Класифікація уразливостей безпеці

Загрози, як можливі небезпечності здійснення будь-якої дії, спря­мованої проти об'єкта захисту, проявляються не самі по собі, а через уразливості (фактори), що призводять до порушення безпеки інфор­мації на конкретному об'єкті інформатизації.

Уразливості, властиві об'єкту інформатизації, невіддільні від ньо­го та обумовлюються недоліками процесу функціонування, власти­востями архітектури автоматизованих систем, протоколами обміну та інтерфейсами, програмним забезпеченням і апаратною платфор­мою, умовами експлуатації та розташування.

Джерела загроз можуть використовувати уразливості для пору­шення безпеки інформації, одержання незаконної вигоди (нанесення збитків власникові, користувачеві інформації). Крім того, можливі не зловмисні дії джерел загроз з активізації чи інших уразливостей, що приносять шкоду.

Кожній загрозі можуть бути зіставлені різноманітні уразливості. Усунення або суттєве послаблення уразливостей впливає на можли­вість реалізації загроз безпеці інформації.

Для зручності аналізу уразливості поділені на класи (познача­ються заголовними літерами), групи (позначаються римськими ци­фрами) та підгрупи (позначаються малими літерами). Уразливості безпеці інформації можуть бути: об'єктивними, суб'єктивними, ви­падковими (рис. 7.4).

Об'єктивні уразливості залежать від особливостей побудови та технічних характеристик обладнання, що застосовується на об'є­кті захисту. Повне усунення цих уразливостей неможливе, але вони можуть суттєво послаблятися технічними та інженерно-технічними методами відбивання загроз безпеці інформації.

Суб'єктивні уразливості залежать від дій співробітників і, в основному, вилучаються організаційними та програмно-апаратними методами.

Випадкові уразливості залежать від особливостей середовища, яке оточує об'єкт захисту, та непередбачених обставин. Ці фактори, як правило, мало передбачувані і їх усунення можливе тільки при

Розділ 7 Основи безпеки інформаційних ресурсів

порівняння (показниками) можна вибрати:

• фатальність (К\) j, що визначає міру впливу уразливості на непереборність наслідків реалізації загрози. Для об'єктивних уразливостей — це інформативність, тобто здатність уразливості повністю (без спотворення) передати корисний інформаційний сигнал;

• доступність (Л^)/, що визначає зручність (можливість) використання уразливості джерелом загроз (масогабаритні розміри, складність, вартість необхідних засобів, можливість використання не спеціалізованої апаратури);

• кількість (Кз){, що визначає кількість елементів об'єкта, яким характерна та чи інша уразливість.

(Kdan)f для окремої уразливості можна визначити як відношен­ня добутку приведених вище показників до максимального значення (125)

(K_dan)_f = (К₁К₂К₂)/125.

Кожний показник оцінюється експертно-аналітичним методом за п'ятибальною системою. Причому 1 відповідає мінімальній мірі впливу оцінюваного показника на небезпеку використання уразли­вості, а 5 — максимальній.

Для підгрупи уразливостей пг(_К^_ап)/ визначається як середнє арифметичне коефіцієнтів окремих уразливостей у підгрупі.

Для зручності аналізу r(Kj__an)f для групи нормується відносно сукупності всіх коефіцієнтів підгруп у своєму класі, а к(_К^_ап)/ для класу визначається як сукупність коефіцієнтів підгруп класу нормо­ваних відносно всієї сукупності коефіцієнтів підгруп.

Результати аналізу із зазначенням коефіцієнтів небезпеки кожної уразливості зводиться в таблицю.

7.1.8 Класифікація актуальних загроз

При проведенні актуальних загроз експертно-аналітичним мето­дом визначаються об'єкти захисту, що піддаються впливу цієї чи ін­шої загрози, характерні джерела цих загроз і уразливості, що спри­яють реалізації загроз.

Потім на основі аналізу складається таблиця взаємозв'язку дже­рел загроз і уразливостей, із яких визначаються можливі наслідки реалізації загроз (атаки) та обчислюється коефіцієнт небезпеки цих атак як добуток коефіцієнтів небезпеки відповідних загроз та дже­рел загроз, визначених раніше. При цьому передбачається, що атаки,

Частина, II Основи безпеки інформаційних технологій

які мають коефіцієнт небезпеки менше 0,1 (припущення експертів), в подальшому можуть не розглядатися із-за малої ймовірності їх здійснення на об'єкті захисту.

Така матриця складається окремо для кожної загрози. І вже пі­сля виявлення найбільш актуальних загроз приймаються заходи з вибору методів і засобів для відбивання.