Добавил:
Upload Опубликованный материал нарушает ваши авторские права? Сообщите нам.
Вуз: Предмет: Файл:
Данеев Деменченок.doc
Скачиваний:
40
Добавлен:
20.11.2019
Размер:
2.94 Mб
Скачать

Потенциальные угрозы и каналы утечки информации

Перед разработкой систем компьютерной безопасности необходимо оценить все потенциальные угрозы и каналы утечки информации.

Угроза информации – это потенциально существующая опасность случайного или преднамеренного разрушения, несанкционированного получения или модификации информации, обусловленная структурой системы обработки и условиями обработки и хранения информации в информационной системе.

Все угрозы информации можно разделить на два вида: естественные и искусственные.

Естественные угрозы информации – это угрозы, вызванные форс-мажорными обстоятельствами, т.е. независящими от человека. К таким угрозам можно отнести различные стихийные бедствия; поломки аппаратной части ИС; отключение электроэнергии из-за выхода из строя оборудования или его повреждения во время стихийных бедствий (обрыв линии электропередачи, поломка генератора или электростанции); повреждение каналов связи; выход из строя программного обеспечения (в том случае, если к этому не привели ошибочные действия пользователя).

Стоит отметить, что при выходе из строя лицензионного программного обеспечения ответственность за потерю информации или потерю качеств информации должны нести создатели программного обеспечения, если иное не оговорено в лицензионном соглашении. Это не относится к программам, поставляемым «как есть», за последствия использования которых создатель не несет ответственности.

Искусственными угрозами информации называют угрозы, которые возникают в результате деятельности человека. В свою очередь искусственные угрозы в зависимости от мотивации действий можно разделить на случайные и умышленные.

Случайные угрозы вызваны ошибками, допущенными при проектировании информационной системы, ошибками, допускаемыми пользователями при работе с системой, ошибками, возникающими в работе программного обеспечения. К случайным угрозам можно отнести: ошибки хранения, передачи и использования информации; нарушение защиты, ошибки подготовки и ввода информации, ошибки операционной системы, ошибки программ; аппаратные ошибки, ошибочное истолкование инструкций, пропуск необходимых операций, нарушение последовательности операций; ошибки создания информационных систем и ошибки их внедрения; небрежное хранение и учет носителей информации.

Умышленные угрозы связаны с умыслом человека на уничтожение, противоправное копирование, блокирование или модификацию информации либо направленные на повреждение или уничтожение аппаратного обеспечения информационной системы, программного обеспечения и иного обеспечивающего оборудования, которые приведут или могут привести к уничтожению, блокированию, модификации информации и др. К умышленным угрозам можно отнести: несанкционированный доступ; перехват информации при помощи технических средств съема информации; перехват информации с помощью программно-математического воздействия на процессы обработки информации; подкуп лиц, имеющих доступ к информации; мошенничество, хищение, саботаж, шантаж, вымогательство и другие преступления, предметом которых является информация.

Можно выделить три основные группы каналов утечки:

  1. каналы, связанные с особенностями работы аппаратуры:

  • подключение специальных аппаратных средств и внесение изменений в аппаратные средства;

  • использование специальных технических средств для перехвата электромагнитных излучений аппаратуры и линий связи.

  1. каналы, связанные с особенностями программного обеспечения:

  • несанкционированный доступ программ к информации;

  • расшифровка программой зашифрованной информации;

  • копирование защищенной информации.

  1. каналы, связанные с действиями людей:

  • хищение носителей информации (дисков, лент, документации);

  • чтение информации с экрана посторонним лицом;

  • чтение информации с распечаток, оставленных без присмотра;

  • ввод заведомо ложной информации;

  • копирование информации ограниченного пользования;

  • проникновение в компьютерные сети.