Категорирование объекта информационной безопасности

В состав информационных комплексов финансовой системы в качестве объектов информационной безопасности входят информационные системы и информационные ресурсы. Идентификация информационных систем и категорирование информационных ресурсов по степени их открытости входят в состав первоочередных задач обеспечения информационной безопасности финансовой системы.

Информационная система представляет собой организационно упорядоченную совокупность документов и информационных технологий, в том числе с использованием средств вычислительной техники и связи, реализующих информационные процессы финансовой системы. Информационные ресурсы финансовой системы – это информация (независимо от способа ее представления, хранения или организации), содержащаяся в финансовых информационных системах и относимая к собственности соответствующих субъектов финансовой деятельности.

Объекты ИБ прежде всего классифицируются по степени открытости функционирующей в них информации и подразделяются:

- объекты, содержащие открытую информацию;

- объекты, содержащие, конфиденциальную информацию, в том числе, служебную тайну, коммерческую тайну и персональные данные;

Определение объектов ИБ и оценка их текущего состояния для решения задач обеспечения ИБ проводится на предпроектной стадии, на этапах технорабочего проектирования и приемо-сдаточных испытаний ИС, а также в ходе инвентаризации, аттестации и доработок в процессе эксплуатации ИС.

В процессе идентификации объектов ИБ должен быть составлен перечень ресурсов, несанкционированный доступ к которым может привести к нарушению их безопасного функционирования.

Хранимая и обрабатываемая конфиденциальная информация критична к нарушениям целостности, доступности, конфиденциальности и подлинности. Открытая информация критична к нарушениям целостности, доступности.

В целях категорирования информационных ресурсов на этапе предпроектного обследования ИС должен быть разработан перечень сведений конфиденциального характера подлежащих защите.

Объекты ИБ должны находиться под постоянным наблюдением служб безопасности, подлежать учету, аттестации и переаттестации.

Информация об объектах безопасности и их изменениях отражаются в отчетных документах установленным порядком.

После определения объектов ИБ и категорирования используемой информации целесообразно переходить к описанию процесса обеспечения их информационной безопасности. Например, в условиях ограниченных объемов исходных данных на начальном этапе создания информационной системы того или иного комплекса финансовой системы, должна разрабатываться модель обеспечения ее информационной безопасности (МОИБ). МОИБ представляется совокупностью описаний способов задания, оценки и контроля обеспечения уровня информационной безопасности, разрабатываемых в виде моделей угроз и защиты с учетом критериев обеспечения ИБ. МОИБ должна соответствовать принципам построения классической модели системы управления. Внешние факторы (воздействия) должны включать весь спектр угроз информационной безопасности. В целях предотвращения реализации угрозы, нейтрализации ее последствий орган управления системой вырабатывает управляющие воздействия, выделяющие из совокупности требований к объекту управления необходимый и достаточный набор, задающий методы и средства подавления угрозы. В случае выявления в результате атаки уязвимости система управления посредством обратной связи вырабатывает дополнительное требование, которое инициирует создание адекватного угрозе средства защиты. В итоге должна быть изменена защита объекта ИБ путем комплексного совершенствования управляющего органа и объекта управления или одной из составляющих модели обеспечения ИБ.

В ходе формирования модели устанавливаются взаимосвязи объектов ИБ с угрозами возможного нарушения их безопасности, задается «нормаль» угроз, позволяющая моделировать воздействие значимых угроз на заданные объекты защиты. «Нормаль» угроз должна отвечать требованиям полноты и достоверности. За основу «нормали» может быть выбран каталог угроз, (см.приложение № ) содержащий около 600 наименований угроз, структурированных по следующим классам: форс-мажорные обстоятельства, недостатки организационных мер, ошибки персонала, технические неисправности и преднамеренные действия. Критерии значимости угрозы, входящей в «нормаль», для заданного объекта защиты определяются задачами и требованиями к видам обеспечения ИБ.

Следующим шагом должно стать определение значимости возможных мер защиты. Значимыми для плана защиты считаются те мероприятия, которые отвечают требованиям ИБ по нейтрализации значимых угроз безопасности объекта.

Далее моделируются и анализируются возможные варианты комплекса средств защиты и по критериям эффективность - стоимость определяются наиболее предпочтительные для удовлетворения заданным требованиям к системе защиты.

Рассмотрим основные модели угроз объектам информационной безопасности финансовой системы.

Модель угроз описывается через понятия источника угрозы, предполагаемого метода нападения, уязвимостей, которые являются предпосылкой для нападения, и идентификации ресурсов, которые являются целью нападения. Структура взаимосвязей моделей угроз и защиты представлена на рис .

Рис. 8 Взаимосвязи угроз с объектом защиты

Модель угроз должна иметь четкие связи с моделью объекта защиты (структурно, через соответствие классификаций угроз и объектов защиты) и отражать динамику процессов: маркировки; идентификации угрозы и ее источника; описаний зарождения, развития, реализация и регенерации угрозы; идентификации методов реализации угрозы; описания результатов анализа рисков. Модель угроз должна отвечать требованиям к целевому назначению и наглядности, отражать зависимости между угрозами безопасности. Составной частью данной модели является модель нарушителя ИБ, в которой определяются:

а) предположения о категориях лиц, к которым может принадлежать нарушитель;

б) предположения о мотивах действий нарушителя;

в) предположения о квалификации нарушителя и его технической оснащенности;

г) ограничения и предположения о характере возможных действий нарушителей.

При формировании модели угроз в ряде случаев после идентификации угроз ресурсам ИС и описания нарушителя необходимо установить уровень опасности реализации угроз информационной безопасности, используя следующие градации опасности.

Высокая. Реализация угрозы может привести к нарушениям процессов функционирования автоматизированной системы в целом и/или к утечке конфиденциальной информации.

Средняя. Реализация угрозы может привести к нарушениям процессов функционирования компонент ИС, к нарушению целостности и доступности открытой информации.

Низкая. Реализация угрозы может привести к незначительным нарушениям процессов функционирования компонент ИС и/или к нарушению целостности и доступности второстепенной информации.

В информационных комплексах финансовой системы можно выделить следующие два основных вида объектов информационной безопасности.

К объектам ИБ первого вида относятся информационные системы и ресурсы, сформированные на базе средств вычислительной техники, осуществляющих взаимодействие по технологии локальных сетей, не имеющих иерархической структуры межсетевого обмена и обрабатывающих открытую информацию.

Второй вид объектов ИБ, как правило, обрабатывает конфиденциальную информацию, имеет специальное программное обеспечение удостоверяющего центра, выдающего сертификаты ключей электронной цифровой подписи, собственную точку присутствия в сетях общего пользования и подсистему информационной безопасности.

Для первого вида объектов ИБ характерны следующие виды угроз:

Угрозы, связанные с применением технических средств автоматизации:

- физическое повреждение аппаратных средств;

- физическое повреждение линий связи;

- перебои в системе электропитания;

- отказы аппаратных средств.

Угрозы, связанные с использованием программного обеспечения:

- ошибки в программном обеспечении;

- анализ и модификация программного обеспечения;

- наличие в программном обеспечении “закладок” и “троянских коней”;

- наличие в программном обеспечении “задних дверей”, оставляемых разработчиками для отладки;

- атаки программных вирусов.

Угрозы, связанные с попытками взлома системы безопасности

- взлом программной защиты;

- использование сетевых анализаторов;

Угрозы безопасности со стороны персонала:

- несанкционированное получение и использование привилегий;

- несанкционированный доступ к наборам данных других участников;

- несанкционированный доступ к базам данных, архивам;

- выполнение действий одним участником от имени другого;

- разглашение реализации программной защиты;

- раскрытие, перехват, хищение кодов, ключей, паролей;

- ошибочный ввод данных;

- умышленная порча аппаратного и программного обеспечения.

Угрозы, связанные с естественными и природными факторами:

- пожар и другие стихийные бедствия;

- кража оборудования;

- диверсии.

Для второго вида объектов в вышеприведенный перечень угроз следует добавить следующие:

Угрозы, связанные с нарушением технологического процесса обмена данными:

- отказ от авторства сообщения;

- отказ от факта получения сообщения;

- подмена принятого сообщения;

- имитация принятого сообщения;

- подмена передаваемого сообщения;

- имитация передаваемого сообщения;

- нарушение целостности потока сообщений.

Угрозы, связанные с попытками взлома системы безопасности

- использование сетевых анализаторов;

- перехват информации на линиях связи.

Угрозы безопасности со стороны персонала:

- прерывание процесса передачи и обработки информации;

- чтение остаточной информации в оперативной памяти и на магнитных носителях;

- хищение носителей информации, производственных отходов.