Класифікація загроз безпеці інформації

Виходячи з попередніх міркувань можна виділити три основні види загроз безпеці інформації: загрози безпеці інформації при забезпеченні конфіденційності, доступності та цілісності (рис. 7.2).

Загрози безпеці інформації при забезпеченні конфіденційності:

• крадіжка (копіювання) інформації та засобів її оброблення;

• втрата (ненавмисна втрата, витік) інформації та засобів її оброблення.

Загрози безпеці інформації при забезпеченні доступності:

• блокування інформації;

• знищення інформації та засобів її оброблення.

Розділ 7 Основи безпеки інформаційних ресурсів

• обумовлені діями суб'єкта (антропогенні джерела загроз);

• обумовлені технічними засобами (техногенні джерела загроз);

• обумовлені стихійними джерелами.

Антропогенними джерелами загроз виступають суб'єкти, дії яких можуть бути кваліфіковані як навмисні або випадкові злочини. Тільки в цьому випадку можна говорити про заподіяння збитку. Ця група джерел загроз найбільш численна та представляє найбільший інтерес із точки зору організації захисту, так як дії суб'єкта завжди можна оцінити, спрогнозувати та прийняти адекватні заходи. Мето­ди протидії у цьому випадку керовані й напряму залежать від волі організаторів захисту інформації.

Антропогенним джерелом загроз можна вважати суб'єкта, що має доступ (санкціонований або несанкціонований) до роботи зі шта­тними засобами об'єкта, що підлягає захисту. Суб'єкти (джерела), дії яких можуть привести до порушення безпеки інформації, можуть бу­ти як зовнішніми, так і внутрішніми. Зовнішні джерела можуть бути випадковими або навмисними та мати різний рівень кваліфікації.

Внутрішні суб'єкти (джерела), як правило, представляють собою висококваліфікованих спеціалістів у галузі розробки та експлуатації програмного забезпечення та технічних засобів, знайомі зі специфі­кою завдань, що вирішуються, структурою та основними функціями та принципами роботи програмно-апаратних засобів захисту інфор­мації, мають можливість використання штатного обладнання та те­хнічних засобів мереж;!.

Необхідно враховувати також;, що особливу групу внутрішніх ан­тропогенних джерел складають особи з порушеною психікою та спе­ціально впроваджені та завербовані агенти, які можуть бути з числа основного, допоміжного та технічного персоналу, а також; представ­ників служби захисту інформації. Дана група розглядається у складі перелічених вище джерел загроз, але методи протидії загрозам для цієї групи джерел можуть мати свої відмінності.

Слід відзначити, що кваліфікація антропогенних джерел загроз безпеці інформації відіграє важливу роль для оцінки їхнього впливу та враховується при ранжируванні джерел загроз.

Друга група містить джерела загроз, що визначаються технокра­тичною діяльністю людини та розвитком цивілізації. Проте наслід­ки, викликані такою діяльністю, вийшли з-під контролю людини та діють самі по собі. Людство дійсно стає все більше залежним від те­хніки, і джерела загроз, які безпосередньо залежать від властивостей техніки, менше прогнозовані і тому потребують особливої уваги. Да-

Частина, II Основи безпеки інформаційних технологій

ний клас джерел загроз безпеці інформації є особливо актуальних у сучасних умовах, так як очікується різке зростання числа техноген­них катастроф, викликаних фізичним та моральним застаріванням існуючого обладнання, а також; відсутністю коштів на його оновле­ння. Технічні засоби, що є джерелами потенційних загроз безпеці інформації, також; можуть бути зовнішніми та внутрішніми.

Третя група джерел загроз об'єднує обставини, що складають непереборну силу, тобто такі обставини, які носять об'єктивний і аб­солютний характер, що розповсюджується на всіх. До непереборної сили в законодавстві та договірній практиці відносять стихійні лиха або інші обставини, які неможливо передбачити або їм запобігти або можливо передбачити, але не можливо запобігти їм при сучасному рівні знань і можливостей людини. Такі джерела загроз абсолютно не піддаються прогнозуванню, і тому заходи захисту від них повинні застосовуватися завжди.

Стихійні джерела потенційних загроз інформаційній безпеці, як правило, є зовнішніми по відношенню до об'єкта захисту. Під ними розуміють, насамперед, природні катаклізми.