Адекватность классификации угроз

В настоящее время нет нужды доказывать, что идущие процессы стремительной информатизации всех направлений деятельности современного мирового сообщества объективно приводят к действительно революционным преобразованиям в жизни человечества.

Различным аспектам этих многоплановых и во многом трудноформализуемых явлений посвящено большое количество работ, причем значительная часть из них уделена вопросам информационной безопасности.

Разумеется, без такого всестороннего и углубленного анализа сложных явлений поиск истины невозможен, однако естественным негативным следствием этого огромного числа публикаций является то, что со временем изначальный смысл и цель исследований несколько затираются, а неумеренное употребление термина «информационная революция», как было точно подмечено в Ошибка! Источник ссылки не найден., вообще «порождает инфляцию исходного понятия».

В этой связи особое внимание привлекает ряд работ (в частности, публикации [Ошибка! Источник ссылки не найден.] и [Ошибка! Источник ссылки не найден.], в которых предпринимаются усилия не столько по углублению узкоспециальных знаний, сколько по осмыслению всех накопленных разнородных данных в этой предметной области для поиска (восстановления) глубинного смысла некоторых категорий. Ни в коей мере не претендуя на полноту освещения вопроса, авторы настоящей статьи тем не менее попытались с таких же общих позиций взглянуть на проблемы правового обеспечения информационной безопасности, то есть на те области человеческой деятельности, в которых пересекаются сферы «ответственности» информатизации, безопасности и права. Следуя методологии, предложенной в статье [11], определим безопасность как состояние защищенности от негативного воздействия каждого из этапов информационного процесса некоторого субъекта, реализующего свои цели и законные интересы в пространстве материального мира.

При этом под информационным процессом будем понимать все действия, так или иначе связанные с преобразованием информации в жизнедеятельности такого активного субъекта: получение им сигналов из внешнего мира, выделение из них информации (то есть интерпретацию сигналов в некоторые данные, имеющие для него содержательное значение), хранение и обработку накапливаемой информации, принятие на основе новых знаний об окружающем мире решений о своих действиях, то есть воплощение их в действительность. Именно в результате таких преобразований актуализируются основные качественные характеристики информации, наиболее важными из которых в практическом плане являются ценность, достоверность и своевременность.

Однако на каждом из этапов преобразование информации проходит в условиях действия различных факторов, стремящихся нарушить естественное, то есть бесконфликтное течение информационных процессов. Обобщающим для различных факторов такого рода (объективных и субъективных) является понятие угроз информационной безопасности.

Известно достаточно большое количество определений угроз информационной безопасности, которые, несмотря на отличия в деталях, едины в своей сути: под угрозами понимается опасность (существующая реально или потенциально) совершения какого-либо деяния (действия или бездействия), направленного на нарушение основных свойств информации: конфиденциальности, целостности, доступности.

Остановимся на последнем более подробно. Практически все исследователи, раскрывая виды возможных нарушений основных свойств информации, приводят один и тот же перечень: к угрозам нарушения конфиденциальности информации относят хищение (копирование) и утечку информации; к угрозам доступности – блокирование информации; к угрозам целостности – модификацию (искажение информации), отрицание подлинности информации или навязывание ложной информации.

Традиция выделять именно упомянутые три вида угроз безопасности информации, по-видимому, восходит к принятым в 1983 году «Критериям оценки компьютерных систем Министерства обороны США», более известным как «Оранжевая книга». Данный подход полностью сохранился и в Международном стандарте ИСО/МЭК 15408-99 (исторически сложившееся название – «Общие критерии»), и в его Российском аналоге ГОСТ Р ИСО/МЭК 15408-2002 «Критерии оценки безопасности информационных технологий».

Данные нормативные документы, как следует из их направленности, ориентированы в основном на компьютерные системы обработки информации. Принципиальной особенностью таких систем является то, что в них субъект отстраняется от процесса обработки информации и неявным образом делегирует свои полномочия по отдельным составляющим рассмотренного выше информационного процесса определенной аппаратно-программной среде, «которая обладает некоторой свободой в своих действиях и совсем не обязательно делает то, что хочет или предполагает пользователь» [5].

Можно допустить, что для такого рода компьютерных систем известная классификация угроз информационной безопасности является исчерпывающей и удовлетворяющей практические потребности на разумную перспективу.

Вместе с тем, в общем случае необходимость «раскладывания» конкретных примеров отрицательного воздействия внешних факторов на информационный процесс некоторого субъекта всего лишь по трем «делам» (конфиденциальность-доступность-целостность) может вызывать значительные проблемы.

И вопрос здесь не столько в необходимости учета особенностей различных источников угроз безопасности (антропогенные – преднамеренные и случайные, техногенные, природные) [Ошибка! Источник ссылки не найден.], сколько в трудностях корректной правовой оценки соответствующих явлений.

За противоправные действия виновные лица могут нести гражданско-правовую, административную, уголовную и иную ответственность. При этом наибольшая степень наказания личности нарушителя обеспечивается при наличии уголовных санкций, когда правонарушения в зависимости от их общественной значимости, массовости, типичности и устойчивости проявления переводятся (криминализируются) в разряд преступлений Ошибка! Источник ссылки не найден..

Вместе с тем, в Главе 28 Уголовного кодекса РФ предусмотрена ответственность только за некоторые правонарушения в информационной сфере: ст. 272 – неправомерный доступ к компьютерной информации; ст. 273 – создание, использование и распространение вредоносных программ для ЭВМ; ст. 274 – нарушение правил эксплуатации ЭВМ, систем ЭВМ или их сети. Ответственность за правонарушения в этой области предусмотрены и некоторыми другими статьями УК РФ, но их очень мало.

Безусловно, такое нормативно-правовое регулирование в рамках действующего законодательства всего множества угроз в информационной сфере является явно недостаточным [Ошибка! Источник ссылки не найден.], особенно с учетом высокой скрытности (латентности) этого вида преступлений и сложности сбора улик даже по установленным фактам [Ошибка! Источник ссылки не найден.].

Примером этого может служить сложность уголовно-правовой оценки так называемого фрода (fraud, англ.) – мошенничества в сотовых сетях связи, связанного с неправомочным и преднамеренным доступом абонента к услугам связи с целью извлечения личной или коллективной выгоды [Ошибка! Источник ссылки не найден.]. Действительно, даже самый распространенный вид фрода – неправомочное изготовление (клонирование) телефонных трубок, только с натяжкой можно отнести к одному из видов преступлений, предусмотренных Главой 28 Уголовного кодекса РФ.

К другим негативным явлениям, сопровождающим информационные процессы и вместе с тем вызывающим сложности правовой квалификации, также следует отнести:

- незаконную продажу баз данных об абонентах мобильной связи;
незаконную продажу архивов SMS-сообщений;

- незаконный доступ к служебной информации о местонахождении абонентов (отслеживание роуминга);

- распространение оскорбительных и непристойных материалов в сети Интернет (спамминг);

- нарушение прав интеллектуальной собственности;

- продажу аппаратно-программных средств с недекларированными возможностями.

Список можно продолжать еще долго.

Прокрустово ложе описанной выше классификации угроз информационной безопасности всего лишь из трех составляющих (нарушения конфиденциальности, целостности, доступности) в значительном числе практически важных случаев скорее порождает вопросы, чем помогает отвечать на них.

Действительно, является ли реализацией угрозы информационной безопасности использование чужих сообщений как стеганографических контейнеров для передачи засекреченных сообщений (пусть даже используемых для подготовки преступления), если при этом качество передачи чужого сообщения практически не нарушалось? Насколько общество (законодатель) могут игнорировать нелегальное использование чужой информации как носителя сообщений, содержащих общественно опасную информацию?

Или другое, насколько безобидны действия оператора связи, если в результате перегрузки системы, существующей по его вине, информация до адресата поступает с существенным опозданием?

Казалось бы, такого рода событие является скорее досадным обстоятельством, нежели опасным явлением. Однако следует вспомнить, что при этом нарушается одно из главных свойств информации – ее своевременность.

Итак, становится очевидным, что существующая классификация угроз информационной безопасности требует своего развития и уточнения. Не случайно в проекте Европейской конвенции о киберпреступности объективная сторона киберпреступлений характеризуется выделением гораздо большего числа групп общественно опасных деяний, то есть гораздо большей детализацией, чем классификация из трех видов. В частности, Европейская конвенция различает противозаконный доступ (статья 2) и противозаконный перехват данных (статья 3), вмешательство в функционирование системы (статья 5) и противоправное использование устройств (статья 6), подлог с использованием компьютеров (статья 7) и мошенничество с использованием компьютеров (статья 8), правонарушения, связанные с содержанием данных (статья 9) и с нарушением авторского права (статья 10).

В настоящей статье нет необходимости подробно останавливаться на разъяснении положений проекта Европейской конвенции о киберпреступности, поскольку такой подробный анализ выполнен в публикации [Ошибка! Источник ссылки не найден.].

С позиций настоящего исследования важно лишь обратить внимание читателей на появление таких нормативно-правовых актов, в которых делается уточнение и детализация известных угроз информационной безопасности в соответствии с новыми реалиями. А также стоит отметить, что с точки зрения любой отрасли права (гражданского, административного, уголовного и др.) современные угрозы информационной безопасности не должны быть ограничены известной классификацией, включающей в себя нарушения лишь конфиденциальности, доступности и целостности информации. Появление новых особенностей информационного процесса в современном мире вызывают необходимость обновлять содержательное значение термина «угроза информационной безопасности».

Основные понятия и определения

Организация обеспечения безопасности информации должна носить комплексный характер и основываться на глубоком анализе возможных негативных последствий. При этом важно не упустить какие-либо существенные аспекты. Анализ негативных последствий (рисков) предполагает обязательную идентификацию возможных источников угроз, уязвимостей, способствующих их проявлению и, как следствие, определение актуальных угроз безопасности информации.

В ходе такого анализа необходимо убедиться, что все возможные источники угроз идентифицированы, с ними сопоставлены все возможные уязвимости, присущие объекту защиты, а также всем идентифицированным источникам и уязвимостям сопоставлены угрозы безопасности информации.

Исходя из данного принципа, моделирование и классификацию источников угроз и рисков целесообразно проводить на основе анализа взаимодействия логической цепочки понятий:источник угрозы - уязвимость – риск.

Обобщив выше изложенное, можно утверждать, что угрозой интересам субъектов информационных отношений является потенциально возможное событие, процесс или явление, которое посредством воздействия на информацию или другие компоненты АС может прямо или косвенно привести к нанесению ущерба интересам данных субъектов путем: хищения (копирования) информации; уничтожения информации; модификации (искажение) информации; нарушение доступности (блокирование) информации; отрицание подлинности информации; навязывание ложной информации.

Основная цель создания более полной классификации угроз - детальная классификация, которая описывает все существующие угрозы информационной безопасности, по которой каждая из угроз попадает только под один классификационный признак, и которая, таким образом, наиболее применима для анализа рисков реальных информационных систем.