Amenazas a la seguridad de la información

La versión actual de la página aún no ha sido revisada por colaboradores experimentados y puede diferir significativamente de la versión revisada el 30 de mayo de 2015; las comprobaciones requieren 57 ediciones .

Amenaza a la seguridad de la información  : un conjunto de condiciones y factores que crean el peligro de violar la seguridad de la información . [una]

Amenaza (en general) se entiende como un evento, acción (impacto), proceso o fenómeno potencialmente posible que puede conducir a un daño a los intereses de alguien.

Clasificación

Las amenazas a la seguridad de la información se pueden clasificar según varios criterios:

• Según el aspecto de la seguridad de la información al que van dirigidas las amenazas:
  • Amenazas a la confidencialidad (acceso ilegal a la información). La amenaza de una violación de la confidencialidad radica en el hecho de que la información llega a ser conocida por alguien que no tiene la autoridad para acceder a ella. Ocurre cuando se obtiene acceso a alguna información restringida almacenada en un sistema informático o transmitida de un sistema a otro. En relación con la amenaza de violación de la confidencialidad, se utiliza el término "filtración". Tales amenazas pueden surgir por el “factor humano” (por ejemplo, delegación accidental de privilegios de otro usuario a uno u otro usuario), fallas de software y hardware. La información de acceso restringido incluye secretos de estado [2] e información confidencial [3] (secretos comerciales, datos personales, secretos de tipo profesional: médicos, de abogados, bancarios, de oficina, notariales, de seguros, de investigación y de procesos judiciales, correspondencia, conversaciones telefónicas, postales). despachos, mensajes telegráficos u otros (secreto de comunicación), información sobre la esencia de la invención, modelo de utilidad o diseño industrial antes de su publicación oficial (know-how), etc.).
  • Amenazas a la integridad (modificación indebida de datos). Las amenazas a la integridad son amenazas asociadas a la posibilidad de modificar una u otra información almacenada en el sistema de información. La violación de la integridad puede ser causada por varios factores, desde acciones deliberadas del personal hasta fallas en el equipo.
  • Amenazas a la accesibilidad (realización de acciones que imposibiliten o dificulten el acceso a los recursos del sistema de información). La interrupción de la disponibilidad es la creación de tales condiciones bajo las cuales el acceso a un servicio o información será bloqueado o posible por un tiempo que no garantizará el cumplimiento de ciertos objetivos comerciales.

• Por ubicación de la fuente de la amenaza:
  • Interno (las fuentes de amenazas se encuentran dentro del sistema);
  • Externo (las fuentes de amenazas están fuera del sistema).

• En cuanto a los daños causados:
  • General (causando daños al objeto de seguridad en su conjunto, causando daños significativos);
  • Local (causando daño a partes individuales del objeto de seguridad);
  • Privado (causando daño a las propiedades individuales de los elementos del objeto de seguridad).

• Por el grado de impacto en el sistema de información:
  • Pasivo (la estructura y el contenido del sistema no cambian);
  • Activo (la estructura y el contenido del sistema están sujetos a cambios).

• Por la naturaleza de la ocurrencia:
  • Natural (objetivo): causado por el impacto en el entorno de información de procesos físicos objetivos o fenómenos naturales que no dependen de la voluntad del hombre;
  • Artificial (subjetivo): causado por el impacto en la esfera de información de una persona. Entre las amenazas artificiales, a su vez, se encuentran:
    • Amenazas no intencionales (accidentales): errores en el software, personal, fallas en el funcionamiento de los sistemas, fallas en los equipos informáticos y de comunicación;
    • Amenazas deliberadas (intencionales): acceso ilegal a la información, desarrollo de software especial utilizado para el acceso ilegal, desarrollo y distribución de programas de virus, etc. Las amenazas intencionales son causadas por las acciones de las personas. Los principales problemas de la seguridad de la información están relacionados principalmente con las amenazas deliberadas, ya que son la principal causa de delitos y faltas [4] .

Clasificación de las fuentes de amenazas a la seguridad de la información

Los portadores de amenazas a la seguridad de la información son las fuentes de amenazas. Las fuentes de amenazas pueden ser tanto sujetos (personalidad) como manifestaciones objetivas, por ejemplo, competidores, delincuentes, funcionarios corruptos, órganos administrativos y gerenciales. Las fuentes de amenazas persiguen los siguientes fines: la familiarización con la información protegida, su modificación con fines mercenarios y su destrucción para causar daños materiales directos.

• Todas las fuentes de amenazas a la seguridad de la información se pueden dividir en tres grupos principales:
  • Provocados por las acciones del sujeto (fuentes antropogénicas)  - sujetos cuyas acciones pueden conducir a una violación de la seguridad de la información, estas acciones pueden calificarse como delitos intencionales o accidentales. Las fuentes cuyas acciones pueden conducir a una violación de la seguridad de la información pueden ser tanto externas como internas. Estas fuentes pueden predecirse y tomarse las medidas adecuadas.
  • Causadas por medios técnicos (fuentes tecnogénicas)  : estas fuentes de amenazas son menos predecibles, dependen directamente de las propiedades de la tecnología y, por lo tanto, requieren atención especial. Estas fuentes de amenazas a la seguridad de la información también pueden ser tanto internas como externas.
  • Fuentes naturales  - En este grupo se combinan las circunstancias que constituyen fuerza mayor (catástrofes naturales u otras circunstancias que no pueden preverse ni prevenirse o ser posibles de prever, pero imposibles de prevenir), aquellas que tienen un carácter objetivo y absoluto, extendiéndose a todos. Tales fuentes de amenazas son completamente impredecibles y, por lo tanto, siempre se deben aplicar medidas contra ellas. Las fuentes naturales, por regla general, son externas en relación con el objeto protegido y, por regla general, se entienden como desastres naturales. [5] [6]

Modelo de amenaza

Para analizar la seguridad de un sistema de información en particular, se forma una descripción de las amenazas IS existentes, su relevancia, viabilidad y consecuencias: un modelo de amenaza.

Actualmente, Rusia cuenta con una metodología para evaluar las amenazas a la seguridad de la información adoptada por el FSTEC de Rusia el 5 de febrero de 2021 [7] , que reemplazó al Método para determinar las amenazas reales a la seguridad de los datos personales durante su procesamiento en los sistemas de información de datos personales (FSTEC de Rusia, 2008) y Metodología para determinar amenazas reales a la seguridad de la información en sistemas de infraestructura de información clave (FSTEC de Rusia, 2007).

Con el lanzamiento de la orden n.º 17 de FSTEC del 4 de marzo de 2017 [8] , el uso de la base de datos de amenazas de FSTEC [9] es obligatorio. Estos dos hechos formaron la base para la creación de software especializado para modelar la implementación de amenazas a la seguridad de la información en los sistemas de información. Actualmente, se presentan al público una serie de publicaciones científicas [10] [11] [12] y desarrollos comerciales [13] , que contribuyen a la automatización de la formación de un modelo de amenaza.

Actualmente (finales de 2021), la gran mayoría del software modela la ocurrencia de amenazas basándose en una metodología obsoleta (modelo de amenaza 2008 o modelo de amenaza de diseño 2015).

Notas

1. ↑ GOST R 50922-96 . (indefinido)
2. ↑ Ley de la Federación Rusa del 21 de julio de 1993 N 5485-I "Sobre los secretos de Estado" (con enmiendas y adiciones) . base.garant.ru. Recuperado: 20 de diciembre de 2016. (indefinido)
3. ↑ Decreto del Presidente de la Federación Rusa del 06/03/1997 N 188 "Sobre la aprobación de la lista de información confidencial" (con enmiendas y adiciones) . base.garant.ru. Recuperado: 20 de diciembre de 2016. (indefinido)
4. ↑ Blinov A. M. Seguridad de la información: Proc. tolerancia. Parte 1 / A. M. Blinov.-SPb.: SPbGUEF, 2010. - 96 p.
5. ↑ Fundamentos de la seguridad de la información: libro de texto. asignación / Yu. G. Krat, I. G. Shramkova. - Khabarovsk: Editorial de la Universidad Estatal de Transporte del Lejano Oriente, 2008. −112 p.
6. ↑ Seguridad de la información: un libro de texto para estudiantes universitarios. - M.: Proyecto Académico; Gaudeamus, 2ª ed. - 2004. - 544 págs.
7. ↑ Documento metodológico. Aprobado por el FSTEC de Rusia el 5 de febrero de 2021 - FSTEC de Rusia . fstec.ru . Fecha de acceso: 17 de diciembre de 2021. (indefinido)
8. ↑ Orden de la FSTEC de Rusia del 11 de febrero de 2013 N 17 - FSTEC de Rusia . fstec.ru . Fecha de acceso: 17 de diciembre de 2021. (indefinido)
9. ↑ BDU: amenazas . bdu.fstec.ru . Fecha de acceso: 17 de diciembre de 2021. (indefinido)
10. ↑ Alexander Sergeevich Bolshakov, Dmitry Igorevich Rakovsky. Software para el Modelado de Amenazas a la Seguridad de la Información en Sistemas de Información  // Informática Jurídica. - 2020. - Emisión. 1 . — ISSN 1994-1404 1994-1404, 1994-1404 . -doi : 10.21681 / 1994-1404-2020-1-26-39 . (Ruso)
11. ↑ M. I. Ozhiganova, A. O. Egorova, A. O. Mironova, A. A. Golovin. automatización de la elección de medidas para garantizar la seguridad del objeto CII de la categoría de importancia correspondiente al compilar un modelo de amenaza  (ruso)  // M .: Centrales eléctricas y tecnologías .. - 2021. - V. 7 , No. 2 . - S. 130-135 .
12. ↑ Yu. F. Katorin, I. V. Ilyin, R. A. Nurdinov. Automatización del proceso de formación de un modelo de amenazas para los sistemas de información  (ruso)  // Tecnologías y sistemas de control de la información: Actas de la IV Conferencia Internacional Científica y Práctica (IUST-ODESSA-2015), Odessa, 22 al 24 de septiembre de 2015 / Odessa Universidad Marítima Nacional, Universidad Estatal de Transporte Acuático Volzhsky, Universidad Estatal de la Flota Marítima y Fluvial que lleva el nombre del Almirante S.O. Makarov, Universidad Nacional de Radioelectrónica de Kharkiv, Universidad Politécnica Nacional de Odessa, Universidad Nacional de Construcción Naval que lleva el nombre del almirante S.O. Makarov. - Odesa: Makarova. - 2015. - S. 161-164 .
13. ↑ Plataforma de respuesta a incidentes R-Vision  (ruso)  ? . Visión R. Fecha de acceso: 17 de diciembre de 2021.  (indefinido)

Literatura

• Gatchin Yu. A., Sukhostat VV Teoría de la seguridad de la información y metodología de protección de la información. - San Petersburgo. : Universidad Estatal de San Petersburgo ITMO, 2010. - 98 p.
• Makarenko S. I. Seguridad de la información: un libro de texto para estudiantes universitarios. - Stavropol: SF MGGU im. M. A. Sholokhova, 2009. - 372 p.

Véase también

• Acceso no autorizado
• Crimen informático