Внешние субъективные источники угроз

• внесение аппаратных закладок в технические средства

• удаленное внедрение вредоносного ПО

• перехват защищаемой информации в каналах передачи данных

• подбор аутентифицирующей информации пользователей («взлом паролей»)

Внутренние субъективные источники угроз

Действия лиц, имеющих доступ к работе и (или) допуск в пределы контролируемой зоны.

А. Стихийные источники потенциальных угроз информационной безопасности, под которыми понимаются прежде всего природные явления (пожары, землетрясения, наводнения и т.п.);

Б. Источники, связанные с техническими средствами

• передача информации по беспроводным, проводным и волоконно-оптическим каналам

• дефекты, сбои и отказы технических средств

• отказы и сбои программных средств обработки информации

• Атаки

• Угрозы, не являющиеся атаками

Атака является целенаправленным действием нарушителя с использованием технических и (или) программных средств, с целью нарушения заданных характеристик безопасности защищаемых ресурсов или с целью создания условий для этого.

Виды атак

• атаки через технические каналы утечки информации

• атаки за счет несанкционированного доступа (НСД) с применением программных и программно-аппаратных средств.

• угрозы, не связанные с деятельностью человека (стихийные бедствия и природные явления)

• угрозы социально-политического характера (забастовки, саботаж, локальные конфликты и т.д.)

• угрозы техногенного характера (отключение электропитания, разрушение инженерных сооружений, неисправности, сбои аппаратных средств, нестабильность параметров системы электропитания и заземления, помехи и наводки, приводящие к сбоям в работе аппаратных средств и т.д.)

• ошибочные или случайные действия и (или) нарушения тех или иных требований лицами, взаимодействующими с ресурсами информационной системы в рамках своих полномочий (непреднамеренные действия пользователей)

• Доступность – возможность в приемлемое время получить требуемую информационную услугу

• Целостность – актуальность и непротиворечивость информации, её защищённость от разрушения и несанкционированного изменения

• Конфиденциальность – защита от несанкционированного доступа к информации

С практической точки зрения абсолютной защищённости не существует. Важно соотношение ущерба от нарушения ИБ и стоимости мер по её обеспечению.

• Аутентификация: обеспечивается проверка подлинности партнеров по общению и проверка подлинности источника данных. Бывает односторонней (клиент доказывает свою подлинность серверу) и взаимной.

• Управление доступом: обеспечивается защита от несанкционированного использования ресурсов, доступных по сети.

• Конфиденциальность данных: обеспечивается защита от несанкционированного получения (считывания) информации.

• Целостность данных: зависит от режима связи, возможны различные варианты обеспечения целостности.

• Неотказуемость: обеспечивается невозможность отказаться от совершенных действий. Существует в двух вариантах.

  • неотказуемость с подтверждением подлинности источника данных (аутентификация источника)

  • неотказуемость с подтверждением доставки

Необходимость как-то измерять уровень «доверия» к АИС и их защищённость привела к разработке стандартаTCSEC, впервые опубликованого в 1985 году и разработанного Министерством обороны и Национальным центром компьютерной безопасности (National Computer Security Center – NCSC). Стандарт TCSEC известен под названием «Оранжевая книга» (Orange Book). В этой «Оранжевой книге» перечислены семь подуровней четырех основных уровней защиты, начиная от самой высокой степени непроницаемости до самой низкой.

• Уровень A – верифицируемая безопасность

• Уровень B – принудительное управление доступом

• Уровень C – произвольное управление доступом

• Уровень D – неудовлетворительная защита