8.3. Класифікація загроз інформаційній безпеці банку
Загроза безпеці інформації – виникнення такого явища або події, наслідком якої можуть бути негативні дії на інформацію: порушення фізичної цілісності, логічної структури, несанкціонована модифікація, несанкціоноване отримання, несанкціоноване розмноження [18].
Розглянемо класифікацію навмисних загроз безпеці автома-тизованій системі обробки інформації банку (далі – АСОІБ), відкидаючи такі дії як стихійні лиха, збої і відмови обладнання тощо. Реалізацію загрози надалі називатимемо атакою.
Загрози безпеці АСОІБ можна класифікувати за наступними ознаками [18, 22 – 23, 26, 32, 45]:
1. Класифікація за Хофманом:
розкрадання носіїв;
запам'ятовування або копіювання інформації;
несанкціоноване підключення до апаратури;
несанкціонований доступ до ресурсів системи;
перехоплення побічних випромінювань і наведень.
2. За типом засобів, за допомогою яких може бути здійснене несанкціоноване отримання інформації
людина (розкрадання носіїв, читання інформації з екрану дисплея, читання інформації з роздруківок);
апаратура (підключення до пристроїв і перехоплення випро-мінювань);
програма (несанкціонований програмний доступ, програмна деши-фровка зашифрованих даних, програмне копіювання інформації з носіїв).
3. За метою реалізації загрози:
порушення конфіденційності інформації;
порушення цілісності інформації;
порушення (часткове або повне) працездатності АСОІБ (порушення доступності).
4. За способом дії:
природні (стихійні лиха, магнітні бурі, радіоактивне випроміню-ання);
технічні (відключення або коливання електроживлення, відмови і збої апаратно-програмних засобів, електромагнітні випромінювання і наведення, витоки через канали зв'язку);
створені людьми (ненавмисні і навмисні дії осіб).
5. За способом розкрадання інформації:
за допомогою каналів побічних електромагнітних випромінювань;
за допомогою негласного копіювання («ручного» (друк з екрану на принтері або виведення з пам'яті на принтер або екран) і «вірусного» (наприклад, виведення з пам'яті на принтер, на екран або передача інформації за допомогою вбудованої в комп'ютер радіозакладки);
розкрадання носіїв інформації;
розкрадання персонального комп'ютера.
6. За характером дії:
активна дія (пов'язано з виконанням користувачем будь-яких дій, що виходять за рамки його обов'язків і порушують існуючу політику безпеки);
пасивна дія (прикладом може служити прослухування лінії зв'язку між двома вузлами мережі. Пасивна дія завжди пов'язана лише з порушенням конфіденційності інформації в АСОІБ, оскільки жодних дій з об'єктами і суб'єктами не проводяться).
7. За способом дії на об'єкт атаки (при активній дії):
безпосередня дія на об'єкт атаки;
дія на систему дозволів;
опосередкована дія (через інших користувачів):
а) «маскарад». В цьому випадку користувач привласнює собі яким-небудь чином повноваження іншого користувача видаючи себе за нього;
б) «використання всліпу». При такому способі дії один користувач примушує іншого виконати необхідні дії (які для системи захисту не виглядають несанкціонованими, адже їх виконує користувач, що має на це право). Для реалізації цієї загрози може використовуватися вірус.
8. Спеціальні програми, які навмисно впроваджуються в різні функціональні програмні системи, які після одного або декількох запусків руйнують інформацію, що зберігається в них, і/або здійснюють інші недозволені дії. Найбільш поширеними є електронні віруси, комп'ютерні черв'яки, троянські коні тощо.
9. За способом їх можливої негативної дії:
інформаційні (реалізуються у вигляді: порушення адресності і своєчасності інформаційного обміну, протизаконного збору і викорис-тання інформації; здійснення несанкціонованого доступу до ін форма-ційних ресурсів і їх подальшим протиправним використанням; розкра-дання інформаційних ресурсів з| банків і баз даних; порушення технології обробки інформації);
програмно-математичні (реалізуються у вигляді: розроблення і розповсюдження програм, що порушують нормальне функціонування інформаційних систем або систем захисту інформації);
фізичні (реалізуються у вигляді: знищення, пошкодження, руйну-вання засобів і систем обробки інформації, телекомунікації і зв'язку; знищення, пошкодження, руйнування або розкрадання машинних і інших носіїв інформації; розкрадання програмних або апаратних ключів і засобів криптографічного захисту інформації; перехоплення інформації в технічних каналах зв'язку і телекомунікаційних системах; впровадження електронних пристроїв перехоплення інформації в технічні засоби зв'язку і телекомунікаційні системи, а також в службові приміщення; перехоп-лення, дешифровки і нав'язування помилковій інформації в мережах передачі даних і пініях зв'язку; дії на парольно-ключові системи захисту засобів обробки і передачі інформації);
організаційні (реалізуються у вигляді: невиконання вимог законодавства в інформаційній сфері; протиправної закупівлі недосконалих або застарілих інформаційних технологій, засобів інформатизації, телекомунікації і зв'язку).
Системна класифікація загроз наведена в табл. 6 [22 – 24, 26, 45].
Таблиця 6
- Модуль 1. Теоретичні та організаційні засади безпеки банківської діяльності
- Тема 1. Основи безпеки банківської діяльності
- 1.1. Суть і зміст безпеки банківської діяльності, її мета та зав-дання
- 1.2. Організація системи безпеки банківської діяльності в Україні
- 1.3. Об’єкти та суб’єкти банківської безпеки
- 1.4. Види безпеки банківської діяльності та форми її організації
- Контрольні запитання для самодіагностики
- Тема 2. Безпека банківських установ за кордоном
- 2.1. Діяльність правоохоронних організацій за кордоном
- 2.2. Досвід зарубіжних держав щодо забезпечення банківської безпеки
- Контрольні запитання для самодіагностики
- Тема 3. Організаційні основи забезпечення безпеки діяльності банку
- 3.1. Способи, структура заходів і методи організації забезпечення безпеки діяльності банку
- 3.2. Організація служби безпеки банку
- 3.3. Діяльність персоналу щодо виконання заходів безпеки банку
- 3.4. Концепція безпеки діяльності банку
- Контрольні запитання для самодіагностики
- Тема 4. Загрози безпеки банку
- 4.1. Характерні особливості понять «ризик» і «загроза»
- Відмітні особливості понять «ризик» і «загроза»
- 4.2. Класифікація та структура загроз банку
- 4.3. Внутрішні і зовнішні загрози, їх характеристика та тенденції розвитку
- 4.4. Заходи банку щодо захисту від внутрішніх і зовнішніх загроз
- 4.5. Банківське шахрайство та зловживання службовим становищем працівників банку
- Шахрайство за кордоном
- Контрольні запитання для самодіагностики
- Тема 5. Недобросовісна конкуренція та промислове шпигунство в банку
- 5.1. Недобросовісна конкуренція, її прояви в банку
- Способи ведення недобросовісної конкуренції
- 5.2. Промислове шпигунство в банку, його прояви
- 5.3. Захист банку від недобросовісної конкуренції і промис-лового шпигунства
- Контрольні запитання для самодіагностики
- Тема 6. Охорона та режим у банку
- 6.1. Обладнання та технічна оснащеність банку
- 6.2. Режими охорони установ банку
- 6.3. Обов’язки персоналу банку щодо дотримання режиму охорони
- Контрольні запитання для самодіагностики
- Модуль 2. Методичні основи безпеки банківської діяльності
- Тема 7. Економічна безпека банківської установи
- 7.1. Суть і зміст економічної безпеки банку
- Заходи захисту від чинників, які впливають на економічну безпеку банку
- 7.2. Захист матеріальних цінностей, обладнання та технічних засобів від протиправних посягань
- 7.3. Забезпечення безпеки банківських операцій
- 7.4. Боротьба з легалізацією (відмиванням) грошей, отриманих незаконним шляхом
- Контрольні запитання для самодіагностики
- Тема 8. Інформаційна безпека банківської установи
- 8.1. Банківська інформація
- Особливості захисту комерційної і банківської таємниці
- 8.2. Особливості інформаційної безпеки банку
- 8.3. Класифікація загроз інформаційній безпеці банку
- Системна класифікація загроз інформації
- Контрольні запитання для самодіагностики
- Тема 9. Інформаційно-аналітичне забезпечення діяльності банку
- 9.1. Інформаційні ресурси банку
- 9.2. Інформаційний аудит та моніторинг
- 9.3. Інформаційно-аналітичні підрозділи банку
- Контрольні запитання для самодіагностики
- Тема 10. Забезпечення безпеки в роботі з персоналом банку
- 10.1. Кадрова політика банку
- 10.2. Заходи щодо забезпечення безпеки в роботі з персоналом банку
- Контрольні запитання для самодіагностики
- Тема 11. Дії банківської установи в екстремальних ситуаціях
- 11.1. Екстремальні ситуації
- 11.2. Заходи банку щодо підготовки до дій в екстремальних умовах
- Контрольні запитання для самодіагностики
- Рекомендована література
- Ресурси мережі Internet
- Навчальне видання
- Безпека банківської діяльності
- Конспект лекцій
- Для студентів спеціалізації «Банківська справа» денної форми навчання