2.2.6 Аналіз загроз інформаційної безпеки об’єкту
Організація забезпечення безпеки інформації носить комплексний характер і ґрунтується на глибокому аналізі можливих негативних наслідків.
Аналіз негативних наслідків включає обов'язкову ідентифікацію можливих джерел загроз, факторів, що сприяють їх прояву і, як наслідок, визначення актуальних загроз безпеки інформації. У ході цього аналізу встановлюється факт, що всі можливі джерела загроз ідентифіковані, ідентифіковані і зіставлені з джерелами загроз всі можливі фактори (вразливості), властиві об'єкту захисту, всім ідентифікованим джерелам і факторам зіставлені загрози безпеки інформації [14].
Виходячи
з цього принципу, моделювання та
класифікацію джерел загроз та їх проявів,
доцільно проводити на основі аналізу
взаємодії логічного ланцюга: джерело
загрози – фактор (вразливість) – загроза
(дія) – наслідки
(атака).
Носіями
загроз безпеки інформації є джерела
загроз. В якості джерел загроз можуть
виступати як суб'єкти (особа) так і
об'єктивні прояви. Причому, джерела
загроз можуть знаходитися як всередині
підприємства – внутрішні джерела, так
і поза ним – зовнішні джерела.
Всі джерела загроз безпеці інформації можна розділити на наступні групи:
– обумовлені діями суб'єкта (антропогенні джерела загроз);
– обумовлені технічними засобами (техногенні джерела загроз);
– обумовлені стихійними джерелами.
Антропогенним джерелом загроз є суб'єкт, що має санкціонований або несанкціонований доступ до роботи зі штатними засобами підприємства [14]. Суб'єкти, дії яких можуть призвести до порушення безпеки інформації можуть бути як зовнішні, так і внутрішні.
До зовнішніх антропогенних джерел загроз належать:
– кримінальні структури;
– потенційні злочинці та хакери;
– несумлінні партнери;
– технічний персонал постачальників телематичних послуг;
– представники наглядових організацій і аварійних служб;
– представники силових структур.
До внутрішніх антропогенних джерел загроз належать:
– основний персонал (користувачі, програмісти, розробники);
– представники служби захисту інформації;
– допоміжний персонал (прибиральники, охорона);
– технічний персонал (життєзабезпечення, експлуатація).
Техногенні джерела загроз напряму залежать від властивостей техніки. Технічні засоби, що є джерелами потенційних загроз безпеки інформації також можуть бути зовнішніми і внутрішніми.
До зовнішніх техногенних джерел загроз належать:
–
засоби
зв'язку;
– мережі інженерних
комунікації (водопостачання, каналізації);
– транспорт.
До внутрішніх техногенних джерел загроз належать:
– неякісні технічні засоби обробки інформації;
– неякісні програмні засоби обробки інформації;
– допоміжні засоби (охорони, сигналізації, телефонії).
Стихійні джерела загроз об'єднують обставини, що становлять непереборну силу, тобто такі обставини, які носять об'єктивний і абсолютний характер, який поширюється на всіх [14]. Стихійні джерела потенційних загроз інформаційної безпеки як правило є зовнішніми по відношенню до підприємства і під ними розуміються насамперед природні катаклізми:
– пожежі;
– землетруси;
– повені;
– урагани;
– різні непередбачувані обставини;
– нез'ясовні явища.
Всі джерела загроз мають різну ступінь небезпеки (Кнеб), яку можна кількісно оцінити, провівши їх ранжування. При цьому оцінка ступеня небезпеки проводиться за непрямими показниками. В якості критеріїв порівняння (показників) виступають:
– можливість виникнення джерела (К1), що визначає ступінь доступності до об’єкту, що захищається (для антропогенних джерел), віддаленість від об'єкта, що захищається (для техногенних джерел) або особливості обстановки (для випадкових джерел);
– готовність джерела (К2), що визначає ступінь кваліфікації і привабливість вчинення діянь з боку джерела загрози (для антропогенних джерел), або наявність необхідних умов (для техногенних та стихійних джерел);
–
фатальність
(К3), що визначає ступінь непереборності
наслідків
реалізації загрози.
Кожен показник оцінюється експертно-аналітичним методом за п'ятибальною системою.
1 відповідає мінімальному ступеню оцінюваного показника на небезпеку використання джерела, 5 – максимальному.
Ступінь небезпеки визначається за формулою (2.1):
де 125 – максимальне значення множення трьох показників.
Результати проведеного аналізу джерел загроз інформації, що циркулює в ТОВ «Віпіком», за описаною вище методикою наведені в таблиці 2.13.
Таблиця 2.13 – Результати аналізу джерел загроз інформації, що циркулює в ТОВ «Віпіком»
Джерело загрози |
К1 |
К2 |
К3 |
Кнеб |
потенційні злочинці та хакери |
2 |
2 |
4 |
0,13 |
основний персонал (користувачі) |
4 |
2 |
2 |
0,13 |
допоміжний персонал (прибиральниця, охоронці) |
3 |
1 |
3 |
0,07 |
засоби зв'язку |
4 |
3 |
3 |
0,29 |
мережі інженерних комунікацій (електропостачання, водопостачання, каналізації, опалення) |
4 |
3 |
3 |
0,29 |
неякісні технічні засоби обробки інформації |
3 |
3 |
4 |
0,29 |
неякісні програмні засоби обробки інформації |
4 |
2 |
3 |
0,19 |
допоміжні засоби (охорони, сигналізації, телефонії) |
4 |
2 |
4 |
0,26 |
пожежі |
2 |
2 |
5 |
0,16 |
землетруси |
1 |
1 |
5 |
0,04 |
повені |
1 |
1 |
5 |
0,04 |
урагани |
1 |
1 |
5 |
0,04 |
Загрози,
як можливі небезпеки вчинення будь-якої
дії, спрямованої проти підприємства,
виявляються не самі по собі, а через
уразливості (фактори), що
призводять
до порушення безпеки інформації на
об'єкті інформатизації.
Всі вразливості безпеки інформації можна розділити на наступні групи:
– об’єктивні;
– суб’єктивні;
– випадкові.
Об'єктивні вразливості залежать від особливостей побудови та технічних характеристик обладнання, застосовуваного на підприємстві. До них відносяться:
а) супутні технічним засобам випромінювання:
1) електромагнітні (побічні випромінювання елементів технічних засобів; побічні випромінювання кабельних ліній технічних засобів; випромінювання на частотах роботи генераторів; випромінювання на частотах самозбудження підсилювачів);
2) електричні (наведення електромагнітних випромінювань на лінії і провідники; просочування сигналів у колі електроживлення; просочування сигналів у колі заземлення; нерівномірність споживання струму електроживлення);
3) звукові (акустичні, віброакустичні);
б) активізовані:
1) апаратні закладки (встановлені в телефонні лінії; встановлені в мережі електроживлення; встановлені в приміщеннях; встановлені в технічних засобах);
2) програмні закладки (шкідливі програми; технологічні виходи з програм; нелегальні копії програм);
в) зумовлені особливостями елементів:
1) елементи, які володіють електроакустичними перетвореннями (телефонні апарати; гучномовці та мікрофони; котушки індуктивності; дроселі; трансформатори тощо);
2) елементи, які схильні до дії електромагнітного поля (магнітні носії; мікросхеми; нелінійні елементи; повержені ВЧ нав'язуванню);
г)
зумовлені особливостями підприємства:
1) місцем розташування підприємства (відсутність контрольованої зони; наявність прямої видимості об'єктів; наявність видалених і мобільних елементів підприємства; наявність вібруючих відображаючих поверхонь);
2) організацією каналів обміну інформацією (використання радіоканалів; використання глобальних інформаційних мереж; використання орендованих каналів).
Суб'єктивні вразливості залежать від дій співробітників. До них відносяться:
а) помилки:
1) при підготовці та використанні ПЗ (при розробці алгоритмів та ПЗ; при інсталяції та завантаження ПЗ; при експлуатації ПЗ; при введенні даних);
2) при управлінні складними системами (при використанні можливостей самонавчання систем; при налаштуванні сервісів універсальних систем; при організації управління потоками обміну інформації);
3) при експлуатації технічних засобів (при включенні та виключенні технічних засобів; при використанні технічних засобів охорони; при використанні коштів обміну інформацією);
б) порушення:
1) режиму охорони і захисту (доступу на підприємство; доступу до технічних засобів);
2) режиму експлуатації технічних засобів (енергозабезпечення; життєзабезпечення);
3) режиму використання інформації (обробки та обміну інформацією; зберігання та знищення носіїв інформації; знищення виробничих відходів і браку);
4) режиму конфіденційності (співробітниками в неробочий час; звільненими співробітниками).
Випадкові вразливості залежать від особливостей навколишнього середовища підприємства і непередбачених обставин. До них відносяться:
а)
збої і відмови:
1) відмови і несправності технічних засобів (що обробляють інформацію; що забезпечують працездатність засобів обробки інформації; що забезпечують охорону і контроль доступу);
б) старіння і розмагнічування носіїв інформації (дискет і знімних носіїв; жорстких дисків; елементів мікросхем; кабелів і з'єднувальних ліній);
в) збої ПЗ (операційних систем і СУБД; прикладних програм; сервісних програм; антивірусних програм)
г) збої електропостачання (обладнання, що обробляє інформацію; допоміжного обладнання);
б) ушкодження:
1) життєзабезпечуючих комунікацій (електро-, водо-, газо-, теплопостачання, каналізації; вентиляції);
2) огороджувальних конструкцій (зовнішніх огороджень територій, стін і перекриттів будівель; корпусів технологічного обладнання) [14].
Всі джерела загроз мають різну ступінь небезпеки (Кнеб). В якості критеріїв порівняння (показників) виступають:
– фатальність (P1), що визначає ступінь впливу вразливості на непереборність наслідків реалізації загрози;
– доступність (P2), що визначає зручність (можливість) використання вразливості джерелом загроз (габаритні розміри, складність, вартість необхідних коштів, можливість використання не спеціалізованій апаратурі);
– кількість (P3), що визначає кількість елементів підприємства, яким характерна та чи інша вразливість.
Ступінь небезпеки визначається за формулою (2.2):
де 125 – максимальне значення множення трьох показників.
Результати проведеного аналізу вразливостей безпеки інформації, що циркулює в ТОВ «Віпіком», за описаною вище методикою наведені в таблиці 2.14.
Таблиця
2.14
– Результати аналізу вразливостей
безпеки інформації, що циркулює в ТОВ
«Віпіком»
Вразливість |
P1 |
P2 |
P3 |
Pнеб |
1 |
2 |
3 |
4 |
5 |
побічні випромінювання елементів технічних засобів |
3 |
3 |
4 |
0,29 |
побічні випромінювання кабельних ліній технічних засобів |
3 |
2 |
5 |
0,24 |
наведення електромагнітних випромінювань на лінії і провідники |
3 |
2 |
5 |
0,24 |
просочування сигналів у колі електроживлення |
3 |
3 |
4 |
0,29 |
просочування сигналів у колі заземлення |
3 |
2 |
4 |
0,19 |
апаратні закладки встановлені в телефонні лінії |
2 |
3 |
4 |
0,19 |
апаратні закладки встановлені в мережі електроживлення |
2 |
2 |
5 |
0,16 |
апаратні закладки встановлені в приміщеннях |
5 |
1 |
2 |
0,08 |
апаратні закладки встановлені в технічних засобах |
5 |
1 |
4 |
0,16 |
наявність магнітних носіїв, які схильні до дії електромагнітного поля |
3 |
2 |
4 |
0,19 |
наявність прямої видимості об'єктів |
4 |
5 |
3 |
0,48 |
наявність вібруючих відображаючих поверхонь |
4 |
3 |
2 |
0,19 |
використання радіоканалів |
4 |
3 |
2 |
0,19 |
використання глобальних інформаційних мереж |
2 |
4 |
2 |
0,13 |
помилки при інсталяції та завантаження ПЗ |
2 |
2 |
2 |
0,06 |
помилки при експлуатації ПЗ |
3 |
1 |
2 |
0,05 |
помилки при введенні даних |
3 |
1 |
2 |
0,05 |
порушення режиму доступу на підприємство |
5 |
2 |
2 |
0,16 |
Продовження
таблиці 2.14
1 |
2 |
3 |
4 |
5 |
порушення режиму конфіденційності співробітниками в неробочий час |
4 |
2 |
3 |
0,19 |
порушення режиму конфіденційності звільненими співробітниками |
4 |
2 |
1 |
0,06 |
відмови і несправності технічних засобів, що обробляють інформацію |
2 |
1 |
3 |
0,05 |
відмови і несправності технічних засобів, що забезпечують працездатність засобів обробки інформації |
2 |
1 |
3 |
0,05 |
відмови і несправності технічних засобів, що забезпечують охорону і контроль доступу |
3 |
3 |
2 |
0,14 |
старіння і розмагнічування носіїв інформації |
2 |
1 |
4 |
0,06 |
збої ПЗ |
3 |
1 |
2 |
0,05 |
ушкодження життєзабезпечуючих комунікацій |
3 |
2 |
2 |
0,1 |
ушкодження огороджувальних конструкцій |
3 |
3 |
1 |
0,07 |
Загрозами безпеці інформації на підприємстві є:
– крадіжка (копіювання) інформації;
– знищення інформації;
– модифікація (спотворення) інформації;
– несанкціонований доступ до інформації;
– блокування доступу до інформації;
– заперечення дійсності інформації;
– нав'язування неправдивої інформації.
Після аналізу джерел загроз, вразливостей безпеки інформації, а також існуючих загроз безпеці інформації складається зведена таблиця моделі загроз.
Зведена модель загроз інформації, що циркулює в ТОВ «Віпіком» наведена в таблиці 2.15.
Таблиця
2.15
–
Зведена
модель загроз інформації, що циркулює
в ТОВ «Віпіком»
Джерело загрози |
Загроза |
Фактор |
Pнеб |
1 |
2 |
3 |
4 |
– потенційні злочинці та хакери; – основний персонал (користувачі); – допоміжний персонал (прибираль-ниця, охоронці) |
крадіжка інформації |
порушення режиму доступу на підприємство |
0,16 |
знищення інформації |
порушення режиму доступу на підприємство |
0,1 |
|
модифікація інформації |
помилки при інсталяції та завантаження ПЗ |
0,06 |
|
помилки при експлуатації ПЗ |
0,05 |
||
помилки при введенні даних |
0,05 |
||
порушення режиму доступу на підприємство |
0,16 |
||
несанкціоно-ваний доступ до інформації |
порушення режиму доступу на підприємство |
0,16 |
|
порушення режиму конфіденційності співробітниками в неробочий час |
0,19 |
||
порушення режиму конфіденційності звільненими співробітниками |
0,06 |
||
блокування доступу до інформації |
помилки при інсталяції та завантаження ПЗ |
0,06 |
|
порушення режиму доступу на підприємство |
0,16 |
||
ушкодження життєзабезпечуючих комунікацій |
0,1 |
||
ушкодження огороджувальних конструкцій |
0,07 |
Продовження
таблиці 2.14
1 |
2 |
3 |
4 |
– засоби зв'язку; – мережі інженерних комунікацій (електропос-тачання, водо- постачання, каналізації, опалення); – неякісні технічні засоби обробки інформації; – неякісні програмні засоби обробки інформації; – допоміжні засоби (охорони, сигналізації, телефонії) |
знищення інформації |
відмови і несправності технічних засобів, що обробляють інформацію |
0,05 |
відмови і несправності технічних засобів, що забезпечують працездатність засобів обробки інформації |
0,05 |
||
відмови і несправності технічних засобів, що забезпечують охорону і контроль доступу |
0,14 |
||
старіння і розмагнічування носіїв інформації |
0,06 |
||
збої ПЗ |
0,05 |
||
ушкодження життєзабезпечуючих комунікацій |
0,1 |
||
ушкодження огороджувальних конструкцій |
0,07 |
||
несанкціоно-ваний доступ до інформації |
побічні випромінювання елементів технічних засобів |
0,29 |
|
побічні випромінювання кабельних ліній технічних засобів |
0,24 |
||
наведення електромагнітних випромінювань на лінії і провідники |
0,24 |
||
просочування сигналів у колі електроживлення |
0,29 |
||
просочування сигналів у колі заземлення |
0,19 |
||
апаратні закладки встановлені в телефонні лінії |
0,19 |
Продовження
таблиці 2.14
1 |
2 |
3 |
4 |
|
|
апаратні закладки встановлені в мережі електроживлення |
0,16 |
апаратні закладки встановлені в приміщеннях |
0,08 |
||
апаратні закладки встановлені в технічних засобах |
0,16 |
||
наявність магнітних носіїв, які схильні до дії електромагнітного поля |
0,19 |
||
наявність прямої видимості об'єктів |
0,48 |
||
наявність вібруючих відображаючих поверхонь |
0,19 |
||
використання радіоканалів |
0,19 |
||
використання глобальних інформаційних мереж |
0,13 |
||
блокування доступу до інформації |
відмови і несправності технічних засобів, що обробляють інформацію |
0,05 |
|
відмови і несправності технічних засобів, що забезпечують працездатність засобів обробки інформації |
0,05 |
||
відмови і несправності технічних засобів, що забезпечують охорону і контроль доступу |
0,14 |
||
старіння і розмагнічування носіїв інформації |
0,06 |
||
збої ПЗ |
0,05 |
||
– пожежі; – землетруси; |
знищення інформації |
ушкодження життєзабезпечуючих комунікацій |
0,1 |
Продовження
таблиці 2.14
1 |
2 |
3 |
4 |
– повені; – урагани |
|
ушкодження огороджувальних конструкцій |
0,07 |
Вразливості, що мають коефіцієнт небезпеки менше 0,2 надалі не будуть розглядатися через малу значимість їх здійснення на розглянутому об'єкті. Модель значущих загроз наведена в таблиці 2.16.
Таблиця 2.16 – Модель значущих загроз інформації, що циркулює в ТОВ «Віпіком»
Джерело загрози |
Загроза |
Фактор |
Pнеб |
– засоби зв'язку; – мережі інженерних комунікацій (електропостачання, водопостачання, каналізації, опалення); – неякісні технічні засоби обробки інформації; – допоміжні засоби (охорони, сигналізації, телефонії) |
несанкціонова-ний доступ до інформації |
побічні випромінювання елементів технічних засобів |
0,29 |
побічні випромінювання кабельних ліній технічних засобів |
0,24 |
||
наведення електромагнітних випромінювань на лінії і провідники |
0,24 |
||
просочування сигналів у колі електроживлення |
0,29 |
||
наявність прямої видимості об'єктів |
0,48 |