Информационная безопасность и защищенность
информационных систем
Определение причин возникновения уязвимостей всех уровней по ГОСТ Р ИСО/МЭК 15408-3-2002:
Неизбежный "человеческий" фактор, который принято недооценивать с формальной и технократической точек зрения и незаслуженно переоценивать с исторической. Любое технологическое новшество прежде всего создается с единственной целью "одушевления" идеи, и лишь уже в процессе эксплуатации начинает приобретать качества и свойства, соответствующие реальному окружению, как, к примеру, современные компьютеры, наряду с интеллектуализацией начинки, приобрели структуру, во многом схожую со строением высших представителей живого мира - устройства ввода-вывода, оснащенные различными пока еще немногочисленными датчиками, память, долговременная и не очень, система внешних и внутренних интерфейсов с недосягаемой пока полосой пропускания и разрядностью шин обмена информацией и т.д..
Научное и технологическое совершенство одного далеко от совершенства более изящного в целом, но не лишенного естественных недостатков нашего естества, что и обуславливает бесконечные уязвимости всего созданного человеком, выступающего в качестве одного из естественных биологических фильтров окружающего мира, продуктом деятельности которого и являются формализованные им крупицы мирового знания, представленные в виде законов, наук, отдельных теорий и, в частности, тех же стандартов.
По словам известного героя "нельзя объять необъятное", но и стремление к этому у "высшей формы" не отнять, поэтому текущие ошибки и даже временные заблуждения следует принимать, как неизбежные и с необходимой степенью готовности к ним и четко сформулированными условиями приемлемости для их частичной нейтрализации
Уязвимости могут возникать из-за недостатков:
а) требований — т.е. продукт или система ИТ могут
обладать всеми требуемыми функциями и свойствами, но все же содержать
уязвимости, которые делают их непригодными или неэффективными в части
безопасности;
б) проектирования — т.е. продукт или система ИТ не
отвечают спецификации, и/или уязвимости являются следствием некачественных
стандартов проектирования или неправильных проектных решений;
в) эксплуатации — т.е. продукт или система ИТ разработаны
в полном соответствии с корректными спецификациями, но уязвимости возникают
как результат неадекватного управления при эксплуатации."
Относительную оценку степени угроз, обусловленных уязвимостями, можно провести на основании ежегодно проводимых Ernst & Young, CIS, FBI исследований по информационной безопасности. С одной стороны, наибольшую озабоченность респондентов вызывают зловредное программное обеспечение и несоблюдение сотрудниками правил пользования информационными системами, а с другой - из десяти основных причин отказов в обслуживании фактически лишь две обусловлены внешними факторами. При этом статистика неумолимо свидетельствует о происхождении подавляющего большинства причин отказов по внутренним причинам, и, соответственно, о традиционном заблуждении в вопросе мотивации собственных сотрудников, в том числе и бывших, клиентов и партнеров и недооценке информированности перечисленных категорий о существующих уязвимостях потенциальных нарушителей, всегда несоизмеримо более высоких, что и обеспечивает более высокую "результативность" неправомерных действий по сравнению с внешними "варягами".
Таким образом, любой потенциальный объект нападения, априорно обладающий "штатным" списком недостатков и уязвимостей, представляет достаточно широкий выбор средств для реализации неправомерной цели на предельно высоком уровне критичности информационной системы без существенных материальных затрат и без опасения обнаружения этих действий.
Достигнутое соглашение о неизбежности уязвимостей позволяет перейти к определению методов обеспечения доверия к продукту, в нашем случае - доверия к информационной системе.
© Центр Сетевой Безопасности Арнис, 2005
