1. По природе возникновения

   1. Естественные угрозы - угрозы, вызванные воздействиями на АС и ее компоненты объективных физических процессов или стихийных природных явлений, независящих от человека

   2. Искусственные угрозы - угрозы информационной безопасности АС, вызванные деятельностью человека

2. По степени преднамеренности проявления

   1. Угрозы случайного действия и/или угрозы, вызванные ошибками или халатностью персонала

      • проявление ошибок программно-аппаратных средств АС

      • некомпетентное использование, настройка или неправомерное отключение средств защиты персоналом службы безопасности

      • неумышленные действия, приводящие к частичному или полному отказу системы или разрушению аппаратных, программных, информационных ресурсов системы ( неумышленная порча оборудования, удаление, искажение файлов с важной информацией или программ )

      • неправомерное включение оборудования или изменение режимов работы устройств и программ

      • неумышленная порча носителей информации

      • пересылка данных по ошибочному адресу абонента ( устройства )

      • ввод ошибочных данных

      • неумышленное повреждение каналов связи

   2. Угрозы преднамеренного действия ( например, угрозы действий злоумышленника для хищения информации )

3. По непосредственному источнику угроз

   1. Угрозы непосредственным источииком которых является природная среда ( стихийные бедствия, магнитные бури, радиоактивное излучение )

   2. Угрозы непосредственным источником которых является человек

      • внедрение агентов в число персонала системы ( в том числе, возможно, и в административную группу, отвечающую за безопасность )

      • вербовка ( путем подкупа, шантажа ) персонала или отдельных пользователей, имеющих определенные полномочия

      • угроза несанкционированного копирования секретных данных пользователем АС

      • разглашение, передача или утрата атрибутов разграничения доступа ( паролей, ключей шифрования, идентификационных карточек, пропусков )

   3. Угрозы непосредственным источником которых являются санкционированные программно-аппаратные средства

      • запуск технологических программ, способных при некомпетентном использовании вызывать потерю работоспособности системы ( зависания или зацикливания ) или необратимые изменения в системе ( форматирование или реструктуризацию носителей информации, удаление данных )

      • возникновение отказа в работе операционной системы

   4. Угрозы непосредственным источником которых являются несанкционированные программно-аппаратные средства

      • нелегальное внедрение и использование неучтенных программ ( игровых, обучающих, технологических, не являющихся необходимыми для выполнения нарушителем своих служебных обязанностей ) с последующим необоснованным расходованием ресурсов ( загрузка процессора, захват оперативной памяти и памяти на внешних носителях )

      • заражение компьютера вирусами с деструктивными функциями

4. По положению источника угроз

   1. Угрозы источник которых расположен вне контролируемой зоны территории ( помещения ), на которой находится АС

      • перехват побочных электромагнитных, акустических и других излучений устройств и линий связи, а также наводок активных излучений на вспомогательные технические средства, непосредственно не участвующие в обработке информации ( телефонные линии, сети питания и отопления )

      • перехват данных, передаваемых по каналам связи, и их анализ с целью выяснения протоколов обмена, правил вхождения в связь и авторизации пользователя и последующих попыток их имитации для проникновения в систему

      • дистанционная фото и видеосъемка

   2. Угрозы источник которых расположен в пределах контролируемой зоны территории ( помещения ), на которой находится АС

      • хищение производственных отходов ( распечаток, записей, списанных носителей информации )

      • отключение или вывод из строя подсистем обеспечения функционирования вычислительных систем ( электропитания, охлаждения и вентиляции, линий связи )

      • применение подслушивающих устройств

   3. Угрозы источник которых имеет доступ к периферийным устройствам АС

   4. Угрозы источник которых расположен в АС

      • проектирование архитектуры системы и технологии обработки данных, разработка прикладных программ, которые представляют опасность для работоспособности системы и безопасности информации

      • некорректное использование ресурсов АС

5. По степени зависимости от активности ас

   1. Угрозы которые могут проявляться независимо от активности АС

      • вскрытие шифров криптозащиты информации

      • хищение носителей информации ( магнитных дисков, лент, микросхем памяти, запоминающих устройств и компьютерных систем )

   2. Угрозы которые могут проявляться только в процессе автоматизированной обработки данных ( например, угрозы выполнения и распространения программных вирусов )

6. По степени воздействия на ас

   1. Пассивные угрозы, которые при реализации ничего не меняют в структуре и содержании АС ( например, угроза копирования секретных данных )

   2. Активные угрозы, которые при воздействии вносят изменения в структуру и содержание АС

      • внедрение аппаратных спецвложений, программных "закладок" и "вирусов" ( "троянских коней" и "жучков" ), т.е. таких участков программ, которые не нужны для выполнения заявленных функций, но позволяют преодолеть систему защиты, скрытно и незаконно осуществить доступ к системным ресурсам с целью регистрации и передачи критической информации или дезорганизации функционирования системы

      • действия по дезорганизации функционирования системы ( изменение режимов работы устройств или программ, забастовка, саботаж персонала, постановка мощных активных радиопомех на частотах работы устройств системы )

      • угроза умышленной модификации информации

7. По этапам доступа пользователя или программ к ресурсам ас

   1. Угрозы которые могут проявляться на этапе доступа к ресурсам АС ( например, угрозы несанкционированного доступа в АС )

   2. Угрозы которые могут проявляться после разрешения доступа к ресурсам АС ( например, угрозы несанкционированного или некорректного использования ресурсов АС )

8. По способу доступа к ресурсам ас

   1. Угрозы направленные на использование прямого стандартного пути доступа к ресурсам АС

      • незаконное получение паролей и других реквизитов разграничения доступа ( агентурным путем, используя халатность пользователей, подбором, имитацией интерфейса системы ) с последующей маскировкой под зарегистрированного пользователя ( "маскарад" )

      • несанкционированное использование терминалов пользователей, имеющих уникальные физические характеристики, такие как номер рабочей станции в сети, физический адрес, адрес в системе связи, аппаратный блок кодирования

   2. Угрозы направленные на использование скрытого нестандартного пути доступа к ресурсам АС

      • вход в систему в обход средств защиты ( загрузка посторонней ОС со сменных магнитных носителей)

      • угроза несанкционированного доступа к ресурсам АС путем использования недокументированных возможностей ОС

9. По текущему месту расположения информации, хранимой и обрабатываемоп в ас

   1. Угрозы доступа к информации на внешних запоминающих устройствах ( например, угроза несанкционированного копирования секретной информации с жесткого диска)

   2. Угрозы доступа к информации в оперативной памяти

      • чтение остаточной информации из оперативной памяти

      • чтение информации из областей оперативной памяти, используемых операционной системой ( в том числе подсистемой защиты ) или другими пользователями, в асинхронном режиме, используя недостатки мультизадачных АС и систем программирования

      • угроза доступа к системной области оперативной памяти со стороны прикладных программ

   3. Угрозы доступа к информации, циркулирующей в линиях связи

      • незаконное подключение к линиям связи с целью рабрты "между строк", с использованием пауз в действиях законного пользователя от его имени с последующим вводом ложных сообщений или модификацией передаваемых сообщений

      • незаконное подключение к линиям связи с целью прямой подмены законного пользователя путем его физического отключения после входа в систему и успешной аутентификации с последующим вводом дезинформации и навязыванием ложных сообщений

      • перехват всего потока данных с целью дальнейшего анализа не в реальном масштабе времени

   4. Угрозы доступа к информации, отображаемой на терминале или печатаемой на принтере ( например, угроза записи отображаемой информации на скрытую видеокамеру)

Программы обнаружения и защиты от вирусов

Для обнаружения, удаления и защиты от компьютерных вирусов разработано несколько видов специальных программ, которые позволяют обнаруживать и уничтожать вирусы. Такие программы называются антивирусными. Различают следующие виды антивирусных программ:

· программы-детекторы

· программы-доктора или фаги

· программы-ревизоры

· программы-фильтры

· программы-вакцины или иммунизаторы

Программы-детекторы осуществляют поиск характерной для конкретного вируса сигнатуры в оперативной памяти и в файлах и при обнаружении выдают соответствующее сообщение. Недостатком таких антивирусных программ является то, что они могут находить только те вирусы, которые известны разработчикам таких программ.

Программы-доктора или фаги, а также программы-вакцины не только находят зараженные вирусами файлы, но и «лечат» их, т.е. удаляют из файла тело программы-вируса, возвращая файлы в исходное состояние. В начале своей работы фаги ищут вирусы в оперативной памяти, уничтожая их, и только затем переходят к «лечению» файлов. Среди фагов выделяют полифаги, т.е. программы-доктора, предназначенные для поиска и уничтожения большого количества вирусов. Наиболее известные из них: Aidstest, Scan, Norton AntiVirus, Doctor Web.

Учитывая, что постоянно появляются новые вирусы, программы-детекторы и программы-доктора быстро устаревают, и требуется регулярное обновление версий.

Программы-ревизоры относятся к самым надежным средствам защиты от вирусов. Ревизоры запоминают исходное состояние программ, каталогов и системных областей диска тогда, когда компьютер не заражен вирусом, а затем периодически или по желанию пользователя сравнивают текущее состояние с исходным. Обнаруженные изменения выводятся на экран монитора. Как правило, сравнение состояний производят сразу после загрузки операционной системы. При сравнении проверяются длина файла, код циклического контроля (контрольная сумма файла), дата и время модификации, другие параметры. Программы-ревизоры имеют достаточно развитые алгоритмы, обнаруживают стелс-вирусы и могут даже очистить изменения версии проверяемой программы от изменений, внесенных вирусом. К числу программ-ревизоров относится широко распространенная в России программа Adinf.

Программы-фильтры или «сторожа» представляют собой небольшие резидентные программы, предназначенные для обнаружения подозрительных действий при работе компьютера, характерных для вирусов. Такими действиями могут являться:

- попытки коррекции файлов с расширениями COM, EXE

- изменение атрибутов файла

- прямая запись на диск по абсолютному адресу

- запись в загрузочные сектора диска

- загрузка резидентной программы

При попытке какой-либо программы произвести указанные действия «сторож» посылает пользователю сообщение и предлагает запретить или разрешить соответствующее действие. Программы-фильтры весьма полезны, так как способны обнаружить вирус на самой ранней стадии его существования до размножения. Однако, они не «лечат» файлы и диски. Для уничтожения вирусов требуется применить другие программы, например фаги. К недостаткам программ-сторожей можно отнести их «назойливость» (например, они постоянно выдают предупреждение о любой попытке копирования исполняемого файла), а также возможные конфликты с другим программным обеспечением. Примером программы-фильтра является программа Vsafe, входящая в состав пакета утилит MS DOS.

Вакцины или иммунизаторы - это резидентные программы, предотвращающие заражение файлов. Вакцины применяют, если отсутствуют программы-доктора, «лечащие» этот вирус. Вакцинация возможна только от известных вирусов. Вакцина модифицирует программу или диск таким образом, чтобы это не отражалось на их работе, а вирус будет воспринимать их зараженными и поэтому не внедрится. В настоящее время программы-вакцины имеют ограниченное применение.

Своевременное обнаружение зараженных вирусами файлов и дисков, полное уничтожение обнаруженных вирусов на каждом компьютере позволяют избежать распространения вирусной эпидемии на другие компьютеры.

Основные меры по защите от вирусов

Для того, чтобы не подвергнуть компьютер заражению вирусами и обеспечить надежное хранение информации на дисках, необходимо соблюдать следующие правила:

- оснастите свой компьютер современными антивирусными программами, например Aidstest, Doctor Web, и постоянно возобновляйте их версии

- перед считыванием с дискет информации, записанной на других компьютерах, всегда проверяйте эти дискеты на наличие вирусов, запуская антивирусные программы своего компьютера

- при переносе на свой компьютер файлов в архивированном виде проверяйте их сразу же после разархивации на жестком диске, ограничивая область проверки только вновь записанными файлами

- периодически проверяйте на наличие вирусов жесткие диски компьютера, запуская антивирусные программы для тестирования файлов, памяти и системных областей дисков с защищенной от записи дискеты, предварительно загрузив операционную систему с защищенной от записи системной дискеты

- всегда защищайте свои дискеты от записи при работе на других компьютерах, если на них не будет производится запись информации

- обязательно делайте архивные копии на дискетах ценной для вас информации

- не оставляйте в кармане дисковода А дискеты при включении или перезагрузке операционной системы, чтобы исключить заражение компьютера загрузочными вирусами

- используйте антивирусные программы для входного контроля всех исполняемых файлов, получаемых из компьютерных сетей

- для обеспечения большей безопасности применения Aidstest и Doctor Web необходимо сочетать с повседневным использованием ревизора диска Adinf

Технические средства защиты информации

Одним из направлений защиты информации в информационных системах является техническая защита информации (ТЗИ). В свою очередь, вопросы ТЗИ разбиваются на два больших класса задач: защита информации от несанкционированного доступа (НСД) и защиты информации от утечки техническими каналами. Под НСД обычно подразумевается доступ к информации, нарушающий установленную в информационной системе политику разграничения доступа. Под техническими каналами рассматриваются каналы посторонних электромагнитных излучений и наводок (ПЭМИН), акустические каналы, оптические каналы и др.

Защита от НСД может осуществляться в разных составляющих информационной системы:

• прикладное и системное ПО;

• аппаратная часть серверов и рабочих станций; 

• коммуникационное оборудование и каналы связи; 

• периметр информационной системы. 

Для защиты информации на уровне прикладного и системного ПО используются: 

• системы разграничения доступа к информации; 

• системы идентификации и аутентификации; 

• системы аудита и мониторинга; 

• системы антивирусной защиты.

Для защиты информации на уровне аппаратного обеспечения используются:

• аппаратные ключи; 

• системы сигнализации; 

• средства блокировки устройств и интерфейсов ввода-вывода информации.

В коммуникационных системах используются следующие средства сетевой защиты информации:

• межсетевые экраны (Firewall) — для блокировки атак из внешней среды (Cisco PIX Firewall, Symantec Enterprise FirewallTM, Contivity Secure Gateway и Alteon Switched Firewall от компании Nortel Networks). Они управляют прохождением сетевого трафика в соответствии с правилами (policies) безопасности. Как правило, межсетевые экраны устанавливаются на входе сети и разделяют внутренние (частные) и внешние (общего доступа) сети; 

• системы обнаружения вторжений (IDS - Intrusion Detection System) — для выявления попыток несанкционированного доступа как извне, так и внутри сети, защиты от атак типа "отказ в обслуживании" (Cisco Secure IDS, Intruder Alert и NetProwler от компании Symantec). Используя специальные механизмы, системы обнаружения вторжений способны предотвращать вредные действия, что позволяет значительно снизить время простоя в результате атаки и затраты на поддержку работоспособности сети; 

• средства создания виртуальных частных сетей (VPN - Virtual Private Network) — для организации защищенных каналов передачи данных через незащищенную среду (Symantec Enterprise VPN, Cisco IOS VPN, Cisco VPN concentrator). Виртуальные частные сети обеспечивают прозрачное для пользователя соединение локальных сетей, сохраняя при этом конфиденциальность и целостность информации путем ее динамического шифрования; 

• средства анализа защищенности - для анализа защищенности корпоративной сети и обнаружения возможных каналов реализации угроз информации (Symantec Enterprise Security Manager, Symantec NetRecon). Их применение позволяет предотвратить возможные атаки на корпоративную сеть, оптимизировать затраты на защиту информации и контролировать текущее состояние защищенности сети.

Для защиты периметра информационной системы создаются:

• системы охранной и пожарной сигнализации; 

• системы цифрового видеонаблюдения; 

• системы контроля и управления доступом (СКУД).

Защита информации от ее утечки техническими каналами связи обеспечивается следующими средствами и мероприятиями:

• использованием экранированного кабеля и прокладка проводов и кабелей в экранированных конструкциях; 

• установкой на линиях связи высокочастотных фильтров; 

• построение экранированных помещений ("капсул"); 

• использование экранированного оборудования; 

• установка активных систем зашумления.

С целью оценки состояния технической защиты информации, которая обрабатывается или циркулирует в автоматизированных системах, компьютерных сетях, системах связи, и подготовки обоснованных выводов для принятия соответствующих решений обычно проводится экспертиза в сфере технической защиты информации.