Доброго времени суток уважаемые коллеги и читатели моего блога. В предыдущих статьях я описывал что такое угрозы информационной безопасности и уязвимости. Кратко напомню, что угрозы информационной безопасности бывают внутренние, внешние и техногенные, также они могут быть случайные или преднамеренные. Они имеют такое свойство как вероятность возникновения угрозы и нацелены на уязвимости.
Уязвимости нужно искать не только в какой-то информационной системе но и в бизнес процессах. Уязвимости могут быть в объектах защиты которые входят в область защиты - бизнес процесс. Области защиты лучше выбирать по каким-то функциональным бизнес процессам а не какой-то отдельно взятый сервер или всю организацию в целом.
Итак имея все эти сведения сегодня я на примере хочу попробовать составить некую классификацию угрозы информационной безопасности. Часто данная классификация еще называется модель угроз информационной безопасности. Для примера я возьму некую фирму занимающуюся производством ну скажем тротуарной плитки по собственно особой технологии которая позволяет получить прочную, качественную и долговечную плитку сравнительно низкой цены. Причем данная плитка пользуется особым спросом у потребителей. Естественно если эта технология является своего рода ноу хау и превосходит по качеству и цене технологии конкурентов то они конкуренты не прочь будут ее заполучить. Я не буду в даваться в технологический процесс производства и представим что он особе не автоматизирован, но зато в организации есть информация по производству этой плитки. Эта информация состоит из самой технологии (не в уме же они все это хранят), а также вспомогательных задач таких как поставка материалов, бухгалтерский, кадровый учет, хозяйственная деятельность, список постоянных клиентов. Отсюда можно выделить несколько областей защиты например таких как "Технология изготовления", "Поставка материалов", "Сбыт продукции" и т. д. В качестве примера я возьму область защиты "Поставка материалов" т. к. в него могут входить как информация в электронном виде так и на бумажных носителях. Кроме того данная информация может составлять некий интерес конкурентам, т. к. по ней можно примерно определить состав материалов из которых изготавливается плитка, и не менее важна для самой фирмы, т. к. ее утрата может привести к срывам сроков поставки и изготовлению плитки, а следовательно и возникновению ответственности перед клиентами. Как я уже говорил для того чтобы классифицировать угрозы информационной безопасности необходимо в области защиты выделить объекты защиты. В данной области я выделю следующие объекты и сведу их в таблицу:
-
№
Наименование объекта защиты
Условное обозначение
1
Документация по договорным отношениям с поставщиками (договора, маркетинговые предложения и т.д.) ОЗ1
2
Информация по графикам и объемам поставок в электронном виде на сервере в виде базы данных или файлов ОЗ2
3
Переписка с поставщиками ОЗ3
4
Работники отдела ОЗ4
5
Компьютеры на которых обрабатывается информация ОЗ5
Это всего лишь небольшой пример и данный список может быть не полным но Вы по своему усмотрению можете его конечно же дополнить. Итак какие же угрозы информационной безопасности могут повлиять на данную область защиты. Я постараюсь их также свести в небольшую таблицу:
|
№ |
Параметр угрозы |
Угроза |
Условное обозначение |
|
1 |
Конфиденциальность | Кража документов по договорным отношениям с поставщиками |
УК1 |
|
2 |
Конфиденциальность | Кража базы данных по графикам и объемам поставок в результате доступа внешнего нарушителя из сети Интернет или внутренней сети |
УК2 |
|
3 |
Конфиденциальность | Получение конкурентами информации об объемах и графиках поставок из переписки с поставщиками |
УК3 |
|
4 |
Конфиденциальность | Разглашение информации о поставках сотрудником отдела |
УК4 |
|
5 |
Конфиденциальность | Непосредственный доступ конкурента к компьютеру или серверу и кража информации |
УК5 |
|
6 |
Конфиденциальность | Кража сервера или компьютера с информацией о поставках |
УК6 |
|
7 |
Конфиденциальность | Внедрение конкурентом через сеть Интернет или внутреннюю сеть, в сервер или компьютер, программы для передачи ему всей обрабатываемой и хранимой там информации |
УК7 |
|
8 |
Целостность | Случайная ошибка в договорах с поставщиками допущенная работником отдела |
УЦ1 |
|
9 |
Целостность | Специальное внесение изменений в базу графиков и объемов поставок конкурентом из внешней или внутренней сети |
УЦ2 |
|
10 |
Целостность | Специальное внесение изменений в базу графиков и объемов поставок конкурентом при его непосредственном доступе к серверу или компьютеру |
УЦ3 |
|
11 |
Доступность | Случайное удаление сотрудником отдела базы данных или файлов с сервера или рабочей станции |
УД1 |
|
12 |
Доступность | Уничтожение документов по договорам и базы поставок в результате пожара |
УД2 |
|
13 |
Доступность | Преднамеренное удаление базы по поставкам конкурентом путем доступа из внешней сети интернет или локальной сети |
УД3 |
|
14 |
Доступность | Преднамеренное удаление базы по поставкам конкурентом при непосредственном доступе к серверу или компьютеру |
УД4 |
|
15 |
Доступность | Кража конкурентами договоров на поставку |
УД5 |
Приведенные в данной таблице угрозы информационной безопасности являются начальными, которые мне пришли в голову за несколько минут, и конечно-же могут и должны в дальнейшем расширятся, выявляться новые угрозы система защиты информации должна постоянно совершенствоваться. Конечно-же приведенные в таблице угрозы могут никогда не реализоваться, а некоторые вполне реальные. Для этого необходимо определить вероятность возникновения угроз. Я не буду вычислять формулы и приводить статистики а просто вероятности из личного опыта. Вы кстати и сами можете найти в сети Интернет кучу источников о тех или иных фактах реализации данных угроз и примерно прикинуть их вероятность. Угрозы информационной безопасности с их вероятностями приведены в таблице:
|
№ |
Условное обозначение |
Вероятность реализации угрозы, % |
|
1 |
УК1 |
20 |
|
2 |
УК2 |
30 |
|
3 |
УК3 |
40 |
|
4 |
УК4 |
70 |
|
5 |
УК5 |
10 |
|
6 |
УК6 |
5 |
|
7 |
УК7 |
10 |
|
8 |
УЦ1 |
30 |
|
9 |
УЦ2 |
30 |
|
10 |
УЦ3 |
20 |
|
11 |
УД1 |
60 |
|
12 |
УД2 |
20 |
|
13 |
УД3 |
30 |
|
14 |
УД4 |
10 |
|
15 |
УД5 |
30 |
Как видите внутренние нарушители имеют более высокие проценты вероятности реализации угроз информационной безопасности, т. к. их дешевле и проще всего реализовать. Также не редки случаи удаленного доступа из сети Интернет злоумышленников с целью осуществления каких либо нарушений информационной безопасности т. к. удаленно злоумышленнику это проще сделать чем непосредственно проникнуть в помещение где установлен сервер или компьютеры.
Теперь давайте прикинем какие уязвимости в нашей области защиты могут быть через которые могут быть реализованы данные угрозы информационной безопасности. Также сразу определим их критичность по трех бальной шкале (0.1 - не критично, 0.5 - критично, 1 - очень критично) в зависимости от того сможет ли реализация данной угрозы нанести значительный или незначительный ущерб информации. Все наши уязвимости сведем в таблицу:
|
№ |
Уязвимость |
Условное обозначение |
Критичность |
Реализуемые угрозы |
|
1 |
Отсутствие юридической ответственности у работников за преднамеренное или случайное разглашение информации |
У1 |
3 |
УК4, УД1, УК3 |
|
2 |
Отсутствие средств защиты от вредоносного программного обеспечения |
У2 |
2 |
УК7 |
|
3 |
Отсутствие разграничения доступа к базе данных и файлам |
У3 |
2 |
УК2, УК5, УК7, УЦ2, УЦ3, УД1, УД3, УД4 |
|
4 |
Наличие на компьютерах пользователей расширенных прав доступа |
У4 |
2 |
УК2, УК5, УК7, УЦ2, УЦ3, УД1, УД3, УД4 |
|
5 |
Отсутствие на критически важных документов отличительных признаков, грифов и учетных номеров |
У5 |
1 |
УК1, УД5 |
|
6 |
Отсутствие или не должная настройка межсетевого экрана |
У6 |
2 |
УК2, УК7, УЦ2, УД3 |
|
7 |
Отсутствие разграничения удаленного доступа к серверу и компьютерам |
У7 |
1 |
УК2, УК7, УЦ2, УД3 |
|
8 |
Отсутствие системы пожарной сигнализации |
У8 |
2 |
УД2 |
|
9 |
Отсутствие резервных копий базы данных и файлов |
У9 |
2 |
УД1, УД3, УД4 |
|
10 |
Отсутствие копий документов |
У10 |
1 |
УД2, УД5 |
|
11 |
Отсутствие процедур контроля за вводимой информацией пользователями в базу или файлы |
У11 |
1 |
УЦ1, УД1 |
Кстати некоторые угрозы отсутствуют в данной таблице т. к. нет уязвимостей через которые можно было бы их реализовать, например угроза хищения сервера не может быть реализована т. к. нет такой уязвимости - на окнах решётки, двери закрываются, на посту охрана.
Исходя из этой таблицы можно уже предварительно сказать какие уязвимости более опасны для вашего бизнес процесса. Но чтобы их устранить вам возможно понадобятся некие ресурсы - материальные или людские. Чтобы эти ресурсы у вас были необходимо доложить это своему руководству, но с такими таблицами к нему идти не совсем удобно т. к. руководитель может ничего не понять. В следующей статье я расскажу как преобразовать в удобный для руководства это вид, а именно определить риски информационной безопасности. Управление рисками довольно удобный способ управления системой обеспечения информационной безопасности, т. к. риски нужно уменьшать, а это можно делать разными способами, например устранением уязвимостей или исключением угроз, но об этом в следующий раз.
Спасибо за внимание, до встречи!