Информационная безопасность организации. 2
Введение
Информация играет особую роль в процессе развития цивилизации. Владение информационными ресурсами и рациональное их использование создают условия оптимального управления обществом. И напротив, искажение информации, блокирование ее получения, использование недостоверных данных ведут к ошибочным решениям.
Одним из главных факторов, обеспечивающих эффективность в управлении различными сферами общественной жизни, является правильное использование информации различного характера. Темпы прогресса сегодняшнего, а тем более завтрашнего дня в значительной мере зависят от состояния дел в области информационно-вычислительного обслуживания важнейших сфер деятельности – науки, техники, производства и управления.
Особенно актуальна проблема
использования экономической
Бурное развитие и распространение компьютерных систем и информационных сетей, обслуживающих банки и биржи, сопровождается ростом правонарушений, связанных с кражами и неправомочным доступом к данным, хранящимся в памяти компьютеров и передаваемым по линиям связи.
Компьютерные преступления происходят сегодня во всех странах мира и распространены во многих областях человеческой деятельности. Они характеризуются высокой скрытностью, сложностью сбора улик по установленным фактам их совершения и сложностью доказательства в суде подобных дел. Правонарушения в сфере компьютерной информации могут совершаться в форме:
- махинаций путем компьютерного манипулирования системой обработки данных в целях получения финансовой выгоды;
- компьютерного шпионажа и кражи программного обеспечения;
- компьютерных диверсий;
- кражи услуг (времени), неправомерного использования систем обработки данных;
- неправомерного доступа к системам обработки данных и «взламывания» их;
- традиционных преступлений в сфере бизнеса (экономики), совершаемых с помощью систем обработки данных.
Совершают компьютерные преступления, как правило, высококвалифицированные системные и банковские программисты, специалисты в области телекоммуникационных систем. Нешуточную угрозу информационным ресурсам представляют хакеры и крэкеры, проникающие в компьютерные системы и сети путем взлома программного обеспечения защиты. Крэкеры, кроме того, могут стереть или изменить данные в информационном банке в соответствии со своими интересами. За последние десятилетия в странах бывшего СССР появилась мощная генерация высокоподготовленных потенциальных хакеров, работавших в организациях и ведомствах, занимавшихся информационным пиратством на государственном уровне для использования полученной с Запада информации в военных и экономических интересах.
Что же крадут хакеры? Потенциальным объектом может служить любая информация, заложенная в ЭВМ, проходящая по вычислительным сетям или находящаяся на носителях ЭВМ и способная принести прибыль хакеру или его работодателю. К данной информации относятся практически все сведения, составляющие коммерческую тайну фирм, начиная от разработок и ноу-хау и заканчивая платежными ведомостями, по которым легко «вычислить» оборот фирмы, количество сотрудников и т. д.
Особо ценной является информация по банковским сделкам и кредитам, проводимая по электронной почте, а также сделки на бирже. Большой интерес представляют для хакеров программные продукты, оценивающиеся на современном рынке в тысячи, а то и в миллионы долларов.
Крэкеры – «компьютерные террористы» – занимаются порчей программ или информации с помощью вирусов – специальных программ, обеспечивающих уничтожение информации или сбои в работе системы. Создание «вирусных» программ – дело весьма прибыльное, так как некоторые фирмы-производители используют вирусы для защиты своих программных продуктов от несанкционированного копирования.
Для многих фирм получение информации с помощью внедрения к конкурентам хакера-программиста – дело наиболее простое и прибыльное. Внедрять соперникам спецтехнику, постоянно контролировать их офис на излучение с помощью специальной аппаратуры – дело дорогостоящее и опасное. К тому же фирма-конкурент при обнаружении технических средств может в ответ затеять игру, давая ложную информацию. Поэтому свой хакер-программист в «стане врага» – наиболее надежный способ борьбы с конкурентами.
Таким образом, всевозрастающая опасность компьютерной преступности, прежде всего в финансово-кредитной сфере, определяет важность обеспечения безопасности автоматизированных информационных систем.
1 Информационная безопасность организации
Под безопасностью
Конфиденциальность
Целостность компонента (ресурса) системы – свойство компонента (ресурса) быть неизменным (в семантическом смысле) при функционировании системы.
Доступность компонента (ресурса) системы – свойство компонента (ресурса) быть доступным для использования авторизованными субъектами системы в любое время.
Безопасность системы обеспечивается комплексом технологических и административных мер, применяемых в отношении аппаратных средств, программ, данных и служб с целью обеспечения доступности, целостности и конфиденциальности связанных с компьютерами ресурсов; сюда же относятся и процедуры проверки выполнения системой определенных функций в строгом соответствии с их запланированным порядком работы.
Систему обеспечения безопасности системы можно разбить на следующие подсистемы:
- компьютерную безопасность;
- безопасность данных;
- безопасное программное обеспечение;
- безопасность коммуникаций.
Компьютерная безопасность обеспечивается комплексом технологических и административных мер, применяемых в отношении аппаратных средств компьютера с целью обеспечения доступности, целостности и конфиденциальности связанных с ним ресурсов.
Безопасность данных достигается защитой данных от неавторизованных, случайных, умышленных или возникших по халатности модификаций, разрушений или разглашения.
Безопасное программное обеспечение представляет собой общецелевые и прикладные программы и средства, осуществляющие безопасную обработку данных в системе и безопасно использующие ресурсы системы.
Безопасность коммуникаций обеспечивается посредством аутентификации телекоммуникаций за счет принятия мер по предотвращению предоставления неавторизованным лицам критичной информации, которая может быть выдана системой в ответ на телекоммуникационный запрос.
К объектам информационной безопасности на предприятии (фирме) относят:
- информационные ресурсы, содержащие сведения, отнесенные к коммерческой тайне, и конфиденциальную информацию, представленную в виде документированных информационных массивов и баз данных;
- средства и системы информатизации – средства вычислительной и организационной техники, сети и системы, общесистемное и прикладное программное обеспечение, автоматизированные системы управления предприятиями (офисами), системы связи и передачи данных, технические средства сбора, регистрации, передачи, обработки и отображения информации, а также их информативные физические поля.
В современном мире информационные ресурсы стали одним из мощных рычагов экономического развития предприятий (фирм), играющих важную роль в предпринимательской деятельности. Более того, отсутствие в сфере отечественного бизнеса эффективных компьютерных и современных информационных технологий, являющихся основой функционирования «быстрых» экономик, существенно тормозит переход на новые формы хозяйствования.
В информационных и автоматизированных системах управления предприятием (фирмой) на первый план выступает обеспечение эффективного решения задач маркетингового управления, т. е. задач учета и анализа контрактов и контактов предприятия (фирмы), поиска бизнес-партнеров, организации рекламных кампаний продвижения товаров, оказания посреднических услуг, разработки стратегии проникновения на рынки и т. п.
Не обладая поддержкой
различных политических, коммерческих
и официальных силовых
Это относится как к самодеятельному индивиду, так и к неофициальной группировке, специально созданной для решения каких-то щекотливых, не пользующихся всеобщим одобрением задач.
Такая же проблема возникает и тогда, когда по какой-либо причине персоне надо скрываться от различных служб коммерческого, государственного, криминального, политического рода.
Типичным нелегалом можно стать и намеренно, и вынужденно. В любом, однако, случае необходимо знать хотя бы минимум стандартных тактик безопасности, чтобы удачно проскочить этот период, не потеряв по явной глупости физической или психической свободы, а порой самой жизни.
2 Защита информационных объектов
2.1 Виды угроз информационным объектам
Общая классификация угроз автоматизированной информационной системе объекта выглядит следующим образом:
Угрозы конфиденциальности данных и программ. Реализуются при несанкционированном доступе к данным (например, к сведениям о состоянии счетов клиентов банка), программам или каналам связи.
Информация, обрабатываемая на компьютерах или передаваемая по локальным сетям передачи данных, может быть снята через технические каналы утечки. При этом используется аппаратура, осуществляющая анализ электромагнитных излучений, возникающих при работе компьютера.
Такой съем информации представляет
собой сложную техническую
Угрозы целостности данных, программ, аппаратуры. Целостность данных и программ нарушается при несанкционированном уничтожении, добавлении лишних элементов и модификации записей о состоянии счетов, изменении порядка расположения данных, формировании фальсифицированных платежных документов в ответ на законные запросы, при активной ретрансляции сообщений с их задержкой.
Несанкционированная модификация информации о безопасности системы может привести к несанкционированным действиям (неверной маршрутизации или утрате передаваемых данных) или искажению смысла передаваемых сообщений. Целостность аппаратуры нарушается при ее повреждении, похищении или незаконном изменении алгоритмов работы.
Угрозы доступности данных. Возникают в том случае, когда объект (пользователь или процесс) не получает доступа к законно выделенным ему службам или ресурсам. Эта угроза реализуется захватом всех ресурсов, блокированием линий связи несанкционированным объектом в результате передачи по ним своей информации или исключением необходимой системной информации.
Эта угроза может привести к ненадежности или плохому качеству обслуживания в системе и, следовательно, потенциально будет влиять на достоверность и своевременность доставки платежных документов.
Угрозы отказа от выполнения трансакций. Возникают в том случае, когда легальный пользователь передает или принимает платежные документы, а потом отрицает это, чтобы снять с себя ответственность.
Оценка уязвимости автоматизированной информационной системы и построение модели воздействий предполагают изучение всех вариантов реализации перечисленных выше угроз и выявление последствий, к которым они приводят.
Угрозы могут быть обусловлены:
– естественными факторами (стихийные бедствия – пожар, наводнение, ураган, молния и другие причины);
– человеческими факторами, которые в свою очередь подразделяются на:
пассивные угрозы (угрозы, вызванные деятельностью, носящей случайный, неумышленный характер). Это угрозы, связанные с ошибками процесса подготовки, обработки и передачи информации (научно-техническая, коммерческая, валютно-финансовая документация); с нецеленаправленной «утечкой умов», знаний, информации (например, в связи с миграцией населения, выездом в другие страны для воссоединения с семьей и т. п.);
активные угрозы (угрозы, обусловленные умышленными, преднамеренными действиями людей). Это угрозы, связанные с передачей, искажением и уничтожением научных открытий, изобретений, секретов производства, новых технологий по корыстным и другим антиобщественным мотивам (документация, чертежи, описания открытий и изобретений и другие материалы); просмотром и передачей различной документации, просмотром «мусора»; подслушиванием и передачей служебных и других научно-технических и коммерческих разговоров; с целенаправленной «утечкой умов», знаний, информации (например, в связи с получением другого гражданства по корыстным мотивам);
– человеко-машинными и машинными факторами, подразделяющимися на:
пассивные угрозы. Это угрозы, связанные с ошибками процесса проектирования, разработки и изготовления систем и их компонентов (здания, сооружения, помещения, компьютеры, средства связи, операционные системы, прикладные программы и др.); с ошибками в работе аппаратуры из-за некачественного ее изготовления; с ошибками процесса подготовки и обработки информации (ошибки программистов и пользователей из-за недостаточной квалификации и некачественного обслуживания, ошибки операторов при подготовке, вводе и выводе данных, корректировке и обработке информации);
активные угрозы. Это угрозы, связанные с несанкционированным доступом к ресурсам автоматизированной информационной системы (внесение технических изменений в средства вычислительной техники и средства связи, подключение к средствам вычислительной техники и каналам связи, хищение различных видов носителей информации: дискет, описаний, распечаток и других материалов, просмотр вводимых данных, распечаток, просмотр «мусора»); угрозы, реализуемые бесконтактным способом (сбор электромагнитных излучений, перехват сигналов, наводимых в цепях (токопроводящие коммуникации), визуально-оптические способы добычи информации, подслушивание служебных и научно-технических разговоров и т. п.).
Основными типовыми путями утечки информации и несанкционированного доступа к автоматизированным информационным системам, в том числе через каналы телекоммуникации, являются следующие:
- перехват электронных излучений;
- принудительное электромагнитное облучение (подсветка) линий связи с целью получения паразитной модуляции несущей;
- применение подслушивающих устройств (закладок);
- дистанционное фотографирование;
- перехват акустических излучений и восстановление текста принтера;
- хищение носителей информации и производственных отходов;
- считывание данных в массивах других пользователей;
- чтение остаточной информации в памяти системы после выполнения санкционированных запросов;
- копирование носителей информации с преодолением мер зашиты;
- маскировка под зарегистрированного пользователя;
- мистификация (маскировка под запросы системы);
- незаконное подключение к аппаратуре и линиям связи;
- злоумышленный вывод из строя механизмов защиты;
- использование «программных ловушек».
Возможными каналами преднамеренного несанкционированного доступа к информации при отсутствии защиты в автоматизированной информационной системе могут быть:
- штатные каналы доступа к информации (терминалы пользователей, средства отображения и документирования информации, носители информации, средства загрузки программного обеспечения, внешние каналы связи) при их незаконном использовании;
- технологические пульты и органы управления;
- внутренний монтаж аппаратуры;
- линии связи между аппаратными средствами;
- побочное электромагнитное излучение, несущее информацию;
- побочные наводки на цепях электропитания, заземления аппаратуры, вспомогательных и посторонних коммуникациях, размещенных вблизи компьютерной системы.
Способы воздействия угроз на объекты информационной безопасности подразделяются на информационные, программно-математические, физические, радиоэлектронные и организационно-правовые.
К информационным способам относятся:
- нарушение адресности и своевременности информационного обмена, противозаконный сбор и использование информации;
- несанкционированный доступ к информационным ресурсам;
- манипулирование информацией (дезинформация, сокрытие или искажение информации);
- незаконное копирование данных в информационных системах;
- нарушение технологии обработки информации.
Программно-математические способы включают:
- внедрение компьютерных вирусов;
- установку программных и аппаратных закладных устройств;
- уничтожение или модификацию данных в автоматизированных информационных системах.
Физические способы включают:
- уничтожение или разрушение средств обработки информации и связи;
- уничтожение, разрушение или хищение машинных или других оригинальных носителей информации;
- хищение программных или аппаратных ключей и средств криптографической защиты информации;
- воздействие на персонал;
- поставку «зараженных» компонентов автоматизированных информационных систем.
Радиоэлектронными способами являются:
- перехват информации в технических каналах ее возможной утечки;
- внедрение электронных устройств перехвата информации в технические средства и помещения;
- перехват, дешифровка и навязывание ложной информации в сетях передачи данных и линиях связи;
- воздействие на парольно-ключевые системы;
- радиоэлектронное подавление линий связи и систем управления.
Организационно-правовые способы включают:
- невыполнение требований законодательства и задержки в принятии необходимых нормативно-правовых положений в информационной сфере;
- неправомерное ограничение доступа к документам, содержащим важную для граждан и организаций информацию.
2.2 Угрозы безопасности программного обеспечения.
Обеспечение безопасности автоматизированных информационных систем зависит от безопасности используемого в них программного обеспечения и, в частности, следующих видов программ:
- обычных программ пользователей;
- специальных программ, рассчитанных на нарушение безопасности системы;
- разнообразных системных утилит и коммерческих прикладных программ, которые отличаются высоким профессиональным уровнем разработки и тем не менее могут содержать отдельные недоработки, позволяющие захватчикам атаковать системы.
Программы могут порождать проблемы двух типов: во-первых, могут перехватывать и модифицировать данные в результате действий пользователя, который к этим данным не имеет доступа, и, во-вторых, используя упущения в защите компьютерных систем, могут или обеспечивать доступ к системе пользователям, не имеющим на это права, или блокировать доступ к системе законных пользователей.
Чем выше уровень подготовки программиста, тем более неявными (даже для него) становятся допускаемые им ошибки и тем более тщательно и надежно он способен скрыть умышленные механизмы, разработанные для нарушения безопасности системы.
Целью атаки могут быть и сами программы по следующим причинам:
В современном мире программы могут быть товаром, приносящим немалую прибыль, особенно тому, кто первым начнет тиражировать программу в коммерческих целях и оформит авторские права на нее.
Программы могут становиться также объектом атаки, имеющей целью модифицировать эти программы некоторым образом, что позволило бы в будущем провести атаку на другие объекты системы. Особенно часто объектом атак такого рода становятся программы, реализующие функции защиты системы.
Рассмотрим несколько типов программ и приемы, которые наиболее часто используются для атак программ и данных. Эти приемы обозначаются единым термином – «программные ловушки». К ним относятся «программные люки», «троянские кони», «логические бомбы», атаки «салями», скрытые каналы, отказы в обслуживании и компьютерные вирусы.
Люки в программах.
Использование люков для проникновения в программу – один из простых и часто используемых способов нарушения безопасности автоматизированных информационных систем.
Люком называется не описанная в документации на программный продукт возможность работы с этим программным продуктом. Сущность использования люков состоит в том, что при выполнении пользователем некоторых не описанных в документации действий он получает доступ к возможностям и данным, которые в обычных условиях для него закрыты (в частности, выход в привилегированный режим).
Люки чаще всего являются результатом забывчивости разработчиков. В качестве люка может быть использован временный механизм прямого доступа к частям продукта, созданный для облегчения процесса отладки и не удаленный по ее окончании. Люки могут образовываться также в результате часто практикуемой технологии разработки программных продуктов «сверху вниз»: в их роли будут выступать оставленные по каким-либо причинам в готовом продукте «заглушки» – группы команд, имитирующие или просто обозначающие место подсоединения будущих подпрограмм.
Наконец, еще одним распространенным источником люков является так называемый «неопределенный ввод» – ввод «бессмысленной» информации, абракадабры в ответ на запросы системы. Реакция недостаточно хорошо написанной программы на неопределенный ввод может быть, в лучшем случае, непредсказуемой (когда при повторном вводе той же неверной команды программа реагирует каждый раз по-разному); гораздо хуже, если программа в результате одинакового «неопределенного» ввода выполняет некоторые повторяющиеся действия, – это дает возможность потенциальному захватчику планировать свои действия по нарушению безопасности.
Неопределенный ввод – частная реализация прерывания. То есть в общем случае захватчик может умышленно пойти на создание в системе некоторой нестандартной ситуации, которая бы позволила ему выполнить необходимые действия. Например, он может искусственно вызвать аварийное завершение программы, работающей в привилегированном режиме, с тем, чтобы перехватить управление, оставшись в этом привилегированном режиме.
Борьба с возможностью прерывания, в конечном счете, выливается в необходимость предусмотреть при разработке программ комплекса механизмов, образующих так называемую «защиту от дурака». Смысл этой защиты состоит в том, чтобы гарантированно отсекать всякую вероятность обработки неопределенного ввода и разного рода нестандартных ситуаций (в частности, ошибок) и тем самым не допускать нарушения безопасности компьютерной системы даже в случае некорректной работы с программой.
Таким образом, люк (или люки) может присутствовать в программе ввиду того, что программист:
- забыл удалить его;
- умышленно оставил его в программе для обеспечения тестирования или выполнения оставшейся части отладки;
- умышленно оставил его в программе в интересах облегчения окончательной сборки конечного программного продукта;
- умышленно оставил его в программе с тем, чтобы иметь скрытое средство доступа к программе уже после того, как она вошла в состав конечного продукта.

- Информационная безопасность предприятия
- Информационная безопасность предприятия
- Информационная безопасность предприятия
- Информационная безопасность систем автоматизированного проектирования
- Информационная безопасность страховой компании
- Информационная война
- Информационная война
- Информационная безопасность и защита конфиденциальной информации
- Информационная безопасность и история развития криптографии
- Информационная безопасность и контроль в современных информационных системах
- Информационная безопасность как одна из важнейших гарантий суверенитета государства
- Информационная безопасность как условие защиты духовно-психологического развития молодежи от негативного воздействия интернета
- Информационная безопасность коммерческих систем
- Информационная безопасность организации