Угрозы информационной безопасности

Угроза информационной безопасности — совокупность условий и факторов, создающих опасность нарушения информационной безопасности.^[1]

Под угрозой (в общем) понимается потенциально возможное событие, действие (воздействие), процесс или явление, которые могут привести к нанесению ущерба чьим-либо интересам.

Классификация

Угрозы информационной безопасности могут быть классифицированы по различным признакам:

По аспекту информационной безопасности, на который направлены угрозы:
- Угрозы конфиденциальности (неправомерный доступ к информации). Угроза нарушения конфиденциальности заключается в том, что информация становится известной тому, кто не располагает полномочиями доступа к ней. Она имеет место, когда получен доступ к некоторой информации ограниченного доступа, хранящейся в вычислительной системе или передаваемой от одной системы к другой. В связи с угрозой нарушения конфиденциальности, используется термин «утечка». Подобные угрозы могут возникать вследствие «человеческого фактора» (например, случайное делегировании тому или иному пользователю привилегий другого пользователя), сбоев в работе программных и аппаратных средств. К информации ограниченного доступа относится государственная тайна^[2] и конфиденциальная информация^[3] (коммерческая тайна, персональные данные, профессиональные виды тайна: врачебная, адвокатская, банковская, служебная, нотариальная, тайна страхования, следствия и судопроизводства, переписки, телефонных переговоров, почтовых отправлений, телеграфных или иных сообщений (тайна связи), сведения о сущности изобретения, полезной модели или промышленного образца до официальной публикации (ноу-хау) и др.).
- Угрозы целостности (неправомерное изменение данных). Угрозы нарушения целостности — это угрозы, связанные с вероятностью модификации той или иной информации, хранящейся в информационной системе. Нарушение целостности может быть вызвано различными факторами — от умышленных действий персонала до выхода из строя оборудования.
- Угрозы доступности (осуществление действий, делающих невозможным или затрудняющих доступ к ресурсам информационной системы). Нарушение доступности представляет собой создание таких условий, при которых доступ к услуге или информации будет либо заблокирован, либо возможен за время, которое не обеспечит выполнение тех или иных бизнес-целей.

По расположению источника угроз:
- Внутренние (источники угроз располагаются внутри системы);
- Внешние (источники угроз находятся вне системы).

По размерам наносимого ущерба:
- Общие (нанесение ущерба объекту безопасности в целом, причинение значительного ущерба);
- Локальные (причинение вреда отдельным частям объекта безопасности);
- Частные (причинение вреда отдельным свойствам элементов объекта безопасности).

По степени воздействия на информационную систему:
- Пассивные (структура и содержание системы не изменяются);
- Активные (структура и содержание системы подвергается изменениям).

По природе возникновения:
- Естественные (объективные) — вызванные воздействием на информационную среду объективных физических процессов или стихийных природных явлений, не зависящих от воли человека;
- Искусственные (субъективные) — вызванные воздействием на информационную сферу человека. Среди искусственных угроз в свою очередь выделяют:
  - Непреднамеренные (случайные) угрозы — ошибки программного обеспечения, персонала, сбои в работе систем, отказы вычислительной и коммуникационной техники;
  - Преднамеренные (умышленные) угрозы — неправомерный доступ к информации, разработка специального программного обеспечения, используемого для осуществления неправомерного доступа, разработка и распространение вирусных программ и т. д. Преднамеренные угрозы обусловлены действиями людей. Основные проблемы информационной безопасности связаны прежде всего с умышленными угрозами, так как они являются главной причиной преступлений и правонарушений^[4].

Классификация источников угроз информационной безопасности

Носителями угроз безопасности информации являются источники угроз. В качестве источников угроз могут выступать как субъекты (личность), так и объективные проявления, например, конкуренты, преступники, коррупционеры, административно-управленческие органы. Источники угроз преследуют при этом следующие цели: ознакомление с охраняемыми сведениями, их модификация в корыстных целях и уничтожение для нанесения прямого материального ущерба.

Все источники угроз информационной безопасности можно разделить на три основные группы:
- Обусловленные действиями субъекта (антропогенные источники) — субъекты, действия которых могут привести к нарушению безопасности информации, данные действия могут быть квалифицированы как умышленные или случайные преступления. Источники, действия которых могут привести к нарушению безопасности информации могут быть как внешними, так и внутренними. Данные источники можно спрогнозировать, и принять адекватные меры.
- Обусловленные техническими средствами (техногенные источники) — эти источники угроз менее прогнозируемы, напрямую зависят от свойств техники и поэтому требуют особого внимания. Данные источники угроз информационной безопасности, также могут быть как внутренними, так и внешними.
- Стихийные источники — данная группа объединяет обстоятельства, составляющие непреодолимую силу (стихийные бедствия или другие обстоятельства, которые невозможно предусмотреть или предотвратить или возможно предусмотреть, но невозможно предотвратить), такие обстоятельства, которые носят объективный и абсолютный характер, распространяющийся на всех. Такие источники угроз совершенно не поддаются прогнозированию и, поэтому меры против них должны применяться всегда. Стихийные источники, как правило, являются внешними по отношению к защищаемому объекту и под ними, как правило, понимаются природные катаклизмы.^[5]^[6]

Модель угроз

Для анализа защищенности конкретной информационной системы формируется описание существующих угроз ИБ, их актуальности, возможности реализации и последствий – модель угроз.

В настоящее время в России действует методика оценки угроз безопасности информации, принятая ФСТЭК России 05.02.2021 г.^[7], заменившая собой Методику определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных (ФСТЭК России, 2008 г.) и Методику определения актуальных угроз безопасности информации в ключевых системах информационной инфраструктуры (ФСТЭК России, 2007 г.).

С выходом приказа ФСТЭК №17 от 4 марта 2017^[8] использование банка данных угроз ФСТЭК^[9] является обязательным. Эти два факта сформировали почву для создания специализированного программного обеспечения по моделированию реализации угроз ИБ в информационных системах. В настоящее время общественности представлен ряд научных публикаций^[10]^[11]^[12] и коммерческих разработок^[13], способствующих автоматизации формирования модели угроз.

В настоящее время (конец 2021 года), подавляющее большинство программного обеспечения моделируют возникновение угроз на базе устаревшей методологии (модель угроз 2008 года или проектная модель угроз 2015 года).

Примечания

↑ ГОСТ Р 50922-96 (неопр.). Дата обращения: 20 февраля 2016. Архивировано 15 февраля 2017 года.
↑ Закон РФ от 21.07.1993 N 5485-I "О государственной тайне" (с изменениями и дополнениями) (неопр.). base.garant.ru. Дата обращения: 20 декабря 2016. Архивировано 8 декабря 2015 года.
↑ Указ Президента РФ от 06.03.1997 N 188 "Об утверждении перечня сведений конфиденциального характера" (с изменениями и дополнениями) (неопр.). base.garant.ru. Дата обращения: 20 декабря 2016. Архивировано 7 января 2017 года.
↑ Блинов А. М. Информационная безопасность : Учеб. пособие. Часть 1 / А. М. Блинов.-СПб.: СПБГУЭФ, 2010. — 96 с.
↑ Основы информационной безопасности : учеб. пособие / Ю. Г. Крат, И. Г. Шрамкова. — Хабаровск : Изд-во ДВГУПС, 2008. −112 с.
↑ Информационная безопасность: Учебник для студентов вузов. — М.: Академический Проект; Гаудеамус, 2-е изд. — 2004. — 544 с .
↑ Методический документ. Утвержден ФСТЭК России 5 февраля 2021 г. - ФСТЭК России (неопр.). fstec.ru. Дата обращения: 17 декабря 2021. Архивировано 17 декабря 2021 года.
↑ Приказ ФСТЭК России от 11 февраля 2013 г. N 17 - ФСТЭК России (неопр.). fstec.ru. Дата обращения: 17 декабря 2021. Архивировано 17 декабря 2021 года.
↑ БДУ - Угрозы (неопр.). bdu.fstec.ru. Дата обращения: 17 декабря 2021. Архивировано 17 декабря 2021 года.
↑ Александр Сергеевич Большаков, Дмитрий Игоревич Раковский. Программное Обеспечение Моделирования Угроз Безопасности Информации В Информационных Системах (рус.) // Правовая Информатика. — 2020. — Вып. 1. — ISSN 1994-1404 1994-1404, 1994-1404. — doi:10.21681/1994-1404-2020-1-26-39.
↑ М. И. Ожиганова, А. О. Егорова, А. О. Миронова, А. А. Головин. втоматизация выбора мер по обеспечению безопасности объекта КИИ соответствующей категории значимости при составлении модели угроз (рус.) // М.: Энергетические установки и технологии.. — 2021. — Т. 7, № 2. — С. 130-135.
↑ Ю. Ф. Каторин, И. В. Ильин, Р. А. Нурдинов. Автоматизация процесса формирования модели угроз для информационных систем (рус.) // Информационные управляющие системы и технологии : Материалы IV Международной научно-практической конференции (ИУСТ-ОДЕССА-2015), Одесса, 22–24 сентября 2015 года / Одесский национальный морской университет, Волжский государственный университет водного транспорта, Государственный университет морского и речного флота имени адмирала С.О. Макарова, Харьковский национальный университет радиоэлектроники, Одесский национальный политехнический университет, Национальный университет кораблестроения имени адмирала С.О. Макарова. – Одесса: Макарова. — 2015. — С. 161-164.
↑ R-Vision Incident Response Platform (рус.). R-Vision. Дата обращения: 17 декабря 2021. Архивировано 17 декабря 2021 года.

Литература

Гатчин Ю. А., Сухостат В. В. Теория информационной безопасности и методология защиты информации. — СПб.: СПбГУ ИТМО, 2010. — 98 с.
Макаренко С. И. Информационная безопасность: учебное пособие для студентов вузов. — Ставрополь: СФ МГГУ им. М. А. Шолохова, 2009. — 372 с.