звіті, опублікованому у квітні 2002 року, цифри змінилися,але тенденція залишилася колишнюю: 90% респондентів (переважно з великихкомпаній й урядових структур) повідомили, що за останні 12 місяців у їхніхорганізаціях мали місце порушення інформаційної безпеки; 80% констатувалифінансові втрати від цих порушень; 44% (223 респондента) змогли й/або захотілиоцінити втрати кількісно, загальна сума склала більше 455 млн. доларів.Найбільший збиток нанесли крадіжки й підробки (більше 170 й 115 млн. доларіввідповідно).

Настільки ж тривожні результати втримуються в огляді information Week,опублікованому 12 липня 1999 року. Лише 22% респондентів заявили провідсутність порушень інформаційної безпеки. Поряд з поширенням вірусіввідзначається різкий ріст числа зовнішніх атак.

Збільшення кількості атак - ще не найбільша неприємність. Гірше те, щопостійно виявляються нові уразливі місця в програмному забезпеченні (вище мивказувати на обмеженість сучасної технології програмування) і, як наслідок,з'являються нові види атак.

Так, в інформаційному листі Національного центру захисту інфраструктуриСША (National Infrastructure Protection Center, NIPC) від 21 липня 1999 рокуповідомляється, що за період з 3 по 16 липня 1999 року виявлено дев'ять проблемз ПЗ, ризик використання яких оцінюється як середній або високий (загальнечисло виявлених уразливих місць дорівнює 17). Серед "потерпілих" операційнихплатформ - майже всі різновиди ОС Unix, Windows, MacOS, так що ніхто не можепочуватися спокійно, оскільки нові помилки відразу починають активновикористовуватися зловмисниками.

У таких умовах системи інформаційної безпеки повинні вміти протистоятирізноманітним атакам, як зовнішнім, так і внутрішнім, атакам автоматизованим іскоординованим. Іноді напад триває долі секунди; часом промацуванняуразливих місць ведеться повільно й розтягується на години, так що підозрілаактивність практично непомітна. Метою зловмисників може бути порушення всіхскладових ІБ - доступності, цілісності або конфіденційності.

Розділ 2. Поширення об'єктно-орієнтованого підходуна інформаційну безпеку

2.1. Про необхідність об'єктно-орієнтованого підходудо інформаційної безпеки

У наш час інформаційна безпека є відносно замкнутою дисципліною,розвиток якої не завжди синхронізований зі змінами в інших областяхінформаційних технологій. Зокрема, в ІБ поки не знайшли відображення основніположення об'єктно-орієнтованого підходу, що став основою при побудовісучасних інформаційних систем. Не враховуються в ІБ і досягнення в технологіїпрограмування, засновані на нагромадженні й багаторазовому використанніпрограмістських знань. На наш погляд, це дуже серйозна проблема, щоускладнює прогрес в області ІБ.

Спроби створення більших систем ше в 60-х роках розкрили численніпроблеми програмування, головною з яких є складність створюваних ісупроводжуваних систем. Результатами досліджень в області технологіїпрограмування стали спочатку структуроване програмування, потім об'єктно-орієнтований підхід.

Об'єктно-орієнтований підхід є основою сучасної технологіїпрограмування, випробуваним методом боротьби зі складністю систем. Єприродним й, більше того, необхідним, прагнення поширити цей підхід і насистеми інформаційної безпеки, для яких, як і для програмування в цілому, маємісце згадана проблема складності.

Складність ця має двояку природу. По-перше, складні не тільки апаратно-програмні системи, які необхідно захищати, але й самі засоби безпеки. По-друге,швидко наростає складність сімейства нормативних документів, таких,наприклад, як профілі захисту на основі "Загальних критеріїв", мова про які підедалі. Ця складність менш очевидна, але нею також не можна нехтувати; необхідноспоконвічно будувати сімейства документів по об'єктному принципу.

Будь-який розумний метод боротьби зі складністю базується на принципі"devide et impera" - "розділяй і пануй". У даному контексті цей принцип означає,що складна система (інформаційної безпеки) на верхньому рівні повиннаскладатися з невеликої кількості відносно незалежних компонентів. Відноснанезалежність тут і далі розуміється як мінімізація кількості зв'язків міжкомпонентами. Потім декомпозиції піддаються виділенню на першому етапікомпонента, і так далі до заданого рівня деталізації. У результаті системавідображається у вигляді ієрархії з декількома рівнями абстракції.

Найважливіше питання, що виникає при реалізації принципу "розділяй іпануй", - як, власне кажучи, розділяти. Згадуваний вище структурний підхідопирається на алгоритмічну декомпозицію, коли виділяються функціональніелементи системи. Основна проблема структурного підходу полягає в тому, щовін незастосовний на ранніх етапах аналізу й моделювання предметної області,коли до алгоритмів і функцій справа ще не дійшла. Потрібний підхід "широкогоспектру", що не має такого концептуального розриву з аналізованими системами йзастосований на всіх етапах розробки й реалізації складних систем. Минамагатимемося показати, що об'єктно-орієнтований підхід задовольняє такимвимогам.

2.2. Основні поняття об'єктно-орієнтованого підходу

Об'єктно-орієнтований підхід використовує об'єктну декомпозицію, тобтоповодження системи описується в термінах взаємодії об'єктів.

Що ж розуміється під об'єктом та які інші основні поняття даногопідходу?

Насамперед, уведемо поняття класу. Клас - це абстракція безлічісутностей реального світу, об'єднаних спільністю структури й поводження.

Об'єкт - це елемент класу, тобто абстракція певної сутності.

Підкреслимо, що об'єкти активні, у них є не тільки внутрішня структура,але й поведінка, що описується так званими методами об'єкта. Наприклад, можебути визначений клас "користувач", що характеризує "користувача взагалі",тобто асоційовані з користувачами дані і їхня поведінка (методи). Після цьогоможе бути створений об'єкт "користувач Іванов" з відповідною конкретизацієюданих й, можливо, методів.

До активності об'єктів ми ще повернемося.

Наступну групу найважливіших понять об'єктного підходу складаютьінкапсуляція, успадкування й поліморфізм.

Основним інструментом боротьби зі складністю в об'єктно-орієнтованомупідході є інкапсуляція - приховування реалізації об'єктів (їхньої внутрішньоїструктури й деталей) реалізації методів) з наданням зовні чітко вираженихінтерфейсів.

Поняття "поліморфізм" може трактуватися як здатність об'єкта належатибільш ніж одному класу. Введення цього поняття відображає необхідністьдивитися на об'єкти під різними кутами зору, виділяти при побудові абстракційрізні аспекти сутностей модельованої предметної області, не порушуючи прицьому цілісності об'єкта. (Суворо кажучи, існують й інші види поліморфізму,такі як перевантаження й параметричний поліморфізм, але нас вони зараз нецікавлять.)

Успадкування означає побудову нових класів на основі існуючих зможливістю додавання або перевизначення даних і методів. Успадкування єважливим інструментом боротьби з розмноженням сутностей без необхідності.Загальна інформація не дублюється, указується тільки те, що здійснюється. Прицьому клас-нащадок пам'ятає про своє "коріння".

Дуже важливо й те, що успадкування й поліморфізм у сукупностінаділяють об'єктно-орієнтовану систему здатністю до відносно безболісноїеволюції. Засоби інформаційної безпеки доводиться постійно модифікувати йобновляти, і якщо не можна зробити так, щоб це було економічно вигідно, ІБ зінструмента захисту перетворюється на тягар.

Ми ще повернемося до механізму успадкування при розгляді рольовогокерування доступом.

Поповнимо розглянутий вище класичний набір понять об'єктно-орієнтованого підходу ще двома поняттями: межі об'єкта й рівня деталізації.

Об'єкти реального світу володіють, як правило, декількома відноснонезалежними характеристиками. Стосовно об'єктної моделі будемо називатитакі характеристики межами. Ми вже зустрічалися із трьома основнимимежами ІБ - доступністю, цілісністю й конфіденційністю. Поняття гранідозволяє більш природно, ніж поліморфізм, дивитися на об'єкти з різних точокзору й будувати різнопланові абстракції.

Поняття рівня деталізації важливе не тільки для візуалізації об'єктів, але йдля систематичного розгляду складних систем, представлених в ієрархічномувигляді. Саме по собі воно дуже просте: якщо черговий рівень ієрархіїрозглядається з рівнем деталізації n > 0, то наступний - з рівнем (n - 1). Об'єктіз рівнем деталізації 0 уважається атомарним.

Поняття рівня деталізації показу дозволяє розглядати ієрархії зпотенційно нескінченною висотою, варіювати деталізацію як об'єктів у цілому,так й їхніх меж.

Досить розповсюдженою конкретизацією об'єктно-орієнтованого підходує компонентні об'єктні середовища, до числа яких належить, наприклад,JavаВеаns. Тут з'являється два нових важливих поняття: компонентів іконтейнерів.

Неформально компонент можна визначити як багаторазово використовуваний об'єкт, що допускає обробку в графічномуінструментальному оточенні й збереження в довгостроковій пам'яті.

Контейнери можуть містити в собі безліч компонентів, створюючи загальний контекст взаємодії з іншими компонентами й з оточенням.Контейнери можуть виступати в ролі компонентів інших контейнерів.

Компонентні об'єктні середовища мають всі переваги, які властивіоб'єктно-орієнтованому підходу:

* інкапсуляція об'єктних компонентів приховує складність реалізації, роблячивидимим тільки представлений зовні інтерфейс;

* успадкування дозволяє розвивати створені раніше компоненти, непорушуючи цілісність об'єктної оболонки;

• поліморфізм по суті дає можливість групувати об'єкти, характеристики якихз деякого погляду можна вважати подібними.

Поняття ж компонента й контейнера необхідні нам тому, що з їхньою допомогою ми можемо природно представити захищувані ІС і самі захиснізасоби. Зокрема, контейнер може визначати кордони контрольованої зони(задавати так званий "периметр безпеки").

На цьому ми завершуємо опис основних понять об'єктно-орієнтованогопідходу.

2.3. Застосування об'єктно-орієнтованого підходудо розгляду систем, що захищають

Спробуємо застосувати об'єктно-орієнтований підхід до питань інформаційної безпеки.

Проблема забезпечення інформаційної безпеки - комплексна, захищати доводиться складні системи, і самі захисні засоби теж складні, тому нам знадобляться всі уведені поняття. Почнемо з поняття межі.

Фактично три межі вже були уведені: це доступність, цілісність і конфіденційність. Їх можна розглядати відносно незалежно, і вважається, що якщо всі вони забезпечені, то забезпечена й ІБ у цілому (тобто суб'єктам інформаційних відносин не буде нанесений неприйнятний збиток).

Таким чином, ми структурували нашу мету. Тепер потрібно структурувати засоби її досягнення. Введемо наступні межі:

* законодавчі заходи забезпечення інформаційної безпеки;

* адміністративні заходи (накази й інші дії керівництва організацій,пов'язаних з інформаційними системами, що захищають);

* процедурні заходи (заходи безпеки, орієнтовані на людей);

* програмно-технічні заходи.

У подальшій частині курсу ми пояснимо докладніше, що розуміється під кожною з виділених меж. Тут же відзначимо, що, у принципі, їх можна розглядати і як результат варіювання рівня деталізації (із цієї причини ми буде мовживати словосполучення "законодавчий рівень", "процедурний рівень" і т.п.).

Закони й нормативні акти орієнтовані на всіх суб'єктів інформаційних відносин незалежно від їхньої організаційної приналежності (це можуть бути як юридичні, так і фізичні особи) у межах країни (міжнародні конвенції маютьнавіть більш широку область дії), адміністративні заходи - на всіх суб'єктів умежах організації, процедурні - на окремих людей (або невеликі категоріїсуб'єктів), програмно-технічні - на устаткування й програмне забезпечення. При такому трактуванні в переході з рівня на рівень можна побачити застосування успадкування (кожен наступний рівень не скасовує, а доповнює попередній), а також поліморфізму (суб'єкти виступають відразу в декількох іпостасях -наприклад, як ініціатори адміністративних заходів й як звичайні користувачі, зобов'язані цим заходам підкорятися).

Очевидно, для всіх виділених, щодо незалежних меж діє принцип інкапсуляції (це й виходить, що межі "відносно незалежні"). Більше того, ці дві сукупності меж можна назвати ортогональними, оскільки для фіксованої межі водній сукупності (наприклад, доступності) межі в іншій сукупності повинні пробігати всю кількість можливих значень (потрібно розглянути законодавчі, адміністративні, процедурні й програмно-технічні заходи). Ортогональних сукупностей не повинно бути багато; здасться, двох сукупностей із числомелементів, відповідно, 3 й 4 уже достатньо, тому що вони дають 12 комбінацій.

Продемонструємо тепер, як можна розглядати захищувану ІС, варіюючи рівень деталізації.

Нехай інтереси суб'єктів інформаційних відносин концентруються навколо ІС якоїсь організації, яка складається з двох територіально рознесених виробничих майданчиків, на кожному з яких є сервери, що обслуговують своїх і зовнішніх користувачів, а також користувачів, які користуються внутрішніми й зовнішніми сервісами. Один з майданчиків обладнаний зовнішнім підключенням (тобто має вихід в Internet).

При погляді з нульовим рівнем деталізації ми побачимо лише те, що ворганізації є інформаційна система (див. Рис. 2.1).

Рис. 2.1. ІС при розгляді з рівнем деталізації 0.Подібна точка зору може здатися неспроможною, але це не так. Уже тут необхідно врахувати закони, які застосовуються до організацій, що упорядковують інформаційні системи. Можливо, яку-небудь інформацію не можна зберігати й обробляти на комп'ютерах, якщо ІС не була атестована на відповідність певним вимогам. На адміністративному рівні може бути задекларована мета, заради якої створювалася ІС. Загальні правила закупівель, впровадження нових компонентів,експлуатації й т.п. На процедурному рівні потрібно визначити вимога до фізичної безпеки ІС і шляхи їхнього виконання, правила протипожежної безпеки й т.п. На програмно-технічному рівні можуть бути визначені кращі апаратно-програмніплатформи й т.п.

За якими критеріями проводити декомпозицію ІС - у значній мірі справа смаку. Будемо вважати, що на першому рівні деталізації робляться прозорими сервіси й користувачі, точніше, поділ на клієнтську й серверну частину (Рис. 2.2).

Рис. 2.2. ІС при розгляді з рівнем деталізації 1.

На цьому рівні варто сформулювати вимоги до сервісів (до самої їхньоїнаявності, до доступності, цілісності й конфіденційності надаваних інформаційних послуг), викласти способи виконання цих вимог, визначити загальні правила поведінки користувачів, необхідний рівень їхньої попередньої підготовки, методи контролю їхньої поведінки, порядок заохочення й покарання й т.п. Можуть бути сформульовані вимоги й переваги стосовно серверних і клієнтських платформ.

На другому рівні деталізації ми побачимо наступне (див. Рис. 2.3).

Рис. 2.3. ІС при розгляді з рівнем деталізації 2

На цьому рівні нас усе ще не цікавить внутрішня структура ІС організації, так само як і деталі Internet. Констатується тільки існування зв'язку між цими мережами, наявність у них користувачів, а також надаваних і внутрішніх сервісів. Що це за сервіси, поки неважливо.

Перебуваючи на рівні деталізації 2, ми повинні враховувати закони, які застосовуються до організацій, ІС які забезпечені зовнішніми підключеннями. Мова йде про допустимість такого підключення, про його захист, про відповідальність користувачів, що звертаються до зовнішніх сервісів, і про відповідальність організацій, що відкривають свої сервіси для зовнішньогодоступу. Конкретизація аналогічної спрямованості, з урахуванням наявності зовнішнього підключення, повинна бути виконана на адміністративному, процедурному й програмно-технічному рівнях.

Звернемо увагу на те, що контейнер (у змісті компонентного об'єктного середовища) "ІС організації" задає межі контрольованої зони, у межах яких організація проводить певну політику. Internet існує за іншими правилами, якіорганізація повинна приймати, як щось уже існуюче.

Збільшуючи рівень деталізації, можна розглянути два рознесенених виробничих майданчика й канали зв'язку між ними, розподіл сервісів і користувачів по цих майданчиках і засоби забезпечення безпеки внутрішніх комунікацій, специфіку окремих сервісів, різні категорії користувачів і т.п. Ми,однак, на цьому зупинимося.

2.4. Недоліки традиційного підходу до інформаційної безпеки з об'єктної точки зору

Грунтуючись основними положеннями об'єктно-орієнтованого підходу, треба в першу чергу визнати застарілий традиційний розподіл на активні й пасивні сутності (суб'єкти й об'єкти у звичній для дооб'єктної ІБ термінології). Подібний розподіл застарілий, принаймні, з двох причин.

По-перше, в об'єктному підході пасивних об'єктів немає. Можна вважати, що всі об'єкти активні одночасно й при необхідності викликають методи один одного. Як реалізовані ці методи (і, зокрема, як організований доступ до змінних і їхній значень) - власна справа викликаного об'єкта; деталі реалізації приховані, інкапсульовані. Зухвалому об'єкту доступний тільки надаваний інтерфейс. По-друге, не можна сказати, що якісь програми (методи) виконуються від імені користувача. Реалізації об'єктів складні, так що останні не можна розглядатилише як інструменти виконання волі користувачів. Можна вважати, щокористувач так чи інакше, на свій страх і ризик, "просить" деякий об'єкт проконкретну інформаційну послугу. Коли активізується викликуваний метод, об'єктдіє скоріше від імені (у всякому разі, з волі) свого творця, ніж від імені його користувача, який його викликав. Можна вважати, що об'єкти мають достатню"силу волі", щоб виконувати дії, про які користувач не тільки не просив, але навіть не здогадується про їхні можливості. Особливо це справедливо в мережевому середовищі й для програмного забезпечення (ПЗ), отриманого через Internet, але може буди придатним і для комерційного ПЗ, закупленого за всіма правилами всолідній фірмі.

Для ілюстрації наведемо наступний гіпотетичний приклад. Банк, ІС якого має доступ до Internet, придбав за кордоном автоматизовану банківську систему (АБС). Тільки через деякий час у банку вирішили, що зовнішнє з'єднання має потребу в захисті, і встановили міжмережевий екран.

Вивчення реєстраційної інформації екрана показало, що час від часу закордони відправляються ІР-пакети, що містять якусь незрозумілу інформацію (напевно, закодовану, вирішили в банку). Почали розбиратися, кому ж пакети надходять, і виявилося, що йдуть вони у фірму, що розробила АБС. Виникла підозра, що в АБС вбудована закладка, щоб одержувати інформацію про діяльність банку. Зв'язалися з фірмою; там дуже здивувалися, спочатку всі заперечували, але зрештою з'ясували, що один із програмістів не забрав зівставленого в банку варіанта налагоджену відправку, що була організована через мережу (як передача ІР-пакетів специфічного виду, з явно заданою ІР-адресоюробочого місця цього програміста). Таким чином, ніякого злого наміру не було,однак якийсь час інформація про платежі вільно гуляла по мережі.

У подальшій частині курсу, у лекції, присвяченої розмежуванню доступу, ми обговоримо, як можна кардинальним чином вирішити подібні проблеми. Тут відзначимо лише, що при визначенні допустимості доступу важливо не тільки (і не стільки), хто звернувся до об'єкта, але й те, яка семантика дії. Без залучення семантики не можна визначити так звані "троянські програми", що виконують, крім задекларованих, деякі приховані (зазвичай негативні) дії.

Очевидно, варто визнати застарілим й положення про те, що розмежування доступу спрямоване на захист від зловмисників. Наведений вище приклад показує, що внутрішні помилки розподілених ІС несуть за собою не меншу небезпеку, а гарантувати їхню відсутність у складних системах сучасна технологія програмування не дозволяє.

У дооб'єктній ІБ однією з найважливіших вимог є безпека повторного використання пасивних сутностей (таких, наприклад, як динамічно виділені частини пам'яті). Очевидно, подібна вимога вступає в конфлікт із таким фундаментальним принципом, як інкапсуляція. Об'єкт не можна очистити зовнішнім способом (заповнити нулями або випадковою послідовністю біт), якщо тільки він сам не пропонує відповідний метод. При наявності такого методу надійність очищення залежить від коректності його реалізації й виклику.

Найміцнішим зі стереотипів серед фахівців з ІБ є трактування операційноїсистеми як домінуючої серед заходів безпеки. На розробку захищених ОС виділяються значні кошти, найчастіше на збиток іншим напрямкам захисту й, отже, на збиток реальної безпеки. У сучасних ІС, побудованих у багаторівневій архітектурі клієнт/сервер, ОС не контролює об'єкти, з якими працюють користувачі, так само як і дії самих користувачів, які реєструються й визначаються прикладними засобами. Основною функцією безпеки ОС стаєзахист можливостей, надаваних привілейованим користувачам, від атак користувачів звичайних.

Це важливо, але безпека такими заходами не вичерпується. Далі мирозглянемо підхід до побудови програмно-технічного рівня ІБ у вигляді сукупності сервісів безпеки.

Розділ 3. Найпоширеніші загрози

3.1. Основні визначенняі критеріїкласифікації загроз

Загроза - це потенційна можливість певним чином порушити інформаційнубезпеку.

Спроба реалізації загрози називається атакою, а той, хто вчиняє таку спробу, -зловмисником. Потенційні зловмисники називаються джерелами загроз.

Найчастіше загроза є наслідком наявності уразливих місць у захистіінформаційних систем (таких, наприклад, як можливість доступу сторонніх осіб докритично важливого устаткування або помилки в програмному забезпеченні).

Проміжок часу від моменту, коли з'являється можливість використатислабке місце, і до моменту, коли прогалина ліквідується, називається вікномнебезпеки, асоційованим з даним уразливим місцем. Поки існує вікнонебезпеки, можливі успішні атаки на ІС.

Якщо мова йде про помилки в ПЗ, то вікно небезпеки "відкривається" зпоявою засобів використання помилки й ліквідується при накладенні латок, які ЇЇвиправляють.

Для більшості уразливих місць вікно небезпеки існує порівняно довго (кількаднів, іноді - тижнів), оскільки за цей час повинні відбутися наступні події:

* повинно стати відомо про засоби використання прогалини в захисті;

* повинні бути випущені відповідні латки;

* латки повинні бути встановлені в захищуваній ІС.

Ми вже вказували, що нові уразливі місця й засоби їхнього використанняз'являються постійно; це значить, по-перше, що майже завжди існують вікнанебезпеки й, по-друге, що відстеження таких вікон повинне провадитися постійно,а випуск і накладення латок - якомога оперативніше.

Відзначимо, що деякі загрози не можна вважати наслідком якихось помилокабо прорахунків; вони існують у чинність самої природи сучасних ІС. Наприклад,загроза відключення електрики або виходу його параметрів за припустимі границііснує внаслідок залежності апаратного забезпечення ІС від якісногоелектроживлення.

Розглянемо найпоширеніші загрози, яким піддаються сучасні інформаційнісистеми. Мати подання про можливі загрози, а також про уразливі місця, які цізагрози зазвичай експлуатують, необхідно для того, щоб вибирати найбільшекономічні засоби забезпечення безпеки. Занадто багато міфів існує в сферіінформаційних технологій (згадаємо все ту ж "Проблему 2000"), тому незнанняв цьому випадку веде до перевитрати коштів й, що ще гірше, до концентраціїресурсів там, де вони не дуже потрібні, за рахунок ослаблення дійсно уразливихнапрямків.

Підкреслимо, що саме поняття "загроза" у різних ситуаціях найчастішетрактується по-різному. Наприклад, для підкреслено відкритої організації загрозконфіденційності може просто не існувати - вся інформація вважаєтьсязагальнодоступною; однак у більшості випадків нелегальний доступ є серйозноюнебезпекою. Іншими словами, загрози, як і все в ІБ, залежать від інтересівсуб'єктів інформаційних відносин (і від того, який збиток є для нихнеприйнятним).

Ми спробуємо подивитися на предмет з погляду типової (на наш погляд)організації. Втім, багато загроз (наприклад, пожежа) небезпечні для всіх.Загрози можна класифікувати по декількох критеріях:

* по аспекту інформаційної безпеки (доступність, цілісність,конфіденційність), проти якого загрози спрямовані в першу чергу;

* по компонентах інформаційних систем, на які загрози націлені (дані,програми, апаратура, підтримуюча інфраструктура);

* по способу здійснення (випадкові/навмисні дії природного/техногенногохарактеру);

* розташуванню джерела загроз (усередині/поза розглянутим ІС).

Як основний критерій ми будемо використовувати перший (по аспекту ІБ),залучаючи при необхідності інші.

3.2. Найпоширеніші загрози доступності

Найчастішими й найнебезпечнішими (з погляду розміру збитку) єненавмисні помилки штатних користувачів, операторів, системнихадміністраторів й інших осіб, що обслуговують інформаційні системи.

Іноді такі помилки і є властиво загрозами (неправильно уведені дані абопомилка в програмі, що викликала крах системи), іноді вони створюють уразливімісця, якими можуть скористатися зловмисники (такими є помилкиадміністрування). За деякими даними, до 65% втрат - наслідок ненавмиснихпомилок.

Пожежі й повені не приносять стільки лих, скільки безграмотність інедбалість у роботі.

Очевидно, найрадикальніший засіб боротьби з ненавмисними помилками -максимальна автоматизація й строгий контроль.

Інші загрози доступності класифікуємо по компонентах ІС, на які націленізагрози:

* відмова користувачів;

* внутрішня відмова інформаційної системи;

* відмова підтримуючої інфраструктури.

Звичайно стосовно користувачів розглядаються наступні загрози:

* небажання працювати з інформаційною системою (найчастішепроявляється при необхідності освоювати нові можливості й прирозбіжності між запитами користувачів і фактичних можливостей ітехнічних характеристик);

* неможливість працювати із системою в наслідок відсутності відповідноїпідготовки (недолік загальної комп'ютерної грамотності, невмінняінтерпретувати діагностичні повідомлення, невміння працювати здокументацією й т.п.);

* неможливість працювати із системою в наслідок відсутності технічноїпідтримки (неповнота документації, недолік довідкової інформації й т.п.).

Основними джерелами внутрішніх відмов є:

• відступ (випадковий або навмисний) від установлених правилексплуатації;

* вихід системи зі штатного режиму експлуатації в наслідок випадкових абонавмисних дій користувачів або обслуговуючого персоналу (перевищеннярозрахункового числа запитів, надмірний обсяг оброблюваної інформації йтлі.);

* помилки при переконфігуруванні системи;

* відмови програмного й апаратного забезпечення;

* руйнування даних;

* руйнування або ушкодження апаратур.

Стосовно підтримуючої інфраструктури рекомендується розглядати наступнізагрози:

* порушення роботи (випадково або навмисне) систем зв'язку,електроживлення, водо- і/або теплопостачання, кондиціонування;

* руйнування або ушкодження приміщень;

* неможливість або небажання обслуговуючого персоналу й/абокористувачів виконувати свої обов'язки (цивільні безладдя, аварії натранспорті, терористичний акт або його загроза, страйк і т.п.).