Лекция Определения и классификации угроз
Скачать 0.97 Mb.
|
Лекция 2. Определения и классификации угрозКорпоративная безопасность и электронный документооборот проф. Рохин Александр Валерьевич Предприятие является сложной системой и состоит из подсистем, взаимно влияющих друг на друга и всю систему в целом. При анализе среды предприятия, как хозяйствующего субъекта необходимо разделить среду на подвиды, а в подвидах определить наиболее значимые факторы. stride В процессе функционирования корпораций в ее институциональную среду вовлекаются тем или иным способом различные субъекты общества и категории людей. Поэтому руководство корпорации в процессе принятия решений должно учитывать интересы экономических составляющих общества. stride Сфера внешней средыstride 1. ПотребителиПотребители могут быть недовольны выполнением производственной корпорации своих договорных обязательств, их мотивом также может служить создание вертикально интегрированного холдинга. В первом случае возможны судебные тяжбы с требованием о взыскании задолженности, неустоек вплоть до проведения процедуры банкротства. Во втором случае может произойти попытка проведения поглощения. stride 2. ПоставщикиПоставщики также могут быть недовольны выполнением производственной корпорации своих договорных обязательств, их мотивом также может служить создание вертикально интегрированного холдинга. В первом случае возможны судебные тяжбы с требованием о взыскании задолженности, неустоек вплоть до проведения процедуры банкротства. Во втором случае есть потенциальная опасность проведения поглощения stride 3. КонкурентыКонкуренты могут иметь мотив устранения или ослабления конкурента, а также иметь цель экстенсивного развития путем приобретения доли рынка производственной корпорации. В данном случае возможны обращения и жалобы в государственные органы, как правило, в антимонопольный орган, а также есть риск проведения поглощения. stride 4. ПартнёрыПартнеры, к которым относятся хозяйствующие субъекты, участвующие в совместных проектах могут иметь мотив устранения производственной корпорации из проекта. В этом случае возможны судебные тяжбы по поводу участия в проекте, а также попытка проведения враждебного поглощения. stride 5. Заинтересованные лицаЗаинтересованные лица - лица, заинтересованные в приобретении какого-либо одного актива или всех активов производственной корпорации по цене, значительно ниже рыночной. В этом случае возможна попытка проведения поглощения либо корпоративного шантажа. stride . 6. Общественные организацииОбщественные организации могут иметь мотив вовлечь производственную корпорацию в участие в своих проектах, прекратить какую либо деятельность производственной корпорации, получить пожертвования. Потенциальные негативные методы - шантаж, бойкот продукции или услуг, незаконные силовые акции, судебное преследование, черный PR. stride 7. Местное населениеМестное население может иметь мотив вовлечь производственной корпорации в участие в своих проектах, прекратить какую либо деятельность производственной корпорации, получить от предприятия пожертвования. Возможные негативные методы - шантаж, бойкот продукции или услуг, незаконные силовые акции, судебное преследование, черный PR. stride 8. Местные органы властиМестные органы власти могут иметь цель пополнения местного бюджета, участия предприятия в местных социальных, культурных и политических программах. Имеют ресурс административного давления в виде предписаний, штрафов, судебного преследования, как правило, осуществлять черный PR. stride 9. Региональные органы властиРегиональные органы власти могут иметь цель пополнения регионального бюджета, участия предприятия в региональных социальных, культурных и политических программах. Имеют ресурс административного давления в виде предписаний, штрафов, судебного преследования, вплоть до уголовного, осуществлять черный PR. stride 10. Федеральные органы властиФедеральные органы власти могут иметь цель пополнения федерального бюджета, участия предприятия в федеральных социальных, культурных и политических программах. Имеют возможность административного давления в виде предписаний, штрафов, ликвидации предприятия, судебного преследования, в том числе и уголовного, осуществлять черный PR. stride Сфера внутренней среды корпорацииstride Мажоритарные акционерыКто такие мажоритарные акционеры? Чем отличаются между собой контрольные пакеты акций: с квалифицированным большинством, с простым большинством, блокирующим пакетом? stride АкционерыКто такие миноритарные акционеры? Как осуществляет свои права государство-акционер? Что такое золотая акция? stride АкционерыКакой вред может нанести менеджмент корпорации и кто входит в него? Какой вред может нанести совет директоров корпорации и кто входит в него? Какой вред может нанести персонал корпорации? stride stride существует взаимодействие акционеров и менеджмента по поводу распределения прибыли - интерес акционеров состоит в выплате дивидендов, интерес менеджмента состоит в направлении прибыли на развитие предприятия. stride С данными интересами пересекаются интересы государства в лице регуляторов рынка ценных бумаг направленный на соблюдение прав акционеров и интерес государства в лице фискальных органов заинтересованных в получении налоговых отчислений из прибыли и с дивидендов. stride Алгоритм действий работы службы безопасностиstride Угрозапотенциальная возможность определенным образом нарушить информационную безопасность stride Чаще всего угроза является следствием наличия уязвимых мест в защите информационных систем (возможность доступа посторонних лиц к критически важному оборудованию или ошибки в программном обеспечении). Атака и злоумышленникиАтака – попытка реализации угрозы, Злоумышленник –тот, кто предпринимает попытку реализацию угрозы Потенциальные злоумышленники называются источниками угрозы Окно опасностиПромежуток времени от момента, когда появляется возможность использовать слабое место, и до момента, когда пробел ликвидируется. Пока существует окно опасности, возможны успешные атаки на ИС Окно опасностиДля большинства уязвимых мест окно опасности существует сравнительно долго (несколько дней, иногда - недель), поскольку за это время должны произойти следующие события:должно стать известно о средствах использования пробела в защите; должны быть выпущены соответствующие заплаты; заплаты должны быть установлены в защищаемой ИС Классификация угрозпо аспекту информационной безопасности (доступность, целостность, конфиденциальность); по компонентам информационных систем, на которые угрозы нацелены (данные, программы, аппаратура, поддерживающая инфраструктура); Классификация угрозпо способу осуществления (случайные/преднамеренные, действия природного/техногенного характера); по расположению источника угроз (внутри/вне рассматриваемой ИС). Классификация угрозУгрозы информации По объектам По ущербу По вероятности По причинам По характеру По отношению Классификация угрозУгрозы информации по объектам персонал материальные и финансовые ценности информация Классификация угрозУгрозы информации по ущербу несущественный значительный предельный Классификация угрозУгрозы информации по вероятности от 0 до 1 Классификация угрозУгрозы информации по причинам появления стихийное бедствие преднамеренные действия Классификация угрозУгрозы информации по отношению к объекту внутренние внешние Классификация угрозУгрозы информации по характеру действия активные пассивные Источники информационных угрозОбъект защиты Источники внешней опасности: Источники внутренней опасности: разведка конкуренты полит.противники преступники лица с нарушениями психики стихийные бедствия сотрудники с корыстными целями с преступными целями «любители» безотвественные Соотношение угроз82% угроз совершается собственными сотрудниками фирмы либо при их прямом или опосредованном участии; 17% угроз совершается извне — внешние угрозы; 1% угроз совершается случайными лицами Управление рискамиМетодика определения базируется на трехфакторной модели R=Руг∙Руз∙Сп, где R – значение (уровень) информационного риска; Руг – вероятность появления угрозы; Руз – вероятность использования уязвимости системы защиты информации; Сп – потери от свершившегося происшествия. Управление рискмиЕсли рассматриваемые факторы оцениваются количественно, то говорят о значении риска (количественное измерение размера ущерба). Если эти факторы оцениваются качественно на основании информации экспертов, то речь идет об уровне информационного риска. информационные ресурсы (конфиденциальные сведения и оперативные данные) информационно-вычислительные центры (их информационное, техническое, программное и нормативное обеспечение); информационная инфраструктура (информационно-вычислительные сети, пункты управления, узлы и линии связи) Угрозы доступностиСамыми частыми и самыми опасными являются непреднамеренные ошибки сотрудников , обслуживающих информационные системы:неправильно введенные данные ошибка в программе, вызвавшая крах системы, Угрозы доступностисоздание уязвимых мест, которыми могут воспользоваться злоумышленники (обычно ошибки администрирования). По некоторым данным, до 65% потерь - следствие непреднамеренных ошибок Угрозы доступностиотказ пользователей; внутренний отказ информационной системы; отказ поддерживающей инфраструктуры Пожары и наводнения не приносят столько бед, сколько безграмотность и небрежность в работе.Самый радикальный способ борьбы с непреднамеренными ошибками - максимальная автоматизация и строгий контроль.Отказ пользователей:нежелание работать с информационной системой (чаще всего проявляется при необходимости осваивать новые возможности и при расхождении между запросами пользователей и фактическими возможностями и техническими характеристиками ); Отказ пользователей:невозможность работать с системой в силу отсутствия соответствующей подготовки (недостаток общей компьютерной грамотности, неумение интерпретировать диагностические сообщения, неумение работать с документацией и т.п. ); Отказ пользователей:невозможность работать с системой в силу отсутствия технической поддержки (неполнота документации, недостаток справочной информации и т.п.). отступление (случайное или умышленное) от установленных правил эксплуатации; выход системы из штатного режима эксплуатации (превышение расчетного числа запросов, чрезмерный объем обрабатываемой информации и т.п.); ошибки при (пере)конфигурировании системы; отказы программного и аппаратного обеспечения; разрушение данных; разрушение или повреждение аппаратуры. нарушение работы (случайное или умышленное) систем связи, электропитания, водо- и/или теплоснабжения, кондиционирования; разрушение или повреждение помещений; невозможность или нежелание обслуживающего персонала выполнять свои обязанности (гражданские беспорядки, аварии на транспорте, террористический акт или его угроза, забастовка и т.п.). Оценка рисков безопасностиОценка может осуществляться на основе количественных и качественных шкал Примерами методик оценки рисков являются NIST-800, OCTAVE, CRAMM, Методика оценки РС БР ИББС – 2.3 (проект) и т.д. Методика предполагает разработку модели угроз для информационных активов, определенных в рамках проекта 1. Малый ущерб Приводит к незначительным потерям материальных активов, которые быстро восстанавливаются, или к незначительному влиянию на репутацию компании2. Умеренный ущерб Вызывает заметные потери материальных активов или к умеренному влиянию на репутацию компании3.Ущерб средней тяжести Приводит к существенным потерям материальных активов или значительному урону репутации компании4. Большой ущерб Вызывает большие потери материальных активов или наносит большой урон репутации компании5. Критический ущерб Приводит к критическим потерям материальных активов или к полной потере репутации компании на рынкеОчень низкая Атака практически никогда не будет проведена. Уровень соответствует числовому интервалу вероятности [0, 0.25) 2. Низкая Вероятность проведения атаки достаточно низкая. Уровень соответствует числовому интервалу вероятности [0.25, 0.5)3. Средняя Вероятность проведения атаки приблизительно равна 0,54. Высокая Атака, скорее всего, будет проведена. Уровень соответствует числовому интервалу вероятности (0.5, 0.75]5. Очень высокая Атака почти наверняка будет проведена. Уровень соответствует числовому интервалу вероятности (0.75, 1]Пример таблицы определения уровня риска информационной безопасности
Определение допустимого уровня риска
Количественная оценка рисковКоличественная шкала оценки вероятности проведения атакиВероятность проведения атаки измеряется от 0 до 1Количественная шкала оценки уровня ущербаУщерб измеряется в финансовом эквиваленте (в денежном выражении)РИСК = Вероятность угрозы X УщербАнализ рисковОпределение приемлемого уровня риска Выбор защитных мер, позволяющих минимизировать риски до приемлемого уровня уменьшение риска за счёт использования дополнительных организационных и технических средств защиты уклонение от риска путём изменения архитектуры или схемы информационных потоков АС изменение характера риска, например, в результате принятия мер по страхованию принятие риска в том случае, если он уменьшен до того уровня, на котором он не представляет опасности для АС Спасибо за внимание!Вопросы? При каком уровне вероятности атаки,скорее всего не будет, а при каком скорее всего будет проведена? Что такое угроза и какие классификации Вы знаете? |