Brand_name Arnis_logo
Центр информационной безопасности
главная > информация по теме

Информационная безопасность и защищенность
информационных систем


Определение причин возникновения уязвимостей всех уровней по ГОСТ Р ИСО/МЭК 15408-3-2002:

Неизбежный "человеческий" фактор, который принято недооценивать с формальной и технократической точек зрения и незаслуженно переоценивать с исторической. Любое технологическое новшество прежде всего создается с единственной целью "одушевления" идеи, и лишь уже в процессе эксплуатации начинает приобретать качества и свойства, соответствующие реальному окружению, как, к примеру, современные компьютеры, наряду с интеллектуализацией начинки, приобрели структуру, во многом схожую со строением высших представителей живого мира - устройства ввода-вывода, оснащенные различными пока еще немногочисленными датчиками, память, долговременная и не очень, система внешних и внутренних интерфейсов с недосягаемой пока полосой пропускания и разрядностью шин обмена информацией и т.д..

Научное и технологическое совершенство одного далеко от совершенства более изящного в целом, но не лишенного естественных недостатков нашего естества, что и обуславливает бесконечные уязвимости всего созданного человеком, выступающего в качестве одного из естественных биологических фильтров окружающего мира, продуктом деятельности которого и являются формализованные им крупицы мирового знания, представленные в виде законов, наук, отдельных теорий и, в частности, тех же стандартов.

По словам известного героя "нельзя объять необъятное", но и стремление к этому у "высшей формы" не отнять, поэтому текущие ошибки и даже временные заблуждения следует принимать, как неизбежные и с необходимой степенью готовности к ним и четко сформулированными условиями приемлемости для их частичной нейтрализации

Уязвимости могут возникать из-за недостатков:

а) требований — т.е. продукт или система ИТ могут обладать всеми требуемыми функциями и свойствами, но все же содержать уязвимости, которые делают их непригодными или неэффективными в части безопасности;
б) проектирования — т.е. продукт или система ИТ не отвечают спецификации, и/или уязвимости являются следствием некачественных стандартов проектирования или неправильных проектных решений;
в) эксплуатации — т.е. продукт или система ИТ разработаны в полном соответствии с корректными спецификациями, но уязвимости возникают как результат неадекватного управления при эксплуатации."

Относительную оценку степени угроз, обусловленных уязвимостями, можно провести на основании ежегодно проводимых Ernst & Young, CIS, FBI исследований по информационной безопасности. С одной стороны, наибольшую озабоченность респондентов вызывают зловредное программное обеспечение и несоблюдение сотрудниками правил пользования информационными системами, а с другой - из десяти основных причин отказов в обслуживании фактически лишь две обусловлены внешними факторами. При этом статистика неумолимо свидетельствует о происхождении подавляющего большинства причин отказов по внутренним причинам, и, соответственно, о традиционном заблуждении в вопросе мотивации собственных сотрудников, в том числе и бывших, клиентов и партнеров и недооценке информированности перечисленных категорий о существующих уязвимостях потенциальных нарушителей, всегда несоизмеримо более высоких, что и обеспечивает более высокую "результативность" неправомерных действий по сравнению с внешними "варягами".

Таким образом, любой потенциальный объект нападения, априорно обладающий "штатным" списком недостатков и уязвимостей, представляет достаточно широкий выбор средств для реализации неправомерной цели на предельно высоком уровне критичности информационной системы без существенных материальных затрат и без опасения обнаружения этих действий.

Достигнутое соглашение о неизбежности уязвимостей позволяет перейти к определению методов обеспечения доверия к продукту, в нашем случае - доверия к информационной системе.

Страница 1 2 3 4 5

© Центр Сетевой Безопасности Арнис, 2005

о компании | карта сайта | политика конфиденциальности | условия использования | ©2005-2017 Arnis Security mail address Главная страница