Будь умным!

У вас вопросы?
У нас ответы:) SamZan.net

Лекция 8- Основные принципы информационной безопасности Под безопасностью автоматизированной информаци

Работа добавлена на сайт samzan.net:

Поможем написать учебную работу

Если у вас возникли сложности с курсовой, контрольной, дипломной, рефератом, отчетом по практике, научно-исследовательской и любой другой работой - мы готовы помочь.

Предоплата всего

от 25%

Подписываем

договор

Выберите тип работы:

Скидка 25% при заказе до 2.6.2024

екция № 8: Основные принципы информационной безопасности

Лекция № 8: Основные принципы информационной безопасности

Под безопасностью автоматизированной информационной системы организации (учреждения) понимается ее защищенность от случайного или преднамеренного вмешательства в нормальный процесс функционирования, а также от попыток хищения, модификации или разрушения ее компонентов. Безопасность системы достигается обеспечением конфиденциальности обрабатываемой ею информации, а также целостности и доступности компонентов и ресурсов системы.

  •  Конфиденциальность компьютерной информации — это свойство информации быть известной только допущенным и прошедшим проверку (авторизацию) субъектам системы (пользователям, программам, процессам и т. д.).
  •  Целостность компонента (ресурса) системы — свойство компонента (ресурса) быть неизменным (в семантическом смысле) при функционировании системы.
  •  Доступность компонента (ресурса) системы — свойство компонента (ресурса) быть доступным для использования авторизованными субъектами системы в любое время.
  •  Законность/Этичность использования компонента (ресурса) системы — свойство компонента (ресурса) быть соответствующим законодательным и этическим нормам для использования субъектами системы.

Безопасность системы обеспечивается комплексом технологических и административных мер, применяемых в отношении аппаратных средств, программ, данных и служб с целью обеспечения доступности, целостности и конфиденциальности связанных с компьютерами ресурсов; сюда же относятся и процедуры проверки выполнения системой определенных функций в строгом соответствии с их запланированным порядком работы.

Систему обеспечения безопасности системы можно разбить на следующие подсистемы:

  •  компьютерную безопасность;
  •  безопасность данных;
  •  безопасное программное обеспечение;
  •  безопасность коммуникаций.
  1.  Компьютерная безопасность обеспечивается комплексом технологических и административных мер, применяемых в отношении аппаратных средств компьютера с целью обеспечения доступности, целостности и конфиденциальности связанных с ним ресурсов.
  2.  Безопасность данных достигается защитой данных от неавторизованных, случайных, умышленных или возникших по халатности модификаций, разрушений или разглашения.
  3.  Безопасное программное обеспечение представляет собой общецелевые и прикладные программы и средства, осуществляющие безопасную обработку данных в системе и безопасно использующие ресурсы системы.
  4.  Безопасность коммуникаций обеспечивается посредством аутентификации телекоммуникаций за счет принятия мер по предотвращению предоставления неавторизованным лицам критичной информации, которая может быть выдана системой в ответ на телекоммуникационный запрос.

Потенциальные угрозы информационной безопасности

Виды угроз информационным объектам

  1.  Угрозы конфиденциальности данных и программ. Реализуются при несанкционированном доступе к данным (например, к сведениям о состоянии счетов клиентов банка), программам или каналам связи.
  2.  Угрозы целостности данных, программ, аппаратуры. Целостность данных и программ нарушается при несанкционированном уничтожении, добавлении лишних элементов и модификации записей, изменении порядка расположения данных, формировании фальсифицированных документов в ответ на законные запросы, при активной ретрансляции сообщений с их задержкой.
  3.  Угрозы доступности данных. Возникают в том случае, когда объект (пользователь или процесс) не получает доступа к законно выделенным ему службам или ресурсам. Эта угроза реализуется захватом всех ресурсов, блокированием линий связи несанкционированным объектом в результате передачи по ним своей информации или исключением необходимой системной информации.

Способы воздействия угроз на объекты информационной безопасности подразделяются на информационные, программно-математические, физические, радиоэлектронные и организационно-правовые.

1. К информационным способам относятся:

  1.  нарушение адресности и своевременности информационного обмена, противозаконный сбор и использование информации;
  2.  несанкционированный доступ к информационным ресурсам;
  3.  манипулирование информацией (дезинформация, сокрытие или искажение информации);
  4.  незаконное копирование данных в информационных системах;
  5.  нарушение технологии обработки информации.

2. Программно-математические способы включают:

  1.  внедрение компьютерных вирусов;
  2.  установку программных и аппаратных закладных устройств;
  3.  уничтожение или модификацию данных в автоматизированных информационных системах.

3. Физические способы включают:

  1.  уничтожение или разрушение средств обработки информации и связи;
  2.  уничтожение, разрушение или хищение машинных или других оригинальных носителей информации;
  3.  хищение программных или аппаратных ключей и средств криптографической защиты информации;
  4.  воздействие на персонал;
  5.  поставку «зараженных» компонентов автоматизированных информационных систем.

4. Радиоэлектронными способами являются:

  1.  перехват информации в технических каналах ее возможной утечки;
  2.  внедрение электронных устройств перехвата информации в технические средства и помещения;
  3.  перехват, дешифровка и навязывание ложной информации в сетях передачи данных и линиях связи;
  4.  воздействие на парольно-ключевые системы;
  5.  радиоэлектронное подавление линий связи и систем управления.

5. Организационно-правовые способы включают:

  1.  невыполнение требований законодательства и задержки в принятии необходимых нормативно-правовых положений в информационной сфере;
  2.  неправомерное ограничение доступа к документам, содержащим важную для граждан и организаций информацию.

Рассмотрим угрозы информационной безопасности в следующей таблице.

Угроза

Конфиденциальность

Целостность

Доступность

Законность/ этические нормы

Аппаратные сбои

Х

Х

Х

Вирусы

Х

Х

Диверсии

Х

Х

Излучение

Х

Искажение

Х

Х

Кража

Х

Х

Х

Логические бомбы

Х

Х

Х

Мошенничество

Х

Небрежность

Х

Х

Х

Неправильная маршрутизация

Х

Неточная или устаревшая информация

Х

Ошибки программирования

Х

Х

Х

Перегрузка

Х

Перехват

Х

Пиратство

Х

Х

Х

Подлог

Х

Пожары и другие стихийные бедствия

Х

Потайные ходы и лазейки

Х

Х

Х

Препятствование использованию

Х

Различные версии

Х

Самозванство

Х

Х

Х

Сбор мусора

Х

Сетевые анализаторы

Х

Троянские кони

Х

Х

Х

Умышленное повреждение данных или программ

Х

Хищение

Х

Негативные факторы способствующие реализации угроз информационной безопасности

  1.  Объективные социально-психологические особенности персонала и пользователей
  2.  Нелояльность персонала и пользователей
  3.  Нелояльность посторонних лиц и организаций
  4.  Особенности используемого программного обеспечения
  5.  Вредоносные программы
  6.  Конструктивные и технологические особенности аппаратуры
  7.  Эксплуатационный износ, физическое старение магнитных носителей, возможные отказы оборудования
  8.  Совместная обработка информации разной категории конфиденциальности
  9.  Возможные проблемы с электропитанием
  10.  Неблагоприятные факторы воздействия внешней среды на аппаратуру
  11.  Пожароопасность, возможность стихийных бедствий, аварий и других воздействий техногенного характера
  12.  Технические каналы утечки информации
  13.  Технологический мусор

Компьютерные преступления

Под компьютерным преступлением следует понимать предусмотренные законом общественно-опасные деяния, совершаемые с использованием средств компьютерной техники. Правомерно также использовать термин «компьютерное преступление» в широком значении как социологическую категорию, а не как понятие уголовного права.

Виды компьютерных преступлений:

1. несанкционированный доступ в корыстных целях к информации, хранящейся в компьютере или информационно-вычислительной сети. Несанкционированный доступ осуществляется, как правило, с использованием чужого-имени, изменением физических адресов технических устройств, использованием информации, оставшейся после решения задач, модификацией программного и информационного обеспечения, хищением носителя информации, установкой аппаратуры записи, подключаемой к каналам передачи данных. Бывает, что некто проникает в компьютерную систему, выдавая себя за законного пользователя. Самый простой путь его осуществления — получить коды и другие идентифицирующие шифры законных пользователей. 

2. разработка и распространение компьютерных вирусов. Программы-вирусы обладают свойствами переходить через коммуникационные сети из одной системы в другую, распространяясь как вирусное заболевание;

3. ввод в программное обеспечение «логических бомб». Это такие программы, которые срабатывают при выполнении определенных условий и частично или полностью выводят из строя компьютерную систему;

4. халатная небрежность при разработке, создании и эксплуатации программно-вычислительных комплексов компьютерных сетей, приведшая к тяжким последствиям. Особенностью компьютерных систем является то, что абсолютно безошибочных программ в принципе не бывает. Если проект практически в любой области техники можно выполнить с огромным запасом надежности, то в области программирования такая надежность весьма условна, а в ряде случаев почти недостижима;

5. подделка и фальсификация компьютерной информации. По-видимому, этот вид компьютерной преступности является одним из наиболее распространенных. Он представляет собой разновидность несанкционированного доступа с той лишь разницей, что пользоваться им может сам разработчик, причем имеющий достаточно высокую квалификацию. Идея преступления состоит в подделке выходной информации с целью имитации работоспособности больших систем, составной частью которых является компьютер. При достаточно ловко выполненной подделке зачастую удается сдать заказчику заведомо неисправную продукцию.

6. хищение программного обеспечения. Если «обычные» хищения подпадают под действие существующего уголовного закона, то проблема хищения программного обеспечения значительно более сложна. Значительная часть программного обеспечения в России распространяется путем кражи и обмена краденым;

7. несанкционированное копирование, изменение или уничтожение информации. При неправомерном обращении в собственность машинная информация может не изыматься из фондов, а копироваться. Следовательно, машинная информация должна быть выделена как самостоятельный предмет уголовно-правовой охраны;

8. несанкционированный просмотр или хищение информации из банков данных, баз данных и баз знаний. В данном случае под базой данных следует понимать форму представления и организации совокупности данных (например: статей, расчетов), систематизированных таким образом, чтобы эти данные могли быть найдены и обработаны с помощью ЭВМ.

Приходится констатировать, что процесс компьютеризации общества приводит к увеличению количества компьютерных преступлений, возрастанию их удельного веса в общей доле материальных потерь от различных видов преступлений.

Парадоксальная особенность компьютерных преступлений состоит и в том, что трудно найти другой вид преступления, после совершения которого его жертва не выказывает особой заинтересованности в поимке преступника, а сам преступник, будучи пойман, всячески рекламирует свою деятельность на поприще компьютерного взлома, мало что утаивая от представителей правоохранительных органов. Психологически этот парадокс вполне объясним.

Во-первых, жертва компьютерного преступления совершенно убеждена, что затраты на его раскрытие (включая потери, понесенные в результате утраты своей репутации) существенно превосходят уже причиненный ущерб.

И, во-вторых, преступник приобретает широкую известность в деловых и криминальных кругах, что в дальнейшем позволяет ему с выгодой использовать приобретенный опыт.

Способы Совершения Компьютерных Преступлений

Важнейшим и определяющим элементом криминалистической характеристики любого, в том числе и компьютерного, преступления является совокупность данных, характеризующих способ его совершения.

Под способом совершения преступления обычно понимают объективно и субъективно обусловленную систему поведения субъекта до, в момент и после совершения преступления, которое оставляет различного рода характерные следы, позволяющие с помощью криминалистических приемов и средств получить представление о сути происшедшего, своеобразии преступного поведения правонарушителя, его отдельных личностных данных и, соответственно, определить оптимальные методы решения задач раскрытия преступления.

Способы совершения компьютерных преступлений:

• изъятие средств компьютерной техники;

• перехват информации;

• несанкционированный доступ;

• манипуляция данными и управляющими командами;

• комплексные методы.

К первой группе относятся традиционные способы совершения обычных видов преступлений, в которых действия преступника направлены на изъятие чужого имущества. Характерной отличительной чертой данной группы способов совершения компьютерных преступлений является тот факт, что в них средства компьютерной техники всегда выступают только в качестве предмета преступного посягательства. Например, прокуратурой г. Кургана в 1997 г. расследовалось уголовное дело по факту убийства частного предпринимателя. В ходе обыска на квартире убитого следователем был изъят персональный компьютер. По имеющейся оперативной информации в памяти компьютера убитый мог хранить фамилии, адреса своих кредиторов и должников. В дальнейшем этот компьютер по решению следователя был передан в одну из компьютерных фирм для производства исследования содержимого его дисков памяти. В ту же ночь из помещения упомянутой компьютерной фирмы путем отгиба решеток была произведена кража данного компьютера. В результате того, что изъятие и передача ЭВМ были произведены следователем с рядом процессуальных нарушений, данное преступление осталось нераскрытым.

Ко второй группе относятся способы совершения компьютерных преступлений, основанные на действиях преступника, направленных на получение данных и машинной информации посредством использования методов аудиовизуального и электромагнитного перехвата.

1. Активный перехват (interception) осуществляется с помощью подключения к телекоммуникационному оборудованию компьютера, например линии принтера или телефонному проводу канала связи либо непосредственно через соответствующий порт персонального компьютера.

2. Пассивный (электромагнитный) перехват (electromagnetic pickup) основан на фиксации электромагнитных излучений, возникающих при функционировании многих средств компьютерной техники, включая и средства коммуникации. Так, например, излучение электронно-лучевой трубки дисплея можно принимать с помощью специальных приборов на расстоянии до 1000 м.

3. Аудиоперехват или снятие информации по виброакустическому каналу является опасным и достаточно распространенным способом и имеет две разновидности. А) установка подслушивающего устройства в аппаратуру средств обработки информации. Б) установка микрофона на инженерно-технические конструкции за пределами охраняемого помещения (стены, оконные рамы, двери и т.п.).

4. Видеоперехват осуществляется путем использования различной видеооптической техники.

5. «Уборка мусора» (scavening) представляет собой достаточно оригинальный способ перехвата информации. Преступником неправомерно используются технологические отходы информационного процесса, оставленные пользователем после работы с компьютерной техникой. Например, даже удаленная из памяти и с жестких дисков компьютера, а также с дискет информация может быть восстановлена и несанкционированно изъята с помощью специальных программных средств.

К третьей группе способов совершения компьютерных преступлений относятся действия преступника, направленные на получение несанкционированного доступа к информации. В эту группу входят следующие способы.

1. «Компьютерный абордаж» (hacking) — несанкционированный доступ в компьютер или компьютерную сеть без права на то. Этот способ используется хакерами для проникновения в чужие информационные сети.

Преступление осуществляется чаще всего путем случайного перебора абонентного номера компьютерной системы с использованием модемного устройства. Иногда для этих целей используется специально созданная программа автоматического поиска пароля. Алгоритм ее работы заключается в том, чтобы, учитывая быстродействие современных компьютеров, перебирать все возможные варианты комбинаций букв, цифр и специальных символов и в случае совпадения комбинаций символов производить автоматическое соединение указанных абонентов.

Эксперименты по подбору пароля путем простого перебора показали, что 6-символьные пароли подбираются примерно за 6 дней непрерывной работы компьютера. Элементарный подсчет свидетельствует о том, что уже для подбора 7-символьных паролей потребуется от 150 дней для английского языка и до 200 дней для русского. А если учитывать регистр букв, то эти числа надо умножить еще на 2. Таким образом, простой перебор представляется чрезвычайно трудновыполнимым.

Поэтому в последнее время преступниками стал активно использоваться метод «интеллектуального перебора», основанный на подборе предполагаемого пароля, исходя из заранее определенных тематических групп его принадлежности. В этом случае программе-взломщику передаются некоторые исходные данные о личности автора пароля. По оценкам специалистов, это позволяет более чем на десять порядков сократить количество возможных вариантов перебора символов и на столько же — время на подбор пароля.

2. «За дураком» (piggybacking). Этот способ используется преступником путем подключения компьютерного терминала к каналу связи через коммуникационную аппаратуру в тот момент времени, когда сотрудник, отвечающий за работу средства компьютерной техники, кратковременно покидает свое рабочее место, оставляя терминал в активном режиме.

3. «За хвост» (between-the-lines entry). При этом способе съема информации преступник подключается к линии связи законного пользователя и дожидается сигнала, обозначающего конец работы, перехватывает его и осуществляет доступ к системе.

4.  «Неспешный выбор» (browsing). При данном способе совершения преступления преступник осуществляет несанкционированный доступ к компьютерной системе путем нахождения слабых мест в ее защите.

Этот способ чрезвычайно распространен среди хакеров. В Internet и других глобальных компьютерных сетях идет постоянный поиск, обмен, покупка и продажа взломанных хакерами программ. Существуют специальные телеконференции, в которых проходит обсуждение программ-взломщиков, вопросов их создания и распространения.

5. «Брешь» (trapdoor entry). В отличие от «неспешного выбора», когда производится поиск уязвимых мест в защите компьютерной системы, при данном способе преступником осуществляется конкретизация поиска: ищутся участки программ, имеющие ошибку или неудачную логику построения. Выявленные таким образом «бреши» могут использоваться преступником многократно, пока не будут обнаружены законным пользователем.

6. «Люк» (trapdoor). Данный способ является логическим продолжением предыдущего. В месте найденной «бреши» программа «разрывается» и преступником туда дополнительно вводится одна или несколько команд. Такой «люк» «открывается» по необходимости, а включенные команды автоматически выполняются.

Люки часто бывают оставлены самими создателями программ, иногда с целью внесения возможных изменений. Подобные «черные входы» в защищенную систему обычно имеются в любой сертифицированной программе, но об этом не принято распространяться вслух.

К четвертой группе способов совершения компьютерных преступлений относятся действия преступников, связанные с использованием методов манипуляции данными и управляющими командами средств компьютерной техники. Эти методы наиболее часто используются преступниками для совершения различного рода противоправных деяний.

Наиболее часто встречаются следующие способы совершения компьютерных преступлений, относящихся к этой группе:

1. «Троянский конь» (trojan horse). Данный способ заключается в тайном введении в чужое программное обеспечение специально созданных программ, которые, попадая в информационно-вычислительные системы, начинают выполнять новые, не планировавшиеся законным владельцем действия, с одновременным сохранением прежних функций. В соответствии со ст. 273 Уголовного кодекса Российской Федерации под такой программой понимается «программа для ЭВМ, приводящая к несанкционированному уничтожению, блокированию, модификации либо копированию информации, нарушению работы ЭВМ, системы ЭВМ или их сети». По существу, «троянский конь» — это модернизация рассмотренного выше способа «люк» с той лишь разницей, что люк «открывается» не при помощи непосредственных действий преступника, а автоматически, с использованием специально подготовленной для этих целей программы и без непосредственного участия самого преступника. С помощью такого способа преступники обычно отчисляют на заранее открытый счет определенную сумму с каждой банковской операции. Возможен и вариант увеличения преступниками избыточных сумм на счетах при автоматическом пересчете рублевых остатков, связанных с переходом к коммерческому курсу соответствующей валюты.

2. компьютерный вирус (virus). С уголовно-правовой точки зрения, согласно ст. 273 Уголовного кодекса РФ, под компьютерным вирусом следует понимать вредоносную для ЭВМ программу, способную самопроизвольно присоединяться к другим программам («заражать» их) и при запуске последних выполнять различные нежелательные действия: порчу файлов, искажение, стирание данных и информации, переполнение машинной памяти и создание помех в работе ЭВМ.

3. Компьютерное мошенничество чаще всего осуществляется способом «подмены данных» (data digging) или «подмены кода» (code change). Это наиболее простой и поэтому очень часто применяемый способ совершения преступления. Действия преступников в этом случае направлены на изменение или введение новых данных, и осуществляются они, как правило, при вводе-выводе информации. Некоторые из таких способов совершения преступлений возникли и получили распространение только с появлением компьютеров. В качестве примера можно привести перебрасывание на подставной счет мелочи, являющейся результатом округления (операция типа «салями» (salami)). Расчет построен на том, что компьютер совершает сотни тысяч операций в секунду и обрабатывает при этом сотни тысяч счетов клиентов. Заниматься подобным мошенничеством вручную не имеет никакого смысла. 

4. Незаконное копирование (тиражирование) программ с преодолением программных средств защиты предусматривает незаконное создание копии ключевой дискеты, модификацию кода системы защиты, моделирование обращения к ключевой дискете, снятие системы защиты из памяти ЭВМ и т.п.

Не секрет, что подавляющая часть программного обеспечения, используемого в России, представляет собой пиратские копии взломанных хакерами программ. Самой популярной операционной системой в России является Microsoft Windows 95. По статистике, на долю этой платформы приходится свыше 77 % отечественного рынка операционных систем. Своим бесспорным успехом на российском рынке Windows 95 обязана деятельности компьютерных пиратов. По данным международной организации BSA, занимающейся вопросами охраны интеллектуальной собственности, свыше 90 % используемых в России программ установлены на компьютеры без лицензий, тогда как в США таких не более 24%.

В качестве примера незаконного тиражирования программ можно привести и компьютерную базу российского законодательства «Кон-сультантПлюс». Несмотря на постоянную работу специалистов фирмы по улучшению системы защиты, тысячи нелегальных копий программы имеют хождение на территории России. Последняя, шестая версия «Консультанта», была «привязана» к дате создания компьютера, записанной в его постоянной памяти. Однако не прошло и двух недель после выхода этой версии, как хакерами была создана программа, эмулирующая нужную дату на любом компьютере. В настоящее время желающий может найти такую программу в компьютерной сети Internet и с ее помощью установить на свой компьютер базу данных по законодательству, стоимость которой превышает 1000 долл. США.

Пятая группа способов — комплексные методы — включает в себя различные комбинации рассмотренных выше способов совершения компьютерных преступлений.

Следует заметить, что рассмотренная выше классификация не является единственно возможной. Так, по международной классификации в отдельную группу принято выделять такие способы, как компьютерный саботаж с аппаратным или программным обеспечением, которые приводят к выходу из строя компьютерной системы. Наиболее значительные компьютерные преступления совершаются посредством порчи программного обеспечения, причем часто его совершают работники, недовольные своим служебным положением, отношениями с руководством и т.д.

Примером такого компьютерного преступления может служить получивший широкую огласку случай с программистом, остановившим главный конвейер Волжского автозавода в г. Тольятти. Занимаясь отладкой программного кода автоматизированной системы, управляющей подачей механических узлов на конвейер, он умышленно внес изменения в программу. В результате, после прохождения заданного числа деталей система «зависала» и конвейер останавливался. Пока программисты устраняли источник сбоев, с конвейера автозавода сошло не более двухсот машин.

Существует также ряд способов совершения преступлений, которые крайне сложно отнести к какой либо группе. К таким способам относятся асинхронная атака, моделирование, мистификация, маскарад и т.д.

Асинхронная атака (Asynchronous attack). Сложный способ, требующий хорошего знания операционной системы. Используя асинхронную природу функционирования большинства операционных систем, их заставляют работать при ложных условиях, из-за чего управление обработкой информации частично или полностью нарушается. Если лицо, совершающее «асинхронную атаку», достаточно профессионально, оно может использовать ситуацию, чтобы внести изменения в операционную систему или сориентировать ее на выполнение своих целей, причем извне эти изменения не будут заметны.

Моделирование (Simulation). Создается модель конкретной системы, в которую вводятся исходные данные и учитываются планируемые действия. На основании полученных результатов методом компьютерного перебора и сортировки выбираются возможные подходящие комбинации. Затем модель возвращается к исходной точке и выясняется, какие манипуляции с входными данными нужно проводить для получения на выходе желаемого результата. В принципе, «прокручивание» модели вперед-назад может происходить многократно, чтобы через несколько итераций добиться необходимого итога. После этого остается осуществить задуманное на практике.

Мистификация {spoofing). Возможна, например, в случаях, когда пользователь удаленного терминала ошибочно подключается к какой-либо системе, будучи абсолютно уверенным, что работает именно с той самой системой, с которой намеревался. Владелец системы, к которой произошло подключение, формируя правдоподобные отклики, может поддержать контакт в течение определенного времени и получать конфиденциальную информацию, в частности коды пользователя и т.д.

Мотивами совершения компьютерных преступлений, как показали исследования зарубежных и российских исследователей, являются следующие:

1. корыстные соображения — 66,%;

2. политические цели — 17%;

3. исследовательский интерес — 7%;

4. хулиганство — 5%;

5. месть — 5%.

Ущерб от нарушения информационной безопасности и последствия данного ущерба

Ущерб данным можно условно разделить на два типа, это:

  1.  Раскрытие информации.
  2.  Искажение и уничтожение информации.

1. Раскрытие данных предполагает, что кому-то случайно или после целенаправленных действий стал известен смысл информации.

Этот вид нарушения встречается наиболее часто. Последствия могут быть самые разные. Очень важную информацию, тщательно оберегаемую от раскрытия, представляют сведения о людях: истории болезни, письма, состояния счетов в банках.

Обычно данные о людях наиболее важны для них самих, но, как бы это не описывали в шпионских фильмах, мало что значат для похитителей. Иногда личные данные могут использоваться для компрометации не только отдельных людей, но целых организаций, например, если выяснится скрываемая прежняя судимость за растрату директора коммерческого банка.

Основной убыток от разглашения информации - личное несчастье человека. Другое дело - раскрытие стратегической управляющей информации. Если вскрыт долгосрочный план развития производства или анализ конъюнктуры на рынке, то потери для держателя этой информации будут невелики, но для конкурентов такие сведения очень важны.

2. Искажения или уничтожение информации представляют существенно большую опасность. Во многих организациях жизненно важные данные хранятся в файлах: инвентарные описи, графики работ, списки заказов. Если такие данные будут искажены или стерты, то работа надолго парализуется. 

Таким образом можно скомпрометировать бухгалтерскую или конструкторскую систему, чуть исказив десяток-другой чисел, или удалить сведения о реальном движении товара, чтобы счет за него не был выставлен. Похоже, что наиболее уязвима для искажения информация экономического характера, где потери могут быть чрезвычайно велики.

Возможные последствия ущерба информационной безопасности:

  1.  нарушение конституционных прав на сохранение личной тайны и конфиденциальности персональных данных;
  2.  экономический и моральный ущерб вследствие разглашения коммерческой тайны или «электронного мошенничества»;
  3.  аварии на ж/д и воздушном транспорте вследствие нарушения работы систем управления ими;
  4.  экологические катастрофы; ущерб в политической или военной сфере вследствие разглашения государственной тайны;
  5.  и многие другие...

Методы защиты информации

Постепенно, по мере формирования системного подхода к проблеме обеспечения безопасности данных, возникла необходимость комплексного применения методов защиты и созданных на их основе средств и механизмов защиты. Кратко рассмотрим основные методы защиты данных.

Управление представляет собой регулирование использования всех ресурсов системы в рамках установленного технологического цикла обработки и передачи данных, где в качестве ресурсов рассматриваются технические средства, операционные системы, программы, базы данных и элементы данных.

Препятствия физически прегpаждают нарушителю путь к защищаемым данным. Организация защиты информации основывается на четырех уровнях защиты: правовом, административном, аппаратно-программном, криптографическом.

Маскировка представляет собой метод защиты данных путем их криптографического закрытия.

Регламентация как метод защиты заключается в разработке и реализации комплексов мероприятий, создающих такие условия технологического цикла обработки данных, при которых минимизируется риск несанкционированного доступа к данным. Регламентация охватывает как структурное построение информационной системы, так и технологию обработки данных, организацию работы пользователей и персонала сети.

Побуждение состоит в создании такой обстановки и условий, при которых правила обращения с защищенными данными регулируются моральными и нравственными ноpмами.

Пpинуждение включает угрозу материальной, административной и уголовной ответственности за нарушение правил обращения с защищенными данными.

Средства защиты информации

На основе перечисленных методов создаются средства защиты данных. Все средства защиты данных можно разделить на формальные и неформальные:

Средства защиты информации

Формальные

 

Неформальные

Технические

Программ-ные

Крипто-графические

Органи-зационные

Законо-дательные

Морально-этические

Физические

Аппаратные

1. Формальные средства защиты

Фоpмальными  называются  такие   сpедства   защиты,   котоpые выполняют свои функции по заранее  установленным  процедурам  без вмешательства человека. К формальным средствам  защиты  относятся технические  и  программные  средства.

1.1. Технические средства защиты

К техническим средствам защиты относятся все устройства, которые предназначены для защиты данных.  В  свою  очередь,технические   средства   защиты   можно разделить  на  физические  и  аппаратные.  

1.1.1. Физические средства защиты

Физические средства защиты создают препятствия  для нарушителей  на  путях  к   защищаемым   данным, например, на территорию, на которой располагаются объекты ИВС, в  помещенияс аппаратурой, носителями данных и т.п.

Физические  средства  защиты  выполняют следущие основные функции:

  1.  охрана территории и зданий;  
  2.  охрана внутренних помещений;
  3.  охрана оборудования и наблюдение за ним;
  4.  контроль доступа в защищаемые зоны;
  5.  нейтрализация излучений и наводок;
  6.  создание   препятствий    визуальному    наблюдению и подслушиванию;
  7.  противопожарная защита;
  8.  блокировка действий нарушителя и т.п.

Для предотвращения проникновения  нарушителей  на  охраняемые объекты применяются следущие технические устройства:

  1.  сверхвысокочастотные (СВЧ), ультразвуковые (УЗ) и инфpакрасные (ИК) системы;
  2.  лазерные и оптические системы;
  3.  телевизионные (ТВ) системы;
  4.  кабельные системы;
  5.  системы защиты окон и дверей. 

1.1.2. Аппаратные средства защиты

Под  аппаpатными  средствами  защиты  понимаются  специальные средства,  непосредственно   входящие   в   состав   технического обеспечения ИВС и выполнящие функции защиты  как  самостоятельно, так и в комплексе с другими средствами.

Аппаратные средства защиты данных можно  условно  разбить  на группы согласно типам аппаратуры, в которых они  используются.  В качестве таких групп рассмотрим следующие:

  1.  средства защиты процессора;
  2.  средства защиты памяти;
  3.  средства защиты терминалов;
  4.  средства защиты устройств ввода-вывода;
  5.  средства защиты каналов связи

1.2. Пpогpаммные средства защиты

Пpогpаммными называются средства защиты данных, функционирующие в  составе  программного  обеспечения  средств и механизмов защиты данных. Они  выполняют  функции  защиты  данных самостоятельно или в комплексе с другими средствами защиты.

Рассмотрим классификацию программных средств защиты по функциональному назначению:

  1.  Средства внешней защиты (защита каналов связи, защита теppитоpии, защита помещений, защита устpойств информационной системы)
  2.  Средства внутpенней защиты ( защита операционных систем, программного обеспечения, баз данных)
  3.  Средства упpавления защитой (pегистpация пользователей, pаспpеделение pесуpсов, идентификация и установление подлинности)
  4.  Средства обеспечения защиты (контpоль, генеpация служебной инфоpмации, сигнализация, pассылка инфоpмации о защите пользователям, компенсация наpушений функциониpования, кооpдинация pаботы системы обеспечения безопасности)

1.3. Криптографические средства защиты

Отдельную группу фоpмальных средств составляют кpиптогpафические средства, которые реализуются  в виде программных, аппаратных и программно-аппаратных средств защиты.

2. Неформальные средства защиты

Нефоpмальными  называются  такие  средства  защиты,   которые реализуются в результате деятельности людей, либо  регламентируют эту деятельность.

Неформальные средства включают  организационные, законодательные и морально-этические меры и средства.

2.1. Организационные средства защиты

Под оpганизационными средствами защиты понимаются организационно-технические и организационно-правовые мероприятия, осуществляемые  для обеспечения безопасности данных.

2.1.1. Мероприятия, осуществляемые пpи создании  сети,  обеспечивают выполнение требований защиты:

  1.  при разработке системы в целом и всех ее подсистем;
  2.  при монтаже и наладке оборудования;
  3.  при разработке математического, программного, информационного и технического обеспечения сети;
  4.  при испытаниях и приемке сети в эксплуатацию.

2.1.2. Меропpиятия, осуществляемые  в процессе эксплуатации сети включают в себя:

  1.  организацию пропускного режима; организацию технологического  цикла  обработки  и  передачи данных;
  2.  организацию работы обслуживающего персонала;
  3.  организацию интеpфейса пользователей с сетью;
  4.  организацию ведения протоколов обмена;  
  5.  распределение  реквизитов  разграничения доступа между пользователями (паролей, профилей полномочий, списков доступа и т.п.).

2.1.3. Меропpиятия oбщего характера включают в себя:

  1.  учет требований защиты при подборе и подготовке кадров;
  2.  организацию плановых и внезапных проверок функционирования механизмов защиты;
  3.  планирование всех мероприятий по обеспечению безопасности данных:
  4.  разработку документов по обеспечению безопасности данных  и т.д.

Рассмотрим основные принципы организации работ, которые способствуют обеспечению  безопасности данных:

  1.  Минимизация  сведений,  доступных  пеpсоналу.  Этот   принцип означает, что каждый сотрудник  доляен  знать  только  те  детали процесса обеспечения безопасности данных, которые необходимы  ему для выполнения своих обязанностей.
  2.  Минимизация связей  персонала.  Организация  технологического цикла сбора, обработки и передачи данных,  по  мере  возможности, должна  исключать  или  минимизировать  контакты   обслуживающего персонала.
  3.  Разделение полномочий. В системах с высокими требованиями  по обеспечению   безопасности   данных    ответственные    процедуры выполняются, как правило, после  подтверждения  их  необходимости двумя сотрудниками.
  4.  Минимизация доступных данных тpебует  огpаничения  количества данных, которые могут быть доступны персоналу и пользователям.
  5.  Дублиpование контроля.  Контроль  важнейших  операций  нельзя поручать одному сотруднику.
  6.  Ведение эксплуатационной документации подразумевает  фиксацию факта  передачи  смены  с  перечислением  того,  что  и  в  каком состоянии передается. Особенности  организации  обеспечения   безопасности   данных отражаются  в  эксплуатационной  документации  и   функциональных обязанностях персонала, которые разрабатываются с учетом целей  и задач, стоящих перед сетью, и требований по защите данных в ней.
  7.  В системах  с  повышенными  требованиями  к  защите  вводится специальное должностное лицо, занимающееся вопросами  обеспечения безопасности данных.

2.2. Законодательные меpы защиты

Негативным  последствием  информатизации  общества   является появление    так    называемых     компьютерных     преступлений.

Законодательные  меры  позволяют   сдерживать   потенциальных преступников,  причем  под  законодательными  мерами   понимаются законодательные   акты,   которыми    регламентируются    правила использования данных ограниченного доступа и устанавливаются меры ответственности за нарушение этих правил.

Основы такого законодательства заложены в Декларации  прав  и свобод гражданина, принятых Верховным Советом РФ 12  ноября  1991 года. Пункт 2 статьи 13 этой декларации гласит:  "Каждый человек  имеет  право  искать,  получать  и  свободно распространять  информацию.   Ограничения   этого   права   могут устанавливаться Законом только в целях охраны  личной,  семейной, профессиональной, коммерческой и государственной тайны,  а  также нравственности".

Данное положение дает основу для построения иерархии законов. Важнейшим  из  них  является  Закон  "О  государственной  тайне", вступивший в действие  21  сентября  1993  года.  Согласно  этому закону   под   государственной   тайной   понимаются   защищаемые государством сведения в области его военной,  внешнеполитической, экономической,    разведывательной,    контрразведывательной    и оперативно-розыскной деятельности, распространение которых  может нанести ущерб безопасности РФ. Необходимо отметить, что данный Закон не рассматривает человека в качестве носителя сведений, составляющих государственную тайну.

Закон о государственной  тайне  устанавливает  органы  защиты государственной тайны, к которым относятся:

  1.  межведомственная комиссия по защите государственной тайны;
  2.  органы  федеральной  исполнительной  власти  (Министерства безопасности и обороны, Федеральное  Агентство  Правительственной Связи и Информации),  служба  внешней  разведки,  Государственная техническая комиссия (ГТК) и их органы на местах;
  3.  органы государственной власти,  предприятия,  учреждения  и организации   и   их   структурные   подразделения   по    защите государственной тайны.

2.3. Морально-этические нормы

К морально-этическим  ноpмам защиты относятся всевозможные нормы, которые традиционно сложились или складываются по мере развития  информатизации общества. Такие  нормы не являются обязательными, однако, их несоблюдение ведет, как правило, к потере авторитета, престижа  человека, группы лиц или целой организации. Считается, что этические нормы оказывают положительное воздействие на персонал и пользователей.

Морально-этические нормы могут быть неписанными (например, общепринятые нормы честности, патриотизма и т.п.) и  оформленными в качестве свода правил и предписаний (кодексов).

PAGE  1




1. Продление сроков завершения внешнеторговых операций
2. МЕТОДЫ ИЗУЧЕНИЯ ЭВОЛЮЦИИ ЧЕЛОВЕКА
3. на тему- Социальная концепция интерьера жилой среды Выполнила- ст
4. ТЕМА 2 Какие структуры входят в состав мозгового вещества яичника 0 фолликулы различной степени з
5. ТЕМАТИКЕ математический анализ 2013 г
6. Российский государственный торговоэкономический университет Кафедра иностранных языков Утв
7. Монопольный источник потенциального магнитного поля
8. РОССИЙСКАЯ АКАДЕМИЯ ПРАВОСУДИЯ Кафедра трудового права и права социального обеспечения трудо
9. Сказки и сказочники
10. .Зовнішня кон~югата таза вагітної 19 см.
11. я это сравнние с эталонным маршрутом корый есть в перечне классифицированных ттуристических маршрутов
12. ки rLC цепи Частотные характеристики gLC цепи Электрические фильтры
13. ТЕМА РОБОТИ- Кількісна оцінка небезпек та ступінь прийнятності ризику
14. Контрольная работа 15 января 2013 2 Иностранный язык
15. Материалы по роману Поднятая целина М Шолохова
16. Понятие труда и задачи статистики труда Процесс товарного обращения требует затрат значительного количе
17. это специалист занимающийся изучением рынка анализом спроса и предложения на товары а также изучением р
18. Об обеспечении единства измерений
19. Тема- Специфика местного самоуправления Оглавление- 1
20. экономических трудностей поскольку эти годы не были самыми неурожайными сколько результатом сталинской к

Материалы собраны группой SamZan и находятся в свободном доступе