Лекция Определения и классификации угроз

Название	Лекция Определения и классификации угроз
Дата	04.11.2021
Размер	0.97 Mb.
Формат файла
Имя файла	lektsiya-2-ugrozy.pptx
Тип	Лекция #262939

Лекция 2. Определения и классификации угроз

Корпоративная безопасность и электронный документооборот

проф. Рохин Александр Валерьевич

Предприятие является сложной системой и состоит из подсистем, взаимно влияющих друг на друга и всю систему в целом.
При анализе среды предприятия, как хозяйствующего субъекта необходимо разделить среду на подвиды, а в подвидах определить наиболее значимые факторы.

stride

В процессе функционирования корпораций в ее институциональную среду вовлекаются тем или иным способом различные субъекты общества и категории людей.
Поэтому руководство корпорации в процессе принятия решений должно учитывать интересы экономических составляющих общества.

stride

Сфера внешней среды

stride

1. Потребители

Потребители могут быть недовольны выполнением производственной корпорации своих договорных обязательств, их мотивом также может служить создание вертикально интегрированного холдинга.
В первом случае возможны судебные тяжбы с требованием о взыскании задолженности, неустоек вплоть до проведения процедуры банкротства.
Во втором случае может произойти попытка проведения поглощения.

stride

2. Поставщики

Поставщики также могут быть недовольны выполнением производственной корпорации своих договорных обязательств, их мотивом также может служить создание вертикально интегрированного холдинга.
В первом случае возможны судебные тяжбы с требованием о взыскании задолженности, неустоек вплоть до проведения процедуры банкротства.
Во втором случае есть потенциальная опасность проведения поглощения

stride

3. Конкуренты

Конкуренты могут иметь мотив устранения или ослабления конкурента, а также иметь цель экстенсивного развития путем приобретения доли рынка производственной корпорации.
В данном случае возможны обращения и жалобы в государственные органы, как правило, в антимонопольный орган, а также есть риск проведения поглощения.

stride

4. Партнёры

Партнеры, к которым относятся хозяйствующие субъекты, участвующие в совместных проектах могут иметь мотив устранения производственной корпорации из проекта.
В этом случае возможны судебные тяжбы по поводу участия в проекте, а также попытка проведения враждебного поглощения.

stride

5. Заинтересованные лица

Заинтересованные лица - лица, заинтересованные в приобретении какого-либо одного актива или всех активов производственной корпорации по цене, значительно ниже рыночной.
В этом случае возможна попытка проведения поглощения либо корпоративного шантажа.

stride

. 6. Общественные организации

Общественные организации могут иметь мотив вовлечь производственную корпорацию в участие в своих проектах, прекратить какую либо деятельность производственной корпорации, получить пожертвования.
Потенциальные негативные методы - шантаж, бойкот продукции или услуг, незаконные силовые акции, судебное преследование, черный PR.

stride

7. Местное население

Местное население может иметь мотив вовлечь производственной корпорации в участие в своих проектах, прекратить какую либо деятельность производственной корпорации, получить от предприятия пожертвования.
Возможные негативные методы - шантаж, бойкот продукции или услуг, незаконные силовые акции, судебное преследование, черный PR.

stride

8. Местные органы власти

Местные органы власти могут иметь цель пополнения местного бюджета, участия предприятия в местных социальных, культурных и политических программах.
Имеют ресурс административного давления в виде предписаний, штрафов, судебного преследования, как правило, осуществлять черный PR.

stride

9. Региональные органы власти

Региональные органы власти могут иметь цель пополнения регионального бюджета, участия предприятия в региональных социальных, культурных и политических программах.
Имеют ресурс административного давления в виде предписаний, штрафов, судебного преследования, вплоть до уголовного, осуществлять черный PR.

stride

10. Федеральные органы власти

Федеральные органы власти могут иметь цель пополнения федерального бюджета, участия предприятия в федеральных социальных, культурных и политических программах.
Имеют возможность административного давления в виде предписаний, штрафов, ликвидации предприятия, судебного преследования, в том числе и уголовного, осуществлять черный PR.

stride

Сфера внутренней среды корпорации

stride

Мажоритарные акционеры

Кто такие мажоритарные акционеры?
Чем отличаются между собой контрольные пакеты акций: с квалифицированным большинством, с простым большинством, блокирующим пакетом?

stride

Акционеры

Кто такие миноритарные акционеры?
Как осуществляет свои права государство-акционер?
Что такое золотая акция?

stride

Акционеры

Какой вред может нанести менеджмент корпорации и кто входит в него?
Какой вред может нанести совет директоров корпорации и кто входит в него?
Какой вред может нанести персонал корпорации?

stride

stride

существует взаимодействие акционеров и менеджмента по поводу распределения прибыли - интерес акционеров состоит в выплате дивидендов, интерес менеджмента состоит в направлении прибыли на развитие предприятия.

stride

С данными интересами пересекаются интересы государства в лице регуляторов рынка ценных бумаг направленный на соблюдение прав акционеров и интерес государства в лице фискальных органов заинтересованных в получении налоговых отчислений из прибыли и с дивидендов.

stride

Алгоритм действий работы службы безопасности

stride

Угроза

потенциальная возможность определенным образом нарушить информационную безопасность

stride

Чаще всего угроза является следствием наличия уязвимых мест в защите информационных систем (возможность доступа посторонних лиц к критически важному оборудованию или ошибки в программном обеспечении).

Атака и злоумышленники

Атака – попытка реализации угрозы,
Злоумышленник –тот, кто предпринимает попытку реализацию угрозы
Потенциальные злоумышленники называются источниками угрозы

Окно опасности

Промежуток времени от момента, когда появляется возможность использовать слабое место, и до момента, когда пробел ликвидируется.
Пока существует окно опасности, возможны успешные атаки на ИС

Окно опасности

Для большинства уязвимых мест окно опасности существует сравнительно долго (несколько дней, иногда - недель), поскольку за это время должны произойти следующие события:

должно стать известно о средствах использования пробела в защите;
должны быть выпущены соответствующие заплаты;
заплаты должны быть установлены в защищаемой ИС

Классификация угроз

по аспекту информационной безопасности (доступность, целостность, конфиденциальность);
по компонентам информационных систем, на которые угрозы нацелены (данные, программы, аппаратура, поддерживающая инфраструктура);

Классификация угроз

по способу осуществления (случайные/преднамеренные, действия природного/техногенного характера);
по расположению источника угроз (внутри/вне рассматриваемой ИС).

Классификация угроз

Угрозы информации

По объектам

По ущербу

По вероятности

По причинам

По характеру

По отношению

Классификация угроз

Угрозы информации

по объектам

персонал
материальные и финансовые ценности
информация

Классификация угроз

Угрозы информации

по ущербу

несущественный
значительный
предельный

Классификация угроз

Угрозы информации

по вероятности

от 0 до 1

Классификация угроз

Угрозы информации

по причинам появления

стихийное бедствие
преднамеренные действия

Классификация угроз

Угрозы информации

по отношению к объекту

внутренние
внешние

Классификация угроз

Угрозы информации

по характеру действия

активные
пассивные

Источники информационных угроз

Объект защиты

Источники внешней опасности:

Источники внутренней опасности:

разведка
конкуренты
полит.противники
преступники
лица с нарушениями психики
стихийные бедствия

сотрудники

с корыстными целями
с преступными целями
«любители»
безотвественные

Соотношение угроз

82% угроз совершается собственными сотрудниками фирмы либо при их прямом или опосредованном участии;
17% угроз совершается извне — внешние угрозы;
1% угроз совершается случайными лицами

Управление рисками

Методика определения базируется на трехфакторной модели
R=Руг∙Руз∙Сп,
где R – значение (уровень) информационного риска;
Руг – вероятность появления угрозы;
Руз – вероятность использования уязвимости системы защиты информации;
Сп – потери от свершившегося происшествия.

Управление рискми

Если рассматриваемые факторы оцениваются количественно, то говорят о значении риска (количественное измерение размера ущерба).
Если эти факторы оцениваются качественно на основании информации экспертов, то речь идет об уровне информационного риска.

информационные ресурсы (конфиденциальные сведения и оперативные данные)

информационно-вычислительные центры (их информационное, техническое, программное и нормативное обеспечение);

информационная инфраструктура (информационно-вычислительные сети, пункты управления, узлы и линии связи)

Угрозы доступности

Самыми частыми и самыми опасными являются непреднамеренные ошибки сотрудников , обслуживающих информационные системы:

неправильно введенные данные
ошибка в программе, вызвавшая крах системы,

Угрозы доступности

создание уязвимых мест, которыми могут воспользоваться злоумышленники (обычно ошибки администрирования).
По некоторым данным, до 65% потерь - следствие непреднамеренных ошибок

Угрозы доступности

отказ пользователей;
внутренний отказ информационной системы;
отказ поддерживающей инфраструктуры

Пожары и наводнения не приносят столько бед, сколько безграмотность и небрежность в работе.

Самый радикальный способ борьбы с непреднамеренными ошибками - максимальная автоматизация и строгий контроль.

Отказ пользователей:

нежелание работать с информационной системой (чаще всего проявляется при необходимости осваивать новые возможности и при расхождении между запросами пользователей и фактическими возможностями и техническими характеристиками );

Отказ пользователей:

невозможность работать с системой в силу отсутствия соответствующей подготовки (недостаток общей компьютерной грамотности, неумение интерпретировать диагностические сообщения, неумение работать с документацией и т.п. );

Отказ пользователей:

невозможность работать с системой в силу отсутствия технической поддержки (неполнота документации, недостаток справочной информации и т.п.).

отступление (случайное или умышленное) от установленных правил эксплуатации;
выход системы из штатного режима эксплуатации (превышение расчетного числа запросов, чрезмерный объем обрабатываемой информации и т.п.);

ошибки при (пере)конфигурировании системы;
отказы программного и аппаратного обеспечения;
разрушение данных;
разрушение или повреждение аппаратуры.

нарушение работы (случайное или умышленное) систем связи, электропитания, водо- и/или теплоснабжения, кондиционирования;
разрушение или повреждение помещений;

невозможность или нежелание обслуживающего персонала выполнять свои обязанности (гражданские беспорядки, аварии на транспорте, террористический акт или его угроза, забастовка и т.п.).

Оценка рисков безопасности

Оценка может осуществляться на основе количественных и качественных шкал
Примерами методик оценки рисков являются NIST-800, OCTAVE, CRAMM, Методика оценки РС БР ИББС – 2.3 (проект) и т.д.
Методика предполагает разработку модели угроз для информационных активов, определенных в рамках проекта

1. Малый ущерб Приводит к незначительным потерям материальных активов, которые быстро восстанавливаются, или к незначительному влиянию на репутацию компании

2. Умеренный ущерб Вызывает заметные потери материальных активов или к умеренному влиянию на репутацию компании

3.Ущерб средней тяжести Приводит к существенным потерям материальных активов или значительному урону репутации компании

4. Большой ущерб Вызывает большие потери материальных активов или наносит большой урон репутации компании

5. Критический ущерб Приводит к критическим потерям материальных активов или к полной потере репутации компании на рынке

Очень низкая Атака практически никогда не будет проведена. Уровень соответствует числовому интервалу вероятности [0, 0.25)

2. Низкая Вероятность проведения атаки достаточно низкая. Уровень соответствует числовому интервалу вероятности [0.25, 0.5)

3. Средняя Вероятность проведения атаки приблизительно равна 0,5

4. Высокая Атака, скорее всего, будет проведена. Уровень соответствует числовому интервалу вероятности (0.5, 0.75]

5. Очень высокая Атака почти наверняка будет проведена. Уровень соответствует числовому интервалу вероятности (0.75, 1]

Пример таблицы определения уровня риска информационной безопасности

Вероятность атаки Ущерб	Очень низкая	Низкая	Средняя	Высокая	Очень высокая
Малый ущерб	Низкий риск	Низкий риск	Низкий риск	Средний риск	Средний риск
Умеренный ущерб	Низкий риск	Низкий риск	Средний риск	Средний риск	Высокий риск
Средний ущерб	Низкий риск	Средний риск	Средний риск	Высокий риск	Высокий риск
Большой ущерб	Средний риск	Средний риск	Высокий риск	Высокий риск	Высокий риск
Критический ущерб	Средний риск	Высокий риск	Высокий риск	Высокий риск	Высокий риск

Определение допустимого уровня риска

Вероятность атаки Ущерб	Очень низкая	Низкая	Средняя	Высокая	Очень высокая
Малый ущерб	Допусти-мый риск	Допусти-мый риск	Допусти-мый риск	Допусти-мый риск	Допусти-мый риск
Умеренный ущерб	Допусти-мый риск	Допусти-мый риск	Допусти-мый риск	Допусти-мый риск	Недопусти-мый риск
Средний ущерб	Допусти-мый риск	Допусти-мый риск	Допусти-мый риск	Недопусти-мый риск	Недопусти-мый риск
Большой ущерб	Допусти-мый риск	Допусти-мый риск	Недопусти-мый риск	Недопусти-мый риск	Недопусти-мый риск
Критический ущерб	Средний риск	Недопусти-мый риск	Недопусти-мый риск	Недопусти-мый риск	Недопусти-мый риск

Количественная оценка рисков

Количественная шкала оценки вероятности проведения атаки

Вероятность проведения атаки измеряется от 0 до 1

Количественная шкала оценки уровня ущерба

Ущерб измеряется в финансовом эквиваленте (в денежном выражении)

РИСК = Вероятность угрозы X Ущерб

Анализ рисков

Определение приемлемого уровня риска
Выбор защитных мер, позволяющих минимизировать риски до приемлемого уровня

уменьшение риска за счёт использования дополнительных организационных и технических средств защиты
уклонение от риска путём изменения архитектуры или схемы информационных потоков АС

изменение характера риска, например, в результате принятия мер по страхованию
принятие риска в том случае, если он уменьшен до того уровня, на котором он не представляет опасности для АС

Спасибо за внимание!

Вопросы?

При каком уровне вероятности атаки,скорее всего не будет, а при каком скорее всего будет проведена?
Что такое угроза и какие классификации Вы знаете?