Как уже было всеми сказано ранее, анализ рисков сложной информационной безопасности сам по себе, в отрыве от процесса построения и поддержания в актуальном состоянии комплексной системы защиты информации на предприятии, не имеет особого практического значения. Поэтому прежде чем перейти к рассмотрению теоретической базы в области анализа и оценки рисков информационной безопасности, следует обратиться к теории в области информационной безопасности и важности её обеспечения на предприятии.
В настоящее время информация очень часто рассматривается как наиболее ценный ресурс. Это неудивительно, так как в современном компьютеризированном мире наиболее эффективные конкурентные преимущества фирма может получить в основном за счет обладания уникальной информацией, будь то новейшие технологические разработки, необходимые для успеха на развивающемся рынке мобильных устройств, или данные о предпочтениях интернет-пользователей, имеющие огромную ценность для эффективной целевой рекламы. Кроме того, информация ограниченного доступа (например, персональные данные клиентов) всегда представляла ценность для её обладателей и вызывала интерес со стороны злоумышленников.
Ещё одной причиной актуальности проблемы обеспечения информационной безопасности является повсеместное использование автоматизированных средств хранения, передачи и обработки информации.
Именно поэтому информационной безопасности в последнее время уделяется все больше внимания: высший менеджмент предприятий различных сфер деятельности готов тратить все больше сил и средств на создание и развитие системы защиты информации, а также системы менеджмента ИБ. Стоит заметить, что формирование режима информационной безопасности является комплексной задачей и осуществляется на трёх уровнях: законодательно-правовом, административном (организационном) и программно-техническом, поэтому для достижения поставленной цели требуется большое количество материальных и человеческих ресурсов.
Для того чтобы не возникло расхождений в интерпретации тех или иных понятий, используемых в данной работе, введем определения наиболее часто встречающихся из них.
«Информационная безопасность – сохранение конфиденциальности, целостности и доступности информации; кроме того, другие свойства, такие как аутентичность, учетность, неотказуемость и надежность, также могут охватываться»[16].
«Доступность – характеристика, определяющая доступность и используемость по запросу со стороны авторизованного логического объекта»[16].
«Конфиденциальность – характеристика, определяющая, что информация не может быть доступной и раскрытой не авторизованным индивидуумом, логическим объектом или процессом»[16].
«Целостность – свойство сохранения правильности и полноты активов»[16].
«Событие информационной безопасности – идентифицированное возникновение состояния системы, услуги или сети, указывающее на возможное нарушение политики информационной безопасности или аварию защитных мер (средств), а также возникновение ранее неизвестной ситуации, которая может быть связана с безопасностью»[16].
«Инцидент информационной безопасности – одно или серия нежелательных или неожиданных событий информационной безопасности, которые имеют значительную вероятность компрометации бизнес-операции и угрожают информационной безопасности»[16].
«Система информационной безопасности (СИБ) – совокупность защитных мер, защитных средств и процессов их эксплуатации, включая ресурсное и административное (организационное) обеспечение»[45].
«Система менеджмента информационной безопасности (СМИБ) – та часть общей системы менеджмента, которая основана на подходе бизнес-рисков при создании, внедрении, функционировании, мониторинге, анализе, поддержке и совершенствовании информационной безопасности»[16].
«Система обеспечения информационной безопасности (СОИБ) – совокупность СИБ и СМИБ организации БС РФ»[45].
Угроза информационной безопасности — совокупность условий и факторов, создающих опасность нарушения информационной безопасности[1].
Под угрозой (в общем) понимается потенциально возможное событие, действие (воздействие), процесс или явление, которые могут привести к нанесению ущерба чьим-либо интересам. Существует много разновидностей угроз. Первым этапом анализа рисков информационный безопасности является рассмотрение возможных потенциальных угроз, для того, чтобы определить способы проверки (если возникнут какие-либо непредвиденные ситуации) и сформировать конкретную систему защиты. В таблице 1 рассмотрим классификационные признаки определенных категорий рисков информационной безопасности (таблица с полным содержанием в приложении 2).
Таблица 1- Категории рисков информационной безопасности.
Источники рисков
Описание
Физические угрозы
Представляет собой несанкционированный доступ к закрытым источникам. То есть этот процесс по факту является обыкновенной кражей. Информацию можно достать лично, своими руками, попросту вторгнувшись на территорию учреждения, в кабинеты, архивы для получения доступа к техническому оборудованию, документации и другим носителям информации.
Нецелесообразное пользование компьютерной сетью
Злоумышленники прекрасно играют на неопытности, невнимательности и необразованности некоторых людей в отношении информационной безопасности. Для того чтобы исключить этот вариант похищения конфиденциальных данных, руководство многих организаций проводит специальную политику среди своего коллектива. Её целью является обучение людей правилам поведения и пользования сетями.
Утечка из закрытых источников
Первым и наиболее распространенным каналом утечки являются всевозможные способы связи и общения. Так как сейчас много информации хранится на переносных носителях, то злоумышленники активно осваивают и перехват информации через данный вид техники. Очень популярным является прослушивание каналов связи, только теперь все усилия технических гениев направлены на взлом защитных барьеров смартфонов.
Утечка техническими путями
В основном утечка информации таким образом обеспечивается с помощью управления различными сигналами. К подобным методам относится создание специализированных источников радиоизлучения или сигналов. Последние могут быть электрическими, акустическими или вибрационными. Достаточно часто применяются оптические приборы, которые позволяют считывать информацию с дисплеев и мониторов.
Несанкционированное вторжение
Управление рисками информационной безопасности невозможно без предотвращения угроз несанкционированного доступа. Одним из наиболее ярких представителей данного способа взлома чужой системы безопасности является присвоение идентификатора пользователя. Несанкционированный доступ в этом случае заключается в применении аутентификационных данных. То есть цель нарушителя - добыть пароль или любой другой идентификатор.
Атака информационных активов
Риски информационной безопасности организации непосредственно влияют на активы предприятия. Ведь цель злоумышленников заключается в получении ценной информации. Её потеря или разглашение непременно ведет к убыткам. Ущерб, причиненный несанкционированным вторжением, может оказывать прямое влияние, а может лишь косвенное. То есть неправомерные действия в отношении организации могут привести к полной потере контроля над бизнесом.
Под угрозой интересам субъектов информационных отношений понимают потенциально возможное событие, процесс или явление которое посредством воздействия на информацию или другие компоненты информационной системы может прямо или косвенно привести к нанесению ущерба интересам данных субъектов[2].
Угрозы информационной безопасности могут быть классифицированы по различным признакам:
По аспекту информационной безопасности, на который направлены угрозы:
Угрозы конфиденциальности (неправомерный доступ к информации). Угроза нарушения конфиденциальности заключается в том, что информация становится известной тому, кто не располагает полномочиями доступа к ней. Она имеет место, когда получен доступ к некоторой информации ограниченного доступа, хранящейся в вычислительной системе или передаваемой от одной системы к другой. В связи с угрозой нарушения конфиденциальности, используется термин «утечка». Подобные угрозы могут возникать вследствие «человеческого фактора» (например, случайное делегировании тому или иному пользователю привилегий другого пользователя), сбоев работе программных и аппаратных средств. К информации ограниченного доступа относится государственная тайна и конфиденциальная информация (коммерческая тайна, персональные данные, профессиональные виды тайна: врачебная, адвокатская, банковская, служебная, нотариальная, тайна страхования, следствия и судопроизводства, переписки, телефонных переговоров, почтовых отправлений, телеграфных или иных сообщений (тайна связи), сведения о сущности изобретения, полезной модели или промышленного образца до официальной публикации (ноу-хау) и др.). Понятие государственной тайны описано в Законе РФ от 21.07.1993 N 5485-I "О государственной тайне" (с изменениями и дополнениями). Понятие конфиденциальной информации описано в Указе Президента РФ от 06.03.1997 N 188 "Об утверждении перечня сведений конфиденциального характера" (с изменениями и дополнениями).
Угрозы целостности (неправомерное изменение данных). Угрозы нарушения целостности – это угрозы, связанные с вероятностью модификации той или иной информации, хранящейся в информационной системе. Нарушение целостности может быть вызвано различными факторами – от умышленных действий персонала до выхода из строя оборудования.
Угрозы доступности (осуществление действий, делающих невозможным или затрудняющих доступ к ресурсам информационной системы). Нарушение доступности представляет собой создание таких условий, при которых доступ к услуге или информации будет либо заблокирован, либо возможен за время, которое не обеспечит выполнение тех или иных бизнес-целей.
По расположению источника угроз:
Внутренние (источники угроз располагаются внутри системы);
Внешние (источники угроз находятся вне системы).
По размерам наносимого ущерба:
Общие (нанесение ущерба объекту безопасности в целом, причинение значительного ущерба);
Локальные (причинение вреда отдельным частям объекта безопасности);
Частные (причинение вреда отдельным свойствам элементов объекта безопасности).
По степени воздействия на информационную систему:
Пассивные (структура и содержание системы не изменяются);
Активные (структура и содержание системы подвергается изменениям).
По природе возникновения:
Естественные (объективные) — вызванные воздействием на информационную среду объективных физических процессов или стихийных природных явлений, не зависящих от воли человека;
Искусственные (субъективные) — вызванные воздействием на информационную сферу человека. Среди искусственных угроз в свою очередь выделяют:
Непреднамеренные (случайные) угрозы — ошибки программного обеспечения, персонала, сбои в работе систем, отказы вычислительной и коммуникационной техники;
Преднамеренные (умышленные) угрозы — неправомерный доступ к информации, разработка специального программного обеспечения, используемого для осуществления неправомерного доступа, разработка и распространение вирусных программ и т.д. Преднамеренные угрозы обусловлены действиями людей. Основные проблемы информационной безопасности связаны прежде всего с умышленными угрозами, так как они являются главной причиной преступлений и правонарушений.
[1] ГОСТ Р 50922-96
[2] Основы информационной безопасности : учеб. пособие / Ю.Г. Крат, И.Г. Шрамкова. – Хабаровск : Изд-во ДВГУПС, 2008. – 112 с
| 
0%