Идентификация угроз и уязвимостей — это выявление слабых компонентов информационных систем и определение возможности негативного воздействия со стороны злоумышленников, способного повлечь компрометацию коммерческой и другой конфиденциальной информации.
Введение
Уязвимостью является наличие дефекта или слабого места в системных защитных действиях, проекте, реализации или внутренних регуляторах безопасности, способных возникнуть в результате случайной активации или умышленных операций, которые могут привести к нарушениям безопасности или отступлению от политики безопасности.
Анализ угроз информационной системе предполагает выполнение анализа уязвимостей информационной системы и ее окружения. Целью этой операции является получение списка рассматриваемых уязвимостей. Для того чтобы достичь поставленной цели следует использовать источники информации об уязвимостях, осуществлять тестирование защищенности информационной системы, использовать контрольные перечни с требованиями безопасности.
Идентификация угроз и уязвимостей
Виды вероятных уязвимостей и методики их выявления определяются спецификой информационной системы и этапом жизненного цикла, который она проходит на данный момент. На стадии проектирования информационной системы главное внимание должно уделяться требованиям безопасности, то есть, политике безопасности компании, предполагаемым процедурам, выполнению анализа существующих защитных средств.
На стадии реализации должна привлекаться дополнительная, определенная информация, такая как, заложенные в проекте средства безопасности, итоги анализа проекта и так далее. На этапе эксплуатации должен выполняться анализ существующих защитных средств, регуляторов безопасности, как программных, так и технических и организационных.
Технические и организационные уязвимости можно выявить путем использования способов сбора информации о параметрах информационной системы. Предварительно выполненный обзор источников информации об уязвимостях, например, сайтов производителей и групп реагирования, может помочь в подготовке вопросников и контрольных перечней, целенаправленном проведении интервью.
Тестирование выступает как одно из активных средств безопасности. Набор тестовых инструментов должен иметь в своем составе следующий инструментарий:
- Средства для автоматического сканирования.
- Средства, предназначенные для тестирования и оценки.
- Средства для реализации тестирования проникновением.
Идентификация угроз может предполагать разные подходы, то есть, можно исходить либо от уязвимостей информационной системы, либо от вероятных источников угроз. Источники угроз подразделяются на следующие типы:
- Природные источники угроз.
- Людские источники угроз.
- Источники угроз, которые принадлежат окружению информационной системы.
К природным угрозам следует отнести наводнения, землетрясения, ураганы, обвалы, лавины, грозы и иные стихийные бедствия. А человек способен на случайные и умышленные действия. К случайным угрозам следует отнести ошибки и упущения, а к умышленным действиям относятся сетевые атаки, внедрение вредоносных программных продуктов, несанкционированный доступ и тому подобное.
В качестве внешних злоумышленников могут рассматриваться хакеры, преступные элементы, террористы и шпионы. У каждой из названых категорий присутствует свой уровень мотивации, который является нарастающим от хакеров к шпионам, а также своя вооруженность ресурсными возможностями. В качестве внутренних злоумышленников могут выступать как плохо подготовленные, так и просто обиженные или уволенные работники. Внешний злоумышленник способен превратиться во внутреннего, если он сможет взломать систему и начать оперировать от имени легального пользователя.
От окружения информационной системы могут исходить угрозы долговременного отключения электропитания, загрязнение окружающей среды, различного рода утечки и протечки и тому подобное. Исходя из практического опыта, возможны и более серьезные происшествия, такие как, обрушение зданий, взрыв газа и так далее.
Следует отметить, что с точки зрения практики угроз и их источников может быть бесконечно много, тем не менее, с другой стороны, является весьма важной полнота их идентификации, поскольку неожиданные угрозы способны нанести особенно большой ущерб. К примеру, информационной системе, которая расположена в пустыне, не может грозить природное наводнение, но прорыв водопроводной трубы способен вызвать затопление информационной системы. Это означает, что угроза затопления может находиться в числе рассматриваемых угроз.
Основной целью анализа регуляторов безопасности является определение удовлетворяют ли существующие и планируемые контрмеры, предъявленным к информационной системе требованиям безопасности. Кроме того, должны определяться вероятности реализации идентифицированных угроз при учете нейтрализующего воздействия регуляторов безопасности.
Когда определяется вероятность того, что потенциальную уязвимость могут использовать в конкретном окружении, следует рассматривать следующие аспекты:
- Наличие мотивации и вооруженности ресурсами источника угрозы.
- Выявление природы уязвимости.
- Наличие и эффективность контрмер.
Вероятность может быть оценена, с использованием трехбалльной шкалы, а именно:
- Низкая вероятность.
- Умеренная вероятность.
- Высокая вероятность.
Предварительным условием выполнения анализа воздействия может считаться получение следующего набора сведений:
- Выполняемая миссия информационной системы компании, то есть, операции, которые выполняет информационная система.
- Наличие критичности систем и данных, то есть, уровень ценности и важности систем и данных для компании.
- Уровень чувствительности систем и данных.
Воздействие аналогично вероятности может быть оценено по трехбалльной шкале.
