Москва
+7-929-527-81-33
Вологда
+7-921-234-45-78
Вопрос юристу онлайн Юридическая компания ЛЕГАС Вконтакте

Проблемные вопросы анализа угроз безопасности информации и пути их решения

  • Печать
Обновлено 06.06.2025 05:13

Важной составляющей оценки эффективности зашиты информации в ИС является оценка защищенности системной (технологической, то есть обеспечивающей функционирование средств вычислительной техники, информационных систем и компьютерных сетей) и пользовательской (прикладных программ и данных) информации от возможных угроз несанкционированного воздействия (копирования, модификации, блокирования и т.д.).

В связи с этим и в соответствии с действующими нормативными документами [9-13] должен проводиться анализ угроз безопасности информации, который включает в себя: 

определение состава и местонахождения защищаемой системной и пользовательской информации, отнесение ее к определенным видам тайн;

определение возможных источников угроз;

выявление уязвимостей, которые могут эксплуатироваться при реализации угроз;

определение состава возможных угроз безопасности защищаемой информации в ИС;

оценку возможностей реализации угроз в ИС;

оценку ущерба от реализации угроз;

определение перечня актуальных угроз для данной ИС.

На основе такого анализа далее обосновываются необходимые меры и требования по защите (в том числе по построению системы защиты информации в ИС). Однако, как в процессе анализа, так при использовании его результатов возникает большое количество проблемных вопросов, суть которых сводится к следующему.

1. При определении состава и местонахождения защищаемой информации, а значит и при выявлении состава объектов возможного воздействия возникает несколько проблемных вопросов.

Во-первых, объемы информации в компьютерах и тем более в информационных системах исчисляются в гигабайтах- и даже терабайтах. «Вручную» просмотреть всю информацию на предмет отнесения ее к защищаемой практически невозможно (за исключением грифованной информации), а средств быстрого анализа сегодня для этого нет. Возможно появятся «умные» программные средства на основе искусственного интеллекта, которые позволят проводить такой анализ, по крайней мере, относительно пользовательской информации (текстовой, графической, видео и др.). Но сегодня для парирования этой сложности всю информацию агрегируют в группы, сходные по используемым для несанкционированного доступа к информации приемам и способам.

Сначала всю информацию в компьютере разделяют на системную и пользовательскую. Как правило, к большинству файлов системной информации, нарушение целостности или доступности которых приводит к нарушениям в работе средства вычислительной техники, можно получить доступ только с правами администратора. Именно эти файлы и относят, в первую очередь, к защищаемой системной информации. Если в хостах ИС установлена одна и та же операционная система, то выявив файлы системной информации в одном из них, можно распространить результаты анализа состава защищаемой системной информации на другие хосты ИС. Кроме этого, к защищаемой системной информации относят некоторые файлы файловой системы, обеспечивающие возможность доступа к файлам пользовательской информации. К ним относятся файлы с парольной информацией и дескрипторные таблицы, в том числе для пользовательской информации, при этом нарушение дескрипторных таблиц приводит или к невозможности доступа к соответствующим файлам, или к резкому увеличению сроков получения доступа.

Применительно к пользовательской информации сначала формируют группу, в которые включают файлы, закрытые паролем доступа, затем формируют группы файлов, доступ к которым не закрыт паролем, и в них включаются текстовые, графические, аудио- и видеофайлы в зависимости от вызываемого редактора для просмотра этих файлов. Наконец, формируют третью группу, в которую входят базы данных, легитимный доступ к которым осуществляется через систему управления базами данных (СУБД). Если рассматриваются угрозы копирования текстовых, графических и видеофайлов без их предварительного просмотра, то формируется только одна вторая группа, в которую включаются все эти файлы. В этом случае оценивается возможность реализации угрозы относительно одного файла из группы, а результаты оценки распространяются на все файлы группы с учетом разных времен выполнения относительно них несанкционированных действий (например, копирования или уничтожения).

Во-вторых, состав пользовательской информации, в том числе подлежащей защите, как правило, изменяется ежесуточно, так как разрабатываются документы, проводятся расчеты, готовятся справки и письма, ведутся базы данных и т.д. В этих условиях для выявления состава и местонахождения защищаемых файлов необходимо вести соответствующую регистрацию появления новых файлов и регулярно пересматривать матрицу разграничение доступа к ним (матрицу полномочий, матрицу ролей). В «ручном» режиме это сделать невозможно: необходимо иметь

соответствующее программное средство контроля и регистрации с автоматизированной процедурой построения матрицы разграничения доступа. Это позволит оперативно реагировать на изменение состава и местонахождения защищаемой пользовательской информации.

В-третьих, в файловой системе компьютера могут иметься одна или даже несколько копий файла с защищаемой информацией, которые могут находиться в разных каталогах, директориях и логических дисках и, возможно, в архивах. При отсутствии должной регистрации копий файлов с защищаемой информацией создается угроза утечки защищаемой информации, несмотря на то, что основной файл (оригинал) будет защищен.

2. При определении возможных источников угроз, прежде всего, определяется состав внешних и внутренних источников. При этом в некоторых публикациях вводятся, на наш взгляд, некорректные определения этих понятий. Например, в [21] принято, что внешние нарушители как источники угроз - это субъекты, не имеющие полномочий по доступу к информационным ресурсам и компонентам систем и сетей, а внутренние нарушители - субъекты, имеющие такие полномочия. В этом случае сотрудник организации, выехавший в другой город или даже за границу, имеющий в ходе своей трудовой деятельности полномочия доступа к ресурсам и компонентам корпоративной сети предприятия и не санкционированно проникший в операционную среду хоста этой сети, будет считаться внутренним нарушителем. Если бы в таком определении было бы указано, что полномочия сотрудника сохраняются только в том случае, когда он действует только с разрешенных для него хостов сети предприятия, то такое определение можно было бы принять. Но проще дать иное определение: внешний источник угрозы - это источник, действующий или функционирующий с использованием хоста, расположенного за пределами физической или логической границы защищаемой ИС (сети) предприятия (организации), а внутренний - с использованием хоста, расположенного в пределах физической или логической границы, защищаемой ИС (сети). Если сотрудник действует санкционированно с хоста внешней сети или с хоста ИС другого предприятия (организации), то в этом случае он действует в пределах логической границы защищаемой ИС. Поскольку источником угрозы может быть не только нарушитель, но и, например, съемный инфицированный носитель информации, вредоносная программная закладка, расположенная в оперативной, в постоянной памяти компьютера или в чипсете, или программно-аппаратное закладочное устройство. В этом случае источник угрозы является внутренним, но полномочия по доступу к информационным ресурсам и компонентам здесь ни при чем.

3. При выявлении уязвимостей системного или прикладного программного обеспечения, которые могут эксплуатироваться при реализации рассматриваемых угроз, возникают неоднозначности: во-первых, одна и та же уязвимость может эксплуатироваться при реализации разных угроз, при этом сегодня отсутствуют какие-либо признаки, по которым можно было бы определить, какая из уязвимостей будет вероятнее всего использоваться при реализации конкретной угрозы; во -втор ых, процесс реализации большинства угроз является многоэтапным и на каждом этапе, как правило, эксплуатируются свои уязвимости, а в целом при реализации угрозы имеет место эксплуатация нескольких уязвимостей с возможным разветвлением процесса реализации. При этом может быть несколько траекторий процесса реализации угрозы и при оценке возможностей такой реализации приходится или рассматривать все траектории, или оценивать и выбирать наиболее вероятные из них, однако методическое обеспечение такого выбора сегодня отсутствует. Здесь под траекторией понимается последовательность действий, которые нужно выполнить в процессе реализации угрозы от ее источника до информационного ресурса - объекта воздействия или хищения.

4. При определении состава возможных угроз безопасности

информации необходимо иметь в виду, что угрозы считаются разными, если они различаются хотя бы одним элементом описания: источником,

эксплуатируемой уязвимостью, объектом воздействия при реализации несанкционированных (деструктивных) действий, способом (или сценарием) реализации - составом действий, которые нужно выполнить при реализации угрозы. Это обусловливает огромное разнообразие возможных угроз безопасности информации и сложность охвата их при анализе. Основными путями парирования этого «проклятия размерности» являются:

во-первых, пути, описанные при рассмотрении факторов неопределенности, случайной направленности и содержания несанкционированных действий при реализации угроз безопасности информации в разделе 1.2;

во-вторых, поэтапный анализ возможных угроз, при этом, если количество анализируемых элементов описания угрозы невелико (например, количество источников угрозы, количество несанкционированных действий относительно защищаемой информации и др.), то анализируются все элементы описания, общие для всех возможных угроз;

в-третьих, если элементов описания много и охватить их сложно, то осуществляется типизация угроз для рассматриваемого этапа их реализации, то есть объединение угроз в сходные группы и выделение из них одного типового представителя, для которого далее рассматриваются общие для всех угроз данной группы типовые действия на данном этапе, например, способы проникновения в операционную среду хоста, способы перехвата трафика, способы создания ситуаций, приводящих к нарушению функционирования хоста ИС и др. Результаты такого анализа распространяются на всю группу угроз. Некоторые иные аспекты парирования сложностей охвата всего множества угроз рассматриваются.

5. При оценке возможностей реализации угроз в ИС и выявлении возможного ущерба от такой реализации могут иметь место несанкционированные действия (копирование, уничтожение, модификация и т.д.) как относительно одного файла, так и относительно многих файлов (папок, директорий), состав которых, как правило, неизвестен при анализе угроз. Путь парирования этой неопределенности рассматривается в разделе 2.4.2. Весьма проблемным оказывается вопрос оценки ущерба от реализации некоторых угроз. Например, ущерб от реализации угроз, связанных с копированием информации, с экологическими последствиями, со здоровьем людей и т.д., может быть оценен только с истечением некоторого времени. Так, после копирования информации ограниченного доступа ущерб будет зависеть от того, кому и когда попадет эта информация. Вместе с тем, методы расчета такого ущерба, то есть его прогнозирования, практически отсутствуют. В этой ситуации часто принимается допущение, что возможный ущерб относится к неприемлемому, и анализируются только возможности реализации угроз, приводящих к такому ущербу.

6. При определении состава актуальных угроз для данной ИС необходимо иметь определенные критерии, в соответствии с которыми угроза должна относиться к актуальной. Сегодня такие критерии пока являются качественными: угроза считается актуальной, если по оценке обладателя информации угроза реализуема, а ее реализации приводит к существенному для обладателя ущербу. Вместе с тем в перспективе будут разрабатываться системы поддержки приятия решений, необходимых для автоматизации деятельности лиц, ответственных за организацию защиты информации в ИС. Для таких систем нужны формальные алгоритмы отнесения угроз к актуальным. Вопросы анализа угроз, связанные сразработкой таких алгоритмов и касающиеся оценки возможности реализации угроз и наносимого при этом ущерба.

 

 

 

 
Юридические услуги
Яндекс.Метрика
Представительство в суде и защита прав, досудебное урегулирование споров, медиация, абонентское сопровождение организаций, кадровое делопроизводство, трудовое право, восстановление на работе и выплата заработной платы, регистрация и ликвидация предприятий, земельные споры, споры связанные с недвижимостью, сопровождение сделок с недвижимостью, бесплатная юридическая консультация. Квалифицированный юрист Вологда. Квалифицированный адвокат Вологда. Квалифицированный юрист Москва. Квалифицированный адвокат Москва. Квалифицированный юрист Санкт-Петербург. Квалифицированный адвокат Санкт-Петербург. Суд по интеллектуальным правам. Европейский суд по правам человека. Апелляционная жалоба. Апелляционная жалоба в Московский городской суд. Апелляционная жалоба в Санкт-Петербургский городской суд. Санкт-Петербургский городской суд. Московский городской суд. Верховный суд. Кассационная жалоба. Кассационная жалоба в Верховный суд. Оценка перспектив обращения в Европейский суд по правам человека. Подготовка жалоб в Европейский суд по правам человека. ЕСПЧ. Оценка перспектив обращения в ЕСПЧ. Подготовка жалоб в ЕСПЧ. Жалоба ЕСПЧ. Жалоба в ЕСПЧ. Адвокат ЕСПЧ. Юрист ЕСПЧ. Адвокат Европейский суд по правам человека. Юрист Европейский суд по правам человека. Комитет ООН по правам человека. Подготовка жалоб в Комитет ООН по правам человека. Подготовка жалоб в Комитет ООН по правам человека. Оценка перспектив обращения в Комитет ООН по правам человека. Жалоба Комитет ООН по правам человека. Адвокат Комитет ООН по правам человека. Юрист Комитет ООН по правам человека. Арбитражный суд города Москвы. Арбитражный суд Московской области. Арбитражный суд города Санкт-Петербурга и Ленинградской области. Арбитражный суд Вологодской области. Девятый апелляционный арбитражный суд. Десятый апелляционный арбитражный суд. Тринадцатый апелляционный арбитражный суд. Четырнадцатый арбитражный апелляционный суд. Арбитражный суд Московского округа. Арбитражный суд Северо-Западного округа. Юрист Верховный Суд. Адвокат Верховный Суд. Юрист Верховный Суд Российской Федерации. Адвокат Верховный Суд Российской Федерации. Юрист Верховный Суд РФ. Адвокат Верховный Суд РФ. Юрист Вологодский областной суд. Адвокат Вологодский областной суд. Юрист Ленинградский областной суд. Адвокат Ленинградский областной суд. Юрист Сантк-Петербургский городской суд. Адвокат Санкт-Петербургский городской суд. Юрист Московский областной суд. Адвокат Московский областной суд. Юрист Московский городской суд. Адвокат Московский городской суд. Реновация Москва. Реновация в Москве. Юрист реновация Москва. Юрист реновация в Москве. Адвокат реновация Москва. Адвокат реновация в Москве.