Угроза информационной безопасности – это совокупность условий и факторов, создающих опасность нанесения ущерба интересам стран-участников в информационной сфере (Концепция стран СНГ).
Угроза информационной безопасности (ИСО/МЭК 17799-2005) – это потенциальная причина инцидента, который может нанести ущерб лицу или организации.
2 критерия:
1) Опасность нанесения ущерба интересам субъекта в информационной сфере.
2) Потенциальный характер такой опасности.
Виды угроз:
1) Значимая угроза.
2) Незначительная угроза.
Решение Научно-технического Совета Минсвязи РФ от 21 апреля 2010 года №2 «Модель угроз и нарушителя безопасности персональных данных, обрабатываемых в типовых информационных системах»:
Угроза информационной безопасности – это совокупность условий и факторов, создающих потенциальную или реально существующую опасность, связанную с утечкой информации и несанкционированным воздействием на нее.
Речь идет о нарушении конфиденциальности и целостности информации.
Угроза информационной безопасности (итоговое понятие) – это совокупность обстоятельств и факторов, которые потенциально способны нанести субъекту ущерб в результате нарушения установленных им правил по конфиденциальности, целостности и доступности.
2 критерия:
1) Нарушение доступности и целостности информации.
2) Потенциальный характер угрозы.
Виды угроз в Концепции СНГ:
1) Объективные (не зависят от субъектов) и субъективные (зависят от субъектов).
2) Выражающиеся в процессах, явлениях и действиях.
3) Из внешних и внутренних источников.
Виды угроз в Концепции информатизации Минюста:
1) Непреднамеренные действия работников (программисты и администраторы).
2) Умышленные действия работников.
3) Непреднамеренные и умышленные воздействия из внешних сетей.
Международный Стандарт ISO/IEC 15408. Это практически дословный перевод критериев определения безопасности информационных систем, которые были разработаны в Пентагоне в 1983 г. («Оранжевая книга»). Виды угроз:
1) Несанкционированное раскрытие, т.е. потеря конфиденциальности.
2) Несанкционированная модификация или уничтожение, т.е потеря целостности.
3) Несанкционированное лишение доступа к сведениям, т.е. потеря доступности.
Виды источников угроз:
1) Угрозы, связанные с преднамеренными или непреднамеренными действиями лиц, имеющих доступ (антропогенный источник угроз).
2) Угрозы, связанные с преднамеренными или непреднамеренными действиями лиц, которые не имеют доступ и реализуют свои угрозы из внешних сетей связи.
1. Внутренние: имеют доступ.
2. Внешние: доступ не предоставлен.
1. Преднамеренные.
2. Случайные.
3) Угрозы, возникновение которых напрямую зависит от свойств техники (техногенные угрозы), т.е средства связи и обработки информации, которые использует субъект:
1. Инфраструктурные (кабели, модели, коммуникации).
2. Технические (железо, программные средства).
4) Угрозы, связанные со стихийными и природными явлениями: катаклизмы, наводнения и т.д.