Тайную данные возможно поделить на предметную и служебную. Служебная информация (к примеру, пароли пользователей) не относится к определенной предметной области, в информационной совокупности она играется техническую роль, но ее раскрытие особенно страшно, потому, что оно угрожает получением несанкционированного доступа ко всех данных, а также предметной.
Кроме того в случае если информация хранится в компьютере либо предназначена для компьютерного применения, угрозы ее конфиденциальности смогут носить некомпьютерный и по большому счету нетехнический темперамент.
Многим людям приходится выступать в качестве пользователей не одной, а многих совокупностей (информационных сервисов). В случае если для доступа к таким совокупностям употребляются многоразовые пароли либо другая тайная информация, то точно эти сведенья будут храниться не только в голове, но и в записной книжке либо на листках бумаги, каковые пользователь довольно часто оставляет на рабочем столе, в противном случае и попросту теряет. И дело тут не в неорганизованности людей, а в изначальной непригодности парольной схемы. Нереально не забывать большое количество различных паролей; советы по их регулярной (по возможности – нередкой) смене лишь усугубляют положение, заставляя использовать несложные схемы чередования либо по большому счету стараться свести дело к двум-трем легко запоминаемым (и столь же легко угадываемым) паролям.
Обрисованный класс уязвимых мест возможно назвать размещением тайных данных в среде, где им не обеспечена (обычно – и не может быть обеспечена) нужная защита. Угроза же пребывает в том, что кто-то не откажется определить секреты, каковые сами просятся в руки. Кроме паролей, хранящихся в записных книжках пользователей, в данный класс попадает передача тайных данных в открытом виде (в беседе, в письме, по сети), которая делает вероятным перехват данных. Для атаки смогут употребляться различные технические средства (подслушивание либо прослушивание бесед, пассивное прослушивание сети и т.п.), но мысль одна – осуществить доступ к данным в тот момент, в то время, когда они наименее защищены.
Угрозу перехвата разрешённых следует принимать к сведенью не только при начальном конфигурировании ИС, но и, что крайне важно, при всех трансформациях. Очень страшной угрозой являются… выставки, на каковые многие организации, недолго думая, отправляют оборудование из производственной сети, со всеми хранящимися на них данными. Остаются прошлыми пароли, при удаленном доступе они передаются в открытом виде. Это не хорошо кроме того в пределах защищенной сети организации; в объединенной сети выставки – это через чур жёсткое опробование честности всех участников.
Еще один пример трансформации, о котором довольно часто забывают, – хранение данных на резервных носителях. Для защиты данных на главных носителях используются развитые совокупности управления доступом; копии же часто в шкафах и получить доступ к ним смогут многие.
Перехват данных – весьма важная угроза, и в случае если конфиденциальность вправду есть критичной, а эти передаются по многим каналам, их защита может оказаться сверхсложной и дорогостоящей. Технические средства перехвата прекрасно проработаны, дешёвы, несложны в эксплуатации, а установить их, к примеру, на кабельную сеть, может любой желающий, так что эту угрозу необходимо принимать к сведенью по отношению не только к внешним, но и к внутренним коммуникациям.
Кражи оборудования являются угрозой не только для резервных носителей, но и для компьютеров, в особенности портативных. Довольно часто ноутбуки оставляют без присмотра на работе либо в автомобиле, время от времени .
Страшной нетехнической угрозой конфиденциальности являются способы морально-психотерапевтического действия, такие как маскарад – исполнение действий под видом лица, владеющего полномочиями для доступа к данным.
К неприятным угрозам, от которых тяжело защищаться, возможно отнести злоупотребление полномочиями. На многих типах совокупностей привилегированный пользователь (к примеру, системный администратор) способен прочесть любой (незашифрованный) файл, получить доступ к почте любого пользователя и т.д. Второй пример – нанесение ущерба при сервисном обслуживании. В большинстве случаев сервисный инженер приобретает неограниченный доступ к оборудованию и имеет возможность функционировать в обход программных защитных механизмов.
Таковы главные угрозы, каковые наносят большой вред субъектам информационных взаимоотношений.
С. Горбачёв, Современные угрозы информационной безопасности
