8.3. Виды и особенности угроз информационной безопасности

  Понятие «угроза информационной безопасности». Под угрозой обычно понимают потенциально возможное событие, действие (воздействие), процесс или явление, которое может привести к нанесению ущерба чьим-либо интересам. Под угрозой информационной безопасности можно понимать потенциально возможное событие, процесс или явление, которое посредством воздействия на компоненты информационно-вычислительной системы может прямо или косвенно привести к нанесению ущерба владельцам информационных ресурсов или пользователям системы.
  По каким каналам возможна утечка информации в организации?
  Основные виды каналов утечки информации:
  • 1 группа - каналы, связанные с доступом к элементам системы обработки данных, но не требующие изменения компонентов системы. К этой группе относят каналы утечки информации, осуществляемые посредством:
  а) дистанционного скрытого видеонаблюдения или фотографирования (например, скрыто устанавливаемые фото-, кино- и видеокамеры);
  б) применения подслушивающих устройств (например, лазерный съем речевой информации, использования специальных закладных устройств (радиомаяков) для съема информации с компьютеров);
  в) перехвата электромагнитных излучений и наводок и т. д.;
  • 2 группа - каналы, связанные с доступом к элементам информационной системы и изменением структуры ее компонентов. В эту группу включают:
  а) наблюдение за информацией в процессе обработки с целью ее запоминания;
  б) хищение носителей информации;
  в) сбор производственных отходов, содержащих обрабатываемую информацию;
  г) преднамеренное считывание данных из файлов других пользователей;
  д) чтение остаточной информации, т. е. данных, остающихся на магнитных носителях после выполнения заданий;
  е) копирование носителей информации;
  ж) преднамеренное использование для доступа к информации терминалов зарегистрированных пользователей;
  з) маскировку под зарегистрированного пользователя путем похищения паролей и других реквизитов разграничения доступа к информации, используемой в системах обработки;
  и) использование для доступа к информации «люков», «дыр» и «лазеек», т.е. возможностей обхода механизма разграничения доступа, возникающих вследствие несовершенства общесистемных компонентов программного обеспечения;
  • 3 группа включает в себя следующие каналы утечки информации:
  а) незаконное подключение специальной регистрирующей аппаратуры к устройствам системы или линиям связи (перехват модемной и факсимильной связи);
  б) злоумышленное изменение программ таким образом, чтобы эти программы наряду с основными функциями обработки информации осуществляли также несанкционированный сбор и регистрацию защищаемой информации;
  в) злоумышленный вывод из строя механизмов защиты;
  • 4 группа каналов утечки информации:
  а) несанкционированное получение информации путем подкупа или шантажа должностных лиц соответствующих служб;
  б) получение информации путем подкупа и шантажа сотрудников, знакомых, обслуживающего персонала или родственников, знающих о роде деятельности.
  Классификация угроз информационной безопасности. Все множество потенциальных угроз по природе их возникновения можно разделить на два класса: естественные (объективные) и искусственные (субъективные).
  В свою очередь, искусственные угрозы могут быть дифференцированы на преднамеренные и непреднамеренные, внешние и внутренние.
  К естественным угрозам информационной безопасности относят угрозы, вызванные воздействиями на элементы системы объективных физических процессов или стихийных природных явлений, не зависящих от человека. Например, угроза пожара.
  Еще более широк и опасен круг искусственных угроз, природа которых обусловлена деятельностью человека.
  Под непреднамеренными искусственными угрозами понимаются действия, совершаемые людьми случайно или без злого умысла: по незнанию, невнимательности или халатности, из любопытства и др. К числу таких действий (и соответственно угроз) можно отнести:
  • неумышленные действия, приводящие к частичному или полному отказу системы или разрушению аппаратных, программных, информационных ресурсов системы (например, неумышленная порча оборудования, удаление файлов с важной информацией и т. п.);
  • неправомерное отключение оборудования или изменение режимов работы устройств и программ;
  • запуск технологических программ, способных при некомпетентном использовании вызывать потерю работоспособности системы (зависания или зацикливания) или осуществляющих необратимые изменения в системе (форматирование или реструктуризацию носителей информации, удаление данных и т. п.);
  • нелегальное внедрение и использование неучтенных программ (игровых, обучающих, технологических и др., не являющихся необходимыми для выполнения нарушителем своих служебных обязанностей) с последующим необоснованным расходованием ресурсов (загрузка процессора, захват оперативной памяти и памяти на внешних носителях);
  • заражение компьютера вирусами,
  • разглашение, передачу или утрату атрибутов разграничения доступа (паролей, ключей шифрования, пропусков и т. п.);
  • некомпетентное использование, настройку или неправомерное отключение средств защиты персоналом службы безопасности;
  • ввод ошибочных данных.
  Под преднамеренными искусственными угрозами понимаются угрозы, связанные с корыстными устремлениями людей.
  Выделяют следующие основные пути умышленной дезорганизации работы, вывода системы из строя, проникновения в систему и несанкционированного доступа к информации:
  • физическое разрушение системы (путем взрыва, поджога и т. п.) или вывод из строя всех или отдельных наиболее важных компонентов компьютерной системы (устройств, носителей важной системной информации, лиц из числа персонала и т. п.);
  • отключение или вывод из строя подсистем обеспечения функционирования вычислительных систем (электропитания, охлаждения и вентиляции, линий связи и т. п.);
  • действия по дезорганизации функционирования системы (изменение режимов работы программ, постановка мощных активных радиопомех на частотах работы устройств системы и т. п.);
  • внедрение агентов в число персонала системы;
  • вербовку (путем подкупа, шантажа и т. п.) персонала или отдельных пользователей, имеющих определенные полномочия;
  • перехват побочных электромагнитных, акустических и других излучений устройств и линий связи, а также наводок активных излучений на вспомогательные технические средства, непосредственно не участвующие в обработке информации (телефонные линии, сети питания, отопления и т. п.);
  • перехват данных, передаваемых по каналам связи, и их анализ с целью выяснения протоколов обмена, правил вхождения в связь и авторизации пользователя и последующих попыток их имитации для проникновения в систему;
  • хищение носителей информации (магнитных дисков, лент, микросхем памяти, запоминающих устройств и др.);
  • несанкционированное копирование носителей информации;
  • хищение производственных отходов (распечаток, записей, списанных носителей информации и т. п.);
  • чтение остаточной информации из оперативной памяти и с внешних запоминающих устройств;
  • незаконное получение паролей и других реквизитов разграничения доступа (путем подбора, путем имитации интерфейса системы и т. д.) с последующей маскировкой под зарегистрированного пользователя;
  • вскрытие шифров криптозащиты информации;
  • незаконное подключение к линиям связи с целью работы в моменты пауз в действиях законного пользователя от его имени с последующим вводом ложных сообщений или модификацией передаваемых сообщений.
  Под внутренними угрозами информационной безопасности понимаются угрозы со стороны персонала организации или предприятия, а под внешними - угрозы от сторонних лиц или организаций.
  Согласно зарубежной и отечественной статистике до 70 - 80 % всех компьютерных преступлений связаны с внутренними нарушениями, т. е. осуществляются сотрудниками компании, работающими или уволенными, поскольку именно свой сотрудник может реально оценить стоимость той или иной информации.
  Внешние угрозы могут быть дифференцированы на две группы - на локальные и удаленные атаки. Первые предполагают проникновение нарушителя на территорию организации и получения им доступа к отдельному компьютеру или локальной сети. Вторые характерны для систем, подключенных к общедоступным глобальным сетям (например, Интернет).
  Сетевые системы отличаются тем, что, наряду с обычными (локальными) атаками, осуществляемыми в пределах одной компьютерной системы, к ним применим специфический вид атак, обусловленный распределенностью ресурсов и информации в пространстве. Это так называемые сетевые (или удаленные) атаки. С развитием локальных и глобальных сетей именно удаленные атаки становятся лидирующими как по количеству попыток, так и по успешности их применения.
  Удаленные атаки можно классифицировать по нескольким признакам.
  Во-первых, в зависимости от характера воздействия на работу информационной системы удаленные атаки могут быть разделены на пассивные и активные.
  Пассивное воздействие на распределенную вычислительную систему не связано с непосредственным влиянием на работу системы, но нарушает политику ее безопасности. Например, прослушивание канала связи в сети.
  Активным воздействием на распределенную вычислительную систему называется воздействие, оказывающее непосредственное влияние на работу системы (изменение конфигурации, нарушение работоспособности и т. д.) и нарушающее принятую в ней политику безопасности. Практически все типы удаленных атак являются активными воздействиями.
  Во-вторых, в зависимости от цели осуществления удаленной атаки они могут быть классифицированы на угрозы, связанные с нарушением конфиденциальности, а также целостности и отказа в обслуживании.
  Основная цель практически любой атаки - получить несанкционированный доступ к информации. Существуют две принципиальные возможности доступа к информации - перехват и искажение. Возможность перехвата информации означает получение к ней доступа, но невозможность ее модификации. Примером перехвата информации может служить прослушивание канала в сети.
  Возможность искажения информации означает либо полный контроль над информационным потоком между объектами системы, либо возможность передачи сообщений от имени другого объекта.
  При нарушении работоспособности системы основная цель атакующего - добиться, чтобы операционная система на атакуемом объекте вышла из строя, и для всех остальных объектов системы доступ к ресурсам атакованного объекта был бы невозможен.
  Возможны и другие классификации удаленных атак, например: в зависимости от условий начала воздействия, в зависимости от наличия (или отсутствия) обратной связи, от расположения субъекта атаки и т. д.