Анализ угроз доступности информационной системы | Статья в журнале «Молодой ученый»

Библиографическое описание:

Назарова К. Е., Мартынова Л. Е., Ананьин Е. В., Попков С. М., Кожевникова И. С., Белозёрова А. А., Лысенко А. В. Анализ угроз доступности информационной системы // Молодой ученый. — 2017. — №1. — С. 74-76. — URL https://moluch.ru/archive/135/37812/ (дата обращения: 15.08.2018).



В настоящее время любое предприятие зависит от информации, обрабатываемой в информационной системе (ИС). В информационных системах хранится, обрабатывается, циркулирует различная информация, потеря или искажение которой может нанести существенный вред предприятию [1, с. 54]. Согласно Федеральному закону от 27.07.2006 N 149-ФЗ (ред. от 06.07.2016) «Об информации, информационных технологиях и о защите информации» необходимо обеспечивать такие свойства информации, как доступность и целостность. В условиях развития современного информационного и инфокоммуникационного общества, постоянного внедрения инновационных технологий во все сферы деятельности необходимым условием существования и ведения успешной экономической деятельности для любой организации является обеспечение безопасности и непрерывности бизнеса, что невозможно без поддержания постоянной доступности и актуальности информации [2, с. 89]. Существует множество угроз доступности информационной системы, реализация которых может привести к тому, что доступ к информации будет прекращен, а целостность повреждена. Поэтому необходимо проанализировать данные угрозы и выявить их особенности.

Источники угрозы доступности ИС можно разделить на внешние и внутренние.

Внутренние источники угроз доступности ИС

Самыми частыми и опасными с точки зрения размера ущерба являются непреднамеренные ошибки штатных пользователей, операторов, системных администраторов и других лиц, обслуживающих информационные системы. Иногда такие ошибки являются непосредственными угрозами, например, неправильно введенные данные или ошибка в программе, вызвавшие крах системы, иногда они создают уязвимости, которыми могут воспользоваться злоумышленники. Также к опасным угрозам относятся обиженные сотрудники — нынешние и бывшие. Обычно их действиями руководит желание нанести вред организации-обидчику, например: повредить оборудование; встроить логическую «бомбу», которая со временем разрушит программы и/или данные; удалить данные и т. д. Обиженные сотрудники, даже бывшие, знакомы с порядками в организации и способны вредить весьма эффективно. Необходимо следить за тем, чтобы при увольнении сотрудника его права доступа (логического и физического) к информационным ресурсам аннулировались.

Также к внутренним источникам угрозы относятся:

– Отступление (случайное или умышленное) от установленных правил эксплуатации;

– Выход системы из штатного режима эксплуатации в силу случайных или преднамеренных действий пользователей или обслуживающего персонала (превышение расчетного числа запросов, чрезмерный объем обрабатываемой информации и т. п.);

– Ошибки при (пере)конфигурировании системы;

– Отказы программного и аппаратного обеспечения;

– Разрушение или повреждение аппаратуры.

Внешние источники угрозы доступности.

Данные источники могут быть вызваны различными действиями, например такими как, злонамеренные действия людей, стихийные бедствия и аварии.

– Отказ, повреждение или разрушение аппаратных средств. Например, таких, как носители информации, компьютеров, каналов связи. При интенсивном использовании, происходит часто отказ аппаратных средств и меры безопасности должны учитывать такую возможность.

– Нарушение условий работы — системы связи, электропитание, отопление и т. п. Например, отключение электричества. Источники бесперебойного питания должны защищать не только сами компьютеры, но все устройства в сети.

– Разрушение или повреждение помещений. Данная угроза кажется маловероятной, но ее реализация возможна в регионах, например, с сейсмической неустойчивостью.

– Невозможность или отказ обслуживающего персонала выполнять свои обязанности. Например, в таких ситуациях, как стихийные бедствия, волнения, забастовка и т. п.

– Сетевые атаки, вирусные программы и различное вредоносное программное обеспечение. Сетевые атаки в последнее время стали наиболее популярными и сильнейшим фактором риска информационных систем, работающих в сети Интернет.

– Разрушение информации намеренными действиями человека. В данном случае речь идет о действиях людей, не являющихся обслуживающим персоналом данной системы. [3]

Кроме того, существуют следующие угрозы доступности, применительно к пользователям:

– Нежелание работать с информационной системой. Как правило, это проявляется при необходимости осваивать новое и при расхождении между запросами пользователей и фактическими возможностями и техническими характеристиками;

– Невозможность работать с системой, так как нет соответствующей подготовки. Недостаток общей компьютерной грамотности и культуры, неумение интерпретировать диагностические сообщения, неумение работать с документацией и т. п.;

– Невозможность работать с системой из-за отсутствия технической поддержки. Например, неполнота документации, невозможность получения справочной информации и т. п. [4]

Таблица 1

Примеры некоторых угроз

Угроза

Пример

Повреждение или разрушение оборудования

Гроза. Результат: Выгорание источника бесперебойного питания

Протечка водопровода или отопительной системы

Небрежное хранение носителей резервных копий

Агрессивное потребление ресурсов

Неправильный расчет в конфигурации системы, приводящий к тому, что программа захватывает процессор и/или физическую память, сведя скорость выполнения других программ к нулю

SYN-наводнение. Такая атака по меньшей мере затрудняет установление новых соединений со стороны легальных пользователей, то есть сервер выглядит как недоступный.

Программа «Teardrop» удаленно приводит к зависанию компьютеров, эксплуатируя ошибку в сборке фрагментированных IP-пакетов.

По отношению к атаке «Papa Smurf» уязвимы сети, воспринимающие ping-пакеты с широковещательными адресами. Ответы на такие пакеты «съедают» полосу пропускания.

Таким образом, были проанализированы угрозы доступности информационной системы и их особенности. Важно учитывать даже маловероятные угрозы, поскольку они могут нанести высокий материальный ущерб. Определив актуальные угрозы для информационной системы, необходимо составить перечень мер по их закрытию, что поможет снизить ущерб и предотвратить возникновение этих угроз.

Литература:

  1. Багров Е. В. Мониторинг и аудит информационной безопасности на предприятии. Вестник ВолГУ. Волгоград.: 2011, с.54.
  2. Аткина В. С. Оценка эффективности катастрофоустойчивых решений. /В. С. Аткина//Вестник ВолГУ. Серия 10. «Инновационная деятельность». -2012.-№ 6-с.89–91.
  3. Угрозы доступности информации. http://ssofta.narod.ru/admis/2.htm
  4. Управление рисками: обзор употребительных подходов. http://citforum.ru/security/articles/risk_management/1.shtml
Основные термины (генерируются автоматически): информационная система, обслуживающий персонал, угроза, бесперебойное питание, угроза доступности, данные, ошибка, программа, система.


Похожие статьи

Анализ состава угроз для информационной безопасности...

информационная безопасность, обслуживающий персонал, угроза сбоя функционирования системы, информационный обмен, данные, высокоорганизованная система типа, городское население, проблема, состав...

Угрозы информационной безопасности образовательного...

Случайные – угрозы, вызванные ошибками или халатностью персонала

По аспекту информационной безопасности: Угрозы конфиденциальности, угрозы целостности, угрозы доступности.

Угрозы безопасности информации в автоматизированных системах

Следующим видом непреднамеренных угроз безопасности системы являются ошибки при разработке системы и ошибки в комплексах алгоритмов и программ (системные, алгоритмические, программные или технологические).

Направления защиты данных в интеллектуальных системах...

К угрозам сбоя функционирования системы вследствие проблем с данными относятся порча данных, их модификация при разрешенном доступе (обслуживающий персонал); как умышленные, так и неумышленные ошибки ввода...

Проблемы обнаружения подмены законного оператора ключевой...

‒ 50–55 % результат неумышленных ошибок персонала и/или пользователей системы в результате небрежности, халатности или некомпетентности.

По данным специалистов CSI с инсайдерскими угрозами столкнулись 59 % организаций [5].

Проблемы информационной безопасности при использовании...

риск, угроза, защита информации, злоумышленник, ERP-система, атака.

Методика проведения аудита информационной безопасности информационных систем персональных данных в негосударственных пенсионных фондах.

Общие проблемы в моделировании угроз и оценивании рисков...

Анализ угроз доступности информационной системы. Переменные, их классификация и описание в моделировании. Проблемы обеспечения информационной безопасности в открытых компьютерных системах.

Современные проблемы в области информационной...

Угроза раскрытия параметров системы. Угроза нарушения конфиденциальности.

Угроза нарушения доступности. Носителей информации.

контроль над режимом работы персонала КС

Информационная безопасность для бизнес-организаций

персонал, обслуживающий технические средства корпоративной информационной системы компании

Основные термины (генерируются автоматически): информационная безопасность, вид угроз, автоматизированная система, передача информации, нарушитель...

Анализ состава угроз для информационной безопасности...

информационная безопасность, обслуживающий персонал, угроза сбоя функционирования системы, информационный обмен, данные, высокоорганизованная система типа, городское население, проблема, состав...

Угрозы информационной безопасности образовательного...

Случайные – угрозы, вызванные ошибками или халатностью персонала

По аспекту информационной безопасности: Угрозы конфиденциальности, угрозы целостности, угрозы доступности.

Угрозы безопасности информации в автоматизированных системах

Следующим видом непреднамеренных угроз безопасности системы являются ошибки при разработке системы и ошибки в комплексах алгоритмов и программ (системные, алгоритмические, программные или технологические).

Направления защиты данных в интеллектуальных системах...

К угрозам сбоя функционирования системы вследствие проблем с данными относятся порча данных, их модификация при разрешенном доступе (обслуживающий персонал); как умышленные, так и неумышленные ошибки ввода...

Проблемы обнаружения подмены законного оператора ключевой...

‒ 50–55 % результат неумышленных ошибок персонала и/или пользователей системы в результате небрежности, халатности или некомпетентности.

По данным специалистов CSI с инсайдерскими угрозами столкнулись 59 % организаций [5].

Проблемы информационной безопасности при использовании...

риск, угроза, защита информации, злоумышленник, ERP-система, атака.

Методика проведения аудита информационной безопасности информационных систем персональных данных в негосударственных пенсионных фондах.

Общие проблемы в моделировании угроз и оценивании рисков...

Анализ угроз доступности информационной системы. Переменные, их классификация и описание в моделировании. Проблемы обеспечения информационной безопасности в открытых компьютерных системах.

Современные проблемы в области информационной...

Угроза раскрытия параметров системы. Угроза нарушения конфиденциальности.

Угроза нарушения доступности. Носителей информации.

контроль над режимом работы персонала КС

Информационная безопасность для бизнес-организаций

персонал, обслуживающий технические средства корпоративной информационной системы компании

Основные термины (генерируются автоматически): информационная безопасность, вид угроз, автоматизированная система, передача информации, нарушитель...

Обсуждение

Социальные комментарии Cackle

Похожие статьи

Анализ состава угроз для информационной безопасности...

информационная безопасность, обслуживающий персонал, угроза сбоя функционирования системы, информационный обмен, данные, высокоорганизованная система типа, городское население, проблема, состав...

Угрозы информационной безопасности образовательного...

Случайные – угрозы, вызванные ошибками или халатностью персонала

По аспекту информационной безопасности: Угрозы конфиденциальности, угрозы целостности, угрозы доступности.

Угрозы безопасности информации в автоматизированных системах

Следующим видом непреднамеренных угроз безопасности системы являются ошибки при разработке системы и ошибки в комплексах алгоритмов и программ (системные, алгоритмические, программные или технологические).

Направления защиты данных в интеллектуальных системах...

К угрозам сбоя функционирования системы вследствие проблем с данными относятся порча данных, их модификация при разрешенном доступе (обслуживающий персонал); как умышленные, так и неумышленные ошибки ввода...

Проблемы обнаружения подмены законного оператора ключевой...

‒ 50–55 % результат неумышленных ошибок персонала и/или пользователей системы в результате небрежности, халатности или некомпетентности.

По данным специалистов CSI с инсайдерскими угрозами столкнулись 59 % организаций [5].

Проблемы информационной безопасности при использовании...

риск, угроза, защита информации, злоумышленник, ERP-система, атака.

Методика проведения аудита информационной безопасности информационных систем персональных данных в негосударственных пенсионных фондах.

Общие проблемы в моделировании угроз и оценивании рисков...

Анализ угроз доступности информационной системы. Переменные, их классификация и описание в моделировании. Проблемы обеспечения информационной безопасности в открытых компьютерных системах.

Современные проблемы в области информационной...

Угроза раскрытия параметров системы. Угроза нарушения конфиденциальности.

Угроза нарушения доступности. Носителей информации.

контроль над режимом работы персонала КС

Информационная безопасность для бизнес-организаций

персонал, обслуживающий технические средства корпоративной информационной системы компании

Основные термины (генерируются автоматически): информационная безопасность, вид угроз, автоматизированная система, передача информации, нарушитель...

Анализ состава угроз для информационной безопасности...

информационная безопасность, обслуживающий персонал, угроза сбоя функционирования системы, информационный обмен, данные, высокоорганизованная система типа, городское население, проблема, состав...

Угрозы информационной безопасности образовательного...

Случайные – угрозы, вызванные ошибками или халатностью персонала

По аспекту информационной безопасности: Угрозы конфиденциальности, угрозы целостности, угрозы доступности.

Угрозы безопасности информации в автоматизированных системах

Следующим видом непреднамеренных угроз безопасности системы являются ошибки при разработке системы и ошибки в комплексах алгоритмов и программ (системные, алгоритмические, программные или технологические).

Направления защиты данных в интеллектуальных системах...

К угрозам сбоя функционирования системы вследствие проблем с данными относятся порча данных, их модификация при разрешенном доступе (обслуживающий персонал); как умышленные, так и неумышленные ошибки ввода...

Проблемы обнаружения подмены законного оператора ключевой...

‒ 50–55 % результат неумышленных ошибок персонала и/или пользователей системы в результате небрежности, халатности или некомпетентности.

По данным специалистов CSI с инсайдерскими угрозами столкнулись 59 % организаций [5].

Проблемы информационной безопасности при использовании...

риск, угроза, защита информации, злоумышленник, ERP-система, атака.

Методика проведения аудита информационной безопасности информационных систем персональных данных в негосударственных пенсионных фондах.

Общие проблемы в моделировании угроз и оценивании рисков...

Анализ угроз доступности информационной системы. Переменные, их классификация и описание в моделировании. Проблемы обеспечения информационной безопасности в открытых компьютерных системах.

Современные проблемы в области информационной...

Угроза раскрытия параметров системы. Угроза нарушения конфиденциальности.

Угроза нарушения доступности. Носителей информации.

контроль над режимом работы персонала КС

Информационная безопасность для бизнес-организаций

персонал, обслуживающий технические средства корпоративной информационной системы компании

Основные термины (генерируются автоматически): информационная безопасность, вид угроз, автоматизированная система, передача информации, нарушитель...

Задать вопрос