Утечки и уязвимости. Связь понятий.

Утечки и уязвимости. Связь понятий.
Уязвимость - параметр (свойство) системы, благодаря которому системе может быть нанесен вред. В информационной безопасности этот термин чаще всего используется в отношении компьютерных приложений, но им можно охарактеризовать недостатки любой системы.
name='more'>
Например, рассмотрим гипотетический защищаемый объект, который обладает большими габаритами. "Крупногабаритность" может являться уязвимостью, если объект необходимо транспортировать. С другой стороны, большие размеры защищаемого объекта не позволят злоумышленнику легко скрыться с ним (если он задумает его позаимствовать). В последнем случае малый размер объекта можно было бы назвать уязвимостью...

Служба защиты информации должна такие уязвимости закрывать. Для этого не обязательно (в нашем случае) искусственно увеличивать размер объекта (избежание рисков) - можно использовать различные средства защиты (досмотр на выходе из помещения с объектом, сигнализации, встроенная в объект система слежения, разрешение присутствовать в помещении с объектом только в количестве лиц более, например, трех и т.п.)

Утечка - незапланированный выход некоторых элементов системы за ее пределы. Канал утечки информации - цепочка носителей, посредством которого она становится (или может стать) известной злоумышленнику.

Тогда наличие канала утечки можно рассматривать как параметр, существование которого может привести вред системе (пусть и не напрямую, а опосредованно, за счет использования злоумышленником полученной информации). Таким образом наличие канала утечки  информации является уязвимостью системы, благодаря чему их можно учитывать при проведении аудиторских мероприятий (например, анализа рисков ИБ ), и естественно каналы утечки, как и прочие уязвимости необходимо закрывать. Собственно, основной целью поста является пояснить, почему в дальнейшем статьи, посвященные каналам утечки информации окажутся в разделе "Уязвимости". 
Alt text

Если вам нравится играть в опасную игру, присоединитесь к нам - мы научим вас правилам!

Подписаться