Носителями угроз безопасности информации являются источники угроз. В качестве источников угроз могут выступать
как субъекты (личность) так и объективные проявления. Причем, источники угроз могут находиться как внутри
защищаемой организации - внутренние источники, так и вне ее - внешние источники. Деление источников на
субъективные и объективные оправдано исходя из предыдущих рассуждений по поводу вины или риска ущерба
информации. А деление на внутренние и внешние источники оправдано потому, что для одной и той же угрозы методы
парирования для внешних и внутренних источников могу быть разными.
Все источники угроз безопасности информации можно разделить на три основные группы:
I.Обусловленные действиями субъекта (антропогенные источники угроз).
II.Обусловленные техническими средствами (техногенные источники угрозы).
III.Обусловленные стихийными источниками.
Антропогенные источники угроз
Антропогенными источниками угроз безопасности информации выступают субъекты, действия которых могут быть
квалифицированы как умышленные или случайные преступления. Только в этом случае можно говорит о причинении
ущерба. Эта группа наиболее обширна и представляет наибольший интерес с точки зрения организации защиты, так как
действия субъекта всегда можно оценить, спрогнозировать и принять адекватные меры. Методы противодействия в
этом случае управляемы и напрямую зависят от воли организаторов защиты информации.
В качестве антропогенного источника угроз можно рассматривать субъекта, имеющего доступ (санкционированный или
несанкционированный) к работе со штатными средствами защищаемого объекта. Субъекты (источники), действия
которых могут привести к нарушению безопасности информации могут быть как внешние [I.A.], так и внутренние [I.B.].
Внешние источники могут быть случайными или преднамеренными и иметь разный уровень квалификации. К ним
относятся:
[I.A.1] криминальные структуры;
[I.A.2] потенциальные преступники и хакеры;
[I.A.3] недобросовестные партнеры;
[I.A.4] технический персонал поставщиков телематических услуг;
[I.A.5] представители надзорных организаций и аварийных служб;
[I.A.6] представители силовых структур.
Внутренние субъекты (источники), как правило, представляют собой высококвалифицированных специалистов в
области разработки и эксплуатации программного обеспечения и технических средств, знакомы со спецификой
решаемых задач, структурой и основными функциями и принципами работы программно-аппаратных средств защиты
информации, имеют возможность использования штатного оборудования и технических средств сети. К ним относятся:
[I.B.1] основной персонал (пользователи, программисты, разработчики);
[I.B.2] представители службы защиты информации;
[I.B.3] вспомогательный персонал (уборщики, охрана);
[I.B.4] технический персонал (жизнеобеспечение, эксплуатация).
Необходимо учитывать также, что особую группу внутренних антропогенных источников составляют лица с нарушенной
психикой и специально внедренные и завербованные агенты, которые могут быть из числа основного,
вспомогательного и технического персонала, а также представителей службы защиты информации. Данная группа
рассматривается в составе перечисленных выше источников угроз, но методы парирования угрозам для этой группы
могут иметь свои отличия.
Квалификация антропогенных источников информации играют важную роль в оценке их влияния и учитывается при
ранжировании источников угроз.
Техногенные источники угроз
Вторая группа содержит источники угроз, определяемые технократической деятельностью человека и развитием
цивилизации. Однако, последствия, вызванные такой деятельностью вышли из под контроля человека и существуют
сами по себе. Эти источники угроз менее прогнозируемые, напрямую зависят от свойств техники и поэтому требуют
особого внимания. Данный класс источников угроз безопасности информации особенно актуален в современных
условиях, так как в сложившихся условиях эксперты ожидают резкого роста числа техногенных катастроф, вызванных
физическим и моральным устареванием технического парка используемого оборудования, а также отсутствием
материальных средств на его обновление.
Технические средства, являющиеся источниками потенциальных угроз безопасности информации так же могут быть
внешними [II.A.]:
[II.A.1] средства связи;
[II.A.2] сети инженерных коммуникации (водоснабжения, канализации);
[II.A.3] транспорт.
и внутренними [II.B.]:
[II.B.1] некачественные технические средства обработки информации;
[II.B.2] некачественные программные средства обработки информации;
[II.B.3] вспомогательные средства (охраны, сигнализации, телефонии);
[II.B.4] другие технические средства, применяемые в учреждении;
Стихийные источники угроз
Третья группа источников угроз объединяет, обстоятельства, составляющие непреодолимую силу, то есть такие
обстоятельства, которые носят объективный и абсолютный характер, распространяющийся на всех. К непреодолимой
силе17 в законодательстве и договорной практике относят стихийные бедствия или иные обстоятельства, которые
невозможно предусмотреть или предотвратить или возможно предусмотреть, но невозможно предотвратить при
современном уровне человеческого знания и возможностей. Такие источники угроз совершенно не поддаются
прогнозированию и поэтому меры защиты от них должны применяться всегда.
Стихийные источники потенциальных угроз информационной безопасности как правило являются внешними по
отношению к защищаемому объекту и под ними понимаются прежде всего природные катаклизмы [III.A.]:
[III.A.1] пожары;
[III.A.2] землетрясения;
[III.A.3] наводнения;
[III.A.4] ураганы;
[III.A.5] различные непредвиденные обстоятельства;
[III.A.6] необъяснимые явления;
[III.A.7] другие форс-мажорные обстоятельства18.
Ранжирование источников угроз
При выборе метода ранжирования источников угроз использовалась методология, изложенная в международных
стандартах19, а также практический опыт российских экспертов в области информационной безопасности.
Все источники угроз имеют разную степень опасности (Коп)i, которую можно количественно оценить, проведя их
ранжирование. При этом, оценка степени опасности проводится по косвенным показателям. В качестве критериев
сравнения (показателей) можно, к примеру, выбрать:
Возможность возникновения источника (К1)i - определяет степень доступности к защищаемому объекту (для
антропогенных источников), удаленность от защищаемого объекта (для техногенных источников) или особенности
обстановки (для случайных источников).
Готовность источника (К2)i - определяет степень квалификации и привлекательность совершения деяний со
стороны источника угрозы (для антропогенных источников), или наличие необходимых условий (для техногенных и
стихийных источников).
Фатальность (К3)i - определяет степень неустранимости последствий реализации угрозы.
Каждый показатель оценивается экспертно-аналитическим методом по пятибалльной системе. Причем, 1
соответствует самой минимальной степени влияния оцениваемого показателя на опасность использования источника,
а 5 - максимальной.
(Коп)i для отдельного источника можно определить как отношение произведения вышеприведенных показателей к
максимальному значению (125).
Степень доступности к защищаемому объекту может быть классифицирована по следующей шкале:
высокая степень доступности - антропогенный источник угроз имеет полный доступ к техническим и программным
средствам обработки защищаемой информации (характерно для внутренних антропогенных источников,
наделенных максимальными правами доступа, например, представители служб безопасности информации,
администраторы);
первая средняя степень доступности - антропогенный источник угроз имеет возможность опосредованного, не
определенного функциональными обязанностями, (за счет побочных каналов утечки информации, использования
возможности доступа к привилегированным рабочим местам) доступа к техническим и программным средствам
обработки защищаемой информации (характерно для внутренних антропогенных источников);
вторая средняя степень доступности - антропогенный источник угроз имеет ограниченную возможность доступа к
программным средствам в силу введенных ограничений в использовании технических средств, функциональных
обязанностей или по роду своей деятельности (характерно для внутренних антропогенных источников с обычными
правами доступа, например, пользователи, или внешних антропогенных источников, имеющих право доступа к
средствам обработки и передачи защищаемой информации, например, хакеры, технический персонал
поставщиков телематических услуг);
низкая степень доступности - антропогенный источник угроз имеет очень ограниченную возможность доступа к
техническим средствам и программам, обрабатывающим защищаемую информацию (характерно для внешних
антропогенных источников).
отсутствие доступности - антропогенный источник угроз не имеет доступа к техническим средствам и программам,
обрабатывающих защищаемую информацию.
Степень удаленности от защищаемого объекта можно характеризовать следующими параметрами:
совпадающие объекты - объекты защиты сами содержат источники техногенных угроз и их территориальное
разделение невозможно;
близко расположенные объекты - объекты защиты расположены в непосредственной близости от источников
техногенных угроз и любое проявление таких угроз может оказать существенное влияние на защищаемый объект;
средне удаленные объекты - объекты защиты располагаются на удалении от источников техногенных угроз, на
котором проявление влияния этих угроз может оказать не существенное влияние на объект защиты;
удаленно расположенные объекты - объект защиты располагается на удалении от источника техногенных угроз,
исключающем возможность его прямого воздействия.
сильно удаленные объекты - объект защиты располагается на значительном удалении от источников техногенных
угроз, полностью исключающем любые воздействия на защищаемый объект, в том числе и по вторичным
проявлениям.
Особенности обстановки характеризуются расположением объектов защиты в различных природных, климатических,
сейсмологических, гидрологических и других условиях. Особенности обстановки можно оценить по следующей шкале:
очень опасные условия - объект защиты расположен в зоне действия природных катаклизмов;
опасные условия - объект защиты расположен в зоне, в которой многолетние наблюдения показывают
возможность проявления природных катаклизмов;
умеренно опасные условия - объект защиты расположен в зоне в которой по проводимым наблюдениям на
протяжении долгого периода отсутствуют проявления природных катаклизмов, но имеются предпосылки
возникновения стихийных источников угроз на самом объекте;
слабо опасные условия - объект защиты находится вне пределов зоны действия природных катаклизмов, однако
на объекте имеются предпосылки возникновения стихийных источников угроз;
неопасные условия - объект защиты находится вне пределов зоны действия природных катаклизмов и на объекте
отсутствуют предпосылки возникновения стихийных источников угроз.
Квалификация антропогенных источников играет важную роль в определении их возможностей по совершению
противоправных деяний. Принята следующая классификация уровня квалификации по возможности (уровню)
взаимодействия с защищаемой сетью20:
нулевой уровень - определяется отсутствием возможности какого-либо использования программ;
первый уровень - ограничивается возможностью запуска задач/программ из фиксированного набора,
предназначенного для обработки защищаемой информации (уровень неквалифицированного пользователя);
второй уровень - учитывает возможность создания и запуска пользователем собственных программ с новыми
функциями по обработке информации (уровень квалифицированного пользователя, программиста);
третий уровень - определяется возможностью управления функционированием сетью, то есть воздействием на
базовое программное обеспечение, ее состав и конфигурацию (уровень системного администратора);
четвертый уровень - определяется всем объемом возможностей субъектов, осуществляющих проектирование и
ремонт технических средств, вплоть до включения в состав сети собственных технических средств с новыми
функциями по обработке информации (уровень разработчика и администратора).
Нулевой уровень является самым низким уровнем возможностей по ведению диалога источника угроз с защищаемой
сетью. При оценке возможностей антропогенных источников предполагается, что субъект, совершающий
противоправные действия, либо обладает, либо может воспользоваться правами соответствующего уровня.
Привлекательность совершения деяния со стороны источника угроз устанавливается следующим образом:
особо привлекательный уровень - защищаемые информационные ресурсы содержат информацию, которая
может нанести непоправимый урон и привести к краху организации, осуществляющей защиту;
привлекательный уровень - защищаемые информационные ресурсы содержат информацию, которая может быть
использована для получения выгоды в пользу источника угрозы или третьих лиц;
умеренно привлекательный уровень - защищаемые информационные ресурсы, содержат информацию,
разглашение которой может нанести ущерб отдельным личностям;
слабо привлекательный уровень - защищаемые информационные ресурсы содержат информацию, которая при
ее накоплении и обобщении в течение определенного периода может причинить ущерб организации,
осуществляющей защиту;
не привлекательный уровень - информация не представляет интерес для источника угрозы.
Необходимые условия готовности источника определяются исходя из возможности реализации той или иной угрозы в
конкретных условиях расположения объекта. При этом предполагается:
угроза реализуема - то есть условия благоприятны или могут быть благоприятны для реализации угрозы
(например, активизация сейсмической активности);
угроза умеренно реализуема - то есть условия благоприятны для реализации угрозы, однако долгосрочные
наблюдения не предполагают возможности ее активизации в период существования и активной деятельности
объекта защиты;
угроза слабо реализуема - то есть существуют объективные причины на самом объекте или в его окружении,
препятствующие реализации угрозы;
угроза не реализуема - то есть отсутствуют предпосылки для реализации предполагаемого события.
Степень неустранимости последствий проявления угрозы (фатальность) определяется по следующей шкале:
неустранимые последствия - результаты проявления угрозы могут привести к полному разрушению (уничтожению,
потере) объекта защиты, как следствие к невосполнимым потерям и исключению возможности доступа к
защищаемым информационным ресурсам;
практически неустранимые последствия - результаты проявления угрозы могут привести к разрушению
(уничтожению, потере) объекта и к значительным затратам (материальным, временным и пр.) на восстановление
последствий, сопоставимых с затратами на создание нового объекта и существенному ограничению времени
доступа к защищаемым ресурсам;
частично устранимые последствия - результаты проявления угрозы могут привести к частичному разрушению
объекта защиты и, как следствие, к значительным затратам на восстановление, ограничению времени доступа к
защищаемым ресурсам;
устранимые последствия - результаты проявления угрозы могут привести к частичному разрушению (уничтожению,
потере) объекта защиты, не требующих больших затрат на его восстановление и, практически не влияющих на
ограничение времени доступа к защищаемым информационным ресурсам;
отсутствие последствий - результаты проявления угрозы не могут повлиять на деятельность объекта защиты.
Результаты проведенного ранжирования относительно конкретного объекта защиты можно свести в таблицу,
позволяющую определить наиболее опасные для данного объекта источники угроз безопасности информации.
При выборе допустимого уровня источника угроз. предполагается, что источники угроз, имеющие коэффициент (Коп)i
менее (0,1...0,2) могут в дальнейшем не учитываться, как маловероятные.
Определение актуальных (наиболее опасных) угроз осуществляется на основе анализа расположения объектов защиты
и структуры построения информационной системы, а также информационных ресурсов, подлежащих защите.