- •10. Угрозы информации
- •10.1. Классы каналов несанкционированного получения информации
- •1. Хищение носителей информации.
- •10.2. Причины нарушения целостности информации
- •10.3. Виды угроз информационным системам
- •10.4. Виды потерь
- •10.5. Информационные инфекции
- •10.6. Убытки, связанные с информационным обменом
- •10.6.1. Остановки или выходы из строя
- •10.6.2. Потери информации
- •10.6.3. Изменение информации
- •10.6.4. Неискренность
- •10.6.5. Маскарад
- •10.6.6. Перехват информации
- •10.6.7. Вторжение в информационную систему
- •10.7. Модель нарушителя информационных систем
- •11. Методы и модели оценки уязвимости информации
- •11.1. Эмпирический подход к оценке уязвимости информации
- •11.2. Система с полным перекрытием
- •11.3. Практическая реализация модели «угроза - защита»
- •12. Рекомендации по использованию моделей оценки уязвимости информации
- •14. Анализ существующих методик определения требований к защите информации
- •14.1. Требования к безопасности информационных систем в сша
- •1. Стратегия
- •2. Подотчетность
- •3. Гарантии
- •14.2. Требования к безопасности информационных систем в России
- •14.3. Классы защищенности средств вычислительной техники от несанкционированного доступа
- •14.4. Факторы, влияющие на требуемый уровень защиты информации
- •15. Функции и задачи защиты информации
- •15.1. Общие положения
- •15.2. Методы формирования функций защиты
- •15.3. Классы задач защиты информации
- •15.4. Функции защиты
- •15.5. Состояния и функции системы защиты информации
- •16. Стратегии защиты информации
- •17. Способы и средства защиты информации
- •18. Криптографические методы защиты информации
- •18.1. Требования к криптосистемам
- •18.2. Основные алгоритмы шифрования
- •18.3. Цифровые подписи
- •18.4. Криптографические хеш-функции
- •18.5. Криптографические генераторы случайных чисел
- •18.6. Обеспечиваемая шифром степень защиты
- •18.7. Криптоанализ и атаки на криптосистемы
- •19. Архитектура систем защиты информации
- •19.1. Требования к архитектуре сзи
- •19.2. Построение сзи
- •19.3. Ядро системы защиты информации
- •19.4. Ресурсы системы защиты информации
- •19.5. Организационное построение
10.4. Виды потерь
Информационный ущерб может рассматриваться и с точки зрения потерь, приводящих к какой-либо убыточности, в частности в тех случаях, когда они могут быть оценены.
1. Потери, связанные с материальным ущербом. Речь идет о компенсации или размещении утраченных или похищенных материальных средств. К этой сумме может добавиться целый ряд других, может быть даже более значительных:
• стоимость компенсации, возмещение другого косвенно утраченного имущества;
• стоимость ремонтно-восстановительных работ;
• расходы на анализ и исследование причин и величины ущерба;
• другие различные расходы.
2. Дополнительные расходы, связанные с персоналом, обслуживанием сети и расходы на восстановление информации, связанные с возобновлением работы сети по сбору, хранению, обработке и контролю данных.
К дополнительным расходам относятся также:
• поддержка информационных ресурсов и средств удаленного доступа;
• обслуживающий персонал, не связанный с информацией;
• специальные премии, расходы на перевозку и др.;
• другие виды расходов.
3. Эксплуатационные потери, связанные с ущемлением банковских интересов, или с финансовыми издержками, или с потерей клиентов.
Расходы на эксплуатацию соответствуют снижению общего потенциала предприятия, вызываемого следующими причинами:
• снижением банковского доверия;
• уменьшением размеров прибыли;
• потерей клиентуры;
• снижением доходов предприятия;
• другими причинами.
Естественно, что информационные потери увеличивают дополнительные расходы на их восстановление, что требует определенного времени. Временные задержки вызывают соответствующие претензии пользователей, потери интересов, а иногда и финансовые санкции.
4. Утрата фондов или невосстанавливаемого имущества. Утрата фондов соответствует в общем случае уменьшению финансовых возможностей (деньги, чеки, облигации, вексели, денежные переводы, боны, акции и т. д.).
Преступные действия могут быть предприняты и в отношении счетов третьей стороны (клиенты, поставщики, государство, лица наемного труда), а иногда даже и против капиталов. Потери собственности соответствуют утрате материальных ценностей как складированных, так и закупленных, а также недвижимости.
5. Прочие расходы и потери, в частности, связаны с моральной ответственностью.
Эта категория потерь по своему содержанию довольно разнообразна: травмы, телесные повреждения, моральный ущерб, судебные издержки, штрафы, расходы на обучение и различные эксперименты, другие виды гражданской ответственности. Сюда же можно отнести качественные потери и другие издержки.
Ущерб может быть прямой (расходы, связанные с восстановлением системы) и косвенный (потери информации, клиентуры).
В отдельных монографиях и статьях отечественных и зарубежных ученых излагаются некоторые результаты практических исследований по определению количественных значений различных угроз информационным системам.
Таблица. Размеры ущерба информационным системам от различных видов угроз
Вид угрозы |
Содержание угрозы |
Виды ущерба |
Размеры ущерба, млн. фр. |
||||
Г |
Д |
Е |
Ж |
Всего |
Процент к 1986 г. |
||
А |
1 2 3 |
420 50 |
940 45 1080 |
- |
100 |
1460 95 1080 |
+6 +12 -3 |
Итого |
|
470 |
2065 |
- |
100 |
2635 |
+21 |
Б |
4 5 6 |
- |
350 210 650 |
90 10 50 |
160 30 200 |
600 250 300 |
-8 -17 +6 |
Итого |
|
|
1250 |
150 |
390 |
1750 |
-19 |
В |
7 8 9 10 |
- |
650 570 1250 50 |
1850 10 |
110 150 |
2650 670 1250 50 |
+6 +16 +14 -33 |
Итого |
|
|
2650 |
1860 |
260 |
4670 |
+3 |
Всего |
|
470 +6 |
5775 -6 |
2010 +5,5 |
750 +5 |
9005 +0,5 |
+5 |
Примечания:
А - происшествия. Это угроза материальным средствам информационной системы. Охватывает: 1 - материальный ущерб; 2 - кражи, хищения и другие виды действий; 3 - аварии, поломки, отказы, выход из строя аппаратных и программных средств и баз данных.
Б - ошибки и непредвиденные действия. Охватывает: 4 - ошибки ввода, хранения, обработки и передачи информации; 5 - ошибки функционирования системы; 6 - концептуальные ошибки и ошибки внедрения (реализации).
В - вредительство: 7 - экономический шпионаж; 8 болтливость и разглашение информации; 9 - копирование программ и операционных систем; 10 - саботаж, забастовки, уход (увольнение) сотрудников.
Виды ущерба: Г - материальный ущерб различного характера; Д -дополнительные расходы на возмещение убытков; Е - финансовые убытки; Ж - моральный ущерб и др.
Убытки от злонамеренных действий непрерывно возрастают и являются наиболее значительными.
Приведенные в таблице данные обладают определенной погрешностью (порядка 20 %), что связано в основном со сбором статистических данных.
В общем, 1990 г. отличался некоторым замедлением всех видов потерь, хотя ситуация в зависимости от различных причин довольно разнообразна (происшествия - +4,8 %, ошибки - -2,6 %, злоупотребления -+8,6 %).
Следует отменить, что ущерб, превышающий 10 млн. фр., увеличился (46 против 44), при этом зарегистрирован только один случай, сумма которого превышает 100 млн. франков (против четырех в 1989 г.).
Убытки, связанные с происшествиями (2-я строка), зависят от развития парка, в частности от увеличения техники и рабочих мест, а также от разнообразия причин: пожары - 42 %; задымления, коррозия, неисправности - 11 %; ущерб от подтоплений - 12%; выход из строя машин -8 %; возгорание электросетей и приборов (от грозовых разрядов и перенапряжения) - 9 %; неполадки во внешней среде - 10 %; другие случаи -8%.
Что касается 3-й строки, различие также довольно значительное. Типичные аварии оборудования - 18 %; неполадки во внешней среде - 9 %; специфические неисправности оборудования - 15 %; выход из строя операционной системы - 10 %; неисправности сетей - 11 %; перебои в снабжении водой - 5 %, перебои в электроснабжении - 3 %; перебои различного рода снабжения - 8 %; другие причины - 21 %.
Убытки, связанные с ошибками, несколько уменьшились. Это, в частности, относится к 4-й строке (несмотря на еще многочисленные ошибки маршрутизации потоков и ошибки, связанные с использованием сетей) и к 5-й сроке (здесь за счет увеличения доли автоматизации повысилось качество продукции). Вместе с тем можно отметить, что если увеличение обмена по каналам привело к улучшению показателей 4-й строки, то функциональные ошибки, которые не отражаются в этой таблице, скорее всего имеют тенденцию к росту.
Концептуальные и внедренческие ошибки (6-я строка). Причины носят одновременно структурный (привлечение к разработке сторонних организаций, абонементное обслуживание) и технический характер (физический износ постоянно растущего числа действующих систем, обусловливающий проблемы восстановления или адаптации новых, более сложных систем и т. д.).
Убытки, связанные со злоупотреблениями (7-я строка). Здесь довольно высокие показатели. По состоянию на 1989 г. они составляли: мошенничество - 67 % и саботаж - 33 %. В свою очередь, мошенничество подразделяется: на хищение фондов - 70 %, хищение материальных ценностей - 30 %. Последние могут быть проанализированы по отношению к социально-экономическому сектору: I - банки, страхование, социальное обеспечение, финансы - 38 %; II - промышленность, сельское хозяйство - 28 %; III - транспорт, торговля, другие услуги - 34 %. Саботаж подразделяется, в свою очередь: на фальсификацию данных или программ -20 %; частичный вывод из строя или частичное блокирование - 49 %; полный вывод из строя или полное блокирование - 31 %. Убытки, связанные с вирусами, трудно поддаются оценке. В общем, они меньше 100 млн. фр. Хотя случаи их появления увеличиваются как в сетях мини-ЭВМ, так и в больших системах.
Убытки от разглашения и промышленного шпионажа (8-я строка) весьма значительны. Сегодня шпионаж не ограничивается только областью промышленности, а становится преимущественно экономическим. Особенно прогрессируют секторы торговли и финансов.
Показатели 9-й строки вновь увеличились после их падения в 1988 г. Это объясняется увеличением пиратских действий и в особенности ростом числа случаев подделки.
10-я строка имеет явную тенденцию к уменьшению приносимого ущерба.
Результаты исследований, проведенных Datapro Information Service Group на основе анкетирования 1153 банков, приведены в табл. (В 1991, 1992, и 2001 гг. в опросе участвовало соответственно 1102, 1153 и 1121 респондент.)
Таблица Угрозы автоматизированным информационным системам, %
Вид угрозы |
Содержание угрозы |
1991 |
1992 |
2001 |
Потеря связи |
Стихийные бедствия |
14 |
8 |
8 |
Небрежность пользователей |
|
15 |
17 |
|
Неисправность учрежденческих АТС |
|
21 |
25 |
|
Неисправность в сетях передачи данных |
|
46 |
46 |
|
Ошибки программных средств |
|
39 |
55 |
|
Другие причины |
42 |
36 |
31 |
|
Компьютерные преступления |
Программными средствами (включая вирусы) |
22 |
44 |
64 |
Раскрытие пароля |
28 |
30 |
32 |
|
Внутренние угрозы системе |
4 |
5 |
2 |
|
Внешние угрозы системе |
2 |
2 |
2 |
|
Возгорание компьютера |
2 |
1 |
1 |
|
Утечка информации |
9 |
11 |
17 |
|
Несанкционированный доступ |
|
19 |
22 |
34 |
Стихийные бедствия |
Подтопление и другие причины |
3 |
3 |
3 |
Анализ крупных убытков особенно тех, которые могут поставить под угрозу само существование предприятия, показывает, что, кроме основных причин, нанесению ущерба способствовали и такие факторы, как:
• отсутствие взаимодействия между ответственными за безопасность лицами;
• несоответствие технических средств реальным потребностям безопасности;
• установка средств безопасности без глубокого изучения конкретных условий и особенностей.
Понять это, кроме технических аспектов, часто второстепенных и не представляющих собой значительных проблем на практике, - значит ОВЛАДЕТЬ основами управления безопасностью.
Основные причины убытков связаны не столько с недостаточностью средств безопасности как таковых, сколько с отсутствием взаимосвязи между ними.