Файл: Виды и состав угроз информационной безопасности (Проблемы оценки информационной безопасности).pdf
Добавлен: 23.05.2023
Просмотров: 88
Скачиваний: 3
СОДЕРЖАНИЕ
Глава 1. Теоретические основы угроз информационной безопасности
1.1 Проблемы оценки информационной безопасности
1.2 Понятие и структура угроз защищаемой информации
Глава 2. Угрозы информационной безопасности
2.1 Источники, виды и способы дестабилизирующего воздействия
2.2 Формы и виды проявления уязвимости защищаемой информации
Введение
Актуальность темы исследования. На современном этапе развития общества, связанном с массовым использованием информационных технологий и созданием единого информационного пространства, в котором происходит накопление, обработка, хранение и обмен информацией, проблемы информационной безопасности приобретают первостепенное значение во всех сферах общественной и общественной деятельности.
Угрозы информационной безопасности представляют собой совокупность условий и факторов, создающих опасность жизненно важным интересам личности, общества и государства в информационной сфере.
В современном обществе именно информация становится важнейшим стратегическим ресурсом, основной производственной силой, обеспечивающей ее дальнейшее развитие. Именно поэтому, как и любой другой традиционный ресурс, информация также нуждается в особой защите. Наряду с термином "информационная безопасность" также широко используется термин "информационная безопасность". Если информационная безопасность характеризует процесс создания условий, обеспечивающих необходимую безопасность информации, то информационная безопасность отражает достигнутое состояние такой безопасности.
Проблема информационной безопасности приобрела особое значение в современных условиях широкого использования автоматизированных информационных систем, основанных на использовании компьютерных и телекоммуникационных средств. При обеспечении информационной безопасности угрозы, вызванные умышленными (злонамеренными) действиями людей, стали вполне реальными. Первые сообщения о несанкционированном доступе к информации были в основном связаны с хакерами, или "электронными разбойниками". Последнее десятилетие нарушения информационной безопасности прогрессируют с использованием программного обеспечения и через глобальную сеть Интернет. Довольно распространенной угрозой информационной безопасности также стало заражение компьютерных систем так называемыми вирусами.
Таким образом, в связи с возрастающей ролью информационных ресурсов в жизни современного общества, а также в связи с реальностью многочисленных угроз в плане их безопасности, проблема информационной безопасности требует постоянного и повышенного внимания. Системный характер воздействия на информационную безопасность большого множества различных обстоятельств, имеющих к тому же различную физическую природу, преследующих разные цели и вызывающих разные последствия, приводят к необходимости комплексного подхода в решении данной проблемы.
Объект исследования: угрозы информационной безопасности.
Предмет исследования: состав угрозы информационной безопасности.
Цель работы состоит в определении видов угроз информационной безопасности и их состава.
Для достижения цели работы необходимо выполнить следующие задачи:
- описать проблемы оценки информационной безопасности;
- рассмотреть понятие и структура угроз защищаемой информации;
- указать источники, виды и способы дестабилизирующего воздействия;
-привести формы и виды проявления уязвимости защищаемой информации;
- проанализировать источники угроз информационной безопасности Российской Федерации.
Глава 1. Теоретические основы угроз информационной безопасности
1.1 Проблемы оценки информационной безопасности
Качество и эффективность функционирования информационной системы определяется уровнем ее защищенности от внешнего и внутреннего воздействий. Данные мировой и отечественной статистики свидетельствуют о тенденции роста масштаба компьютерных злоупотреблений, которые приводят к значительным финансовым потерям субъектов хозяйствования разного уровня. Устранение и предотвращение информационным угрозам различного характера предполагает построение четкой системы диагностики, которая должна базироваться на оценке информационных рисков и оценке изменения экономических, социальных, технико-технологических и других показателей, вызванных изменением состояния информационной системы предприятия. Оценке информационной безопасности занимаются с начала появления информационных технологий.
По этой тематике есть много работ, но наиболее актуальными и фундаментальными трудами являются нормативные документы, которые внесли весомый теоретический и практический вклад в решение задач обеспечения информационной безопасности, а именно: «Оранжевая книга» [1], в которой изложены и систематизированы критерии оценки защиты компьютерных систем; Европейские критерии оценки безопасности информационных технологий [2], что учли все недостатки и ограничения, изложенные в «Оранжевой книге»; Канадские критерии оценки безопасности надежности компьютерных систем [3]; Федеральные критерии США [4], разработанные по заказу правительства США и направлены на устранение ограничений, и тому подобное.
Однако, концептуальные основы оценки информационной безопасности возникли еще в 70-х гг., при формировании модели безопасности с полным перекрытием (модели Клементса-Хоффмана) [14]. В своем первоначальном виде модель Клементса-Хоффмана была «идеализированная», однако именно в процессе анализа данной модели и возникла проблема необходимости оценки информационных угроз. Модель построена исходя из постулата, что система информационной безопасности должна иметь, по крайней мере, одно средство для обеспечения безопасности на каждом возможном пути воздействия нарушителя на информационную систему. Для описания системы защиты информации с полным перекрытием рассматриваются три подмножества [14]:
множество угроз: U = {Ui}, i = 1, m;
множество объектов защиты O = {Oj}, j = 1, n;
множество механизмов защиты M = {Mk}, k = 1, r.
Элементы множеств U и O находятся между собой в отношениях «угроза – объект». Дуга множество существует тогда, когда Ui – средство получения доступа к объекту Oj.
Взгляды современников на проблемы оценки информационной безопасности имеют другую направленность в отличие от основополагающих концепций. Следовательно, Реверчук Н. И. предлагает использовать показатели информационной безопасности предприятия как производительность информации, коэффициент информационной вооруженности и коэффициент защищенности информации [13]. Такой перечень коэффициентов является достаточно ограниченным. Стоит отметить, что все три показателя отражают только финансовый аспект информационной безопасности, поскольку в качестве исходных данных для расчета указанных показателей выступают затраты на приобретение информационных ресурсов [7].
В противовес Ильяшенко С. М. уровень информационной безопасности определяет долей неполной, неточной и противоречивой информации, которая используется в процессе принятия управленческих решений, то есть дает оценку лишь в качестве информации, предоставляемой лицам, принимающим решения. Перечень индикаторов нуждается в дополнении различными показателями, характеризующими состояние программно-технической защищенности информации и информационной надежности персонала [8].
Кравчук Е. Я. и Кравчук П. Я. для оценки уровня информационной безопасности предлагают рассчитывать пять показателей, характеризующих уровень информационно-аналитического сопровождения деятельности предприятия, защиты коммерческой информации и безопасности документооборота, уровень деловой репутации и имиджа продукции [10].
Путем сочетания вышеупомянутых методических подходов к оценке уровня информационной безопасности Журавель Н.Ю., Полозова Т.В., Стороженко А.В. использует диагностику уровня информационной безопасности проводить по трем ключевым направлениям: оценка программно-технической защищенности информации, оценка информационной надежности персонала, оценка информации, предоставляемой лицам, принимающим решения, информационной службой предприятия [7].
Велигура А. В. предлагает при оценке использовать три основных показателя. Первым показателем служит оценка опасностей, с которыми сталкивается предприятие. Путем оценки опасностей определяются угрозы для информации, ее уязвимость и вероятность возникновения угроз, а также возможный ущерб. Второй показатель – это законодательные, нормативные и договорные требования, которые должна соблюдать организация, ее партнеры по бизнесу, подрядчики и поставщики услуг. Третий показатель – это определенный набор принципов, целей и требований к обработке информации, разработанных организацией для поддержки своей деятельности.
Определение требований к безопасности проводится путем методической оценки рисков. Расходы на поддержание безопасности необходимо сбалансировать с вредом для бизнеса, который может возникнуть при нарушении безопасности.
Методы оценки опасностей могут применяться ко всей организации или к ее частям, а также к отдельным информационным системам, системным компонентов и сервисов, в зависимости от того, что окажется наиболее практичным, реалистичным и полезным [6]. Также она обращает внимание на целесообразности методом применение метода критических сценариев, когда в сценариях анализируются ситуации, как мнимый преступник наносит ущерба информационной системе предприятия и соответственно снижает способность поддерживать управления в пределах оптимальных параметров [6].
В зависимости от выбранного для оценки критерия Андрианов В. В. разделяет способы оценки информационной безопасности предприятия на оценку за эталоном, риск - ориентированную оценку и оценку по экономическим показателям. Способ оценки информационной безопасности за эталоном сводится к сравнению деятельности и мер по обеспечению информационной безопасности организации с требованиями, закрепленными в эталоне. То есть проводится оценка соответствия системы организации информационной безопасности предприятия установленным эталоном.
Под оценкой соответствия информационной безопасности организации установленным критериям понимается деятельность, связанная с прямым или косвенным определением выполнения или невыполнения соответствующих требований информационной безопасности в организации. С помощью оценки соответствия информационной безопасности измеряется правильность реализации процессов системы обеспечения информационной безопасности организации, и идентифицируются недостатки такой реализации. Риск - ориентированная оценка организации представляет собой способ оценки, при котором рассматриваются риски, возникающие в информационной сфере организации, и сопоставляются существующие риски информационной безопасности и принятых мерах по их обработке. В результате должна быть сформирована оценка способности организации эффективно управлять рисками информационной безопасности для достижения своих целей. Способ оценки на основе экономических показателей оперирует понятными для бизнеса аргументами о необходимости обеспечения и совершенствования информационной безопасности.
Для проведения оценки в качестве критериев эффективности системы организации информационной безопасности используются, например, показатели совокупной стоимости владения (Total Cost of Ownership – ТСО) [5].
Морозова В. И., Врублевский К. Э. утверждают, что эффективность комплексная система защиты информации оценивается как на этапе разработки, так и в процессе эксплуатации. В процессе оценки эффективности комплексной системы защиты информации, они выделяют три подхода: классический, официальный, экспериментальный [12]. Под классическим подходом к оценке эффективности понимается использование критериев эффективности, значения которых получаются путем моделирования или определяются по характеристикам реальной информационной системы. Такой подход используется при разработке и модернизации комплексной системы защиты информации.
Официальный подход предполагает, что политика безопасности информационных технологий проводится государством и должна опираться на нормативные акты. Такие документы должны содержать требования к защищенности информации различных категорий конфиденциальности и важности. Требования могут задаваться перечнем механизмов защиты информации, которые необходимо иметь в информационной системе, чтобы она соответствовала определенному классу защиты. Несомненным преимуществом классификаторов (стандартов) является их простота использования. Во всех развитых странах разработаны свои стандарты защищенности информационных систем. Так, в Министерстве обороны США используется стандарт ТСЅЕС, который известен как Оранжевая книга. Согласно Оранжевой книге для оценки информационных систем рассматривается четыре группы безопасности: А, В, С, D [11]. Под экспериментальным подходом понимается организация процесса определения эффективности существующих комплексной системы защиты информации путем попыток преодоления защитных механизмов системы специалистами, выступающими в роли злоумышленников. Составляется план проведения эксперимента. В нем определяются очередность и материально-техническое обеспечение проведения экспериментов по определению слабых звеньев в системе защиты. Служба безопасности до момента преодоления защиты «злоумышленниками» должна ввести в комплексной системе защиты информации новые механизмы защиты или изменить старые, чтобы избежать «взлома» системы защиты. Одним из недостатков такого подхода является то, что автор рассчитывает большинство показателей на основе экспертного метода, что значительно усиливает влияние субъективного фактора на конечный результат расчетов. Также предложена система индикаторов не учитывает всех аспектов информационной безопасности предприятия. В частности, как и представленная методика не включает показателей, характеризующих информационную надежность персонала и программная защищенность информации.