Антропогенные источники угроз воздействия со стороны сотрудников компании

Построение систем защиты информации начинается с создания модели угроз. Для предприятий риски зависят от сферы деятельности и готовности информационной системы к отражению атак. Модель необходимо строить, с учетом результатов анализа угроз информационной безопасности и после классификации типов нарушителей.

Понятие и источники рисков

Под угрозой ИБ понимается совокупность условий и факторов, реализация которых приводит к ситуации, в которой информационная безопасность организации оказывается в зоне риска. Результатом реализации риска оказывается событие, наступление которого имеет экономические или иные неблагоприятные последствия для человека, организации или государства. Формат ущерба для информации может быть трояким – утечка, изменение или нарушение уровня доступности. Но последствия оказываются разнообразными – от техногенных аварий до потери средств с карточных счетов или разглашения компрометирующей информации.

В процессе анализа угроз информации необходимо оценить:

• источник риска;
• зону риска;
• гипотетическую фигуру злоумышленника;
• вероятность реализации риска;
• степень ущерба от его реализации;
• соотношение расходов, необходимых для минимизации риска, и убытка, причиняемого в случае его реализации.

Анализировать позиции можно качественными и количественными методами.

Источники

Традиционно основным источником угроз считаются международные или национальные хакерские группировки. Однако на практике ситуация иная, все чаще на первый план выходят криминальные группировки или иностранные технические разведки. Эксперты выделяют называют три группы источников:

• антропогенные (внутренние и внешние);
• техногенные;
• стихийные.

Антропогенные источники угроз информационной безопасности – это граждане или организации, случайные или намеренные действия или бездействие которых приводят к реализации рисков ИБ, с ними можно связать до 95% инцидентов. По данным исследований, до 80 % утечек имеют внутреннее, инсайдерское, происхождение. 

Если риски, инициируемые сотрудниками, прогнозируемы и могут быть устранены очевидными программными и техническими средствами, внешние источники непредсказуемы, к ним относятся:

• хакеры;
• конкуренты;
• криминальные структуры;
• недобросовестные поставщики и подрядчики;
• консалтинговые, оценочные компании, иные бизнес-структуры, оказывающие услуги на аутсорсинге;
• провайдеры облачных услуг, при этом атака хакеров на их инфраструктуру одновременно окажется атакой на клиентов;
• проверяющие организации, ФНС и силовые структуры.

Чем более квалифицирован специалист и чем выше его позиция в табели о рангах организации, тем больше возможностей он имеет для причинения ущерба предприятию, на страницах СМИ часто появляются ситуации, когда топ-менеджер похищает доверенную ему информацию, как произошло в конфликте Google, чьи разработки беспилотных автомобилей были переданы Uber.

Техногенные угрозы сложнее спрогнозировать, но проще предотвратить. К ним относятся технические средства, внутренние и внешние. 

К внутренним относятся:

• несертифицированное и нелицензионное ПО;
• лицензионное ПО, имеющее известные хакерам изъяны или незадекларированные возможности;
• средства контроля за работоспособностью информационных сетей со слабыми возможностями мониторинга, отказ от своевременного и четкого реагирования на их сигналы;
• некачественные средства наблюдения за помещениями и сотрудниками;
• неисправное или некачественное оборудование.

Внешние источники:

• каналы связи;
• инженерно-технические сети;
• провайдеры интернет-услуг и облачных технологий.

Чтобы нивелировать риски, связанные с техническими источниками угроз, следует обращать внимание на рекомендации ФСТЭК и ФСБ при выборе программных и технических средств.

---

Для контроля событий в программных и аппаратных источниках удобно использовать SIEM-систему. «СёрчИнформ SIEM» обрабатывает поток событий, выявляет угрозы и собирает результаты в едином интерфейсе, что ускоряет внутренние расследования.  

---

Стихийные источники угроз наименее прогнозируемы, к ним относятся стихийные бедствия и иные форс-мажорные обстоятельства.

Зона риска

При анализе зоны риска нужно установить объект, на который направлена гипотетическая угроза. С технической точки зрения объектами становятся информация, оборудование, программы, каналы связи, системы управления и контроля. 

Классическими «жертвами» злоумышленников становятся признаки доброкачественности информации:

• конфиденциальность. Этот риск реализуется при неправомерном доступе к данным и их последующей утечке;
• целостность. В результате реализации риска данные могут быть утрачены, модифицированы, искажены, и принимаемые на их основе решения, управленческие или технические, окажутся неверными;
• доступность. Доступ к данным и услуге блокируется или утрачивается.

При определении сектора реализации угрозы требуется дополнительно оценить степень важности данных, их стоимость. Это позволит провести более точный анализ угроз информационной безопасности. 

При анализе зон риска нужно также принимать во внимание:

• объем текущей зоны контроля за информационной безопасностью и перспективы ее расширения в случае увеличения организации, появления новых предприятий или сфер деятельности;
• особенности функционирования программно-технических средств и их совместимость, перспективы возникновения новых угроз, новых требований регуляторов, направлений развития рынка информационных технологий;
• возникновение зон информационного периметра, вне защитных мер;
• непредсказуемость точек атаки, их количество и рост;
• особенности управления сложными, многообъектными сетями.

Факторы реализации риска изменчивы, поэтому их анализ должен происходить с установленной в компании регулярностью.

Классификация нарушителей

Провести анализ угроз информационной безопасности невозможно, если не опираться на понимание типов и роли нарушителей ИБ. В России существует две классификации нарушителей, они предложены регуляторами – ФСТЭК РФ и ФСБ. Объединение классификаций позволит создать оптимальную модель, учитывающую большинство рисков, и поможет разработать методику устранения большинства угроз. Если компания работает с криптографическими средствами, сертифицируемыми ФСБ РФ, ей придется учитывать в своей модели угроз характеристики нарушителя, предложенные этим ведомством. В большинстве случаев при защите персональных данных или коммерческой тайны, при анализе угроз конфиденциальности информации модель ФСТЭК окажется исчерпывающей.

Ведомство классифицирует нарушителей по их потенциалу (низкий, средний, высокий). Он влияет на набор возможностей, перечень используемых технических, программных и интеллектуальных средств.

Большинство угроз генерируется нарушителями с низким потенциалом. Они связаны с возможностью получения ресурсов для неправомерного доступа к информации только из общедоступных источников. Это инсайдеры и взломщики, использующие интернет-ресурсы, для мониторинга работоспособности системы, распространяющие вредоносные программы.

Нарушители со средним потенциалом способны проводить анализ кода прикладного программного обеспечения, кода сайта, самостоятельно находить в нем ошибки и уязвимости и использовать их для организации утечек. К этим группам ФСТЭК относит хакерские группировки, конкурентов, применяющих незаконные методы добычи информации, системных администраторов, компании, по заказу разрабатывающие программное обеспечение.

Высокий потенциал характеризуется способностью вносить «закладки» в программно-техническое обеспечение системы, организовывать научные исследования, направленные на сознательное создание уязвимостей, применять специальные средства проникновения в информационные сети для добычи информации. 

Ведомство считает, что к категории нарушителей с высоким потенциалом могут относятся только иностранные разведки. Практика добавляет к ним еще и военные ведомства зарубежных стран, по чьему заказу иногда действуют хакеры.

ФСБ классифицирует нарушителей информационной безопасности по возможностям и степени нарастания угроз:

1. Атаки на данные могут проводиться только вне зоны криптозащиты.

2. Атаки организовываются без физического доступа к средствам вычислительной техники (СВТ), но в пределах зоны криптозащиты, например, при передаче данных по каналам связи.

3. Атаки реализуются при доступе к СВТ и в зоне работы криптозащиты.

4. Нарушители обладают перечисленными возможностями и могут прибегать к помощи экспертов, имеющих опыт в области анализа сигналов линейной передачи и ПЭМИН (побочных электромагнитных излучений и наводок).

5. Нарушители также могут привлечь специалистов, способных находить и использовать незадекларированные возможности (НДВ) прикладного ПО.

6. Злоумышленники работают с экспертами, способными находить и применять НДВ аппаратного и программного компонентов среды функционирования средств криптографической защиты.

Исходя из предполагаемого класса нарушителя, необходимо выбрать класс применяемых СКЗИ, они также классифицируются по уровню злоумышленников. При анализе угроз информационной безопасности и формировании модели угроз параметры ФСТЭК и ФСБ могут быть объединены. 

В большинстве случаев компании не угрожают злоумышленники с высоким потенциалом по классификации ФСТЭК и из 4-6 групп по классификации ФСБ. Поэтому, анализ производится исходя из низкого или среднего потенциала инсайдеров или хакеров. Для государственных информационных систем уровень рисков окажется выше.

Иногда при анализе вероятности реализации угрозы требуется еще несколько категорий угроз конфиденциальности информации:

• по степени воздействия на ИС. При реализации пассивных угроз архитектура и наполнение системы не меняются, при активных они частично уничтожаются или модифицируются;
• по природе возникновения – естественные и искусственные. Первые крайне редки, вторые наиболее вероятны, при этом ущерб от реализации первых оказывается выше, часто проявляясь в полной гибели данных и оборудования. Такие угрозы при их вероятности, например, в сейсмоопасных районах создают необходимость постоянного резервного копирования;
• непреднамеренные и преднамеренные.

Целесообразно опираться на статистику, показывающую вероятность реализации того или иного риска.

Анализ вероятности реализации угрозы и ущерба от ее возникновения

На первых этапах анализа используются качественные методы, исследование, сравнение, обращение к собранным экспертами данным позволит оценить реальные риски для бизнеса.

Количественные методы анализа помогут в ситуации, когда нужно определить:

• какова вероятность возникновения угрозы того или иного типа;
• какой ущерб может быть причинен компании, если риск окажется серьезным.

Для решения первой задачи потребуется статистика. В отчетах компаний, оказывающих информационные услуги, приводится квартальная или полугодовая статистика по тем рискам, которые наиболее часто реализовывались в истекшем периоде и прогнозируются на будущий. Часто такая статистика предоставляется по отраслям. В этих отчетах могут быть представлены цифры ущерба, причиненного экономике, отрасли или отдельному предприятию при реализации угрозы. Эти цифры далеко не всегда верны, многие компании утаивают реальные данные, опасаясь репутационных рисков. Но даже в усеченном виде открытые цифры помогут оценить реальный риск утечки данных. 

В случае утраты доступности информации можно посчитать убытки или неполученную прибыль и понять, какая сумма может быть потеряна, если меры обеспечения информационной безопасности не будут приняты своевременно. Также анализ поможет понять, насколько экономически эффективно применять более сложные системы защиты, 

При анализе угроз информационной безопасности, необходимо опираться на рекомендации регуляторов и реальную ситуацию в бизнесе или в государственной организации. Это сделает результат исследования релевантным и позволит избежать ненужных или незапланированных расходов. Бюджет, потраченный на анализ рисков, возвратится, позволив сократить расходы на оборудование или программы, которые не будут необходимыми в реальных условиях.

---

Проверить, все ли в порядке с защитой данных в компании, можно во время 30-дневного бесплатного теста «СёрчИнформ КИБ».   

---

01.06.2020

Основные определения и критерии классификации угроз

Угроза — это потенциальная возможность определенным образом нарушить информационную безопасность.

Попытка реализации угрозы называется атакой, а тот, кто предпринимает такую попытку, — злоумышленником. Потенциальные злоумышленники называются источниками угрозы.

Чаще всего угроза является следствием наличия уязвимых мест в защите информационных систем (таких, например, как возможность доступа посторонних лиц к критически важному оборудованию или ошибки в программном обеспечении). Действие, проивзеденное источником угрозы может привести к отрицательным последсвтиям.

Промежуток времени от момента, когда появляется возможность использовать слабое место, и до момента, когда пробел ликвидируется, называется окном опасности, ассоциированным с данным уязвимым местом. Пока существует окно опасности, возможны успешные атаки на ИС.

Если речь идет об ошибках в ПО, то окно опасности «открывается» с появлением средств использования ошибки и ликвидируется при наложении заплат, ее исправляющих.

Отметим, что некоторые угрозы нельзя считать следствием каких-то ошибок или просчетов; они существуют в силу самой природы современных ИС. Например, угроза отключения электричества или выхода его параметров за допустимые границы существует в силу зависимости аппаратного обеспечения ИС от качественного электропитания.

Само понятие «угроза» в разных ситуациях зачастую трактуется по-разному. Например, для подчеркнуто открытой организации угроз конфиденциальности может просто не существовать — вся информация считается общедоступной; однако в большинстве случаев нелегальный доступ представляется серьезной опасностью. Иными словами, угрозы, как и все в ИБ, зависят от интересов субъектов информационных отношений (и от того, какой ущерб является для них неприемлемым).

Ущерб как категория классификации угроз

Проявления возможного ущерба могут быть различны:

• моральный и материальный ущерб деловой репутации организации;
• моральный, физический или материальный ущерб, связанный с разглашением персональных данных отдельных лиц;
• материальный (финансовый) ущерб от разглашения защищаемой (конфиденциальной) информации;
• материальный (финансовый) ущерб от необходимости восстановления нарушенных защищаемых информационных ресурсов;
• материальный ущерб (потери) от невозможности выполнения взятых на себя обязательств перед третьей стороной;
• моральный и материальный ущерб от дезорганизации деятельности организации;
• материальный и моральный ущерб от нарушения международных отношений.

Классификация угроз информационной безопасности

Обобщая изложенное, можно утверждать, что угрозами безопасности информации являются:

уничтожение информации;сюда же можно отнести:

• модификация (искажение) информации;
• нарушение доступности (блокирование) информации;
• отрицание подлинности информации;
• навязывание ложной информации.

Классификация источников угроз

• Обусловленные действиями субъекта (антропогенные источники угроз).
• Обусловленные техническими средствами (техногенные источники угрозы).
• Обусловленные стихийными источниками

Примерное соотношение этих угроз показано в следующей диаграмме

Антропогенные источники угроз

• [I.A.1] криминальные структуры;
• [I.A.2] потенциальные преступники и хакеры;
• [I.A.3] недобросовестные партнеры;
• [I.A.4] технический персонал поставщиков телематических услуг;
• [I.A.5] представители надзорных организаций и аварийных служб;
• [I.A.6] представители силовых структур.

Внутренние субъекты (источники), как правило, представляют собой высококвалифицированных специалистов в области разработки и эксплуатации программного обеспечения и технических средств, знакомы со спецификой решаемых задач, структурой и основными функциями и принципами работы программно-аппаратных средств защиты информации, имеют возможность использования штатного оборудования и технических средств сети. К ним относятся:

• [I.B.1] основной персонал (пользователи, программисты, разработчики);
• [I.B.2] представители службы защиты информации;
• [I.B.3] вспомогательный персонал (уборщики, охрана);
• [I.B.4] технический персонал (жизнеобеспечение, эксплуатация).

Необходимо учитывать также, что особую группу внутренних антропогенных источников составляют лица с нарушенной психикой и специально внедренные и завербованные агенты, которые могут быть из числа основного, вспомогательного и технического персонала, а также представителей службы защиты информации. Данная группа рассматривается в составе перечисленных выше источников угроз, но методы парирования угрозам для этой группы могут иметь свои отличия.

Квалификация антропогенных источников информации играют важную роль в оценке их влияния и учитывается при ранжировании источников угроз.

В следующей диаграмме показаны результаты исследования основных мотивов умышленных действий персонала, приведших к утраце и модификации информации.

А в этой диаграмме приведены примеры конкретных действий преступных элементов путем незаконного проникновения в ИС.

Техногенные источники угроз

Вторая группа содержит источники угроз, определяемые технократической деятельностью человека и развитием цивилизации. Однако, последствия, вызванные такой деятельностью вышли из под контроля человека и существуют сами по себе. Эти источники угроз менее прогнозируемые, напрямую зависят от свойств техники и поэтому требуют особого внимания. Данный класс источников угроз безопасности информации особенно актуален в современных условиях, так как в сложившихся условиях эксперты ожидают резкого роста числа техногенных катастроф, вызванных физическим и моральным устареванием технического парка используемого оборудования, а также отсутствием материальных средств на его обновление.

Технические средства, являющиеся источниками потенциальных угроз безопасности информации так же могут быть внешними [II.A.]:

• [II.A.1] средства связи;
• [II.A.2] сети инженерных коммуникации (водоснабжения, канализации);
• [II.A.3] транспорт.

и внутренними [II.B.]:

• [II.B.1] некачественные технические средства обработки информации;
• [II.B.2] некачественные программные средства обработки информации;
• [II.B.3] вспомогательные средства (охраны, сигнализации, телефонии);
• [II.B.4] другие технические средства, применяемые в учреждении;

Стихийные источники угроз

• [III.A.1] пожары;
• [III.A.2] землетрясения;
• [III.A.3] наводнения;
• [III.A.4] ураганы;
• [III.A.5] различные непредвиденные обстоятельства;
• [III.A.6] необъяснимые явления;

[III.A.7] другие форс-мажорные обстоятельства

 Классификация уязвимостей безопасности

Угрозы, как возможные опасности совершения какого-либо действия, направленного против объекта защиты, проявляются не сами по себе, а через уязвимости (факторы), приводящие к нарушению безопасности информации на конкретном объекте информатизации.

Уязвимости присущи объекту информатизации, неотделимы от него и обуславливаются недостатками процесса функционирования, свойствами архитектуры автоматизированных систем, протоколами обмена и интерфейсами, применяемыми программным обеспечением и аппаратной платформой, условиями эксплуатации и расположения.

Источники угроз могут использовать уязвимости для нарушения безопасности информации, получения незаконной выгоды (нанесения ущерба собственнику, владельцу, пользователю информации) Кроме того, возможно не злонамеренные действия источников угроз по активизации тех или иных уязвимостей, наносящих вред.

Каждой угрозе могут быть сопоставлены различные уязвимости. Устранение или существенное ослабление уязвимостей влияет на возможность реализации угроз безопасности информации.

Для удобства анализа, уязвимости разделены на классы (обозначаются заглавными буквами), группы (обозначаются римскими цифрами) и подгруппы (обозначаются строчными буквами). Уязвимости безопасности информации могут быть:

·  [А] объективными

·  [В] субъективными

·  [С] случайными.

Объективные уязвимости

Объективные уязвимости зависят от особенностей построения и технических характеристик оборудования, применяемого на защищаемом объекте. Полное устранение этих уязвимостей невозможно, но они могут существенно ослабляться техническими и инженерно-техническими методами парирования угроз безопасности информации. К ним можно отнести:

[А.I] сопутствующие техническим средствам излучения

•  электромагнитные (побочные излучения элементов технических средств [1], кабельных линий технических средств [2], излучения на частотах работы генераторов [3], на частотах самовозбуждения усилителей [4])
•  электрические (наводки электромагнитных излучений на линии и проводники [1], просачивание сигналов в цепи электропитания, в цепи заземления [2], неравномерность потребления тока электропитания [3])
•  звуковые (акустические [1], виброакустические [2])

[A.II] активизируемые

• [A.II.a] аппаратные закладки (устанавливаемые в телефонные линии [1], в сети электропитания [2], в помещениях [3], в технических средствах [4])
• [A.II.b] программные закладки (вредоносные программы [1], технологические выходы из программ [2], нелегальные копии ПО [3])

[A.III] определяемые особенностями элементов

• [A.III.a] элементы, обладающие электроакустическими преобразованиями (телефонные аппараты [1], громкоговорители и микрофоны [2], катушки индуктивности [3], дроссели [4], трансформаторы и пр. [5])
• [A.III.b] элементы, подверженные воздействию электромагнитного поля (магнитные носители [1], микросхемы [2], нелинейные элементы, поверженные ВЧ навязыванию [3])

[A.IV] определяемые особенностями защищаемого объекта

• [A.IV.a] местоположением объекта (отсутствие контролируемой зоны [1], наличие прямой видимости объектов [2], удаленных и мобильных элементов объекта [3], вибрирующих отражающих поверхностей [4])
• [A.IV.b] организацией каналов обмена информацией (использование радиоканалов [1], глобальных информационных сетей [2], арендуемых каналов [3])

Субъективные уязвимости

Субъективные уязвимости зависят от действий сотрудников и, в основном, устраняются организационными и программно-аппаратными методами:

[B.I] ошибки

• [B.I.a] при подготовке и использовании программного обеспечения (при разработке алгоритмов и программного обеспечения [1], инсталляции и загрузке программного обеспечения [2], эксплуатации программного обеспечения [3], вводе данных [4])
• [B.I.b] при управлении сложными системами (при использовании возможностей самообучения систем [1], настройке сервисов универсальных систем [2], организации управления потоками обмена информации [3])
• [B.I.c] при эксплуатации технических средств (при включении/выключении технических средств [1], использовании технических средств охраны [2], использовании средств обмена информацией [3])

[B.II] нарушения

• [B.II.a] режима охраны и защиты (доступа на объект [1], доступа к техническим средствам [2])
• [B.II.b] режима эксплуатации технических средств (энергообеспечения [1], жизнеобеспечения [2])
• [B.II.c] режима использования информации (обработки и обмена информацией [1], хранения и уничтожения носителей информации [2], уничтожения производственных отходов и брака [3])
• [B.II.d] режима конфиденциальности (сотрудниками в нерабочее время [1], уволенными сотрудниками [2]).

Случайные уязвимости

Случайныеz уязвимости зависят от особенностей окружающей защищаемый объект среды и непредвиденных обстоятельств. Эти факторы, как правило, мало предсказуемы и их устранение возможно только при проведении комплекса организационных и инженерно-технических мероприятий по противодействию угрозам информационной безопасности:

[C.I] сбои и отказы

• [C.I.a] отказы и неисправности технических средств (обрабатывающих информацию [1], обеспечивающих работоспособность средств обработки информации [2], обеспечивающих охрану и контроль доступа [3])
• [C.I.b] старение и размагничивание носителей информации (дискет и съемных носителей [1], жестких дисков [2], элементов микросхем [3], кабелей и соединительных линий [4])
• [C.I.c] сбои программного обеспечения (операционных систем и СУБД [1], прикладных программ [2], сервисных программ [3], антивирусных программ [4])
• [C.I.d] сбои электроснабжения (оборудования, обрабатывающего информацию [1], обеспечивающего и вспомогательного оборудования [2])

[C.II] повреждения

• [C.II.a] жизнеобеспечивающих коммуникаций (электро-, водо-, газо-, теплоснабжения, канализации [1], кондиционирования и вентиляции [2])
• [C.II.b] ограждающих конструкций (внешних ограждений территорий, стен и перекрытий зданий [1], корпусов технологического оборудования [2])

Классификация актуальных угроз

Последствия

Классификация каналов утечки информации

Информация может  быть  представлена  в различной форме и на различных физических носителях. Основными  формами информации, представляющими интерес с точки зрения защиты, являются:

• документальная;
• акустическая (речевая);
• телекоммуникационная и т.п.

Документальная информация содержится в графическом или буквенно-цифровом виде на бумаге, а также в электронном виде на магнитных и других носителях. Особенность документальной  информации в том,  что она в сжатом виде содержит сведения, подлежащие защите.

Речевая  информация  возникает в ходе ведения в помещениях разговоров, а также при работе систем звукоусиления и звуковоспроизведения.

Носителем речевой информации являются акустические колебания (механические колебания частиц упругой среды, распространяющиеся от источника колебаний в окружающее пространство в виде волн различной длины).

Речевой сигнал является сложным акустическим сигналом в диапазоне частот от 200…300 Гц до 4…6 кГц.

Телекоммуникационная  информация циркулирует в технических средствах обработки и хранения информации, а также в каналах связи при ее передаче. Носителем информации при ее обработке техническими средствами и передаче по проводным каналам связи является электрический ток, а при передаче по радио и оптическому каналам — электромагнитные волны.

Основными объектами защиты информации являются [39, 64]:

• информационные ресурсы, содержащие сведения, отнесенные к государственной тайне, и конфиденциальную информацию, ПДн;
• средства и системы информатизации (средства вычислительной техники, информационно-вычислительные комплексы, сети и системы), программные средства (операционные системы, системы управления базами данных, другое общесистемное и прикладное программное обеспечение), автоматизированные системы управления, системы связи и передачи данных, технические средства приема, передачи и обработки информации ограниченного доступа (звукозапись, звукоусиление, звукосопровождение, переговорные и телевизионные устройства, средства изготовления, тиражирования документов и другие технические средства обработки графической, смысловой и буквенно-цифровой информации), их информативные физические поля. То есть системы и средства, непосредственно обрабатывающие информацию, отнесенную к государственной тайне, а также конфиденциальную информацию, ПДн. Эти средства и системы часто называют техническими средствами приема, обработки, хранения и передачи информации (ТСПИ);
• технические средства и системы, не относящиеся к средствам и системам информатизации (ТСПИ), но размещенные в помещениях, в которых обрабатывается секретная и конфиденциальная информация. Такие технические средства и системы называются вспомогательными техническими средствами и системами (ВТСС). К ним относятся: технические средства открытой телефонной, громкоговорящей связи, системы пожарной и охранной сигнализации, радиотрансляции, часофикации, электробытовые приборы и т.д., а также сами помещения, предназначенные для обработки информации ограниченного распространения.

При организации защиты информации ТСПИ необходимо рассматривать как систему, включающую основное (стационарное) оборудование, оконечные устройства, соединительные линии (совокупность проводов и кабелей, прокладываемых между отдельными ТСПИ и их элементами), распределительные и коммутационные устройства, системы электропитания, системы заземления.

Отдельные технические средства или группа технических средств, предназначенных для обработки конфиденциальной информации, вместе с помещениями, в которых они размещаются, составляют объект ТСПИ. Под объектами ТСПИ понимают также выделенные помещения, предназначенные для проведения закрытых мероприятий.

В качестве элементов каналов утечки информации наибольший интерес представляют ТСПИ и ВТСС, имеющие выход за пределы контролируемой зоны (КЗ), т.е. зоны, в которой исключено появление лиц и транспортных средств, не имеющих постоянных или временных пропусков

Кроме соединительных линий ТСПИ и ВТСС за пределы контролируемой зоны могут выходить провода и кабели, к ним не относящиеся, но проходящие через помещения, где установлены технические средства, а также металлические трубы систем отопления, водоснабжения и другие токопроводящие металлоконструкции. Такие провода, кабели и токопроводящие элементы называются посторонними проводниками

Зона, в которой возможны перехват (с помощью разведывательного приемника) побочных электромагнитных излучений и последующая расшифровка содержащейся в них информации (т.е. зона, в пределах которой отношение «информационный сигнал/помеха» превышает допустимое нормированное значение), называется (опасной) зоной 2

Пространство вокруг ТСПИ, в пределах которого на случайных антеннах наводится информационный сигнал выше допустимого (нормированного) уровня, называется (опасной) зоной 1

Случайной антенной является цепь ВТСС или посторонние проводники, способные принимать побочные электромагнитные излучения. Случайные антенны могут быть сосредоточенными и распределенными.

Сосредоточенная случайная антенна представляет собой компактное техническое средство, например, телефонный аппарат, громкоговоритель радиотрансляционной сети и т.д. К распределенным случайным антеннам относятся случайные антенны с распределенными параметрами: кабели, провода, металлические трубы и другие токопроводящие коммуникации.

Перехват информации, обрабатываемой на объектах ТСПИ, осуществляется по техническим каналам.

Под техническим каналом утечки информации (ТКУИ) понимают совокупность объекта разведки, технического средства разведки (ТСР), с помощью которого добывается информация об этом объекте, и физической среды, в которой распространяется информационный сигнал. По сути, под ТКУИ понимают способ получения с помощью ТСР разведывательной информации об объекте. Причем под разведывательной информацией обычно понимаются сведения или совокупность данных об объектах разведки независимо от формы их представления.

Сигналы являются материальными носителями информации. По своей физической природе сигналы могут быть электрическими, электромагнитными, акустическими и т.д. То есть сигналами, как правило, являются электромагнитные, механические и другие виды колебаний (волн), причем информация содержится в их изменяющихся параметрах.
     В зависимости от природы сигналы распространяются в определенных физических средах. В общем случае средой распространения могут быть газовые (воздушные), жидкостные (водные) и твердые среды. Например, воздушное пространство, конструкции зданий, соединительные линии и токопроводящие элементы, грунт (земля) и т.п.
     Для приема и измерения параметров сигналов служат технические средства разведки (ТСР).
     В зависимости от физической природы возникновения информационных сигналов, а также среды их распространения и способов перехвата ТСР технические каналы утечки можно разделить на:
     электромагнитные, электрические и параметрический — для телекоммуникационной информации;
     воздушные (прямые акустические), вибрационные (виброакустические), электроакустические, оптико-электронный и параметрические — для речевой информации.

К электромагнитным каналам утечки информации относятся:
     — перехват побочных электромагнитных излучений (ПЭМИ) элементов ТСПИ;
     — перехват ПЭМИ на частотах работы высокочастотных (ВЧ) генераторов в ТСПИ и ВТСС;
     — перехват ПЭМИ на частотах самовозбуждения усилителей низкой частоты (УНЧ) ТСПИ.
     Перехват побочных электромагнитных излучений ТСПИ осуществляется средствами радио-, радиотехнической разведки, размещенными вне контролируемой зоны.

     Электрические каналы утечки информации включают:
     — съем наводок ПЭМИ ТСПИ с соединительных линий ВТСС и посторонних проводников;
     — съем информационных сигналов с линий электропитания ТСПИ;
     — съем информационных сигналов с цепей заземления ТСПИ и ВТСС;
     — съем  информации путем установки в ТСПИ электронных устройств перехвата информации.
     Перехват информационных сигналов по электрическим каналам утечки возможен путем непосредственного подключения к соединительным линиям ВТСС и посторонним проводникам, проходящим через помещения, где установлены ТСПИ, а также к системам электропитания и заземления ТСПИ. Для этих целей используются специальные средства радио- и радиотехнической разведки, а также специальная измерительная аппаратура.
     Электронные устройства перехвата информации, устанавливаемые в ТСПИ, часто называют аппаратными закладками. Они представляют собой мини-передатчики, излучение которых модулируется информационным сигналом. Наиболее часто закладки устанавливаются в ТСПИ иностранного производства, однако возможна их установка и в отечественных средствах.
     Перехваченная с помощью закладных устройств информация или непосредственно передается по радиоканалу, или сначала записывается на специальное запоминающее устройство, а уже затем по команде передается на запросивший ее объект.

     Параметрический канал утечки информации образуется путем «высокочастотного облучения»  ТСПИ.
Для перехвата информации по данному каналу необходимы специальные высокочастотные генераторы с антеннами, имеющими узкие диаграммы направленности, и специальные радиоприемные устройства.

В воздушных (прямых акустических) технических каналах утечки информации средой распространения акустических сигналов является воздух. Для перехвата акустических сигналов в качестве датчиков средств разведки используются  микрофоны. Сигналы, поступающие с микрофонов или непосредственно записываются на специальные портативные устройства звукозаписи, или передаются  с использованием специальных передатчиков в пункт приема, где осуществляется их запись.
     Для перехвата акустической (речевой) информации используются: 
     —  портативные диктофоны и проводные микрофонные системы скрытой звукозаписи;
     —  направленные микрофоны;
     —  акустические радиозакладки (передача информации по радиоканалу);
     —  акустические  сетевые  закладки  (передача информации по сети электропитания  220 В);
     —  акустические ИК- закладки (передача  информации по оптическому каналу в ИК- диапазоне длин волн);
     —  акустические телефонные закладки (передача информации по телефонной линии на высокой частоте);
     —   акустические телефонные закладки типа «телефонное ухо» (передача информации по телефонной линии «телефону-наблюдателю»  на низкой частоте).

      В вибрационных (виброакустических) технических каналах утечки информации средой распространения акустических сигналов являются ограждения конструкций зданий, сооружений (стены, потолки, полы), трубы водоснабжения, канализации и другие твердые тела.
     Для перехвата акустических колебаний в этом случае используются средства разведки с контактными микрофонами:
      —  электронные стетоскопы;
      — радиостетоскопы (передача информации по радиоканалу).

      Электроакустические технические каналы утечки информации возникают за счет преобразований акустических сигналов в электрические (электроакустических преобразований) и включают перехват акустических колебаний через ВТСС, обладающие «микрофонным эффектом».
     Перехват акустических колебаний в данном канале утечки информации осуществляется путем непосредственного подключения к соединительным линиям ВТСС, обладающих “микрофонным эффектом”, специальных высокочувствительных низкочастотных усилителей. Например, подключая такие средства к соединительным линиям телефонных аппаратов с электромеханическими вызывными звонками, можно прослушивать разговоры, ведущиеся в помещениях, где установлены эти аппараты.

     Оптико-электронный (лазерный) канал утечки акустической информации образуется при облучении лазерным лучом вибрирующих в акустическом поле тонких отражающих поверхностей (стекол окон, картин, зеркал и т.д.). Для перехвата речевой информации по данному каналу используются сложные лазерные акустические локационные системы  (ЛАЛС), иногда называемые «лазерными микрофонами».

19.09.2001, среда

 

Вихорев Сергей Викторович
Директор департамента
ОАО «Элвис Плюс»

КЛАССИФИКАЦИЯ УГРОЗ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

1. Терминология и подходы к классификации

Вихорев Сергей Викторович

Организация обеспечения безопасности информации должна носить комплексный характер и основываться на глубоком анализе возможных негативных последствий. При этом важно не упустить какие-либо существенные аспекты. Анализ негативных последствий предполагает обязательную идентификацию возможных источников угроз, факторов, способствующих их проявлению и, как следствие, определение актуальных угроз безопасности информации.

В ходе такого анализа необходимо убедиться, что все возможные источники угроз идентифицированы, идентифицированы и сопоставлены с источниками угроз все возможные факторы (уязвимости), присущие объекту защиты, всем идентифицированным источникам и факторам сопоставлены угрозы безопасности информации.

Исходя их данного принципа, моделирование и классификацию источников угроз и их проявлений, целесообразно проводить на основе анализа взаимодействия логической цепочки:

источник угрозы — фактор (уязвимость) — угроза (действие) — последствия (атака).

Под этими терминами будем понимать:

Источник угрозы — это потенциальные антропогенные, техногенные или стихийные носители угрозы безопасности.

Угроза (действие) [Threat]- это возможная опасность (потенциальная или реально существующая) совершения какого-либо деяния (действия или бездействия), направленного против объекта защиты (информационных ресурсов), наносящего ущерб собственнику, владельцу или пользователю, проявляющегося в опасности искажения и потери информации.

Фактор (уязвимость) [Vulnerability]- это присущие объекту информатизации причины, приводящие к нарушению безопасности информации на конкретном объекте и обусловленные недостатками процесса функционирования объекта информатизации, свойствами архитектуры автоматизированной системы, протоколами обмена и интерфейсами, применяемыми программным обеспечением и аппаратной платформой, условиями эксплуатации.

Последствия (атака) — это возможные последствия реализации угрозы (возможные действия) при взаимодействии источника угрозы через имеющиеся факторы (уязвимости).

Как видно из определения, атака — это всегда пара «источник — фактор», реализующая угрозу и приводящая к ущербу. При этом, анализ последствий предполагает проведение анализа возможного ущерба и выбора методов парирования угроз безопасности информации

Угроз безопасности информации не так уж и много. Угроза, как следует из определения, это опасность причинения ущерба, то есть в этом определении проявляется жесткая связь технических проблем с юридической категорией, каковой является «ущерб».

2. Ущерб как категория классификации угроз

Проявления возможного ущерба могут быть различны:

• моральный и материальный ущерб деловой репутации организации;
• моральный, физический или материальный ущерб, связанный с разглашением персональных данных отдельных лиц;
• материальный (финансовый) ущерб от разглашения защищаемой (конфиденциальной) информации;
• материальный (финансовый) ущерб от необходимости восстановления нарушенных защищаемых информационных ресурсов;
• материальный ущерб (потери) от невозможности выполнения взятых на себя обязательств перед третьей стороной;
• моральный и материальный ущерб от дезорганизации деятельности организации;
• материальный и моральный ущерб от нарушения международных отношений.

Ущерб может быть причинен каким-либо субъектом и в этом случае имеется на лицо правонарушение, а также явиться следствием независящим от субъекта проявлений (например, стихийных случаев или иных воздействий, таких как проявления техногенных свойств цивилизации). В первом случае налицо вина¹¹ субъекта, которая определяет причиненный вред как состав преступления, совершенное по злому умыслу (умышленно, то есть деяние совершенное с прямым или косвенным умыслом²) или по неосторожности (деяние, совершенное по легкомыслию, небрежности³, в результате невиновного причинения вреда⁴) и причиненный ущерб должен квалифицироваться как состав преступления, оговоренный уголовным правом.

Во втором случае ущерб носит вероятностный характер и должен быть сопоставлен, как минимум с тем риском, который оговаривается гражданским, административным или арбитражным правом, как предмет рассмотрения.

В теории права под ущербом понимается невыгодные для собственника имущественные последствия, возникшие в результате правонарушения. Ущерб выражается в уменьшении имущества, либо в недополучении дохода, который был бы получен при отсутствии правонарушения (упущенная выгода).

При рассмотрении в качестве субъекта, причинившего ущерб какую-либо личность, категория «ущерб» справедлива только в том случае, когда можно доказать, что он причинен, то есть деяния личности необходимо квалифицировать в терминах правовых актов, как состав преступления. Поэтому, при классификации угроз безопасности информации в этом случае целесообразно учитывать требования действующего уголовного права, определяющего состав преступления.

Вот некоторые примеры составов преступления, определяемых Уголовным Кодексом Российской Федерации.

Хищение — совершенные с корыстной целью противоправные безвозмездное изъятие и (или) обращение чужого имущества в пользу виновного или других лиц, причинившее ущерб собственнику или владельцу имущества⁵.

Копирование компьютерной информации — повторение и устойчивое запечатление информации на машинном или ином носителе⁶.

Уничтожение — внешнее воздействие на имущество, в результате которого оно прекращает свое физическое существование либо приводятся в полную непригодность для использования по целевому назначению. Уничтоженное имущество не может быть восстановлено путем ремонта или реставрации и полностью выводится из хозяйственного оборота⁷.

Уничтожение компьютерной информации — стирание ее в памяти ЭВМ⁸.

Повреждение — изменение свойств имущества при котором существенно ухудшается его состояние, утрачивается значительная часть его полезных свойств и оно становится полностью или частично непригодным для целевого использования⁹.

Модификация компьютерной информации — внесение любых изменений, кроме связанных с адаптацией программы для ЭВМ или баз данных¹⁰.

Блокирование компьютерной информации — искусственное затруднение доступа пользователей к информации, не связанное с ее уничтожением¹¹.

Несанкционированное уничтожение, блокирование модификация, копирование информации — любые не разрешенные законом, собственником или компетентным пользователем указанные действия с информацией¹².

Обман (отрицание подлинности, навязывание ложной информации) — умышленное искажение или сокрытие истины с целью ввести в заблуждение лицо, в ведении которого находится имущество и таким образом добиться от него добровольной передачи имущества, а также сообщение с этой целью заведомо ложных сведений¹³.

Однако, говорить о злом умысле личности в уничтожении информации в результате стихийных бедствий не приходится, как и тот факт, что вряд ли стихия сможет воспользоваться конфиденциальной информацией для извлечения собственной выгоды. Хотя и в том и в другом случае собственнику информации причинен ущерб. Здесь правомочно применение категории «причинение вреда имуществу». При этом, речь пойдет не об уголовной ответственности за уничтожение или повреждение чужого имущества, а о случаях подпадающих под гражданское право в части возмещения причиненного ущерба (риск случайной гибели имущества — то есть риск возможного нанесения убытков в связи с гибелью или порчей имущества по причинам, не зависящим от субъектов¹⁴). По общему правилу в этом случае убытки в связи с гибелью или порчей имущества несет собственник, однако, гражданское право предусматривает и другие варианты компенсации причиненного ущерба.

При рассмотрении в качестве субъекта, причинившего ущерб какое-либо природное или техногенное явление, под ущербом можно понимать невыгодные для собственника имущественные последствия, вызванные этими явлениями и которые могут быть компенсированы за счет средств третьей стороны (страхование рисков наступления события) или за счет собственных средств собственника информации.

Например, страхование представляет собой отношения по защите имущественных интересов физических и юридических лиц при наступлении определенных событий (страховых случаев) за счет денежных фондов, формируемых из уплачиваемых ими страховых взносов¹⁵. Объектами страхования могут быть не противоречащие законодательству Российской Федерации имущественные интересы связанные с возмещением страхователем причиненного им вреда личности или имуществу физического лица, а также вреда, причиненного юридическому лицу¹⁶.

3. Классификация угроз информационной безопасности

Обобщая изложенное, можно утверждать, что угрозами безопасности информации являются:

• хищение (копирование) информации;
• уничтожение информации;
• модификация (искажение) информации;
• нарушение доступности (блокирование) информации;
• отрицание подлинности информации;
• навязывание ложной информации.

4. Классификация источников угроз

Носителями угроз безопасности информации являются источники угроз. В качестве источников угроз могут выступать как субъекты (личность) так и объективные проявления. Причем, источники угроз могут находиться как внутри защищаемой организации — внутренние источники, так и вне ее — внешние источники. Деление источников на субъективные и объективные оправдано исходя из предыдущих рассуждений по поводу вины или риска ущерба информации. А деление на внутренние и внешние источники оправдано потому, что для одной и той же угрозы методы парирования для внешних и внутренних источников могу быть разными.

Все источники угроз безопасности информации можно разделить на три основные группы:

1. Обусловленные действиями субъекта (антропогенные источники угроз).
2. Обусловленные техническими средствами (техногенные источники угрозы).
3. Обусловленные стихийными источниками.

Антропогенные источники угроз

Антропогенными источниками угроз безопасности информации выступают субъекты, действия которых могут быть квалифицированы как умышленные или случайные преступления. Только в этом случае можно говорит о причинении ущерба. Эта группа наиболее обширна и представляет наибольший интерес с точки зрения организации защиты, так как действия субъекта всегда можно оценить, спрогнозировать и принять адекватные меры. Методы противодействия в этом случае управляемы и напрямую зависят от воли организаторов защиты информации.

В качестве антропогенного источника угроз можно рассматривать субъекта, имеющего доступ (санкционированный или несанкционированный) к работе со штатными средствами защищаемого объекта. Субъекты (источники), действия которых могут привести к нарушению безопасности информации могут быть как внешние [I.A.], так и внутренние [I.B.].

Внешние источники могут быть случайными или преднамеренными и иметь разный уровень квалификации. К ним относятся:

• [I.A.1] криминальные структуры;
• [I.A.2] потенциальные преступники и хакеры;
• [I.A.3] недобросовестные партнеры;
• [I.A.4] технический персонал поставщиков телематических услуг;
• [I.A.5] представители надзорных организаций и аварийных служб;
• [I.A.6] представители силовых структур.

Внутренние субъекты (источники), как правило, представляют собой высококвалифицированных специалистов в области разработки и эксплуатации программного обеспечения и технических средств, знакомы со спецификой решаемых задач, структурой и основными функциями и принципами работы программно-аппаратных средств защиты информации, имеют возможность использования штатного оборудования и технических средств сети. К ним относятся:

• [I.B.1] основной персонал (пользователи, программисты, разработчики);
• [I.B.2] представители службы защиты информации;
• [I.B.3] вспомогательный персонал (уборщики, охрана);
• [I.B.4] технический персонал (жизнеобеспечение, эксплуатация).

Необходимо учитывать также, что особую группу внутренних антропогенных источников составляют лица с нарушенной психикой и специально внедренные и завербованные агенты, которые могут быть из числа основного, вспомогательного и технического персонала, а также представителей службы защиты информации. Данная группа рассматривается в составе перечисленных выше источников угроз, но методы парирования угрозам для этой группы могут иметь свои отличия.

Квалификация антропогенных источников информации играют важную роль в оценке их влияния и учитывается при ранжировании источников угроз.

Техногенные источники угроз

Вторая группа содержит источники угроз, определяемые технократической деятельностью человека и развитием цивилизации. Однако, последствия, вызванные такой деятельностью вышли из под контроля человека и существуют сами по себе. Эти источники угроз менее прогнозируемые, напрямую зависят от свойств техники и поэтому требуют особого внимания. Данный класс источников угроз безопасности информации особенно актуален в современных условиях, так как в сложившихся условиях эксперты ожидают резкого роста числа техногенных катастроф, вызванных физическим и моральным устареванием технического парка используемого оборудования, а также отсутствием материальных средств на его обновление.

Технические средства, являющиеся источниками потенциальных угроз безопасности информации так же могут быть внешними [II.A.]:

• [II.A.1] средства связи;
• [II.A.2] сети инженерных коммуникации (водоснабжения, канализации);
• [II.A.3] транспорт.

и внутренними [II.B.]:

• [II.B.1] некачественные технические средства обработки информации;
• [II.B.2] некачественные программные средства обработки информации;
• [II.B.3] вспомогательные средства (охраны, сигнализации, телефонии);
• [II.B.4] другие технические средства, применяемые в учреждении;

Стихийные источники угроз

Третья группа источников угроз объединяет, обстоятельства, составляющие непреодолимую силу, то есть такие обстоятельства, которые носят объективный и абсолютный характер, распространяющийся на всех. К непреодолимой силе¹⁷ в законодательстве и договорной практике относят стихийные бедствия или иные обстоятельства, которые невозможно предусмотреть или предотвратить или возможно предусмотреть, но невозможно предотвратить при современном уровне человеческого знания и возможностей. Такие источники угроз совершенно не поддаются прогнозированию и поэтому меры защиты от них должны применяться всегда.

Стихийные источники потенциальных угроз информационной безопасности как правило являются внешними по отношению к защищаемому объекту и под ними понимаются прежде всего природные катаклизмы [III.A.]:

• [III.A.1] пожары;
• [III.A.2] землетрясения;
• [III.A.3] наводнения;
• [III.A.4] ураганы;
• [III.A.5] различные непредвиденные обстоятельства;
• [III.A.6] необъяснимые явления;
• [III.A.7] другие форс-мажорные обстоятельства¹⁸.

Ранжирование источников угроз

При выборе метода ранжирования источников угроз использовалась методология, изложенная в международных стандартах¹⁹, а также практический опыт российских экспертов в области информационной безопасности.

Все источники угроз имеют разную степень опасности (К_оп)_i, которую можно количественно оценить, проведя их ранжирование. При этом, оценка степени опасности проводится по косвенным показателям. В качестве критериев сравнения (показателей) можно, к примеру, выбрать:

• Возможность возникновения источника (К₁)_i — определяет степень доступности к защищаемому объекту (для антропогенных источников), удаленность от защищаемого объекта (для техногенных источников) или особенности обстановки (для случайных источников).
• Готовность источника (К₂)_i — определяет степень квалификации и привлекательность совершения деяний со стороны источника угрозы (для антропогенных источников), или наличие необходимых условий (для техногенных и стихийных источников).
• Фатальность (К₃)_i — определяет степень неустранимости последствий реализации угрозы.

Каждый показатель оценивается экспертно-аналитическим методом по пятибалльной системе. Причем, 1 соответствует самой минимальной степени влияния оцениваемого показателя на опасность использования источника, а 5 — максимальной.

(К_оп)_i для отдельного источника можно определить как отношение произведения вышеприведенных показателей к максимальному значению (125).

Степень доступности к защищаемому объекту может быть классифицирована по следующей шкале:

• высокая степень доступности — антропогенный источник угроз имеет полный доступ к техническим и программным средствам обработки защищаемой информации (характерно для внутренних антропогенных источников, наделенных максимальными правами доступа, например, представители служб безопасности информации, администраторы);
• первая средняя степень доступности — антропогенный источник угроз имеет возможность опосредованного, не определенного функциональными обязанностями, (за счет побочных каналов утечки информации, использования возможности доступа к привилегированным рабочим местам) доступа к техническим и программным средствам обработки защищаемой информации (характерно для внутренних антропогенных источников);
• вторая средняя степень доступности — антропогенный источник угроз имеет ограниченную возможность доступа к программным средствам в силу введенных ограничений в использовании технических средств, функциональных обязанностей или по роду своей деятельности (характерно для внутренних антропогенных источников с обычными правами доступа, например, пользователи, или внешних антропогенных источников, имеющих право доступа к средствам обработки и передачи защищаемой информации, например, хакеры, технический персонал поставщиков телематических услуг);
• низкая степень доступности — антропогенный источник угроз имеет очень ограниченную возможность доступа к техническим средствам и программам, обрабатывающим защищаемую информацию (характерно для внешних антропогенных источников).
• отсутствие доступности — антропогенный источник угроз не имеет доступа к техническим средствам и программам, обрабатывающих защищаемую информацию.

Степень удаленности от защищаемого объекта можно характеризовать следующими параметрами:

• совпадающие объекты — объекты защиты сами содержат источники техногенных угроз и их территориальное разделение невозможно;
• близко расположенные объекты — объекты защиты расположены в непосредственной близости от источников техногенных угроз и любое проявление таких угроз может оказать существенное влияние на защищаемый объект;
• средне удаленные объекты — объекты защиты располагаются на удалении от источников техногенных угроз, на котором проявление влияния этих угроз может оказать не существенное влияние на объект защиты;
• удаленно расположенные объекты — объект защиты располагается на удалении от источника техногенных угроз, исключающем возможность его прямого воздействия.
• сильно удаленные объекты — объект защиты располагается на значительном удалении от источников техногенных угроз, полностью исключающем любые воздействия на защищаемый объект, в том числе и по вторичным проявлениям.

Особенности обстановки характеризуются расположением объектов защиты в различных природных, климатических, сейсмологических, гидрологических и других условиях. Особенности обстановки можно оценить по следующей шкале:

• очень опасные условия — объект защиты расположен в зоне действия природных катаклизмов;
• опасные условия — объект защиты расположен в зоне, в которой многолетние наблюдения показывают возможность проявления природных катаклизмов;
• умеренно опасные условия — объект защиты расположен в зоне в которой по проводимым наблюдениям на протяжении долгого периода отсутствуют проявления природных катаклизмов, но имеются предпосылки возникновения стихийных источников угроз на самом объекте;
• слабо опасные условия — объект защиты находится вне пределов зоны действия природных катаклизмов, однако на объекте имеются предпосылки возникновения стихийных источников угроз;
• неопасные условия — объект защиты находится вне пределов зоны действия природных катаклизмов и на объекте отсутствуют предпосылки возникновения стихийных источников угроз.

Квалификация антропогенных источников играет важную роль в определении их возможностей по совершению противоправных деяний. Принята следующая классификация уровня квалификации по возможности (уровню) взаимодействия с защищаемой сетью²⁰:

• нулевой уровень — определяется отсутствием возможности какого-либо использования программ;
• первый уровень — ограничивается возможностью запуска задач/программ из фиксированного набора, предназначенного для обработки защищаемой информации (уровень неквалифицированного пользователя);
• второй уровень — учитывает возможность создания и запуска пользователем собственных программ с новыми функциями по обработке информации (уровень квалифицированного пользователя, программиста);
• третий уровень — определяется возможностью управления функционированием сетью, то есть воздействием на базовое программное обеспечение, ее состав и конфигурацию (уровень системного администратора);
• четвертый уровень — определяется всем объемом возможностей субъектов, осуществляющих проектирование и ремонт технических средств, вплоть до включения в состав сети собственных технических средств с новыми функциями по обработке информации (уровень разработчика и администратора).

Нулевой уровень является самым низким уровнем возможностей по ведению диалога источника угроз с защищаемой сетью. При оценке возможностей антропогенных источников предполагается, что субъект, совершающий противоправные действия, либо обладает, либо может воспользоваться правами соответствующего уровня.

Привлекательность совершения деяния со стороны источника угроз устанавливается следующим образом:

• особо привлекательный уровень — защищаемые информационные ресурсы содержат информацию, которая может нанести непоправимый урон и привести к краху организации, осуществляющей защиту;
• привлекательный уровень — защищаемые информационные ресурсы содержат информацию, которая может быть использована для получения выгоды в пользу источника угрозы или третьих лиц;
• умеренно привлекательный уровень — защищаемые информационные ресурсы, содержат информацию, разглашение которой может нанести ущерб отдельным личностям;
• слабо привлекательный уровень — защищаемые информационные ресурсы содержат информацию, которая при ее накоплении и обобщении в течение определенного периода может причинить ущерб организации, осуществляющей защиту;
• не привлекательный уровень — информация не представляет интерес для источника угрозы.

Необходимые условия готовности источника определяются исходя из возможности реализации той или иной угрозы в конкретных условиях расположения объекта. При этом предполагается:

• угроза реализуема — то есть условия благоприятны или могут быть благоприятны для реализации угрозы (например, активизация сейсмической активности);
• угроза умеренно реализуема — то есть условия благоприятны для реализации угрозы, однако долгосрочные наблюдения не предполагают возможности ее активизации в период существования и активной деятельности объекта защиты;
• угроза слабо реализуема — то есть существуют объективные причины на самом объекте или в его окружении, препятствующие реализации угрозы;
• угроза не реализуема — то есть отсутствуют предпосылки для реализации предполагаемого события.

Степень неустранимости последствий проявления угрозы (фатальность) определяется по следующей шкале:

• неустранимые последствия — результаты проявления угрозы могут привести к полному разрушению (уничтожению, потере) объекта защиты, как следствие к невосполнимым потерям и исключению возможности доступа к защищаемым информационным ресурсам;
• практически неустранимые последствия — результаты проявления угрозы могут привести к разрушению (уничтожению, потере) объекта и к значительным затратам (материальным, временным и пр.) на восстановление последствий, сопоставимых с затратами на создание нового объекта и существенному ограничению времени доступа к защищаемым ресурсам;
• частично устранимые последствия — результаты проявления угрозы могут привести к частичному разрушению объекта защиты и, как следствие, к значительным затратам на восстановление, ограничению времени доступа к защищаемым ресурсам;
• устранимые последствия — результаты проявления угрозы могут привести к частичному разрушению (уничтожению, потере) объекта защиты, не требующих больших затрат на его восстановление и, практически не влияющих на ограничение времени доступа к защищаемым информационным ресурсам;
• отсутствие последствий — результаты проявления угрозы не могут повлиять на деятельность объекта защиты.

Результаты проведенного ранжирования относительно конкретного объекта защиты можно свести в таблицу, позволяющую определить наиболее опасные для данного объекта источники угроз безопасности информации.

При выборе допустимого уровня источника угроз. предполагается, что источники угроз, имеющие коэффициент (К_оп)_i менее (0,1…0,2) могут в дальнейшем не учитываться, как маловероятные.

Определение актуальных (наиболее опасных) угроз осуществляется на основе анализа расположения объектов защиты и структуры построения информационной системы, а также информационных ресурсов, подлежащих защите.

5. Классификация уязвимостей безопасности

Угрозы, как возможные опасности совершения какого-либо действия, направленного против объекта защиты, проявляются не сами по себе, а через уязвимости (факторы), приводящие к нарушению безопасности информации на конкретном объекте информатизации.

Уязвимости присущи объекту информатизации, неотделимы от него и обуславливаются недостатками процесса функционирования, свойствами архитектуры автоматизированных систем, протоколами обмена и интерфейсами, применяемыми программным обеспечением и аппаратной платформой, условиями эксплуатации и расположения.

Источники угроз могут использовать уязвимости для нарушения безопасности информации, получения незаконной выгоды (нанесения ущерба собственнику, владельцу, пользователю информации) Кроме того, возможно не злонамеренные действия источников угроз по активизации тех или иных уязвимостей, наносящих вред.

Каждой угрозе могут быть сопоставлены различные уязвимости. Устранение или существенное ослабление уязвимостей влияет на возможность реализации угроз безопасности информации.

Для удобства анализа, уязвимости разделены на классы (обозначаются заглавными буквами), группы (обозначаются римскими цифрами) и подгруппы (обозначаются строчными буквами). Уязвимости безопасности информации могут быть:

[А] объективными

[В] субъективными

[С] случайными.

Объективные уязвимости

Объективные уязвимости зависят от особенностей построения и технических характеристик оборудования, применяемого на защищаемом объекте. Полное устранение этих уязвимостей невозможно, но они могут существенно ослабляться техническими и инженерно-техническими методами парирования угроз безопасности информации. К ним можно отнести:

[А.I] сопутствующие техническим средствам излучения
• [A.I.a] электромагнитные (побочные излучения элементов технических средств [1], кабельных линий технических средств [2], излучения на частотах работы генераторов [3], на частотах самовозбуждения усилителей [4])
• [A.I.b] электрические (наводки электромагнитных излучений на линии и проводники [1], просачивание сигналов в цепи электропитания, в цепи заземления [2], неравномерность потребления тока электропитания [3])
• [A.I.c] звуковые (акустические [1], виброакустические [2])

[A.II] активизируемые
• [A.II.a] аппаратные закладки (устанавливаемые в телефонные линии [1], в сети электропитания [2], в помещениях [3], в технических средствах [4])
• [A.II.b] программные закладки (вредоносные программы [1], технологические выходы из программ [2], нелегальные копии ПО [3])

[A.III] определяемые особенностями элементов
• [A.III.a] элементы, обладающие электроакустическими преобразованиями (телефонные аппараты [1], громкоговорители и микрофоны [2], катушки индуктивности [3], дроссели [4], трансформаторы и пр. [5])
• [A.III.b] элементы, подверженные воздействию электромагнитного поля (магнитные носители [1], микросхемы [2], нелинейные элементы, поверженные ВЧ навязыванию [3])

[A.IV] определяемые особенностями защищаемого объекта
• [A.IV.a] местоположением объекта (отсутствие контролируемой зоны [1], наличие прямой видимости объектов [2], удаленных и мобильных элементов объекта [3], вибрирующих отражающих поверхностей [4])
• [A.IV.b] организацией каналов обмена информацией (использование радиоканалов [1], глобальных информационных сетей [2], арендуемых каналов [3])

Субъективные уязвимости

Субъективные уязвимости зависят от действий сотрудников и, в основном, устраняются организационными и программно-аппаратными методами:

[B.I] ошибки
• [B.I.a] при подготовке и использовании программного обеспечения (при разработке алгоритмов и программного обеспечения [1], инсталляции и загрузке программного обеспечения [2], эксплуатации программного обеспечения [3], вводе данных [4])
• [B.I.b] при управлении сложными системами (при использовании возможностей самообучения систем [1], настройке сервисов универсальных систем [2], организации управления потоками обмена информации [3])
• [B.I.c] при эксплуатации технических средств (при включении/выключении технических средств [1], использовании технических средств охраны [2], использовании средств обмена информацией [3])

[B.II] нарушения
• [B.II.a] режима охраны и защиты (доступа на объект [1], доступа к техническим средствам [2])
• [B.II.b] режима эксплуатации технических средств (энергообеспечения [1], жизнеобеспечения [2])
• [B.II.c] режима использования информации (обработки и обмена информацией [1], хранения и уничтожения носителей информации [2], уничтожения производственных отходов и брака [3])
• [B.II.d] режима конфиденциальности (сотрудниками в нерабочее время [1], уволенными сотрудниками [2]).

Случайные уязвимости

Случайные уязвимости зависят от особенностей окружающей защищаемый объект среды и непредвиденных обстоятельств. Эти факторы, как правило, мало предсказуемы и их устранение возможно только при проведении комплекса организационных и инженерно-технических мероприятий по противодействию угрозам информационной безопасности:

[C.I] сбои и отказы
• [C.I.a] отказы и неисправности технических средств (обрабатывающих информацию [1], обеспечивающих работоспособность средств обработки информации [2], обеспечивающих охрану и контроль доступа [3])
• [C.I.b] старение и размагничивание носителей информации (дискет и съемных носителей [1], жестких дисков [2], элементов микросхем [3], кабелей и соединительных линий [4])
• [C.I.c] сбои программного обеспечения (операционных систем и СУБД [1], прикладных программ [2], сервисных программ [3], антивирусных программ [4])
• [C.I.d] сбои электроснабжения (оборудования, обрабатывающего информацию [1], обеспечивающего и вспомогательного оборудования [2])

[C.II] повреждения
• [C.II.a] жизнеобеспечивающих коммуникаций (электро-, водо-, газо-, теплоснабжения, канализации [1], кондиционирования и вентиляции [2])
• [C.II.b] ограждающих конструкций (внешних ограждений территорий, стен и перекрытий зданий [1], корпусов технологического оборудования [2])

Ранжирование уязвимостей

Все уязвимости имеют разную степень опасности (К_оп)_f, которую можно количественно оценить, проведя их ранжирование. При этом, в качестве критериев сравнения (показателей) можно выбрать:

• Фатальность (К₁)_f — определяет степень влияния уязвимости на неустранимость последствий реализации угрозы. Для объективных уязвимостей это Информативность — способность уязвимости полностью (без искажений) передать полезный информационный сигнал.
• Доступность (К₂)_f — определяет удобство (возможность) использования уязвимости источником угроз (массогабаритные размеры, сложность, стоимость необходимых средств, возможность использования не специализированной аппаратуры).
• Количество (К₃)_f — определяет количество элементов объекта, которым характерен та или иная уязвимость.

(К_оп)_f для отдельной уязвимости можно определить как отношение произведения вышеприведенных показателей к максимальному значению (125).

Каждый показатель оценивается экспертно-аналитическим методом по пятибалльной системе. Причем, 1 соответствует самой минимальной степени влияния оцениваемого показателя на опасность использования уязвимости, а 5 — максимальной.
Для подгруппы уязвимостей ^пг(К_оп)_f определяется как среднее арифметическое коэффициентов отдельных уязвимостей в подгруппе.
Для удобства анализа, ^г(К_оп)_f для группы нормируется относительно совокупности всех коэффициентов подгрупп в своем классе, а ^к(К_оп)_f для класса определяется как совокупность коэффициентов подгрупп класса нормированных относительно всей совокупности коэффициентов подгрупп.
Результаты анализа с указанием коэффициентов опасности каждой уязвимости, сводятся в таблицу.

6. Классификация актуальных угроз

При определении актуальных угроз, экспертно-аналитическим методом определяются объекты защиты, подверженные воздействию той или иной угрозы, характерные источники этих угроз и уязвимости, способствующие реализации угроз.

На основании анализа составляется матрица взаимосвязи источников угроз и уязвимостей из которой определяются возможные последствия реализации угроз (атаки) и вычисляется коэффициент опасности этих атак как произведение коэффициентов опасности соответствующих угроз и источников угроз, определенных ранее. При этом предполагается, что атаки, имеющие коэффициент опасности менее 0,1 (предположение экспертов), в дальнейшем могут не рассматриваться из-за малой вероятности их совершения на рассматриваемом объекте.

Такая матрица составляется отдельно для каждой угрозы.

---

• ¹ УК РФ, 1996 год, ст. 24
• ² УК РФ, 1996 год, ст. 25
• ³ УК РФ, 1996 год, ст. 26
• ⁴ УК РФ, 1996 год, ст. 28
• ⁵ УК РФ, 1996 год, ст. 158, примечание 1
• ⁶ УК РФ, 1996 год, ст. 272
• ⁷ УК РФ, 1996 год, ст. 167
• ⁸ УК РФ, 1996 год, ст. 272
• ⁹ УК РФ, 1996 год, ст. 167
• ¹⁰ УК РФ, 1996 год, ст. 272
• ¹¹ УК РФ, 1996 год, ст. 272
• ¹² УК РФ, 1996 год, ст. 273
• ¹³ Бюллетень Верховного Суда РСФСР, 1982 год, № 2, С.14
• ¹⁴ Румянцев О. Г., Додонов В.Н., Юридический энциклопедический словарь, М., 1997 г., изд. «ИНФРА-М»
• ¹⁵ Закон РФ «Об организации страхового дела в Российской Федерации», № 4015-1от 27.10.97 г., ст. 2
• ¹⁶ Закон РФ «Об организации страхового дела в Российской Федерации», № 4015-1от 27.10.97 г., ст. 4
• ¹⁷ Румянцев О. Г., Додонов В.Н., Юридический энциклопедический словарь, М., 1997 г., изд. «ИНФРА-М»
• ¹⁸ В данном случае под термином «другие форс-мажорные обстоятельства» понимается юридическая со-ставляющая, то есть различные решения высших государственных органов, забастовки, войны, революции и т. п., приводящие к возникновению обстоятельств непреодолимой силы. (Румянцев О. Г., Додонов В.Н., Юридический энциклопедический словарь, М., 1997 г., изд. «ИНФРА-М»)
• ¹⁹ Стандарт ISO:17799-00 (Стандарт Великобритании BS 7799-95 «Практические правила управления ин-формационной безопасностью»)
• ²⁰ Руководящий документ. «Концепция защиты средств вычислительной техники и автоматизированных систем от несанкционированного доступа к информации», Гостехкомиссия России, Сборник руководящих документов по защите информации от несанкционированного доступа, М., 1998 г., п. 4

Вернуться на главную страницу обзора

Антропогенные источники угроз иб

В
качестве антропогенного источника
угроз для ИС можно рассматривать субъекта
(личность), имеющего доступ (санкционированный
или несанкционированный) к работе со
штатными средствами защищаемого объекта.
Источники, действия которых могут
привести к нарушению безопасности
информации могут быть как внешними так
и внутренними,
как случайными,
так и преднамеренными.
Внутренние и внешние источники могут
использовать различные классы
уязвимостей:  объективные, субъективные, случайные.

Методы
противодействия для данной группы
управляемы, и напрямую зависят от служб
безопасности.

Внешние
источники — напрямую
вызваны деятельностью человека.

Среди которых можно
выделить: случайные и преднамеренные.

Случайные (непреднамеренные).
Данные источники могут использовать
такие классы уязвимостей,
как субъективные и случайные. Субъективные могут
выражаться в ошибках, совершенных при
проектировании ИС и ее элементов,
ошибками в программном
обеспечении. Случайные могут
определятся различного рода сбоями и
отказами, повреждениями, проявляемыми
в ИС. К таким источникам можно отнести
персонал поставщиков различного рода
услуг, персонал надзорных организаций
и аварийных служб, др. Действия (угрозы)
исходящие от данных источников совершаются
по незнанию, невнимательности или
халатности, из любопытства, но без злого
умысла. Основные угрозы от таких действий
– уничтожение, блокирование, искажение
информации.

Преднамеренные. Проявляются
в корыстных устремлениях субъектов
(злоумышленников). Основная цель таких
источников – умышленная дезорганизация
работы, вывода системы из строя,
разглашения и искажения конфиденциальной
информации за счет проникновение в
систему посредством несанкционированного
доступа (НСД) и утечки по техническим
каналам. Угрозы от таких источников
могут быть самые разные: хищение
(копирование информации); уничтожение
информации; модификация информации;
нарушение доступности (блокирование)
информации; навязывание ложной информации.
В качестве таких источников могут
выступать: потенциальные преступники
(террористы) и хакеры; недобросовестные
партнеры; представители силовых структур.

Внутренние
источники – как
правило, представляют собой первоклассных
специалистов в области эксплуатации
программного обеспечения и технических
средств, знакомых со спецификой решаемых
задач, структурой и основными функциями
и принципами работы программно –
аппаратных средств защиты информации,
имеют возможность использования штатного
оборудования и технических средств
сети ВУЗа. К таким источника можно
отнести: основной персонал; представителей
служб безопасности; вспомогательный
персонал; технических персонал
(жизнеобеспечение, эксплуатация).
Внутренние антропогенные источники, в
связи с их положением в ИС, для реализации
угроз, могут использовать каждый из
классов уязвимостей (объективные,
субъективные, случайные), опять же в
зависимости от преследуемых целей.
Угрозы от таких источников, также могут
самые разные: хищение (копирование
информации); уничтожение информации;
модификация информации; нарушение
доступности (блокирование) информации;
навязывание ложной информации.

От
реализации угроз, исходящих от антропогенных
источников,
последствия могут быть самыми различными
от сбоя в работе, до краха системы в
целом. Утечка по техническим каналам
может привести: к неконтролируемой
передаче пользователями конфиденциальной
информации; заражению компьютеров и
сетей компьютерными вирусами; нарушению
целостности (уничтожению) информации,
хранящейся в базах данных и серверах.

Меры
защиты (противодействия) от таких
источников должны тщательно продумываться,
к ним можно отнести:

• Правовые
  (законы, уставы, приказы, постановления);

• Организационные
  (разработка и утверждение функциональных
  обязанностей должностных лиц службы
  ИБ; физический контроль доступа;
  разработка правил управления доступом
  к ресурсам системы; явный и скрытый контроль
  за работой персонала
  системы; проведение регулярных семинаров,
  спецкурсов для администраторов, с
  целью обеспечения соответствия уровня
  знаний современным требованиям и др.);

• Технические
  (предполагается наличие методик
  определения угроз и каналов утечки
  информации и знание средств добывания
  (снятия) информации);

• Инженерно-технические
  (обеспечивающие предотвращение
  несанкционированного доступа посторонних
  лиц на объекты защиты)

• Программно-технические
  (методы идентификации и аутентификации
  пользователей; регистрация действий
  пользователей; средства защиты от НСД,
  межсетевые экраны);

• др.

Техногенные
источники

Источники
угроз данной группы, напрямую зависят
от свойств техники и, поэтому требуют
не меньшего внимания. Данные источники
также могут быть как внутренними, так
и внешними.

Внешние
источники – средства
связи (телефонные линии); сети инженерных
коммуникаций (водоснабжение, канализации).

Внутренние
источники – некачественные
технические средства обработки
информации; некачественные программные
средства обработки информации;
вспомогательные средства охраны (охраны,
сигнализации, телефонии); другие
технические средства, применяемые в
ИС.

Соседние файлы в предмете [НЕСОРТИРОВАННОЕ]

• #
• #
• #
• #
• #
• #
• #
• #
• #
• #
• #

Любое использование материалов медиапортала РШУ возможно только с разрешения

редакции.

Любая компания ежедневно подвергается рискам — правовым, репутационным, экономическим и программным. Их — десятки. Они могут быть незначительными — из-за мелких оплошностей и недосмотра персонала (не отправили вовремя договор или не подписали документы). А могут быть и довольно серьёзными — утечка баз данных, материальные и репутационные потери и даже разорение предприятия.

Какой бы ни была угроза, её необходимо своевременно выявить, а лучше — предотвратить на корню. Необходимо иметь понимание: откуда и какой опасности можно ожидать, какие действия или бездействия являются рискованными и чего такие риски могут стоить.

Какими бывают корпоративные угрозы

Корпоративные угрозы можно разделить на несколько видов (таблица 1).

Таблица 1. Виды корпоративных угроз

Виды угроз	Источники угроз
В зависимости от места возникновения
Внутренние угрозы	Некачественный отбор персонала. Нарушение сотрудниками правил трудового распорядка. Действия сотрудников, причиняющие предприятию материальный и (или) репарационный ущерб.
Внешние угрозы	Действия рейдерских компаний или отдельных лиц, направленные на захват управления или имущества компании. Действия конкурентов, направленные на подрыв репутации компании, кражу интеллектуальной собственности, коммерческой тайны. Экономический террор по отношению к компании. Поступки физических лиц, вызванные личной неприязнью к компании, её руководству или персоналу, нацеленные на подрыв репутации компании и (или) порчу имущества. Незаконные действия госорганов и силовых структур.
В зависимости от фактора воздействия
Экономические	Объективные	Возникают по причинам экономических кризисов, инфляции, санкций.
Преднамеренные	Могут возникнуть ввиду мошеннических действий, недобросовестной конкуренции, демпинга, промышленного шпионажа.
Юридические	Целенаправленные	Заведомо неправильное оформление документов.
Субъективные	Возникают из-за правовой неосведомлённости.
Информационные	Преднамеренные	Связаны с разглашением, использованием, искажением или уничтожением конфиденциальной информации, порчей используемого для приёма и хранения данных оборудования.
Непреднамеренные	Ошибки при разработке ПО, халатность сотрудников, отказ техники
Физические	Непреднамеренные	Связаны техногенными авариями и природными явлениями.
Преднамеренные	Взломы, кражи, непреднамеренное проникновение на территорию и т.п.

Кроме этого, угрозы можно классифицировать по уровню допустимости — на реальные и потенциальные.

Справка! Потенциальная угроза — это опасность «в зачатке», формирование предпосылок к возможному нанесению вреда. Реальные угрозы представляют собой окончательно сформировавшееся явление, когда для нанесения вреда недостаёт одного или нескольких условий. Вероятность реальной угрозы можно подсчитать исходя из теистических данных, с помощью экспертных методов, методами группового SWOT-анализа.

Руководитель компании для каждой обнаруженной угрозы должен просчитать уровень возможных потерь в материальном или денежном выражении.

Как обеспечить безопасность организации: 10 принципов

Защитным «куполом» от внешних и внутренних угроз для компании станет комплекс мер по обеспечению корпоративной безопасности.

Система безопасности должна быть уникальной для каждой компании, что во многом зависит от рода деятельности. Но есть общие принципы, которые можно взять за основу.

Итак, система безопасности должна быть:

1. Комплексной. Руководство должно учесть все потенциальные угрозы.
2. Целесообразной. Расходы на безопасность нужно сопоставить с размерами потенциального ущерба
3. Постоянной. Цикл защиты должны работать непрерывно по цепочке: планирование — тестирование — внедрение — совершенствование — планирование.
4. Своевременной. Каждое мероприятие по созданию безопасности должно быть направлено на предупреждение возможных угроз и содержать алгоритмы по недопущению посягательств на ценности компании.
5. Специализированной. Для работы с системой следует использовать специально обученных и подготовленных специалистов.
6. Заменяемой. Способы защиты рекомендуется дублировать, чтобы иметь запасной вариант в случае выпадения одного из звеньев системы безопасности.
7. Централизованной. Система безопасности компании должна функционировать в соответствии с общими утверждёнными принципами и контролироваться руководителем организации.
8. Плановой. Защита должна укрепляться в соответствии с планами, разработанными для каждого подразделения, отдела, отдельных сотрудников компании.
9. Законной. Безопасность компании должна обеспечиваться в рамках действующего законодательства.
10. Прогрессивной. Средства и меры защиты нужно постоянно совершенствовать и дополнять, следить за выходом поправок в законах и методиках, техническими новинками.

Строим систему безопасности: с чего начать

Прежде всего проведите аудит процессов компании и выделите те из них, которые требуют защиты. По итогу аудита нужно составить список слабых мест, конфиденциальных данных компании, отделов, где они используются и допущенных к ним лиц. Также проанализируйте, случались ли ошибки, утечки сведений, и когда это было в последний раз. Не обойдётся без мелких нарушений и оплошностей со стороны сотрудников. Это вполне рабочие моменты, но нужно подумать о том, как их предотвратить или свести к минимуму. Для слабых мест нужно просчитать вероятность наступления негативных моментов (сбои работы систем, проникновения на территорию, кражи данных и т.п.) и размер возможного ущерба, который может понести компания.

Далее можно придерживаться несложного пошагового алгоритма

1. В зависимости от слабых мест и угроз, характерных для конкретной сферы деятельности определите цели и задачи системы безопасности. К примеру, для IT-компаний в приоритете защита от утечек информации, если компания реализует смартфоны или ювелирные изделия, потребуется предотвратить возможные вторжения и внутренние кражи.

2. Разработайте «Политику безопасности предприятия». Это основной документ, необходимый для защиты от угроз. В него можно включить:

• описание потенциально опасных ситуаций;
• описание система безопасности компании и её задач;
• методы оценки состояния безопасности;
• материально-техническую базу;
• меры по реализации основных положений концепции безопасности и контроля.

«Политика безопасности» подписывается руководителем компании.

3. Назначьте ответственных или сформируйте отдел. Курировать такие вопросы и заниматься разработкой охранных мероприятий может непосредственно руководитель организации. Если компания небольшая, можно доверить такую работу отдельному сотруднику. Для крупного предприятия целесообразно создать службу безопасности с привлечением обученных специалистов или передать такую функцию на аутсорсинг.

Совет! При разработке стратегии руководствуйтесь принципом рациональной достаточности и адекватности действий. Расходы на обеспечение безопасности не должны превышать сумму возможных потерь в случае возникновения негативных ситуаций.

4. И снова — аудит. Но на этот раз будем проверять на прочность саму систему безопасности. Такие проверки бывают двух видов — внутренние и внешние (таблица 2)

Таблица 2. Особенности аудита службы безопасности

Виды аудита	Цели аудита	Объекты аудита
Внутренний аудит	Проводится для выявления и исправления ошибок службы безопасности и защиты от потенциальных рисков, вызванных некомпетентностью работников службы, их недостаточным взаимодействием с другими подразделениями.	Проверяют: эпизоды биографии и квалификацию работников; степень профессиональной подготовки; методы сотрудничества службы безопасности с другими подразделениями; виды и качество профессиональных мероприятий службы безопасности.
Внешний аудит	Комплекс мер направлен на проверку эффективности реакции на угрозы извне.	Проверяют: эффективность реагирования на вторжения в зону охраняемой территории; оперативность обнаружения «жучков» и других возможных средств слежения; режимы денежных перевозок и перемещений товаров; внеслужебные связи сотрудников (как они могут влиять на отношение сотрудника службы безопасности к работе); функциональность технических систем по контролю доступа.

Для проверки службы безопасности можно привлечь сторонних специалистов, в частности, это целесообразно для внешнего аудита. По завершении проверки составляется отчёт. В нём прописываются слабые места службы безопасности, которые необходимо устранить.