Неправильная коммутация (маршрутизация)

Угроза конфиденциальности

Предотвращение затруднительно

Обнаружение может быть простым

Частота довольно часто

Последствияпотенциально довольно большие

Защитаулучшение качественных характеристик оборудования, коммутации, внимание при наборе номера, индикация набираемого номера на периферийном устройстве, идентификация получателя информации.

Неточная или устаревшая информация

Угроза целостности, законодательству или этике

Предотвращение возможности трудности

Обнаружение может быть весьма затруднительным

Частота часто

Последствия потенциально очень большие

Защита информация вводится дважды разными сотрудниками с последующим автоматизированным сравнением для обнаружения мест, которая отличается и исправляется вручную, используя оригинал.

Ошибки программирования

Угроза конфиденциальности

Предотвращение невозможно

Обнаружение иногда достаточно сложно

Частотаповсеместна в компьютерном приложении и неизвестна в средствах телекоммуникаций

Последствия потенциально очень большие

Защитаотладка программного обеспечения и проверка функционирования программируемого оборудования во всех режимах работы

Перегрузка

Угроза доступности

Предотвращение весьма затруднительно

Обнаружение простое

Частота неизвестна

Последствия потенциально очень большие

Защита полнодоступные системы связи (типа CDMA), многолинейные телефоны

Перехват

Угроза конфиденциальности

Предотвращение простое при использовании шифрования, в остальных случаях невожможно

Обнаружение сложно или невозможно

Частота неизвестна

Последствия потенциально очень большие

Защита улучшение качества коммутационного оборудования, защита линий связи от несанкционированного доступа, шифрование

Пиггибекинг

Угроза конфиденциальности

Предотвращение возможны трудности

Обнаружение может быть затруднительным

Частота неизвестна

Последствия потенциально очень большие

Защита:

-от физического пиггибекинга – применение турникетов, ловушек, телекамер и охраны

-от электрического пиггибекинга – периодическая аутентификация абонента во время сеанса, корректное завершение работы

Пожары и другие стихийные бедствия

Угроза: целостности, доступности

Предотвращение: затруднительно

Обнаружение: простое

Частота: неизвестна

Последствия: потенциально очень большие

Защита: планирование нештатных ситуаций, спецподготовка технического персонала, системы пожаротушения.

Потайные ходы и лазейка

Угроза: конфиденциальности, целостности, доступности

Предотвращение: очень трудно

Обнаружение: очень трудно

Частота: неизвестна

Последствия: потенциально очень большие

Потайной ход (back door) – это дополнительный способ проникновения в системы часто преднамеренно, создаваемый разработчиками систем и сетей, хотя иногда он может возникать случайно.

Лазейка (trap door) – разновидность back door.

Препятствия использованию

Угроза: доступности

Предотвращение: очень трудно

Обнаружение: очень легко

Частота: неизвестна

Последствия: потенциально очень большие

Защита: контроль за предоставляемыми ресурсами

Сбор мусора

Угроза: конфиденциальности

Предотвращение: затруднительно

Обнаружение: весьма затруднительно

Частота: неизвестна

Последствия: потенциально очень большие

Защита: не храните конфиденциальную информацию в ненадежном месте

Сетевые анализаторы

Угроза: конфиденциальности

Предотвращение: невозможности

Обнаружение: очень сложное и невозможно

Частота: неизвестна, но происходит все чаще

Последствия: потенциально очень большие

Защита: применение шифрования

Фрод

Угроза: законам

Предотвращение: трудно

Обнаружение: может быть затруднительным

Частота: неизвестна

Последствия: потенциально очень большие

Защита: регистр идентификации аппаратуры в каждой сети, антифродовые законодательные акты

Телефонное хулиганство

Угроза: доступности

Предотвращение: сложности

Обнаружение: просто

Частота: неизвестна

Последствия: потенциально большие

Защита:

- применение телефона с определенного номера (АОН)

- постарайтесь продлить разговор и записать его на магнит. или дать прослушать соседям, знакомым. Цель: получение максимальной информации для установления источника информации

- положить трубку рядом с аппаратом

- не ломайте телефоны-автоматы. Он понадобится.

Принципы управления риском

Некоторые принципы управления риском

Цель: поиск эффективных мер предосторожности от случайных и преднамеренных воздействий на защищаемую систему.

Программное управление риском включает в себя 4 основных элемента:

- определение степени риска и анализ опасности

- выбор мер обеспечения безопасности

- сертификация и аккредитация (утверждение)

-планирование случайности

Определение степени риска

Определение степени риска – определение вероятности угроз и потенциальных потерь, которые могут произойти вследствие изъянов в сети. Конечная цель анализа риска – помощь в выборе самых эффективных по стоимости мер безопасности для снижения риска до приемного уровня.

Большинство методов анализа опасностей в качестве исходных данных требует определения и идентификации ценностей.

Ценности могут включать следующие категории:

-информация; -оборудование; -инвентарь; -персонал; - услуги; -недвижимость; - доход.После определения ценности применяется различные методы подсчета потенциальных потерь. Существуют количественные и качественные методики.

Выбор мер обеспечения безопасности

Это важная функция управления риском. Меры должны предприниматься в следующих направлениях:

- уменьшение вероятности возникновения угроз

- уменьшение разрушительного воздействия при возникновении угрозы

- обеспечение восстановления после возникновения угрозы

При выборе мер обеспечения безопасности руководители должны обратить внимание на области с наибольшими потенциальными потерями. Эффективность с точки зрения стоимости означают, что расходы на внедрение и поддержку мер безопасности не должны превышать стоимость потенциальных потерь.

Сертификация и утверждение.

Сертификация - техническое подтверждение того, что меры безопасности и контроля подобранные для защищаемой системы, соответствует требованиям и функционирует нормально.

Утверждение – официальное разрешение на установку или временное прекращение определенной деятельности.

Планирование нештатных ситуаций Планирование нештатных ситуаций обеспечивает возможность продолжения работы самых важных систем в случае неожиданных событий.

Независимо от того, имеется ли формальный план действий на случай различных коллизий, можно предпринять некоторые контрмеры. Например, в следующих направлениях:

• предупреждение, выявление и тушение пожаров, а также защита от них;

• предупреждение и обнаружение затоплений, а также зажита/устранение последствий;

• системы электропитания;

• обслуживающее оборудование (теплообменники, вентиляторы, кондиционеры);

• природные катаклизмы;

• наведение порядка.

Принцип управления риском

• Все системы могут пострадать от одной и той же популяции угроз. Популяция угроз бесконечна по их числу и разнообразию. В любой системе и в любом месте можно встретить проявление любой угрозы, - изменяется лишь вероятность ее возникновения.

• На частоту возникновения угрозы нельзя ничем повлиять. Определенные изменения частоты угроз на самом деле являются следствием принимаемых контрмер.

• Уязвимость уменьшается с увеличением контрмер. Уровень уязвимости снижается при их применении.

• Каждая контрмера имеет свои уязвимые места, поэтому невозможно достичь нулевого уровня уязвимости.

С помощью контрмер можно добиться приемлемого уровня уязвимости. Существует набор контрмер, с помощью которого можно достичь любого уровня уязвимости.

• Все контр меры потребуют затрат со стороны организации. Расходы на внедрение контрмер, необходимых для достижения приемлемого уровня уязвимости, могут, в свою очередь, оказаться неприемлемыми.

Чем меньше диапазон допустимых отклонений от необходимого уровня безопасности, тем больше расходы на внедрение и проведение контрмер. С другой стороны, чем больше расходы на контрмеры, тем больше необходима мотивация этих расходов.

• Точно измерить можно только затраты. Частоту возникновения угроз, их серьезность и возможность предотвращения чаще всего измерить не удается. Выбор контрмер всегда требует потратить осязаемое (реальные расходы в связи с применением контрмер) на неосязаемое (потенциальные потери).

• 8. Организационно-технические мероприятия по обеспечению безопасности в системах телекоммуникации

Безопасность информации в системах телекоммуникации обеспечивается применением комплекса мер, которые можно классифицировать следующим образом:

• организационные меры;

• технические меры;

криптографические меры.

⇐ Предыдущая 1 234 5 6 7 8 Следующая ⇒