2.5 Основні визначення і критерії класифікації загроз

Загроза – це потенційна можливість певним чином порушити інформаційну безпеку.

Спроба реалізації загрози називається атакою, а той, хто робить таку спробу, - зловмисником. Потенційні зловмисники називаються джерелами загрози.

Частіше всього загроза є слідством наявності вразливих місць в захисті інформаційних систем (таких, наприклад, як можливість доступу сторонніх осіб до критично важливого устаткування або помилки в програмному забезпеченні).

Проміжок часу від моменту, коли з’являється можливість використовувати слабке місце, і до моменту, коли пропуск ліквідовується, називається вікном небезпеки, асоційованим з даним вразливим місцем. Поки існує вікно небезпеки, можливі успішні атаки на ІС.

Якщо йдеться про помилки до ПО, то вікно небезпеки "відкривається" з появою засобів використовування помилки і ліквідовується при накладенні латок, що її виправляють.

Для більшості вразливих місць вікно небезпеки існує порівняно довго (декілька днів, іноді - тижнів), оскільки за цей час повинні відбутися наступні події:

• повинне стати відомо про засоби використовування пропуску в захисті;

• повинні бути випущені відповідні латки;

• латки повинні бути встановлені в ІС, що захищається.

Ми вже указували, що нові вразливі місця і засоби їх використовування з’являються постійно; це значить, по-перше, що майже завжди існують вікна небезпеки і, по-друге, що відстежування таких вікон повинне проводитися постійно, а випуск і накладення латок - якомога більш оперативно.

Відзначимо, що деякі загрози не можна вважати слідством якихось помилок або прорахунків; вони існують через саму природу сучасних ІС. Наприклад, загроза відключення електрики або виходу його параметрів за допустимі межі існує через залежність апаратного забезпечення ІС від якісного електроживлення.

Розглянемо найпоширеніші загрози, яким схильні сучасні інформаційні системи. Мати уявлення про можливі загрози, а також про вразливі місця, які ці загрози звичайно експлуатують, необхідно для того, щоб вибирати найекономічніші засоби забезпечення безпеки. Дуже багато міфи існують у сфері інформаційних технологій (пригадаємо все ту ж "Проблему 2000"), тому незнання в даному випадку веде до перевитрати засобів і, що ще гірше, до концентрації ресурсів там, де вони не особливо потрібні, за рахунок ослаблення дійсно уразливих напрямів.

Підкреслимо, що саме поняття "загроза" в різних ситуаціях часто потрактує по-різному. Наприклад, для підкреслений відкритої організації загроз конфіденційності може просто не існувати - вся інформація вважається загальнодоступною; проте в більшості випадків нелегальний доступ представляється серйозною небезпекою. Іншими словами, загрози, як і все в ІБ, залежать від інтересів суб’єктів інформаційних відносин (і від того, який збиток є для них неприйнятним).

Ми спробуємо поглянути на предмет з погляду типової (на наш погляд) організації. Втім, багато загроз (наприклад, пожежа) небезпечні для всіх.

Загрози можна класифікувати по декількох критеріях:

• по аспекту інформаційної безпеки (доступність, цілісність, конфіденційність), проти якого загрози направлені в першу чергу;

• по компонентах інформаційних систем, на які загрози націлені (дані, програми, апаратура, підтримуюча інфраструктура);

• за способом здійснення (випадкові/навмисні дії природного/техногенного характеру);

• по тому, що розташовує джерела загроз (внутри/вне даної ІС).

Як основний критерій ми використовуватимемо перший (по аспекту ІБ), привертаючи при необхідності інші.