Tietoturvauhat

Uhka tietoturvalle  - joukko ehtoja ja tekijöitä, jotka luovat vaaran tietoturvan loukkaamisesta . [yksi]

Uhkalla (yleensä) tarkoitetaan mahdollisesti mahdollista tapahtumaa, toimintaa (vaikutusta), prosessia tai ilmiötä, joka voi johtaa jonkun etujen vahingoittumiseen.

Luokitus

Tietoturvauhat voidaan luokitella useiden kriteerien mukaan:

• Sen tietoturvanäkökohdan mukaan, johon uhat kohdistuvat:
  • Luottamuksellisuuden uhka (laiton pääsy tietoihin). Luottamuksellisuuden loukkaamisen uhka piilee siinä, että tieto tulee sellaisen henkilön tietoon, jolla ei ole valtuuksia tutustua niihin. Se tapahtuu, kun saadaan pääsy johonkin rajoitettuun tietoon, joka on tallennettu tietokonejärjestelmään tai siirretään järjestelmästä toiseen. Luottamuksellisuuden loukkaamisen uhan yhteydessä käytetään termiä "vuoto". Tällaiset uhat voivat johtua "inhimillisestä tekijästä" (esimerkiksi toisen käyttäjän oikeuksien vahingossa siirtäminen yhdelle tai toiselle käyttäjälle), ohjelmisto- ja laitteistovioista. Rajoitettuihin tietoihin kuuluvat valtiosalaisuudet [2] ja luottamukselliset tiedot [3] (liikesalaisuudet, henkilötiedot, ammattisalaisuudet: lääketieteen, asianajajan, pankki-, toimisto-, notaari-, vakuutus-, tutkinta- ja oikeuskäsittelyt, kirjeenvaihto, puhelinkeskustelut, posti lähetykset, sähke- tai muut viestit (viestintäsalaisuus), tiedot keksinnön olemuksesta, hyödyllisyysmallista tai teollisesta mallista ennen virallista julkaisua (taitotieto) jne.).
  • Eheysuhat ( tietojen virheellinen muokkaaminen). Eheysuhat ovat uhkia, jotka liittyvät mahdollisuuteen muuttaa yhtä tai toista tietojärjestelmään tallennettua tietoa. Eheyden rikkominen voi johtua useista tekijöistä - henkilöstön tahallisista toimista laitevikaan.
  • Saavutettavuuteen kohdistuvat uhat (toimien toteuttaminen, jotka tekevät mahdottomaksi tai vaikeaksi pääsyn tietojärjestelmän resursseihin). Saatavuushäiriöllä tarkoitetaan sellaisten olosuhteiden luomista, joissa pääsy palveluun tai tietoon joko estetään tai on mahdollista sellaiseksi ajaksi, joka ei takaa tiettyjen liiketoimintatavoitteiden toteutumista.

• Uhkalähteen sijainnin mukaan:
  • Sisäinen (uhkien lähteet sijaitsevat järjestelmän sisällä);
  • Ulkoinen (uhan lähteet ovat järjestelmän ulkopuolella).

• Mitä tulee aiheuttamiin vahinkoihin:
  • Yleistä (vaurioittaa koko turvaobjektia, aiheuttaa merkittävää vahinkoa);
  • Paikallinen (aiheuttaa vahinkoa turvaobjektin yksittäisille osille);
  • Yksityinen (aiheuttaa vahinkoa suojausobjektin elementtien yksittäisille ominaisuuksille).

• Tietojärjestelmään kohdistuvan vaikutuksen asteen mukaan:
  • Passiivinen (järjestelmän rakenne ja sisältö eivät muutu);
  • Aktiivinen (järjestelmän rakenne ja sisältö voivat muuttua).

• Tapahtuman luonteen mukaan:
  • Luonnollinen (objektiivinen) - johtuu objektiivisten fyysisten prosessien tai luonnonilmiöiden vaikutuksesta tietoympäristöön, jotka eivät riipu ihmisen tahdosta;
  • Keinotekoinen (subjektiivinen) - aiheutuu vaikutuksesta henkilön tietosfääriin. Keinotekoisten uhkien joukossa puolestaan ​​ovat:
    • tahattomat (vahingossa tapahtuvat) uhat - virheet ohjelmistoissa, henkilöstössä, häiriöt järjestelmien toiminnassa, laskenta- ja viestintälaitteiden viat;
    • Tarkoitukselliset (tahalliset) uhat - tietojen laiton pääsy, laittomaan pääsyyn käytettävien erityisohjelmistojen kehittäminen, virusohjelmien kehittäminen ja jakelu jne. Tahalliset uhat johtuvat ihmisten toiminnasta. Tietoturvan pääongelmat liittyvät ensisijaisesti tahallisiin uhkiin, koska ne ovat rikosten ja rikosten pääasiallinen syy [4] .

Tietoturvauhan lähteiden luokitus

Tietoturvauhkien kantajat ovat uhkien lähteitä. Uhkien lähteinä voivat olla sekä subjektit (persoonallisuus) että objektiiviset ilmentymät, esimerkiksi kilpailijat, rikolliset, korruptoituneet virkamiehet, hallinto- ja johtoelimet. Uhkalähteillä on seuraavat tavoitteet: suojattuihin tietoihin tutustuminen, niiden muuntaminen palkkasoturitarkoituksiin ja tuhoaminen välittömän aineellisen vahingon aiheuttamiseksi.

• Kaikki tietoturvauhkien lähteet voidaan jakaa kolmeen pääryhmään:
  • Kohteen toiminnasta aiheutuvat (antropogeeniset lähteet)  - subjektit, joiden toiminta voi johtaa tietoturvan loukkaamiseen, nämä toimet voidaan luokitella tahallisiksi tai tahallisiksi rikoksiksi. Lähteet, joiden toiminta voi johtaa tietoturvan rikkomiseen, voivat olla sekä ulkoisia että sisäisiä. Nämä lähteet voidaan ennustaa ja ryhtyä asianmukaisiin toimenpiteisiin.
  • Teknisten keinojen aiheuttama (teknogeeniset lähteet)  - nämä uhkien lähteet ovat vähemmän ennustettavissa, riippuvat suoraan tekniikan ominaisuuksista ja vaativat siksi erityistä huomiota. Nämä tietoturvan uhkien lähteet voivat myös olla sekä sisäisiä että ulkoisia.
  • Luonnonlähteet  - tämä ryhmä yhdistää ylivoimaisen esteen muodostavat olosuhteet (luonnonkatastrofit tai muut olosuhteet, joita ei voida ennakoida tai estää tai ennakoida, mutta mahdotonta estää), sellaiset olosuhteet, jotka ovat luonteeltaan objektiivisia ja ehdottomia ja jotka ulottuvat kaikkiin. Tällaiset uhkien lähteet ovat täysin arvaamattomia, ja siksi niitä vastaan ​​tulee aina ryhtyä toimenpiteisiin. Luonnonlähteet ovat pääsääntöisesti ulkoisia suojeltavan kohteen suhteen ja yleensä ne ymmärretään luonnonkatastrofeina. [5] [6]

Uhkamalli

Tietyn tietojärjestelmän turvallisuuden analysoimiseksi muodostetaan kuvaus olemassa olevista IS-uhkista, niiden relevanssista, toteutettavuudesta ja seurauksista - uhkamalli.

Tällä hetkellä Venäjällä on käytössä Venäjän FSTEC :n 5. helmikuuta 2021 hyväksymä menetelmä tietoturvauhkien arvioimiseksi [7] , joka korvasi menetelmän henkilötietojen turvallisuuteen kohdistuvien todellisten uhkien määrittämiseksi niiden käsittelyn aikana henkilötietojärjestelmissä (FSTEC). of Russia, 2008) ja Methodology for määrittääkseen todelliset tietoturvauhat keskeisissä tietoinfrastruktuurijärjestelmissä (FSTEC of Russia, 2007).

FSTEC:n määräyksen nro 17 4. maaliskuuta 2017 [8] julkaisun myötä FSTEC -uhkatietokannan [9] käyttö on pakollista. Nämä kaksi seikkaa muodostivat perustan erityisohjelmistojen luomiselle tietoturvauhkien toteutumisen mallintamiseen tietojärjestelmissä. Tällä hetkellä yleisölle esitellään useita tieteellisiä julkaisuja [10] [11] [12] ja kaupallisia kehityssuuntia [13] , jotka auttavat automatisoimaan uhkamallin muodostumista.

Tällä hetkellä (vuoden 2021 lopussa) valtaosa ohjelmistoista mallintaa uhkien esiintymistä vanhentuneella menetelmällä (uhkamalli 2008 tai suunnitteluuhkamalli 2015).

Muistiinpanot

1. ↑ GOST R 50922-96 . (määrätön)
2. ↑ Venäjän federaation laki, 21. heinäkuuta 1993 N 5485-I "Valtionsalaisuuksista" (muutoksineen ja lisäyksineen) . base.garant.ru. Haettu: 20. joulukuuta 2016. (määrätön)
3. ↑ Venäjän federaation presidentin asetus 3.6.1997 N 188 "Luottamuksellisten tietojen luettelon hyväksymisestä" (muutoksineen ja lisäyksineen) . base.garant.ru. Haettu: 20. joulukuuta 2016. (määrätön)
4. ↑ Blinov A. M. Tietoturva: Proc. korvaus. Osa 1 / A. M. Blinov.-SPb.: SPbGUEF, 2010. - 96 s.
5. ↑ Tietoturvan perusteet: oppikirja. lisä / Yu. G. Krat, I. G. Shramkova. - Khabarovsk: Kaukoidän osavaltion liikenneyliopiston kustantaja, 2008. −112 s.
6. ↑ Tietoturva: Oppikirja yliopisto-opiskelijoille. - M .: Akateeminen projekti; Gaudeamus, 2. painos. - 2004. - 544 s.
7. ↑ Metodologinen asiakirja. Venäjän FSTEC:n hyväksymä 5. helmikuuta 2021 - Venäjän FSTEC . fstec.ru . Käyttöönottopäivä: 17.12.2021. (määrätön)
8. ↑ Venäjän FSTEC:n määräys 11. helmikuuta 2013 N 17 - Venäjän FSTEC . fstec.ru . Käyttöönottopäivä: 17.12.2021. (määrätön)
9. ↑ BDU - Uhat . bdu.fstec.ru . Käyttöönottopäivä: 17.12.2021. (määrätön)
10. ↑ Aleksanteri Sergeevich Bolshakov, Dmitri Igorevitš Rakovski. Ohjelmisto tietojärjestelmien tietoturvauhkien mallintamiseen  // Legal Informatics. - 2020. - Numero. 1 . — ISSN 1994-1404 1994-1404, 1994-1404 . - doi : 10.21681/1994-1404-2020-1-26-39 . (Venäjän kieli)
11. ↑ M. I. Ozhiganova, A. O. Egorova, A. O. Mironova, A. A. Golovin. toimenpiteiden valinnan automatisointi vastaavan tärkeysluokan CII-objektin turvallisuuden varmistamiseksi uhkamallia laadittaessa  (venäläinen)  // M .: Voimalaitokset ja teknologiat .. - 2021. - V. 7 , No. 2 . - S. 130-135 .
12. ↑ Yu. F. Katorin, I. V. Iljin, R. A. Nurdinov. Tietojärjestelmien uhkamallin muodostusprosessin automatisointi  (venäläinen)  // Tiedonhallintajärjestelmät ja -tekniikat: IV kansainvälisen tieteellisen ja käytännön konferenssin aineisto (IUST-ODESSA-2015), Odessa, 22.–24. syyskuuta 2015 / Odessa National Maritime University, Volzhsky State University of Water Transport, State University of Sea and River Fleet nimetty Admiral S.O. Makarov, Kharkiv National University of Radio Electronics, Odessan kansallinen ammattikorkeakoulu, National University of Shipbuilding nimetty Admiral S.O. Makarov. - Odessa: Makarova. - 2015. - S. 161-164 .
13. ↑ R-Vision Incident Response Platform  (venäläinen)  ? . R Visio . Käyttöönottopäivä: 17.12.2021.  (määrätön)

Kirjallisuus

• Gatchin Yu. A., Sukhostat VV Tietoturvan teoria ja tietojen suojauksen metodologia. - Pietari. : St. Petersburg State University ITMO, 2010. - 98 s.
• Makarenko S. I. Tietoturva: oppikirja yliopisto-opiskelijoille. - Stavropol: SF MGGU im. M. A. Sholokhova, 2009. - 372 s.

Katso myös

• Luvaton pääsy
• Tietokonerikollisuus