7.1.6 Класифікація уразливостей безпеці

Загрози, як можливі небезпечності здійснення будь-якої дії, спря­мованої проти об'єкта захисту, проявляються не самі по собі, а через уразливості (фактори), що призводять до порушення безпеки інфор­мації на конкретному об'єкті інформатизації.

Уразливості, властиві об'єкту інформатизації, невіддільні від ньо­го та обумовлюються недоліками процесу функціонування, власти­востями архітектури автоматизованих систем, протоколами обміну та інтерфейсами, програмним забезпеченням і апаратною платфор­мою, умовами експлуатації та розташування.

Джерела загроз можуть використовувати уразливості для пору­шення безпеки інформації, одержання незаконної вигоди (нанесення збитків власникові, користувачеві інформації). Крім того, можливі не зловмисні дії джерел загроз з активізації чи інших уразливостей, що приносять шкоду.

Кожній загрозі можуть бути зіставлені різноманітні уразливості. Усунення або суттєве послаблення уразливостей впливає на можли­вість реалізації загроз безпеці інформації.

Для зручності аналізу уразливості поділені на класи (познача­ються заголовними літерами), групи (позначаються римськими ци­фрами) та підгрупи (позначаються малими літерами). Уразливості безпеці інформації можуть бути: об'єктивними, суб'єктивними, ви­падковими (рис. 7.4).

Об'єктивні уразливості залежать від особливостей побудови та технічних характеристик обладнання, що застосовується на об'є­кті захисту. Повне усунення цих уразливостей неможливе, але вони можуть суттєво послаблятися технічними та інженерно-технічними методами відбивання загроз безпеці інформації.

Суб'єктивні уразливості залежать від дій співробітників і, в основному, вилучаються організаційними та програмно-апаратними методами.

Випадкові уразливості залежать від особливостей середовища, яке оточує об'єкт захисту, та непередбачених обставин. Ці фактори, як правило, мало передбачувані і їх усунення можливе тільки при

257

Частина II Основи безпеки інформаційних технологій

Рис. 7.4-Класифікація уразливостей інформаційної безпеки

проведення комплексу організаційних та інженерно-технічних захо­дів із протидії загрозам інформаційній безпеці.

7.1.7 Ранжирування уразливостей

Усі уразливості мають різну міру небезпеки (K_dan)f, яку можна кількісно оцінити на основі ранжирування. При цьому критеріями

258

Розділ 7 Основи безпеки інформаційних ресурсів

порівняння (показниками) можна вибрати:

• фатальність (K₁)_f, що визначає міру впливу уразливості на непе­реборність наслідків реалізації загрози. Для об'єктивних уразли­востей — це інформативність, тобто здатність уразливості повні­стю (без спотворення) передати корисний інформаційний сигнал;

• доступність (K₂)_f, що визначає зручність (можливість) вико­ристання уразливості джерелом загроз (масогабаритні розміри, складність, вартість необхідних засобів, можливість використан­ня не спеціалізованої апаратури);

• кількість (K₃)_f, що визначає кількість елементів об'єкта, яким характерна та чи інша уразливість.

(K_dan)_f для окремої уразливості можна визначити як відношен­ня добутку приведених вище показників до максимального значення (125)

.

Кожний показник оцінюється експертно-аналітичним методом за п'ятибальною системою. Причому 1 відповідає мінімальній мірі впливу оцінюваного показника на небезпеку використання уразли­вості, а 5 — максимальній.

Для підгрупи уразливостей пг(Κ_dan)_f визначається як середнє арифметичне коефіцієнтів окремих уразливостей у підгрупі.

Для зручності аналізу г(Κ_dan)_f для групи нормується відносно сукупності всіх коефіцієнтів підгруп у своєму класі, а к(Κ_dan)_f для класу визначається як сукупність коефіцієнтів підгруп класу нормо­ваних відносно всієї сукупності коефіцієнтів підгруп.

Результати аналізу із зазначенням коефіцієнтів небезпеки кожної уразливості зводиться в таблицю.