Угрозы информационной безопасности. Часть 3. Пример классификации угроз информационной безопасностиИсточник: sec-it sec-it
Доброго времени суток уважаемые коллеги и читатели моего блога. В предыдущих статьях я описывал что такое угрозы информационной безопасности и уязвимости. Кратко напомню, что угрозы информационной безопасности бывают внутренние, внешние и техногенные, также они могут быть случайные или преднамеренные. Они имеют такое свойство как вероятность возникновения угрозы и нацелены на уязвимости. Уязвимости нужно искать не только в какой-то информационной системе но и в бизнес процессах. Уязвимости могут быть в объектах защиты которые входят в область защиты - бизнес процесс. Области защиты лучше выбирать по каким-то функциональным бизнес процессам а не какой-то отдельно взятый сервер или всю организацию в целом. Итак имея все эти сведения сегодня я на примере хочу попробовать составить некую классификацию угрозы информационной безопасности. Часто данная классификация еще называется модель угроз информационной безопасности. Для примера я возьму некую фирму занимающуюся производством ну скажем тротуарной плитки по собственно особой технологии которая позволяет получить прочную, качественную и долговечную плитку сравнительно низкой цены. Причем данная плитка пользуется особым спросом у потребителей. Естественно если эта технология является своего рода ноу хау и превосходит по качеству и цене технологии конкурентов то они конкуренты не прочь будут ее заполучить. Я не буду в даваться в технологический процесс производства и представим что он особе не автоматизирован, но зато в организации есть информация по производству этой плитки. Эта информация состоит из самой технологии (не в уме же они все это хранят), а также вспомогательных задач таких как поставка материалов, бухгалтерский, кадровый учет, хозяйственная деятельность, список постоянных клиентов. Отсюда можно выделить несколько областей защиты например таких как "Технология изготовления", "Поставка материалов", "Сбыт продукции" и т. д. В качестве примера я возьму область защиты "Поставка материалов" т. к. в него могут входить как информация в электронном виде так и на бумажных носителях. Кроме того данная информация может составлять некий интерес конкурентам, т. к. по ней можно примерно определить состав материалов из которых изготавливается плитка, и не менее важна для самой фирмы, т. к. ее утрата может привести к срывам сроков поставки и изготовлению плитки, а следовательно и возникновению ответственности перед клиентами. Как я уже говорил для того чтобы классифицировать угрозы информационной безопасности необходимо в области защиты выделить объекты защиты. В данной области я выделю следующие объекты и сведу их в таблицу:
Это всего лишь небольшой пример и данный список может быть не полным но Вы по своему усмотрению можете его конечно же дополнить. Итак какие же угрозы информационной безопасности могут повлиять на данную область защиты. Я постараюсь их также свести в небольшую таблицу:
Приведенные в данной таблице угрозы информационной безопасности являются начальными, которые мне пришли в голову за несколько минут, и конечно-же могут и должны в дальнейшем расширятся, выявляться новые угрозы система защиты информации должна постоянно совершенствоваться. Конечно-же приведенные в таблице угрозы могут никогда не реализоваться, а некоторые вполне реальные. Для этого необходимо определить вероятность возникновения угроз. Я не буду вычислять формулы и приводить статистики а просто вероятности из личного опыта. Вы кстати и сами можете найти в сети Интернет кучу источников о тех или иных фактах реализации данных угроз и примерно прикинуть их вероятность. Угрозы информационной безопасности с их вероятностями приведены в таблице:
Как видите внутренние нарушители имеют более высокие проценты вероятности реализации угроз информационной безопасности, т. к. их дешевле и проще всего реализовать. Также не редки случаи удаленного доступа из сети Интернет злоумышленников с целью осуществления каких либо нарушений информационной безопасности т. к. удаленно злоумышленнику это проще сделать чем непосредственно проникнуть в помещение где установлен сервер или компьютеры. Теперь давайте прикинем какие уязвимости в нашей области защиты могут быть через которые могут быть реализованы данные угрозы информационной безопасности. Также сразу определим их критичность по трех бальной шкале (0.1 - не критично, 0.5 - критично, 1 - очень критично) в зависимости от того сможет ли реализация данной угрозы нанести значительный или незначительный ущерб информации. Все наши уязвимости сведем в таблицу:
Кстати некоторые угрозы отсутствуют в данной таблице т. к. нет уязвимостей через которые можно было бы их реализовать, например угроза хищения сервера не может быть реализована т. к. нет такой уязвимости - на окнах решётки, двери закрываются, на посту охрана. Исходя из этой таблицы можно уже предварительно сказать какие уязвимости более опасны для вашего бизнес процесса. Но чтобы их устранить вам возможно понадобятся некие ресурсы - материальные или людские. Чтобы эти ресурсы у вас были необходимо доложить это своему руководству, но с такими таблицами к нему идти не совсем удобно т. к. руководитель может ничего не понять. В следующей статье я расскажу как преобразовать в удобный для руководства это вид, а именно определить риски информационной безопасности. Управление рисками довольно удобный способ управления системой обеспечения информационной безопасности, т. к. риски нужно уменьшать, а это можно делать разными способами, например устранением уязвимостей или исключением угроз, но об этом в следующий раз. Спасибо за внимание, до встречи! |