Анализ подходов к формированию и классификации множества угроз

К настоящему времени специалистами фиксируется очень большое количество разноплановых угроз различного происхождения.

Все источники угроз безопасности информации можно разделить на три основных класса:

• — обусловленные действиями субъекта (антропогенные источники угроз);
• — обусловленные техническими средствами (техногенные источники угрозы);
• — обусловленные стихийными источниками.

Рассмотрим каждый класс угроз более подробным образом.

Антропогенными источниками угроз безопасности информации выступают субъекты, действия которых могут быть квалифицированы как умышленные или случайные преступления. Только в этом случае можно говорить о причинении ущерба. Эта группа наиболее обширна и представляет наибольший интерес с точки зрения организации защиты, так как действия субъекта всегда можно оценить, спрогнозировать и принять адекватные меры. Методы противодействия в этом случае управляемы и напрямую зависят от воли организаторов защиты информации. В качестве антропогенного источника угроз можно рассматривать субъекта, имеющего доступ (санкционированный или нет) к работе со штатными средствами защищаемого объекта. Субъекты (источники), действия которых могут привести к нарушению безопасности информации могут быть внешние и внутренние. Внешние источники могут быть случайными или преднамеренными и иметь разный уровень квалификации. К ним относятся: криминальные структуры; потенциальные преступники и хакеры; недобросовестные партнеры; технический персонал поставщиков услуг; представители надзорных организаций и аварийных служб; представители силовых структур. Внутренние субъекты (источники), как правило, представляют собой высококвалифицированных специалистов в области разработки и эксплуатации программного обеспечения и технических средств, знакомы со спецификой решаемых задач, структурой и основными функциями и принципами работы программно-аппаратных средств защиты информации, имеют возможность использования штатного оборудования и технических средств сети. К ним относятся: основной персонал (пользователи, программисты, разработчики); представители службы защиты информации; вспомогательный персонал (уборщики, охрана); технический персонал (жизнеобеспечение, эксплуатация).

Необходимо учитывать также, что особую группу внутренних антропогенных источников составляют лица с нарушенной психикой и специально внедренные и завербованные агенты, которые могут быть из числа основного, вспомогательного и технического персонала, а также представителей службы защиты информации. Данная группа рассматривается в составе перечисленных выше источников угроз, но методы парирования угрозам для этой группы могут иметь свои отличия. Таким образом, квалификация антропогенных источников информации играет важную роль в оценке их влияния и учитывается при ранжировании источников угроз.

Техногенные источники угроз определены технократической деятельностью человека и развитием цивилизации. Однако последствия, вызванные такой деятельностью, вышли из-под контроля человека и существуют сами по себе. Эти источники угроз менее прогнозируемые, напрямую зависят от свойств техники и поэтому требуют особого внимания. Данный класс источников угроз безопасности информации особенно актуален в современных условиях, так как в сложившихся условиях эксперты ожидают резкого роста числа техногенных катастроф, вызванных физическим и моральным устареванием технического парка используемого оборудования, а также отсутствием материальных средств на его обновление. Технические средства, являющиеся источниками потенциальных угроз безопасности информации могут быть: внешними средства связи; сети инженерных коммуникации (водоснабжения, канализации); транспорт. Внутренние: некачественные технические средства обработки информации; некачественные программные средства обработки информации; вспомогательные средства (охраны, сигнализации, телефонии); другие технические средства, применяемые в учреждении.

Стихийные источники угроз объединяют обстоятельства, составляющие непреодолимую силу, то есть такие обстоятельства, которые носят объективный и абсолютный характер, распространяющийся на всех. К непреодолимой силе в законодательстве и договорной практике относят стихийные бедствия или иные обстоятельства, которые: невозможно предусмотреть или предотвратить; возможно предусмотреть, но невозможно предотвратить при современном уровне человеческого знания и возможностей. Такие источники угроз совершенно не поддаются прогнозированию и поэтому меры защиты от них должны применяться всегда. Стихийные источники потенциальных угроз информационной безопасности, как правило, являются внешними по отношению к защищаемому объекту и под ними понимаются: природные катаклизмы: пожары; землетрясения; наводнения; ураганы; различные непредвиденные обстоятельства; необъяснимые явления; другие форс-мажорные обстоятельства.

Умышленные угрозы безопасности, в свою очередь, можно разделить на активные и пассивные.

Пассивные угрозы направлены в основном на несанкционированное использование информационных ресурсов информационной системы, не оказывая при этом влияния на ее функционирование. Например, несанкционированный доступ к базам данных, прослушивание каналов связи и т. д.

Активные угрозы имеют целью нарушение нормального функционирования ИС путем целенаправленного воздействия на ее компоненты. К активным угрозам относятся, например, вывод из строя компьютера или его операционной системы, искажение сведений в БД, разрушение ПО компьютеров, нарушение работы линий связи и т. д. Источником активных угроз могут быть действия взломщиков, вредоносные программы и т. п.

Причины внешних угроз в случае целенаправленного информационного воздействия скрыты в борьбе конкурирующих информационных систем за общие ресурсы, обеспечивающие системе допустимый режим существования.

Причины внутренних угроз — в появлении внутри системы множества элементов, подструктур, для которых привычный режим функционирования стал в силу ряда обстоятельств недопустимым.

На протяжении всего периода существования проблемы защиты информации предпринимались попытки классифицировать источники угроз безопасности информации и сами угрозы с целью дальнейшей стандартизации средств и методов, применяемых для защиты. Различными авторами предлагается целый ряд подходов к такой классификации. При этом в качестве критериев деления множества угроз на классы используются виды порождаемых опасностей, степень злого умысла, источники проявления угроз и т. д. Рассмотрим эти подходы более подробно.

В достаточно известной монографии Л. Дж. Хофмана «Современные методы защиты информации» были выделены 5 групп различных угроз: хищение носителей, запоминание или копирование информации, несанкционированное подключение к аппаратуре, несанкционированный доступ к ресурсам системы, перехват побочных излучений и наводок.

В книге «Защита информации в персональных ЭВМ» предпринята попытка классификации угроз, причем в качестве критерия классификации выбран тип средства, с помощью которого может быть осуществлено несанкционированное получение информации.

Авторами было выделено три типа средств: человек, аппаратура и программа. К группе угроз, в реализации которых основную роль играет человек, отнесены хищение носителей, чтение информации с экрана дисплея, чтение информации с распечаток; к группе, где основным средством выступает аппаратура, подключение к устройствам и перехват излучений; к группе, где основным средством является программа, несанкционированный программный доступ, программное дешифрование зашифрованных данных, программное копирование информации с носителей.

Аналогичный подход предлагается и группой авторов учебных пособий по защите информации от несанкционированного доступа. Ими выделены три класса: природные (стихийные бедствия, магнитные бури, радиоактивное излучение); технические (отключение или колебания электропитания, отказы и сбои аппаратно-программных средств, электромагнитные излучения и наводки, утечки через каналы связи); созданные людьми (непреднамеренные и преднамеренные действия различных категорий лиц).

В руководящем документе Гостехкомиссии России «Защита от несанкционированного доступа к информации. Термины и определения» введено понятие модели нарушителя в автоматизированной системе обработки данных, причем в качестве нарушителя здесь рассматривается субъект, имеющий доступ к работе со штатными средствами системы. Нарушители классифицируются по уровню возможностей, предоставляемых им штатными средствами. В документе выделяются четыре уровня этих возможностей:

• 1 самый низкий — возможности запуска задач (программ) из фиксированного набора, реализующих заранее предусмотренные функции обработки информации;
• 2 первый промежуточный — дополнительно к предыдущему предусматривает возможности создания и запуска собственных программ с новыми функциями обработки информации;
• 3 второй промежуточный — дополнительно к предыдущему предполагает возможности управления функционированием системы, т. е. воздействия на базовое программное обеспечение и на состав и конфигурацию ее оборудования;
• 4 самый высокий — определяется всем объемом возможностей лиц, осуществляющих проектирование, реализацию и ремонт технических средств системы, вплоть до включения в состав системы собственных технических средств с новыми функциями обработки информации.

Предполагается, что нарушитель на своем уровне является специалистом высшей квалификации, знает все о системе, в том числе и о средствах защиты.

Еще один вид источников угроз безопасности информации, связанный с ее хищением, достаточно подробно классифицирован в монографии С. П. Расторгуева «Программные методы защиты информации в компьютерах и сетях». Автор выделяет четыре способа хищения информации:

• 1 по каналам побочных электромагнитных излучений;
• 2 посредством негласного копирования, причем выделено две разновидности копирования: «ручное» (печать с экрана на принтер или вывод из памяти на принтер или экран) и «вирусное» (например, вывод из памяти на принтер, на экран или передача информации с помощью встроенной в компьютер радиозакладки);
• 3 хищение носителей информации;
• 4 хищение персонального компьютера.

В монографии В. А. Герасименко введены понятия дестабилизирующих факторов, источников их проявления и причин нарушения защищенности информации. Предложены подходы к формированию относительно полных множеств указанных причин и приведена структура этих множеств применительно к нарушению физической целостности информации и несанкционированному ее получению.

Достаточно детальный анализ угроз несанкционированного получения информации проведен также в учебном пособии В. Ю. Гайковича и Д. В. Ершова, причем концептуальные подходы анализа перекликаются с подходами, изложенными в монографии Герасименко.

Своеобразный вид угроз представляют специальные программы, скрытно и преднамеренно внедряемые в различные функциональные программные системы, которые после одного или нескольких запусков разрушают хранящуюся в них информацию и/или совершают другие недозволенные действия. К настоящему времени известно несколько разновидностей таких программ: электронные вирусы, компьютерные черви, троянские кони и др.

Вредоносные программы представляют достаточно большую опасность для современных автоматизированных систем. Детальный анализ этих угроз и методов борьбы с ними приведен в учебном пособии Б. И. Скородумова и др. Нетрудно видеть, что в процессе формирования множества угроз достаточно четко проявилась тенденция перехода от эмпирических подходов к системно-концептуальным, научно обоснованным подходам.

В этой связи интересной представляется классификация угроз безопасности информации по способам их возможного негативного воздействия. Такая классификация предусматривает подразделение угроз на информационные, программно-математические, физические и организационные.

Информационные угрозы реализуются в виде:

• — нарушения адресности и своевременности информационного обмена, противозаконного сбора и использования информации;
• — осуществления несанкционированного доступа к информационным
• — ресурсам и их противоправного использования;
• — хищения информационных ресурсов из банков и баз данных;
• — нарушения технологии обработки информации.

Программно-математические угрозы реализуются в виде:

• — внедрения в аппаратные и программные изделия компонентов, реализующих функции, не описанные в документации на эти изделия;
• — разработки и распространения программ, нарушающих нормальное функционирование информационных систем или систем защиты информации.

Физические угрозы реализуются в виде:

• — уничтожения, повреждения, радиоэлектронного подавления или разрушения средств и систем обработки информации, телекоммуникации и связи;
• — уничтожения, повреждения, разрушения или хищения машинных и других носителей информации;
• — хищения программных или аппаратных ключей и средств криптографической защиты информации;
• — перехвата информации в технических каналах связи и телекоммуникационных системах;
• — внедрения электронных устройств перехвата информации в технические средства связи и телекоммуникационные системы, а также в служебные помещения;
• — перехвата, дешифрования и навязывания ложной информации в сетях передачи данных и линиях связи;
• — воздействия на парольно-ключевые системы защиты средств обработки и передачи информации.

Организационные угрозы реализуются в виде:

• — невыполнения требований законодательства в информационной сфере;
• — противоправной закупки несовершенных или устаревших информационных технологий, средств информатизации, телекоммуникации и связи.

Угрозы, как возможные опасности совершения какого-либо действия, направленного против объекта защиты, проявляются не сами по себе, а через уязвимости, приводящие к нарушению безопасности информации на конкретном объекте информатизации.