Угрозы, как возможные опасности совершения какого-либо действия, направленного против объекта защиты,
проявляются не сами по себе, а через уязвимости (факторы), приводящие к нарушению безопасности информации на
конкретном объекте информатизации.
Уязвимости присущи объекту информатизации, неотделимы от него и обуславливаются недостатками процесса
функционирования, свойствами архитектуры автоматизированных систем, протоколами обмена и интерфейсами,
применяемыми программным обеспечением и аппаратной платформой, условиями эксплуатации и расположения.
Источники угроз могут использовать уязвимости для нарушения безопасности информации, получения незаконной
выгоды (нанесения ущерба собственнику, владельцу, пользователю информации) Кроме того, возможно не
злонамеренные действия источников угроз по активизации тех или иных уязвимостей, наносящих вред.
Каждой угрозе могут быть сопоставлены различные уязвимости. Устранение или существенное ослабление
уязвимостей влияет на возможность реализации угроз безопасности информации.
Для удобства анализа, уязвимости разделены на классы (обозначаются заглавными буквами), группы (обозначаются
римскими цифрами) и подгруппы (обозначаются строчными буквами). Уязвимости безопасности информации могут
быть:
[А] объективными
[В] субъективными
[С] случайными.
Объективные уязвимости
Объективные уязвимости зависят от особенностей построения и технических характеристик оборудования,
применяемого на защищаемом объекте. Полное устранение этих уязвимостей невозможно, но они могут существенно
ослабляться техническими и инженерно-техническими методами парирования угроз безопасности информации. К ним
можно отнести:
[А.I] сопутствующие техническим средствам излучения
[A.I.a] электромагнитные (побочные излучения элементов технических средств [1], кабельных линий технических
средств [2], излучения на частотах работы генераторов [3], на частотах самовозбуждения усилителей [4])
[A.I.b] электрические (наводки электромагнитных излучений на линии и проводники [1], просачивание сигналов в
цепи электропитания, в цепи заземления [2], неравномерность потребления тока электропитания [3])
[A.I.c] звуковые (акустические [1], виброакустические [2])
[A.II] активизируемые
[A.II.a] аппаратные закладки (устанавливаемые в телефонные линии [1], в сети электропитания [2], в помещениях
[3], в технических средствах [4])
[A.II.b] программные закладки (вредоносные программы [1], технологические выходы из программ [2],
нелегальные копии ПО [3])
[A.III] определяемые особенностями элементов
[A.III.a] элементы, обладающие электроакустическими преобразованиями (телефонные аппараты [1],
громкоговорители и микрофоны [2], катушки индуктивности [3], дроссели [4], трансформаторы и пр. [5])
[A.III.b] элементы, подверженные воздействию электромагнитного поля (магнитные носители [1], микросхемы [2],
нелинейные элементы, поверженные ВЧ навязыванию [3])
[A.IV] определяемые особенностями защищаемого объекта
[A.IV.a] местоположением объекта (отсутствие контролируемой зоны [1], наличие прямой видимости объектов [2],
удаленных и мобильных элементов объекта [3], вибрирующих отражающих поверхностей [4])
[A.IV.b] организацией каналов обмена информацией (использование радиоканалов [1], глобальных
информационных сетей [2], арендуемых каналов [3])
Субъективные уязвимости
Субъективные уязвимости зависят от действий сотрудников и, в основном, устраняются организационными и
программно-аппаратными методами:
[B.I] ошибки
[B.I.a] при подготовке и использовании программного обеспечения (при разработке алгоритмов и программного
обеспечения [1], инсталляции и загрузке программного обеспечения [2], эксплуатации программного обеспечения
[3], вводе данных [4])
[B.I.b] при управлении сложными системами (при использовании возможностей самообучения систем [1], настройке
сервисов универсальных систем [2], организации управления потоками обмена информации [3])
[B.I.c] при эксплуатации технических средств (при включении/выключении технических средств [1], использовании
технических средств охраны [2], использовании средств обмена информацией [3])
[B.II] нарушения
[B.II.a] режима охраны и защиты (доступа на объект [1], доступа к техническим средствам [2])
[B.II.b] режима эксплуатации технических средств (энергообеспечения [1], жизнеобеспечения [2])
[B.II.c] режима использования информации (обработки и обмена информацией [1], хранения и уничтожения
носителей информации [2], уничтожения производственных отходов и брака [3])
[B.II.d] режима конфиденциальности (сотрудниками в нерабочее время [1], уволенными сотрудниками [2]).
Случайные уязвимости
Случайные уязвимости зависят от особенностей окружающей защищаемый объект среды и непредвиденных
обстоятельств. Эти факторы, как правило, мало предсказуемы и их устранение возможно только при проведении
комплекса организационных и инженерно-технических мероприятий по противодействию угрозам информационной
безопасности:
[C.I] сбои и отказы
[C.I.a] отказы и неисправности технических средств (обрабатывающих информацию [1], обеспечивающих
работоспособность средств обработки информации [2], обеспечивающих охрану и контроль доступа [3])
[C.I.b] старение и размагничивание носителей информации (дискет и съемных носителей [1], жестких дисков [2],
элементов микросхем [3], кабелей и соединительных линий [4])
[C.I.c] сбои программного обеспечения (операционных систем и СУБД [1], прикладных программ [2], сервисных
программ [3], антивирусных программ [4])
[C.I.d] сбои электроснабжения (оборудования, обрабатывающего информацию [1], обеспечивающего и
вспомогательного оборудования [2])
[C.II] повреждения
[C.II.a] жизнеобеспечивающих коммуникаций (электро-, водо-, газо-, теплоснабжения, канализации [1],
кондиционирования и вентиляции [2])
[C.II.b] ограждающих конструкций (внешних ограждений территорий, стен и перекрытий зданий [1], корпусов
технологического оборудования [2])
Ранжирование уязвимостей
Все уязвимости имеют разную степень опасности (Коп)f, которую можно количественно оценить, проведя их
ранжирование. При этом, в качестве критериев сравнения (показателей) можно выбрать:
Фатальность (К1)f - определяет степень влияния уязвимости на неустранимость последствий реализации угрозы.
Для объективных уязвимостей это Информативность - способность уязвимости полностью (без искажений)
передать полезный информационный сигнал.
Доступность (К2)f - определяет удобство (возможность) использования уязвимости источником угроз
(массогабаритные размеры, сложность, стоимость необходимых средств, возможность использования не
специализированной аппаратуры).
Количество (К3)f - определяет количество элементов объекта, которым характерен та или иная уязвимость.
(Коп)f для отдельной уязвимости можно определить как отношение произведения вышеприведенных показателей к
максимальному значению (125).
Каждый показатель оценивается экспертно-аналитическим методом по пятибалльной системе. Причем, 1
соответствует самой минимальной степени влияния оцениваемого показателя на опасность использования уязвимости,
а 5 - максимальной. Для подгруппы уязвимостей пг(Коп)f определяется как среднее арифметическое коэффициентов
отдельных уязвимостей в подгруппе. Для удобства анализа, г(Коп)f для группы нормируется относительно совокупности
всех коэффициентов подгрупп в своем классе, а к(Коп)f для класса определяется как совокупность коэффициентов
подгрупп класса нормированных относительно всей совокупности коэффициентов подгрупп. Результаты анализа с
указанием коэффициентов опасности каждой уязвимости, сводятся в таблицу.