Svoboda | Graniru | BBC Russia | Golosameriki | Facebook

Для установки нажмите кнопочку Установить расширение. И это всё.

Исходный код расширения WIKI 2 регулярно проверяется специалистами Mozilla Foundation, Google и Apple. Вы также можете это сделать в любой момент.

Как перевоплотить Википедию

Хотите, чтобы Википедия всегда выглядела так профессионально и современно? Мы создали расширение для браузера. Оно совершенствует любую страницу энциклопедии, которую вы посетите, с помощью магических технологий WIKI 2.

Попробуйте — вы его можете удалить в любой момент.

Установить за 5 сек.
4,5
Келли Слэйтон
Мои поздравления с отличным проектом... что за великолепная идея!
Александр Григорьевский
Я использую WIKI 2 каждый день
и почти забыл как выглядит оригинальная Википедия.
Статистика
На русском, статей
Улучшено за 24 ч.
Добавлено за 24 ч.
Альтернативы
Недавние
Show all languages
Что мы делаем. Каждая страница проходит через несколько сотен совершенствующих техник. Совершенно та же Википедия. Только лучше.
Great Wikipedia has got greater.
.
Лео
Ньютон
Яркие
Мягкие

Угрозы информационной безопасности

Из Википедии — свободной энциклопедии

Угроза информационной безопасности — совокупность условий и факторов, создающих опасность нарушения информационной безопасности.[1]

Под угрозой (в общем) понимается потенциально возможное событие, действие (воздействие), процесс или явление, которые могут привести к нанесению ущерба чьим-либо интересам.


Классификация

Угрозы информационной безопасности могут быть классифицированы по различным признакам:

  • По аспекту информационной безопасности, на который направлены угрозы:
    • Угрозы конфиденциальности (неправомерный доступ к информации). Угроза нарушения конфиденциальности заключается в том, что информация становится известной тому, кто не располагает полномочиями доступа к ней. Она имеет место, когда получен доступ к некоторой информации ограниченного доступа, хранящейся в вычислительной системе или передаваемой от одной системы к другой. В связи с угрозой нарушения конфиденциальности, используется термин «утечка». Подобные угрозы могут возникать вследствие «человеческого фактора» (например, случайное делегировании тому или иному пользователю привилегий другого пользователя), сбоев в работе программных и аппаратных средств. К информации ограниченного доступа относится государственная тайна[2] и конфиденциальная информация[3] (коммерческая тайна, персональные данные, профессиональные виды тайна: врачебная, адвокатская, банковская, служебная, нотариальная, тайна страхования, следствия и судопроизводства, переписки, телефонных переговоров, почтовых отправлений, телеграфных или иных сообщений (тайна связи), сведения о сущности изобретения, полезной модели или промышленного образца до официальной публикации (ноу-хау) и др.).
    • Угрозы целостности (неправомерное изменение данных). Угрозы нарушения целостности — это угрозы, связанные с вероятностью модификации той или иной информации, хранящейся в информационной системе. Нарушение целостности может быть вызвано различными факторами — от умышленных действий персонала до выхода из строя оборудования.
    • Угрозы доступности (осуществление действий, делающих невозможным или затрудняющих доступ к ресурсам информационной системы). Нарушение доступности представляет собой создание таких условий, при которых доступ к услуге или информации будет либо заблокирован, либо возможен за время, которое не обеспечит выполнение тех или иных бизнес-целей.
  • По расположению источника угроз:
    • Внутренние (источники угроз располагаются внутри системы);
    • Внешние (источники угроз находятся вне системы).
  • По размерам наносимого ущерба:
    • Общие (нанесение ущерба объекту безопасности в целом, причинение значительного ущерба);
    • Локальные (причинение вреда отдельным частям объекта безопасности);
    • Частные (причинение вреда отдельным свойствам элементов объекта безопасности).
  • По степени воздействия на информационную систему:
    • Пассивные (структура и содержание системы не изменяются);
    • Активные (структура и содержание системы подвергается изменениям).
  • По природе возникновения:
    • Естественные (объективные) — вызванные воздействием на информационную среду объективных физических процессов или стихийных природных явлений, не зависящих от воли человека;
    • Искусственные (субъективные) — вызванные воздействием на информационную сферу человека. Среди искусственных угроз в свою очередь выделяют:
      • Непреднамеренные (случайные) угрозы — ошибки программного обеспечения, персонала, сбои в работе систем, отказы вычислительной и коммуникационной техники;
      • Преднамеренные (умышленные) угрозы — неправомерный доступ к информации, разработка специального программного обеспечения, используемого для осуществления неправомерного доступа, разработка и распространение вирусных программ и т. д. Преднамеренные угрозы обусловлены действиями людей. Основные проблемы информационной безопасности связаны прежде всего с умышленными угрозами, так как они являются главной причиной преступлений и правонарушений[4].

Классификация источников угроз информационной безопасности

Носителями угроз безопасности информации являются источники угроз. В качестве источников угроз могут выступать как субъекты (личность), так и объективные проявления, например, конкуренты, преступники, коррупционеры, административно-управленческие органы. Источники угроз преследуют при этом следующие цели: ознакомление с охраняемыми сведениями, их модификация в корыстных целях и уничтожение для нанесения прямого материального ущерба.

  • Все источники угроз информационной безопасности можно разделить на три основные группы:
    • Обусловленные действиями субъекта (антропогенные источники) — субъекты, действия которых могут привести к нарушению безопасности информации, данные действия могут быть квалифицированы как умышленные или случайные преступления. Источники, действия которых могут привести к нарушению безопасности информации могут быть как внешними, так и внутренними. Данные источники можно спрогнозировать, и принять адекватные меры.
    • Обусловленные техническими средствами (техногенные источники) — эти источники угроз менее прогнозируемы, напрямую зависят от свойств техники и поэтому требуют особого внимания. Данные источники угроз информационной безопасности, также могут быть как внутренними, так и внешними.
    • Стихийные источники — данная группа объединяет обстоятельства, составляющие непреодолимую силу (стихийные бедствия или другие обстоятельства, которые невозможно предусмотреть или предотвратить или возможно предусмотреть, но невозможно предотвратить), такие обстоятельства, которые носят объективный и абсолютный характер, распространяющийся на всех. Такие источники угроз совершенно не поддаются прогнозированию и, поэтому меры против них должны применяться всегда. Стихийные источники, как правило, являются внешними по отношению к защищаемому объекту и под ними, как правило, понимаются природные катаклизмы.[5][6]

Модель угроз

Для анализа защищенности конкретной информационной системы формируется описание существующих угроз ИБ, их актуальности, возможности реализации и последствий – модель угроз.

В настоящее время в России действует методика оценки угроз безопасности информации, принятая ФСТЭК России 05.02.2021 г.[7], заменившая собой Методику определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных (ФСТЭК России, 2008 г.) и Методику определения актуальных угроз безопасности информации в ключевых системах информационной инфраструктуры (ФСТЭК России, 2007 г.).

С выходом приказа ФСТЭК №17 от 4 марта 2017[8] использование банка данных угроз ФСТЭК[9] является обязательным. Эти два факта сформировали почву для создания специализированного программного обеспечения по моделированию реализации угроз ИБ в информационных системах. В настоящее время общественности представлен ряд научных публикаций[10][11][12] и коммерческих разработок[13], способствующих автоматизации формирования модели угроз.

В настоящее время (конец 2021 года), подавляющее большинство программного обеспечения моделируют возникновение угроз на базе устаревшей методологии (модель угроз 2008 года или проектная модель угроз 2015 года).

Примечания

  1. ГОСТ Р 50922-96. Дата обращения: 20 февраля 2016. Архивировано 15 февраля 2017 года.
  2. Закон РФ от 21.07.1993 N 5485-I "О государственной тайне" (с изменениями и дополнениями). base.garant.ru. Дата обращения: 20 декабря 2016. Архивировано 8 декабря 2015 года.
  3. Указ Президента РФ от 06.03.1997 N 188 "Об утверждении перечня сведений конфиденциального характера" (с изменениями и дополнениями). base.garant.ru. Дата обращения: 20 декабря 2016. Архивировано 7 января 2017 года.
  4. Блинов А. М. Информационная безопасность : Учеб. пособие. Часть 1 / А. М. Блинов.-СПб.: СПБГУЭФ, 2010. — 96 с.
  5. Основы информационной безопасности : учеб. пособие / Ю. Г. Крат, И. Г. Шрамкова. — Хабаровск : Изд-во ДВГУПС, 2008. −112 с.
  6. Информационная безопасность: Учебник для студентов вузов. — М.: Академический Проект; Гаудеамус, 2-е изд. — 2004. — 544 с .
  7. Методический документ. Утвержден ФСТЭК России 5 февраля 2021 г. - ФСТЭК России. fstec.ru. Дата обращения: 17 декабря 2021. Архивировано 17 декабря 2021 года.
  8. Приказ ФСТЭК России от 11 февраля 2013 г. N 17 - ФСТЭК России. fstec.ru. Дата обращения: 17 декабря 2021. Архивировано 17 декабря 2021 года.
  9. БДУ - Угрозы. bdu.fstec.ru. Дата обращения: 17 декабря 2021. Архивировано 17 декабря 2021 года.
  10. Александр Сергеевич Большаков, Дмитрий Игоревич Раковский. Программное Обеспечение Моделирования Угроз Безопасности Информации В Информационных Системах // Правовая Информатика. — 2020. — Вып. 1. — ISSN 1994-1404 1994-1404, 1994-1404. — doi:10.21681/1994-1404-2020-1-26-39.
  11. М. И. Ожиганова, А. О. Егорова, А. О. Миронова, А. А. Головин. втоматизация выбора мер по обеспечению безопасности объекта КИИ соответствующей категории значимости при составлении модели угроз (рус.) // М.: Энергетические установки и технологии.. — 2021. — Т. 7, № 2. — С. 130-135.
  12. Ю. Ф. Каторин, И. В. Ильин, Р. А. Нурдинов. Автоматизация процесса формирования модели угроз для информационных систем (рус.) // Информационные управляющие системы и технологии : Материалы IV Международной научно-практической конференции (ИУСТ-ОДЕССА-2015), Одесса, 22–24 сентября 2015 года / Одесский национальный морской университет, Волжский государственный университет водного транспорта, Государственный университет морского и речного флота имени адмирала С.О. Макарова, Харьковский национальный университет радиоэлектроники, Одесский национальный политехнический университет, Национальный университет кораблестроения имени адмирала С.О. Макарова. – Одесса: Макарова. — 2015. — С. 161-164.
  13. R-Vision Incident Response Platform (рус.). R-Vision. Дата обращения: 17 декабря 2021. Архивировано 17 декабря 2021 года.

Литература

  • Гатчин Ю. А., Сухостат В. В. Теория информационной безопасности и методология защиты информации. — СПб.: СПбГУ ИТМО, 2010. — 98 с.
  • Макаренко С. И. Информационная безопасность: учебное пособие для студентов вузов. — Ставрополь: СФ МГГУ им. М. А. Шолохова, 2009. — 372 с.

См. также

Эта страница в последний раз была отредактирована 16 декабря 2023 в 04:00.
Как только страница обновилась в Википедии она обновляется в Вики 2.
Обычно почти сразу, изредка в течении часа.
Основа этой страницы находится в Википедии. Текст доступен по лицензии CC BY-SA 3.0 Unported License. Нетекстовые медиаданные доступны под собственными лицензиями. Wikipedia® — зарегистрированный товарный знак организации Wikimedia Foundation, Inc. WIKI 2 является независимой компанией и не аффилирована с Фондом Викимедиа (Wikimedia Foundation).
Связаться с WIKI 2
Введение
Условия использования
Конфиденциальность