Построение надежной защиты компьютерной системы невозможно без предварительного анализа возможных угроз безопасности системы. Этот анализ должен включать в себя:
• выявление характера хранящейся в системе информации, выделение наиболее опасных угроз (несанкционированное чтение, несанкционированное изменение и т.д.);
• оценку затрат времени и средств на вскрытие системы, допустимых для злоумышленников;
• оценку ценности информации, хранящейся в системе;
• построение модели злоумышленника (другими словами, определение того, от кого нужно защищаться - от постороннего лица, пользователя системы, администратора и т.д.);
• оценку допустимых затрат времени, средств и ресурсов системы на организацию ее защиты.

Классификация угроз. Угрозами информационной безопасности называются потенциальные источники нежелательных событий, которые могут нанести ущерб ресурсам информационной системы. Все угрозы безопасности, направленные против программных и технических средств информационной системы, в конечном итоге оказывают влияние на безопасность информационных ресурсов и приводят к нарушению основных свойств хранимой и обрабатываемой информации. Как правило, угрозы информационной безопасности различаются по способу их реализации.

Исходя из этого можно выделить следующие основные классы угроз безопасности, направленных против информационных ресурсов:
• угрозы, реализуемые либо воздействием на программное обеспечение и конфигурационную информацию системы, либо посредством некорректного использования системного и прикладного программного обеспечения;
• угрозы, связанные с выходом из строя технических средств системы, приводящим к полному или частичному разрушению информации, хранящейся и обрабатываемой в системе;
• угрозы, обусловленные человеческим фактором и связанные с некорректным использованием сотрудниками программного обеспечения или с воздействием на технические средства, в большей степени зависят от действий и "особенностей" морального поведения сотрудников;
• угрозы, вызванные перехватом побочных электромагнитных излучений и наводок, возникающих при работе технических средств системы, с использованием специализированных средств технической разведки.

Угрозы с использованием программных средств. Наиболее многочисленный класс угроз конфиденциальности, целостности и доступности информационных ресурсов связан с получением внутренними и внешними нарушителями логического доступа к информации с использованием возможностей, предоставляемых общесистемным и прикладным программным обеспечением. Большинство рассматриваемых в этом классе угроз реализуется путем локальных или удаленных атак на информационные ресурсы системы внутренними и внешними нарушителями. Результатом осуществления этих угроз становится несанкционированный доступ к данным, управляющей информации, хранящейся на рабочем месте администратора системы, конфигурационной информации технических средств, а также к сведениям, передаваемым по каналам связи.

В этом классе выделяются следующие основные угрозы:
• Угрозы техническим средствам. Угрозы использование сотрудниками чужого идентификатора;
• использование чужого идентификатора поставщиками услуг;
• использование чужого идентификатора посторонними;
• несанкционированный доступ к приложению;
• внедрение вредоносного программного обеспечения;
• злоупотребление системными ресурсами;
• отказ от подтверждения авторства передаваемой информации;
• ошибки при маршрутизации;
• использование телекоммуникаций для несанкционированного доступа сотрудниками организации, поставщиком услуг, посторонними лицами;
• неисправность средств сетевого управления, управляющих или сетевых серверов;
• сбои системного и сетевого программного обеспечения;
• сбои прикладного программного обеспечения.

Связь доступности и целостности информации (хранимой, обрабатываемой и передаваемой по каналам связи) связаны с физическими повреждениями и отказами технических средств системы и вспомогательных коммуникаций. Последствия реализации этого класса угроз могут привести к полному или частичному разрушению информации, отказу в обслуживании пользователей и их запросов к системе, невозможности вывода или передачи информации.

В этом классе выделяются следующие основные угрозы:
• пожар;
• затопление;
• природные катаклизмы;
• неисправности сетевого сервера, накопительного устройства, печатающих устройств, сетевых распределяющих компонентов, сетевых шлюзов, сетевых интерфейсов, электропитания, кондиционеров.

Угрозы, обусловленные человеческим фактором. Угрозы возникают вследствие умышленных или неумышленных действий персонала или посторонних лиц, приводящих к выходу из строя либо нештатной работе программных или технических средств информационной системы.

В этом классе выделяются следующие основные угрозы:
1. ошибки операторов (ошибки администраторов при конфигурировании системы);
2. ошибки пользователей при работе с системой;
3. ошибки при работах с программным обеспечением (ошибки администраторов при проведении профилактических работ);
4. ошибки при работах с оборудованием (ошибки сотрудников службы технической поддержки при проведении профилактических работ);
5. кражи со стороны сотрудников.

Классификация возможных угроз информационной безопасности АС может быть проведена по следующим базовым признакам

1. По природе возникновения:

· естественные угрозы, вызванные воздействиями на АС объективных физических процессов или стихийных природных явлений;

· искусственные угрозы безопасности АС, вызванные деятельностью человека.

2. По степени преднамеренности проявления:

· угрозы, вызванные ошибками или халатностью персонала, например некомпетентное использование средств защиты, ввод ошибочных данных и т. п.;

· угрозы преднамеренного действия, например действия злоумышленников.

3. По непосредственному источнику угроз:

· природная среда, например стихийные бедствия, магнитные бури и пр.;

· человек, например вербовка путем подкупа персонала, разглашение конфиденциальных данных и т. п.;

· санкционированные программно-аппаратные средства, например удаление данных, отказ в работе ОС;

· несанкционированные программно-аппаратные средства, например заражение компьютера вирусами с деструктивными функциями.

4. По положению источника угроз:

· вне контролируемой зоны АС, например перехват данных, передаваемых по каналам связи, перехват побочных электромагнитных, акустических и других излучений устройств;

· в пределах контролируемой зоны АС, например применение подслушивающих устройств, хищение распечаток, записей, носителей информации и т. п.;

· непосредственно в АС, например некорректное использование ресурсов АС.

5. По степени зависимости от активности АС:

· независимо от активности АС, например вскрытие шифров криптозащиты информации;

· только в процессе обработки данных, например угрозы выполнения и распространения программных вирусов.

6. По степени воздействия на АС:

· пассивные угрозы, которые при реализации ничего не меняют в структуре и содержании АС, например угроза копирования секретных данных;

· активные угрозы, которые при воздействии вносят изменения в структуру и содержание АС, например внедрение троянских коней и вирусов.

7. По этапам доступа пользователей или программ к ресурсам АС:

· угрозы, проявляющиеся на этапе доступа к ресурсам АС, например угрозы несанкционированного доступа в АС;

· угрозы, проявляющиеся после разрешения доступа к ресурсам

· АС, например угрозы несанкционированного или некорректного использования ресурсов АС.

8. По способу доступа к ресурсам АС:

· угрозы, осуществляемые с использованием стандартного пути доступа к ресурсам АС, например незаконное получение паролей и других реквизитов разграничения доступа с последующей маскировкой под зарегистрированного пользователя;

· • угрозы, осуществляемые с использованием скрытого нестандартного пути доступа к ресурсам АС, например несанкционированный доступ к ресурсам АС путем использования недокументированных возможностей ОС.

9. По текущему месту расположения информации, хранимой и обрабатываемой в АС:

· угрозы доступа к информации, находящейся на внешних запоминающих устройствах, например несанкционированное копирование секретной информации с жесткого диска;

· угрозы доступа к информации, находящейся в оперативной памяти, например чтение остаточной информации из оперативной памяти, доступ к системной области оперативной памяти со стороны прикладных программ;

· угрозы доступа к информации, циркулирующей в линиях связи, например незаконное подключение к линиям связи с последующим вводом ложных сообщений или модификацией передаваемых сообщений, незаконное подключение к линиям связи с целью прямой подмены законного пользователя с последующим вводом дезинформации и навязыванием ложных сообщений;

· угрозы доступа к информации, отображаемой на терминале или печатаемой на принтере, например запись отображаемой информации на скрытую видеокамеру.

Антивирусная программа (антивирус) — любая программа для обнаружения компьютерных вирусов, а также нежелательных (считающихся вредоносными) программ вообще и восстановления зараженных (модифицированных) такими программами файлов, а также для профилактики — предотвращения заражения (модификации) файлов или операционной системы вредоносным кодом.

Лекция 12.