Умисні загрози поділяють на пасивні і активні.
Пасивні загрози спрямовані в основному на несанкціоноване використання інформаційних ресурсів АІС, не впливаючи при цьому на її функціонування. Наприклад, несанкціонований доступ до баз даних, прослуховування каналів зв'язку і т. Д.
Активні загрози мають на меті порушення нормального функціонування АІС шляхом цілеспрямованого впливу на її компоненти. До активних загроз відносяться, наприклад, висновок ладу ПЕОМ або її операційної системи, спотворень відомостей в АБД, руйнування програмного забезпечення (ПО) ЕОМ, порушення роботи ліній зв'язку і т. Д. Джерелом активних загроз можуть бути дії зломщиків, шкідливі програми і т. д.
Основні загрози безпеки інформації і нормального функціонування АІС
- витік конфіденційної інформації;
- компрометацію інформації;
- несанкціоноване використання інформаційних ресурсів;
- помилкове використання інформаційних ресурсів;
- несанкціонований обмін інформацією між абонентами;
- відмова від інформації;
- порушення інформаційного обслуговування;
- незаконне використання привілеїв;
- несанкціонований доступ;
- особливі види загроз;
- шкідливі програми.
Витік конфіденційної інформації - це безконтрольний вихід конфіденційної інформації за межі АІС або кола осіб, яким вона була довірена по службі або стала відома в процесі роботи. Цей витік може бути наслідком:
- розголошення конфіденційної інформації;
- догляду інформації з різних, головним чином технічними каналами;
- несанкціонованого доступу до конфіденційної інформації різними способами.
Компрометація інформації - один з видів інформаційних інфекцій. Реалізується, як правило, за допомогою несанкціонованих змін в базі даних, в результаті чого споживач змушений або відмовитися від неї, або докладати додаткові зусилля для виконання змін і відновлення істинних відомостей. У разі використання скомпрометованої інформації споживач наражається на небезпеку прийняття неправильних рішень з усіма наслідками, що випливають звідси наслідками.
Несанкціоноване використання інформаційних ресурсів. З одного боку, це явище є наслідком витоку інформації і засобом її компрометації. З іншого боку, воно має самостійне значення, так як може завдати великої шкоди керованій системі (аж до виходу АІС з ладу) або збиток її абонентам.
Помилкове використання інформаційних ресурсів, будучи санкціонованим, проте може привести до руйнування, витоку або компрометації вказаних ресурсів. Дана загроза найчастіше є наслідком помилок з наявних в ПО АІС.
Несанкціонований обмін інформацією між абонентами може призвести до отримання одним з них відомостей, доступ до яких йому заборонений. Наслідки ті ж, що при несанкціонованому доступі.
Відмова від інформації полягає в невизнанні одержувачем або відправником цієї інформації фактів її отримання або відправки. Це дозволяє одній зі сторін розривати висновок фінансової угоди «технічним» шляхом, формально не відмовляючись від них, завдаючи тим самим другій стороні значної шкоди.
Порушення інформаційного обслуговування - загроза, джерелом якої є сама АІС. Затримка з поданням інформаційних ресурсів абоненту може привести до тяжких для нього наслідків. Відсутність у користувача сучасних даних, необхідних для прийняття рішень, може викликати його нераціональні дії.
Незаконне використання привілеїв. Будь-яка захищена система містить засоби, що використовуються в надзвичайних ситуаціях, або засоби, які здатні функціонувати з порушенням існуючої політики безпеки. Наприклад, іноді на випадок раптової перевірки користувач повинен мати можливість доступу до всіх наборів системи. Зазвичай ці кошти використовуються адміністраторами, операторами, системними програмістами та іншими користувачами, які виконують спеціальні функції.
Більшість систем захисту в таких випадках використовують набори привілеїв, тобто для виконання певної функції потрібна певна привілей. Зазвичай користувачі мають мінімальний набір привілеїв, адміністратори - максимальні.
Набори привілеїв охороняються системою захисту. Несанкціонований (незаконний) захоплення привілеїв призводить, таким чином, до можливості несанкціонованого виконання певної функції. Розширений набір привілеїв - мрія будь-якого зловмисника. Він дозволить зловмиснику здійснювати бажане для нього дію в обхід всіх заходів контролю. Незаконне захоплення привілеїв можливий при наявності помилок в системі захисту, але найчастіше при недбалості в процесі керування системою захисту, зокрема при користуванні привілеями.
Несанкціонований доступ - це протиправне навмисне оволодіння конфіденційною інформацією особою, яка не має право доступу до охоронюваним відомостей. Найбільш поширеними шляхами несанкціонованого доступу до інформації є:
Перераховані види несанкціонованого доступу вимагають досить великих технічних знань і відповідних апаратних або програмних розробок з боку зломщика. Наприклад, використовуються технічні канали витоку - це фізичні шляху від джерела конфіденційної інформації до зловмисника, за допомогою яких можливе отримання охоронюваних відомостей. Серед каналів витоку відомі візуально-оптичні, акустичні, електромагнітні та ін. Причиною виникнення каналів витоку є конструктивні технологічні недосконалості схемних рішень, або експлуатаційних знос елементів. Все це дозволяє хакерам створювати діючі на певних фізичних принципах перетворювачі, що утворюють притаманний цим принципам канал передачі інформації - канал витоку.
Однак є і досить примітивні шляху несанкціонованого доступу:
- розкрадання носіїв інформації і документальних відходів;
- ініціативне співробітництво;
- схиляння до співпраці з боку зломщика;
- випитиванія;
- підслуховування;
- спостереження й інші шляхи.
Будь-які способи витоку конфіденційної інформації можуть привести до значного матеріального і морального збитку як для організації, де функціонує АІС, так і для її користувачів.
Менеджерам слід пам'ятати, що досить велика частина причин і умов, що створюють передумови і можливість неправомірного оволодіння конфіденційної інформації, виникає через елементарних недоробок керівників підприємств і їх співробітників. Наприклад, до причин і умов, що створює передумови для витоку комерційних секретів, можуть належати:
- недостатнє знання працівників підприємства правил захисту конфіденційної інформації та нерозуміння необхідності їх ретельного дотримання;
- використання неатестованих технічних засобів обробки конфіденційної інформації;
- слабкий контроль за дотриманням правил захисту інформації правовими, організаційними та інженерно-технічними заходами;
- плинність кадрів, в тому числі володіють відомостями, що становлять комерційну таємницю;
- інші результати організаційних недоробок, в результаті яких винуватцями витоку інформації є люди - співробітники АІС.