Нарушения ИБ. Интернет и безопасность корпоративного информационного пространства
Результаты опроса
М.С.Савельев
Заместитель директора по маркетингу
Компании "Информзащита"
Эффективная стратегия защиты корпоративной информационной среды (ИС) требует не только стремления к обеспечению всесторонней безопасности сети компании, но и анализа настоящего положения дел в этой области и оценки предпринимаемых действий для анализа существующих рисков и предупреждения нарушений. Результаты исследования, проведенного журналом "Information Security/Информационная безопасность", могут оказаться полезными для изучения проблем информационной безопасности (ИБ) компании.
Результаты данного опроса красноречиво свидетельствуют о том, что основная угроза безопасности корпоративного информационного пространства исходит именно изнутри компании.
"Гигиена" информационной системы компании
Практически никто из опрошенных не сталкивался со значительными нарушениями ИБ компании со стороны внешних злоумышленников (рис. 1). Половина респондентов утверждает, что на их памяти не случалось попыток проникновения в корпоративную ИС извне. Правда, для абсолютно точного заключения было бы интересно учитывать и еще один факт: имеют ли компании, участвующие в опросе, средства для обнаружения и предотвращения внешних атак, но такой вопрос не был задан.
В повседневной практике довольно часто приходится сталкиваться с тем, что, невзирая на наличие в своем арсенале средств защиты, отделы ИБ компаний и организаций не в состоянии успешно их эксплуатировать. Косвенным подтверждением тому служит картина ответов на вопрос "Насколько развито управление системой обеспечения ИБ?" (рис. 2): неэффективно используется даже такое "гигиеническое" средство защиты, как антивирус. В компаниях почти пятой части респондентов не осуществляется настройка опций автоматического обновления антивирусных баз – этот вопрос отдается на откуп пользователям. Отсюда совершенно очевидно следующее: руководство и IT-специалисты компаний-респондентов могут просто не подозревать о том, какие события происходят в их системах. К слову, современные угрозы, такие, как, например, бот-вирусы, можно обнаружить лишь по едва уловимым признакам, а точнее – только путем анализа тщательно настроенных средств защиты.
Самый опасный нарушитель – пользователь
Вопреки весьма расхожим в 2006 г. утверждениям об огромной опасности, исходящей от инсайдерских угроз, опрос журнала показал, что большая часть инцидентов в реальном опыте специалистов по ИБ – это неумышленные, непреднамеренные действия пользователей (рис. 3). Фактически пользователи нарушают установленные в организации правила использования корпоративной ИС, незлонамеренно совершив то или иное действие (рис. 4). Причем характерно, что правила поведения в области ИБ для сотрудников компаний предусмотрительно описаны (рис. 2) и в политике по информационной безопасности, и в обязанностях сотрудников, и в прочих документах. Несмотря на засвидетельствованное участниками анкетирования наличие в их компаниях специальных инструкций и документов по ИБ, имеет место множество нарушений безопасности из-за неосведомленности пользователей.
Не происходит ли это потому, что требования документов по ИБ до сотрудников не доводятся? Вответе на вопрос " Как сотрудники Вашей компаний узнают о своих обязанностях в области соблюдения ИБ?" (рис. 5), 15% респондентов заявили, что подобные требования существуют лишь на бумаге, и сотрудников организаций о них никак не информируют. Регулярные тренинги в области защиты информации проводятся лишь в пятой части опрошенных компаний. В подавляющем же большинстве случаев специалисты по ИБ несколько самонадеянно полагают, что сотрудники каким-то образом самостоятельно должны овладеть содержимым нормативных документов по безопасности. Смею утверждать, что даже ознакомление "под роспись" не дает никакого эффекта: мы все привыкли формально подписываться под инструкциями по технике безопасности, не вникая в их суть. Нередко и вовсе обходится без такового.
В погоне за тремя зайцами
Чем же для нас чреваты 10% выявленных нарушений? Судя по равномерному распределению ответов на вопрос "Охарактеризуйте важность корпоративной информации" (рис. 6), немногие из специалистов по ИБ действительно разбираются в сущности защищаемого бизнеса. Конечно, и сам вопрос задан несколько прямолинейно, но в практике довольно часто приходится сталкиваться с тем, что в погоне за тремя зайцами (целостностью, конфиденциальностью и доступностью) многие готовы ловить не то, что критично, а то, "кого легче поймать". Порой такие попытки начинают терять связь со здравым смыслом: в какой-то момент все силы службы безопасности затрачиваются на ограничение возможности использовать USB-носители, и при этом никак не контролируются электронная почта, факсы, принтеры и другие средства, позволяющие отправить информацию за пределы организации. Проблемы восстановления информации и работоспособности системы в случае сбоя вообще остаются без внимания. А между прочим это одна из главных угроз, если доверять результатам ответов на вопрос: "Укажите типы пользования информационными ресурсами компании сотрудниками с нарушением установленных режимов в прошлом году?" (рис. 4).
Не таким ли непониманием объясняется выявленное опросом противоречие: несмотря на огромное значение, которое руководство компаний придает вопросам безопасности (рис. 7), увеличить финансирование на обеспечение ИБ и совершенствовать системы защиты TOP-менеджеры не спешат (рис. 8).
Специалисты по безопасности "в собственном соку"
Из исследования совершенно очевидно, что многие специалисты по безопасности "варятся в собственном соку": отвечая на вопрос "К каким мерам по управлению и экспертизе ИБ обращалась Ваша компания за прошедший год?" (рис. 9), только 12,5% опрошенных заявили о том, что пользуются услугами и консультациями профессиональных консультантов по безопасности. Еще чуть более 6% обращаются к мировым стандартам и практикам. Остальные предпочитают сверять действительность лишь с собственным опытом и опытом своих коллег. Следует особо отметить тот факт, что значительная часть опрошенных уверена: количество инцидентов, связанных с ИБ, в будущем будет только расти, и выявлять их станет сложнее (рис. 10). Однако большинство респондентов надеются на некоторую панацею, на палочку-выручалочку в виде какого-то высокотехнологичного решения, которое спасет их от надвигающейся опасности. Отрадно констатировать, что основные надежды связываются именно с правильным выстраиванием и управлением процессами защиты. И это подтверждает наблюдаемый сегодня рост интереса к принимаемым международным стандартам по безопасности. Современные специалисты осознанно стремятся использовать рекомендации стандартов в повседневной деятельности.
Последствия нарушения информационной безопасности. Характеристика системы взлома сети. "Троянские кони" в пиратском программном обеспечении. Безопасность информационной системы предприятия: особенности процесса обеспечения и анализ причин нарушения.
Отправить свою хорошую работу в базу знаний просто. Используйте форму, расположенную ниже
Студенты, аспиранты, молодые ученые, использующие базу знаний в своей учебе и работе, будут вам очень благодарны.
Размещено на http://www.allbest.ru/
Курсовая работа
Анализ причины нарушения информационной безопасности на участке канала связи (система обеспечения обмена данными через среду) в современных государственных информационно-коммуникационных системах.
Содержание
- Введение
- Система взлома сети
- Причины нарушения
- Безответственность
Введение
Что такое информационная безопасность? Специалисты говорят, что информационная безопасность - это защищенность информации от случайных или преднамеренных негативных воздействий. В обязанности тех, кто несет ответственность за информационную безопасность, входит прогнозирование и предотвращение атак на информацию, а также сведение ущерба от них к минимуму.
На сегодняшний день компьютер играет существенную роль во всех сферах деятельности человека. С внедрением информационных технологий в нашу жизнь возрос и объем информации в электронном виде. Информацию стало проще хранить, но заботиться о ее безопасности стало труднее. Документ можно запереть в сейф, и даже если сейф взломан, на то, чтобы переписать текст, нужно значительное время. Информацию с электронного носителя можно украсть почти мгновенно. За несколько секунд злоумышленники могут скопировать или уничтожить результаты многолетней деятельности. Появление компьютерных сетей еще в большей степени облегчило задачу похитителям информации. Физический доступ к носителю информации перестал быть обязательным условием.
Каковы последствия нарушения информационной безопасности?
Кража, подмена или уничтожение информации ведут к серьезным экономическим потерям. Украденные сведения могут попасть в руки конкурентов, ценная информация может быть уничтожена или подменена, что повлечет материальные убытки и подрыв репутации фирмы.
Кроме экономического, компьютерные атаки наносят и моральный ущерб. В результате действий взломщиков личная переписка может стать достоянием общественности. Различные вредоносные программы нарушают работу компьютеров, создают дискомфорт их пользователям.
Каковы же самые распространенные причины нарушения информационной безопасности. Даже в век хакерского беспредела главным вредителем остается сам пользователь. Более половины случаев повреждения информации происходи по вине "чайника", который может по глупости или по неосторожности уничтожить информацию. На втором месте - повреждения в результате пожаров (примерно 15% случаев). Отказ техники становится причиной нарушения информационной безопасности также в пятнадцати процентах случаев. На долю повреждений от воды и от компьютерных атак приходятся незначительные по сравнению со всем вышеперечисленным десять процентов. Однако роль компьютерных взломщиков неуклонно растет, и с ними не могут не считаться службы безопасности.
Система взлома сети
Cети используются ежедневно в корпорациях и различных организациях. Повсюду происходит совместное использование данных и ресурсов. Несомненно, проблемы безопасности должны быть решены при планировании сетей, дабы избежать возможных последующих затрат. Обычно сети организованы по принципу "клиент-сервер". Пользователи используют рабочие станции для доступа к серверу, где содержится основная часть информации и который с точки зрения взлома представляет больший интерес. В какой бы компании ни была сеть - банк, министерство, аптека или что-либо еще - взлом приносит ущерб. И хотя часто взлом происходит изнутри, то есть его осуществляет человек, имеющий часть прав доступа, интересно посмотреть на взлом снаружи.
Статистика показывает, что обычно взломом сетей занимаются мужчины в возрасте от 16 до 25 лет. Причиной этого зачастую является желание проявить себя, увеличить свое мастерство в этой области или желание использовать в своих целях ресурсы сетей.
Кого интересно ломать? Провайдеров - чтобы иметь бесплатный Интернет; мелкие коммерческие компании - чтобы поиздеваться; банки - потому что очень круто, а зачастую физически невозможно (нет реального кабеля наружу, например); многих других. Часто взломщики используют программы-сканеры для определения машин, которые могут быть взломаны, а затем их ломают. Взломщики, заранее намечающие цель, должны быть гораздо более опытными. Такие действия будут продиктованы скорее не интересом, а конкретным заданием, возможно, связанным с большими деньгами. Обычно для этого вначале собирается огромный объем информации о машине (и не только через сеть), но все же вероятнее всего первое - ломают просто так и то, что легче.
Обычно в компаниях есть выход в Интернет:
· WWW-сервер;
· почта;
· выход в Интернет для пользователей.
Обычно почта и WWW держатся на отдельном сервере, а остальные компьютеры сети отделены от мира программой firewall, которая обычно ставится на шлюзе. Несомненно, хороший администратор старается предотвратить взлом как снаружи, так и изнутри. В дальнейшем будем считать, что взломщик хочет получить доступ к сети. Web-серверы обычно не взламываются, если, конечно, фильтрация пакетов является правильной. Почтовый сервер практичнее с точки зрения взлома, поскольку почта должна распространяться дальше и почтовая программа тем самым имеет некоторый доступ к сети. Кроме почты, есть еще несколько программ, которые могут интересовать взломщика:
ftp (21), ssh (22), telnet (23), smtp (25), named (53),
pop3 (110), imap (143), rsh (514), rlogin (513), lpd (515).
Пакеты для SMTP, named и portmapper могут быть легко отфильтрованы, уменьшая риск взлома. Иногда, правда, задача взлома облегчается тем, что фильтрация пакетов организована неправильно. Это может возникнуть при сегментации, неправильной таблице роутинга пакетов по портам, организации нескольких имен у одной машины, модемном доступе. Лишние проблемы может создать наличие DNS в сети. Гораздо безопаснее использовать численные адреса внутри компании. Другим "узким" местом является программа finger. С ее помощью довольно легко узнать тип операционной системы, например, просматривая пользователей root@host, bin@host или daemon@host.
Также следует иметь в виду, что адреса, указанные в файлах hosts. equiv. rhosts или. shosts, имеют больший приоритет при общении с машиной, поэтому возможно, что взлом с этих адресов будет проще. Этот факт обычно используется взломщиками. Чтобы обезопасить сеть, желательно быть уверенным, что доверительные адреса имеют такую же защиту.
Другой опасностью является установка пиратского программного обеспечения пользователями на своих машинах. Такие программы могут содержать внутри себя "троянских коней" разного вида, замаскированных под заставку, дополнение к чему-либо или что-то еще. Обычно это происходит на машинах с Windows, где установить программы может каждый. "Троянские кони" выполняют простые задачи, уничтожая затем сами себя. Они могут послать адреса, содержимое системных файлов сервера, доступ к которым необходим для входа в сеть, например passwd.
Понятно, что взломщики должны обезопасить сами себя. Для этого, во-первых, нужно скрыть свои IP-адреса. Есть несколько простых путей это сделать:
· использовать промежуточный адрес посредством telnet или rsh;
· использовать Windows и Wingate;
· использовать неправильно сконфигурированный proxy-сервер.
Прежде чем ломать, взломщик будет собирать информацию о сети. Он будет пытаться узнать адреса машин в сети, имена пользователей, тип операционной системы. Часть этого можно узнать вполне законно, рассматривая файлы на Web-сервере, ftp-сервере, запуская программу finger или просто пытаясь войти на сервер. После этого он составит представление о сети, о связи компьютеров, о наличии пригодных для взлома портов и о многом другом.
Далее будет предпринята попытка распознать машины, которые используются как наиболее доверительные. Возможно, что часть информации хранится отдельно, и доступ к ней осуществляется через nfsd или mountd. Например, так может храниться конфигурация /etc и исполняемые системные файлы /usr/bin.
После получения такого рода информации взломщик будет сканировать сеть на предмет наличия "дыр" в защите. Для этого существуют программы типа ADMhack, mscan, nmap под Linux. Для их работы необходим быстрый канал, желательно оптоволокно. Программа ADMhack требует прав root для запуска; другие могут запускаться и без этого. Взломщик может и не быть администратором машины, на которой запущен сканер, - он мог встроить его как "троянского коня" в любую другую программу.
Программы ADMhack и mscan делают примерно следующее:
· TCP-сканирование портов;
· получение информации о RPC сервисах, запущенных через portmapper;
· получение списка экспортированных каталогов через nfsd;
· получение информации о наличии samba или netbios;
· запуск finger для сбора информации о пользователях;
· проверка скриптов CGI;
· проверка на возможность взлома демонов Sendmail, IMAP, POP3, RPC status и RPC mountd.
Если собранная информация позволяет пойти в обход через доверительные адреса, то возможность обычно используется. Если же такого пути нет, то применяется почтовый сервер для более глубокого проникновения в сеть. Параллельно производятся попытки программно удаленно взломать Sendmail-, IMAP-, POP3 - и RPC-сервисы, такие как statd, mountd и pcnfsd. Иногда для этого используются уже взломанные машины, так как зачастую необходимо иметь программу, скомпилированную на той же платформе.
После того как хоть один из приемов прошел и получить доступ удалось, взломщик будет тщательно заметать следы, чистить записи в файлах и устанавливать программы, чтобы впоследствии его присутствие не было обнаружено.
Обычно при этом устанавливаются исправленные версии программ, изменяются даты и права доступа к файлам. Для загрузки новых программ может использоваться даже ftp. Возможно, что вместо аккуратного удаления информации о себе будут установлены новые версии программ ps и netstat, которые будут скрывать информацию о взломе. Некоторые взломщики могут поместить файл. rhosts в директорию /usr/bin, чтобы дать возможность удаленного входа пользователя bin посредством rsh или csh.
Чистка записей о себе необходима. Простым дублированием здесь себя не обезопасить. Красивым приемом является посылка регистрационных записей на принтер. Это делает фактически невозможным их редактирование. В любом случае взломщик пойдет дальше только после того, как чистка записей будет проделана. Будет ли он взламывать саму сеть или только основные серверы, - скорее всего, дело вкуса, но если все предыдущее прошло более-менее гладко, искоренение взломщика будет уже довольно трудоемким делом.
Если целью взлома было получение информации из сети, то можно признать, что она наполовину достигнута, так как, взломав что-то типа почтового сервера, получить доступ к сети гораздо легче. Скорее всего, дальнейшая защита будет не лучше, а ее взлом уже отрепетирован. Тем не менее, еще есть что делать - собирать пароли, качать информацию с защищенных машин и тому подобное. Эти приемы у взломщика тоже, несомненно, отработаны.
Наиболее эффективным способом сбора имен и паролей является установка программ "ethernet sniffer". Эта программа "висит" на сетевой карточке, "нюхая" все, что пробегает по сети, отбирая пакеты с именами и паролями. Наиболее эффективно использовать компьютеры из той же подсети, где хочется взломать машину. Ясно, что установить sniffer под Windows гораздо легче. Если же ее придется ставить на UNIX-машину, то скорее всего установлена эта программа будет в /usr/bin или /dev каталог с датой и временем, таким же как у других файлов.
Обычно вся работа программы записывается в файл на этой же самой машине, так что лишней посылки данных не происходит. Поскольку обычно заранее устанавливается измененная программа ps, то процесс не виден. Для работы наиболее эффективно, когда сетевой интерфейс находится в режиме "promiscuous". Ясно, что прослушиваются все данные, проходящие по сети, а не только адресованные данной машине.
После установки прослушивания взломщик возвращается к машине где-то через неделю, чтобы скачать файлы. Разумеется, что он старается как можно тщательнее скрыть присутствие программы, но обнаружить ее можно, например, просматривая файловые системы на предмет изменения файлов. Для таких целей может служить программа Tripwire. Другая программа - cpm - отслеживает изменения в сетевых интерфейсах.
Следующим и наиболее вредным этапом взлома является уничтожение серверов, управляющих работой сети. Это нужно как для заметания следов, так и для того, чтобы заставить сеть работать "под себя". Не всегда, но довольно часто это происходит посредством команды "rm - rf / &". Восстановление целиком зависит от наличия резервных копий. Другой способ - изменить роутинг пакетов.
Итак, все вышеописанное представляет схему взлома стандартной сети. Как же можно себя обезопасить? Для начала нужно правильно и корректно установить систему. Аккуратно настроить роутинг и убрать все лишнее. Если вы взялись администрировать сеть, взгляните на исправления к системе, о чем обычно говорится на сайте разработчика, особенно, если речь идет о защите. Дальше нужно проверить простые вещи: пользователи bin, system, daemon и т.д. не должны уметь входить в систему, что должно быть отражено в файле passwd. Все пользователи должны иметь пароли и регулярно их менять. Можно запретить держать файлы типа. rhosts, чтобы туда не попадало все подряд. Но это довольно банально. Менее банальный хотя уже весьма распространенный шаг - поставить Secure Shell. Вещь хорошая и надежная. Если кто не в курсе - поясню. Если вы делаете telnet, то пароль передается как есть, что выгодно для sniffer, а с Secure Shell, который должен быть на обеих соединяемых машинах, пароль идет в шифрованном виде. Просто, но приятно, особенно если учесть, что этот самый shell бесплатный. Также нужно смотреть log-файлы на предмет входа со странных адресов, попытки входа под чьим-либо именем много раз, и многое другое. Не помешает иногда сверять важные системные файлы с резервной копией, скажем, с установочного диска. Плюс к этому желательно контролировать работу всей сети. Нужно побольше знать об установленных программах, допускать поменьше свободы пользователей, в общем, следить за своим хозяйством. Очень полезная вещь - делать backup, скажем, раз в день. Наверняка уже эти простые советы могут помочь. Но можно пойти и дальше - например, проверять состояние файловой системы, печатать на принтер регистрационные файлы.
Причины нарушения
Процесс обеспечения информационной безопасности относится к оперативным процессам и входит в блок процессов поддержки ИТ сервисов. Нарушение безопасности информационной системы предприятия может привести к ряду негативных последствий, влияющих на качество предоставления ИТ сервисов:
· снижение уровня доступности услуг вследствие отсутствия доступа или низкой скорости доступа к данным, приложениям или службам;
· полная или частичная потеря данных;
· несанкционированная модификация данных;
· получение доступа посторонними пользователями к конфиденциальной информации.
Анализ причин нарушения информационной безопасности показывает, что основными являются следующие:
· ошибки конфигурирования программных и аппаратных средств ИС;
· случайные или умышленные действия конечных пользователей и сотрудников ИТ службы;
· сбои в работе программного и аппаратного обеспечения ИС;
· злоумышленные действия посторонних по отношению к информационной системе лиц.
Программные средства обеспечения информационной безопасности предприятий можно разделить на три большие группы: средства антивирусной защиты, брандмауэры и средства обнаружения атак. Обычно эти средства применяются в комплексе, поэтому нередко говорят не о конкретных продуктах, а о платформах безопасности, объединяющих в себе сразу несколько решений. Однако само по себе программное обеспечение может оказаться совершенно бесполезным при отсутствии надлежащей политики безопасности, определяющей правила использования ПК, сети и данных, а также процедуры предотвращения нарушения этих правил и схемы реакции на подобные нарушения, если таковые возникнут. Отметим также, что при выработке подобной политики требуется оценка рисков, связанных с той или иной деятельностью, а также рассмотрение экономической целесообразности выбора платформы безопасности.
При построении ИТ инфраструктуры клиентов, компания "ESC" отдельное внимание уделяет обеспечению информационной безопасности. Данные и сервисы клиентов защищаются согласно последним стандартам в данной области. Основные усилия наших специалистов направлены на гарантирование конфиденциальности, целостности и доступности данных. Настроенные политики аудита доступа позволяют иметь полный контроль над тем, кто и когда получает доступ к конфиденциальной информации. В качестве инструментов, позволяющих обеспечить наших клиентов необходимым уровнем защиты выступают общепринятые надёжные системы и механизмы.
Среди них:
· контроль привилегий пользователей и организация политик безопасности в Active Directory
· использование HTTPS и других шифрованных протоколов передачи данных
· защита доступа в корпоративную сеть посредством использования серверов VPN
· ограничение и контроль за доступом в сеть извне средствами программных и аппаратно - программных решений (предоставляются услуги по настройке аппаратных роутеров любого производителя, а также услуги по настройке программных средств, таких как Kerio WinRoute Firewall, Outpost, WinGate, IPFW, IPTables и др.)
· защита от вирусных атак с помощью установки и настройки коммерческого и свободно распространяемого антивирусного программного обеспечения как на клиентских ПК так и на серверах, с использованием специальных модулей (анти-спам, почтовые, для шлюзов и т.п.)
· ограничение и контроль доступа в интернет с помощью proxy-серверов
· использование средств защиты от сканирования портов и ARP-spoofing-а и ряда других сетевых угроз.
Дополнительно к мерам по защите информации, компания "ESC" обеспечивает своих клиентов надёжными механизмами сохранности данных. Организация резервного копирования данных, выработка процедур восстановления и правил хранения позволяет нашим клиентам не беспокоиться о том, что данные могут быть утеряны в результате физического или программного повреждения систем или оборудования отвечающих за их хранение.
Три основные причины нарушений
На сегодня выделено три основных причины нарушений информационной безопасности:
· неопытность
· безответственность (самоутверждение)
· корыстный интерес.
Неопытность
Данный мотив является наиболее безвредным, и, вместе с тем, широко распространенным среди новых пользователей систем.
Характерными чертами неопытности являются:
· непреднамеренные ошибки, совершаемые пользователями при вводе данных. Указанный тип нарушений легко блокируется введением в интерфейс программного комплекса, с которым работает пользователь, внутренних правил проверки заполняемых форм и системы уведомления пользователя о совершенных ошибках;
· непонимание пользователями правил работы в сети, и, как следствие, невыполнение этих требований. Борьба с указанным типом нарушителей заключается в проведении подробного инструктажа пользователя и разъяснения ему целей и политики компании.
· непонимание пользователями требований безопасности при работе с данными, и, как следствие, передача другим пользователям или посторонним лицам, своих паролей для входа в систему.
Маловероятно, чтобы разработчики системы защиты могли предусмотреть все такие ситуации. Более того, во многих случаях система в принципе не может предотвратить подобные нарушения (например, случайное уничтожение своего собственного набора данных).
Безответственность
При нарушениях, вызванных безответственностью, пользователь целенаправленно производит какие-либо разрушающие действия, не связанные, тем не менее, со злым умыслом. Некоторые пользователи считают получение доступа к системным наборам данных крупным успехом, затевая своего рода игру "пользователь - против системы" ради самоутверждения либо в собственных глазах, либо в глазах коллег. Хотя намерения могут быть и безвредными, эксплуатация ресурсов автоматизированной системы считается нарушением политики безопасности. Пользователи с более серьезными намерениями могут найти конфиденциальные данные, попытаться испортить или уничтожить их при этом. Большинство систем имеет ряд средств противодействия подобным "шалостям". В случае необходимости администратор защиты использует их временно или постоянно. Такой вид нарушения называется зондированием системы .
Корыстный интерес
Это наиболее опасный вид нарушений. Борьба с указанным видом нарушителей заключается в проведении методических проверок сотрудников объекта различными службами безопасности.
Жизнь свидетельствует о том, что полностью защитить объект от проникновения практически невозможно.
Практика показывает, что ущерб от каждого вида нарушений обратно пропорционален его частоте: нарушения, вызванные неопытностью, встречаются чаще всего, но ущерб от них, как правило, незначителен и легко восполняется. Например, случайно уничтоженный набор данных можно восстановить, если сразу заметить ошибку. Если информация важна, то необходимо хранить регулярно обновляемую резервную копию, тогда ущерб практически незаметен.
Ущерб от зондирования системы может быть гораздо больше, но и вероятность его во много раз ниже. Для таких действий необходима достаточно высокая квалификация, отличное знание системы защиты и определенные психологические особенности. Наиболее характерным результатом зондирования системы является блокировка: пользователь, в конце концов, вводит систему в состояние неразрешимого противоречия. После этого операторы и системные программисты должны тратить много времени для восстановления работоспособности системы.
Наиболее редкий, но и наиболее опасный вид нарушений - проникновение. Отличительной чертой проникновений является определенная цель: доступ (чтение, модификация, уничтожение) к определенной информации, влияние на работоспособность системы, слежение за действиями других пользователей и др. Для выполнения подобных действий нарушитель должен обладать теми же качествами, что и для зондирования системы, но в превосходной степени, а также иметь точно сформулированную цель. В силу этих обстоятельств ущерб от проникновений может оказаться в принципе невосполнимым. Например, для банков это может быть полная или частичная модификация счетов с уничтожением журнала транзакций.
Таким образом, при организации системы защиты информации необходима некая дифференциация мер защиты: для защиты от нарушений, вызванных халатностью нужна минимальная защита, для защиты от зондирования системы - более жесткая, и самая жесткая (вместе с постоянным контролем) - от проникновений. Целью такой дифференциации должно быть рациональное распределение средств защиты информации и вычислительных ресурсов системы.
В отношении к возможным нарушениям следует придерживаться принципа разумной достаточности, а иногда и "золотой середины”. Так, например, существует вероятность ядерного инцидента, но очень мало людей стремятся обезопасить себя, строя бомбоубежища, запасаясь продуктами и водой, так как эта вероятность слишком мала. В то же время, каждый человек стремится обезопасить свою квартиру, машину, сбережения ¬вероятность реализации угрозы значительна, да и ущерб может быть ощутимым.
Причины, побудившие пользователя совершить нарушение или даже преступление, могут быть различными. Около 50% нарушений составляют неумышленные ошибки, вызванные небрежностью, недостаточной компетентностью. Но гораздо более серьезным может быть ущерб, нанесенный в результате умышленного воздействия из-за обиды, неудовлетворенности своим служебным или материальным положением или по указанию других лиц. Причем ущерб этот будет тем больше, чем выше положение пользователя в служебной иерархии. Это только некоторые из возможных причин, побуждающих пользователей идти на нарушение правил работы с системой.
Ответчики по мотивации компьютерных преступлений вписываются в три категории:
· пираты - главным образом нарушают авторское право, создавая незаконные версии программ и данных;
· хакеры (от англ. hack - рубить, кромсать, разбивать) - получают неправомочный доступ к компьютерам других пользователей и файлам в них. Однако они, как правило, не повреждают и не копируют файлы, удовлетворяясь сознанием своей власти над системами;
· кракеры (от англ. crack - раскалывать, взламывать) - наиболее серьезные нарушители, которые позволяют себе все.
Способы предотвращения нарушений вытекают из природы самих побудительных мотивов. Это, прежде всего, соответствующая подготовка пользователей, а также поддержание здорового социально-психологического климата в коллективе, подбор персонала, своевременное обнаружение потенциальных злоумышленников и принятие соответствующих мер. Первая из них - задача администрации системы, вторая - психолога и всего коллектива в целом. Только в случае сочетания этих мер имеется возможность не исправлять нарушения и не расследовать преступления, а предотвращать саму их причину.
информационная безопасность сеть взлом
Классификация угроз информационной безопасности
|
Природные угрозы |
Угрозы технического характера |
Угрозы, созданные людьми |
|
|
1. Стихийные бедствия 2. Магнитные бури 3. Радиоактивное излучение и осадки |
1. Отклонения или колебания электропитания и сбои в работе других средств обеспечения функционирования системы 2. Отказы и сбои в работе аппаратно-программных средств ИС 3. Электромагнитные излучении и наводки 4. Утечки через каналы связи |
1. Непреднамеренные действия: облуживающего персонала управленческого персонала программистов пользователей архивной службы службы безопасности 2. Преднамеренные действия 3. Хакерские атаки |
Размещено на Allbest.ru
...Подобные документы
Изучение профессиональных и должностных обязанностей специалистов отдела информационной безопасности. Характеристика процесса внедрения новой информационной системы предприятия. Создание плановых, диспозитивных и исполнительных информационных систем.
Сущность информации, ее классификации и виды. Анализ информационной безопасности в эпоху постиндустриального общества. Исследование проблем и угроз обеспечения информационной безопасности современного предприятия. Задачи обеспечения защиты от вирусов.
курсовая работа , добавлен 24.04.2015
Сущность информации, ее классификация. Основные проблемы обеспечения и угрозы информационной безопасности предприятия. Анализ рисков и принципы информационной безопасности предприятия. Разработка комплекса мер по обеспечению информационной безопасности.
курсовая работа , добавлен 17.05.2016
Анализ рисков информационной безопасности. Оценка существующих и планируемых средств защиты. Комплекс организационных мер обеспечения информационной безопасности и защиты информации предприятия. Контрольный пример реализации проекта и его описание.
дипломная работа , добавлен 19.12.2012
Понятие информации и информатизации. Современная концепция безопасности и характеристика средств обеспечения информационной безопасности. Особенности обеспечения информационной безопасности в образовательных учреждениях в зависимости от их вида.
дипломная работа , добавлен 26.01.2013
Анализ инфраструктуры ООО магазин "Стиль". Создание системы информационной безопасности отдела бухгалтерии предприятия на основе ее предпроектного обследования. Разработка концепции, политики информационной безопасности и выбор решений по ее обеспечению.
курсовая работа , добавлен 17.09.2010
Категории действий, способных нанести вред информационной безопасности, методы её обеспечения. Сфера деятельности фирмы и анализ финансовых показателей. Система информационной безопасности фирмы и разработка комплекса мероприятий по её модернизации.
дипломная работа , добавлен 15.09.2012
Процесс создания комплексной системы информационной безопасности, предназначенной для обеспечения безопасности всех важных данных сети аптек "Таблэтка". Исследования практики функционирования систем обработки данных и вычислительных систем. Оценка риска.
курсовая работа , добавлен 17.06.2013
Сущность и основное предназначение Доктрины информационной безопасности Российской Федерации (РФ). Виды и источники угроз информационной безопасности РФ. Основные положения государственной политики обеспечения информационной безопасности России.
статья , добавлен 24.09.2010
Одной из особенностей обеспечения информационной безопасности в ИС является то, что абстрактным понятиям, таким как "субъект доступа ", "информация " и т.п., ставятся в соответствие физические представления в среде вычислительной техники:
Для представления понятия "субъект доступа "- активные программы и процессы ,
Для представления понятия “информация” - машинные носители информации в виде внешних устройств компьютерных систем (терминалов, печатающих устройств, различных накопителей, линий и каналов связи), томов, разделов и подразделов томов, файлов, записей, полей записей, оперативной памяти и т.д.
Информационная безопасность ИС -состояние рассматриваемой информацинной системы, при котором она:
- с одной стороны, способна противостоять дестабилизирующему воздействию внешних и внутренних информационных угроз,
- с другой - её наличие и функционирование не создает информационных угроз для элементов самой системы и внешней среды.
Безопасность ИС - это защищенность от случайного или преднамеренного вмешательства в нормальный процесс ее функционирования, а также попыток хищения, изменения или разрушения компонентов.
Угроза безопасности ИС - это возможные воздействия на ИС, которые прямо или косвенно могут нанести ущерб ее безопасности.
Ущерб безопасности - это нарушение состояния защищенности информации, содержащейся и обрабатывающейся в ИС. Ущерб безопасности подразумевает нарушение состояния защищенности содержащейся в ИС информации путем осуществления несанкционированного доступа (НСД) к объектам ИС.
Уязвимость ИС – это характеристика или свойство ИС, использование которой нарушителем может привести к реализации угрозы.
Атака на компьютерную систему - это действие, предпринимаемое злоумышленником, которое заключается в поиске и использовании той или иной уязвимости системы.
Несанкционированный доступ к информации – наиболее распространенный вид компьютерных нарушений. Он заключается в получении пользователем доступа к объекту, на которого нет разрешения в соответствии с принятой в организации политикой безопасности.
Противодействие угрозам безопасности является целью зашиты систем обработки информации.
Таким образом, атака - это реализация угрозы безопасности.
3. Анализ угроз информационной безопасности
Угрозу отождествляют обычно либо с характером (видом, способом) дестабилизирующего воздействия на информацию, либо с последствиями (результатами) такого воздействия. Однако такого рода термины могут иметь много трактовок. Возможен и иной подход к определению угрозы безопасности информации, базирующийся на понятии «угроза».
В соответствии со «Словарем русского языка» Ожегова , «угроза » - это намерение нанести физический, материальный или иной вред общественным или личным интересам, возможная опасность.
Под угрозой (вообще) обычно понимают потенциально возможное событие, действие (воздействие), процесс или явление, которое может привести к нанесению ущерба чьим-либо интересам.
Иначе говоря, понятие угроза жестко связано с юридической категорией «ущерб», которую Гражданский Кодекс определяет как «фактические расходы, понесенные субъектом в результате нарушения его прав (например, разглашения или использования нарушителем конфиденциальной информации), утраты или повреждения имущества , а также расходы , которые он должен будет произвести для восстановления нарушенного права и стоимости поврежденного или утраченного имущества » .
Под угрозой информационной безопасности ИС называют:
1) возможность реализации воздействия на информацию , обрабатываемую в ИС, приводящего: - к искажению, уничтожению, копированию, блокированию доступа к информации;
2) а также возможность воздействия на компоненты ИС , приводящего к: утрате, уничтожению или сбою функционирования носителя информации, средства взаимодействия с носителем или средства его управления.
В настоящее время рассматривается достаточно обширный перечень угроз информационной безопасности ИС, насчитывающий сотни пунктов. Наиболее характерные и часто реализуемые угрозы информационной безопасности ИС:
Несанкционированное копирование носителей информации;
Неосторожные действия, приводящие к разглашению конфиденциальной информации, или делающие ее общедоступной;
Игнорирование организационных ограничений (установленных правил) при определении ранга системы.
Основой для анализа риска реализации угроз и формулирования требований к разрабатываемой системе защиты ИС анализ негативных последствий реализации угроз и предполагает их обязательную идентификацию, а именно:
Перечень возможных угроз информационной безопасности,
Оценки вероятностей их реализации,
Модель нарушителя.
Кроме выявления возможных угроз должен быть проведен анализ этих угроз на основе их классификации по ряду признаков .
Каждый из признаков классификации отражает одно из обобщенных требований к системе защиты. При этом угрозы, соответствующие каждому признаку классификации, позволяют детализировать отражаемое этим признаком требование.
Необходимость классификации угроз информационной безопасности ИС обусловлена тем, что:
Архитектура современных средств автоматизированной обработки информации,
Организационное, структурное и функциональное построение информационно-вычислительных систем и сетей,
Технологии и условия автоматизированной обработки информации такие, - что накапливаемая, хранимая и обрабатываемая информация подвержена случайным влияниям чрезвычайно большого числа факторов . В силу этого становится невозможным формализовать задачу описания полного множества угроз .
Как следствие, для защищаемой системы определяют не полный перечень угроз, а перечень классов угроз.
Исследования проблем обеспечения информационной безопасности и методов предотвращения нарушений в этой области обозначили необходимость более глубоко разобраться в вопросах информационных конфликтов, часто приводящих к более серьезным последствиям, чем просто фиксация очевидного конфликта и ожидание его затухания или перерастания в правонарушение.
"Конфликт в переводе с латинского, – говорит профессор Т. А. Полякова, – это столкновение противоположно направленных целей, интересов, позиций, мнений или взглядов оппонентов или субъектов взаимодействия". Такие противоречия при построении информационного общества неизбежны, многообразны и всеобъемлющи .
Рассматривая конфликты как объективированную в отношениях субъектов форму противоречий, мы обратили внимание на то, что конфликты возникают как в области социальной сферы, так и в системе информатизации, в информационной инфраструктуре. Они могут быть но значимости и отрицательными относительно решаемых обществом задач, и позитивными, наталкивая ответственных субъектов на поиск новых или более совершенных решений. Конфликт может выполнять роль мотива правонарушения, если он не учтен в процессе его выявления. Чаще всего конфликты проявляются в самом законодательстве в силу его слабой согласованности и недостаточно тщательной подготовленности проектов нормативных актов, а также упущений в процессах правоприменения и исполнения законодательных актов.
Весьма существенны конфликты в области правотворчества в условиях культурного разнообразия и игнорирования исторических факторов при реализации установленных правил, непонимания баланса и согласованности действий в области отношений органов государственной власти и местного самоуправления, юридических лид и граждан. Конфликты возникают по причинам несоблюдения правил работы с информационными технологиями, информационными ресурсами, невыполнения требований к системам коммуникаций. Способы разрешения конфликтов различны и зависят от причин и области их возникновения. Они могут быть погашены в административном, служебном порядке, путем мирного взаимодействия сторон, но могут быть доведены и до судебного рассмотрения. В любом случае наличие конфликта, выявленного и зафиксированного, является условием предотвращения более серьезных ситуаций. Можно сказать, что за каждой формой нарушения правил обеспечения информационной безопасности скрыты выявленные или невыявленные конфликты объективного или субъективного характера. В этой связи в 2008 г. в ИГП РАН был проведен теоретический семинар на тему "Конфликты в информационной сфере", материалы которого опубликованы в одноименном сборнике статей и выступлений его участников.
Не все виды конфликтов перерастают в правонарушения или тем более в преступления.
С учетом значимости конфликта в рассматриаемой области общественных отношений важно сформулировать понятие юридически значимого конфликта в информационной среде (сфере) следующим образом. Юридически значимым конфликтом является создание ситуации нестабильности в реализации законных прав и интересов граждан, государства, общества, отдельных организаций в их информационной среде, ситуации, снижающей уровень обеспечения безопасности, в том числе ведущей к созданию угроз, рисков и разрушений в самой информационной инфраструктуре или в области прав субъектов – участников информационных отношений и процессов. И это было освещено в предыдущих главах учебника, а также в работах С. И. Семилетова. Отметим, что конфликты ведут к подрыву значимости информации в процессе развития информационного, гражданского, демократического, социального, устойчивого правового и гуманного общества
Классификация источников угроз
Классификация угроз информационной безопасности
Тема 2 - Угрозы информационной безопасности
Понятия угрозы безопасности объекта и уязвимости объекта были введены ранее. Для полного представления взаимодействия угрозы и объекта защиты введем понятия источника угрозы и атаки.
Угроза безопасности объекта - возможное воздействие на объект, которое прямо или косвенно может нанести ущерб его безопасности.
Источник угрозы - это потенциальные антропогенные , техногенные или стихийные носители угрозы безопасности.
Уязвимость объекта - это присущие объекту причины, приводящие к нарушению безопасности информации на объекте.
Атака - это возможные последствия реализации угрозы при взаимодействии источника угрозы через имеющиеся уязвимости. Атака - это всегда пара «источник - уязвимость», реализующая угрозу и приводящая к ущербу.
Рисунок 2.1
Предположим , студент ходит на учебу каждый день и при этом пересекает проезжую часть в неположенном месте. И однажды он попадает под машину, что причиняет ему ущерб, при котором он теряет трудоспособность и не может посещать занятия. Проанализируем данную ситуацию. Последствия в данном случае - это убытки, которые студент понес в результате несчастного случая. Угрозой у нас выступает автомобиль, который сбил студента. Уязвимостью явилось то, что студент пересекал проезжую часть в неустановленном месте. А источником угрозы в данной ситуации явилась та некая сила, которая не дала возможности водителю избежать наезда на студента.
С информацией не намного сложнее . Угроз безопасности информации не так уж и много. Угроза, как следует из определения, - это опасность причинения ущерба, то есть в этом определении проявляется жесткая связь технических проблем с юридической категорией, каковой является «ущерб».
Проявления возможного ущерба могут быть различны:
Моральный и материальный ущерб деловой репутации организации;
Моральный, физический или материальный ущерб, связанный с разглашением персональных данных отдельных лиц;
Материальный (финансовый) ущерб от разглашения защищаемой (конфиденциальной) информации;
Материальный (финансовый) ущерб от необходимости восстановления нарушенных защищаемых информационных ресурсов;
Материальный ущерб (потери) от невозможности выполнения взятых на себя обязательств перед третьей стороной;
Моральный и материальный ущерб от дезорганизации деятельности организации;
Материальный и моральный ущерб от нарушения международных отношений.
Угрозами безопасности информации являются нарушения при обеспечении:
2. Доступности;
3. Целостности.
Конфиденциальность информации - это свойство информации быть известной только аутентифицированным законным ее владельцам или пользователям.
Нарушения при обеспечении конфиденциальности:
Хищение (копирование) информации и средств ее обработки;
Утрата (неумышленная потеря, утечка) информации и средств ее обработки.
Доступность информации - это свойство информации быть доступной для аутентифицированных законных ее владельцев или пользователей.
Нарушения при обеспечении доступности:
Блокирование информации;
Уничтожение информации и средств ее обработки.
Целостность информации - это свойство информации быть неизменной в семантическом смысле при воздействии на нее случайных или преднамеренных искажений или разрушающих воздействий.
Нарушения при обеспечении целостности:
Модификация (искажение) информации;
Отрицание подлинности информации;
Навязывание ложной информации.
Носителями угроз безопасности информации являются источники угроз. В качестве источников угроз могут выступать как субъекты (личность), так и объективные проявления. Причем, источники угроз могут находиться как внутри защищаемой организации - внутренние источники, так и вне ее - внешние ис-точники.
Все источники угроз безопасности информации можно разделить на три основные группы:
1 Обусловленные действиями субъекта (антропогенные источники угроз).
2 Обусловленные техническими средствами (техногенные источники угрозы).
3 Обусловленные стихийными источниками.
Антропогенными источниками угроз безопасности информации выступают субъекты, действия которых могут быть квалифицированы как умышленные или случайные преступления. Только в этом случае можно говорит о причинении ущерба. Эта группа наиболее обширна и представляет наибольший интерес с точки зрения организации защиты, так как действия субъекта всегда можно оценить, спрогнозировать и принять адекватные меры. Методы противодействия в этом случае управляемы и напрямую зависят от воли организаторов защиты информации.
В качестве антропогенного источника угроз можно рассматривать субъекта, имеющего доступ (санкционированный или несанкционированный) к работе со штатными средствами защищаемого объекта. Субъекты (источники), действия которых могут привести к нарушению безопасности информации, могут быть как внешние, так и внутренние. Внешние источники могут быть случайными или пред-намеренными и иметь разный уровень квалификации.
Внутренние субъекты (источники), как правило, представляют собой высококвалифицированных специалистов в области разработки и эксплуатации программного обеспечения и технических средств, знакомы со спецификой решаемых задач, структурой и основными функциями и принципами работы программно-аппаратных средств защиты информации, имеют возможность использования штатного оборудования и технических средств сети.
Необходимо учитывать также, что особую группу внутренних антропогенных источников составляют лица с нарушенной психикой и специально внедренные и завербованные агенты, которые могут быть из числа основного, вспомогательного и технического персонала, а также представителей службы защиты информации. Данная группа рассматривается в составе перечисленных выше источников угроз, но методы парирования угрозам для этой группы могут иметь свои отличия.
Вторая группа содержит источники угроз, определяемые технократической деятельностью человека и развитием цивилизации. Однако последствия, вызванные такой деятельностью, вышли из-под контроля человека и существуют сами но себе. Данный класс источников угроз безопасности информации особенно актуален в современных условиях, так как в сложившихся условиях эксперты ожидают резкого роста числа техногенных катастроф, вызванных физическим и моральным устареванием используемого оборудования, а также отсутствием материальных средств на его обновление. Технические средства, являющиеся источниками потенциальных угроз безопасности информации, также могут быть внешними и внутренними.
Третья группа источников угроз объединяет обстоятельства, составляющие непреодолимую силу, то есть такие обстоятельства, которые носят объективный и абсолютный характер, распространяющийся на всех. К непреодолимой силе в законодательстве и договорной практике относят стихийные бедствия или иные обстоятельства, которые невозможно предусмотреть или предотвратить или возможно предусмотреть, но невозможно предотвратить при современном уровне че-ловеческого знания и возможностей. Такие источники угроз совершенно не поддаются прогнозированию, и поэтому меры защиты от них должны применяться всегда.
Стихийные источники потенциальных угроз информационной безопасности, как правило, являются внешними по отношению к защищаемому объекту и под ними понимаются, прежде всего, природные катаклизмы.
Классификация и перечень источников угроз приведены в таблице 2.1.
Таблица 2.1 - Классификация и перечень источников угроз информационной безопасности
| Антропогенные источники | Внешние | Криминальные структуры |
| Потенциальные преступники и хакеры | ||
| Недобросовестные партнеры | ||
| Технический персонал поставщиков телекоммуникационных услуг | ||
| Представители надзорных организаций и аварийных служб | ||
| Представители силовых структур | ||
| Внутренние | Основной персонал (пользователи, программисты, разработчики) | |
| Представители службы защиты информации (администраторы) | ||
| Вспомогательный персонал (уборщики, охрана) | ||
| Технический персонал (жизнеобеспечение, эксплуатация) | ||
| Техногенные источники | Внешние | Средства связи |
| Сети инженерных коммуникации (водоснабжения, канализации) | ||
| Транспорт | ||
| Внутренние | Некачественные технические средства обработки информации | |
| Некачественные программные средства обработки информации | ||
| Вспомогательные средства (охраны, сигнализации, телефонии) | ||
| Другие технические средства, применяемые в учреждении | ||
| Стихийные источники | Внешние | Пожары |
| Землетрясения | ||
| Наводнения | ||
| Ураганы | ||
| Магнитные бури | ||
| Радиоактивное излучение | ||
| Различные непредвиденные обстоятельства | ||
| Необъяснимые явления | ||
| Другие форс-мажорные обстоятельства |
Все источники угроз имеют разную степень опасности К опуг, которую можно количественно оценить, проведя их ранжирование. При этом оценка степени опасности проводится по косвенным показателям.
В качестве критериев сравнения (показателей) можно выбрать:
Возможность возникновения источника K 1 - определяет степень доступности к возможности использовать уязвимость для антропогенных источников, удаленность от уязвимости для техногенных источников или особенности обстановки для случайных источников;
Готовность источника К 2 - определяет степень квалификации и привлекательность совершения деяний со стороны источника угрозы для антропогенных источников или наличие необходимых условий для техногенных и стихийных источников;
Фатальность К 3 - определяет степень неустранимости последствий реализации угрозы.
Каждый показатель оценивается экспертно-аналитическим методом по пятибалльной системе. Причем, 1 соответствует самой минимальной степени влияния оцениваемого показателя на опасность использования источника, а 5 - максимальной.
К опуг для отдельного источника можно определить как отношение произведения вышеприведенных показателей к максимальному значению (125):
Угрозы , как возможные опасности совершения какого-либо действия, направленного против объекта защиты, проявляются не сами по себе, а через уязвимости, приводящие к нарушению безопасности информации на конкретном объекте информатизации.
Уязвимости присущи объекту информатизации, неотделимы от него и обусловливаются недостатками процесса функционирования, свойствами архитектуры автоматизированных систем, протоколами обмена и интерфейсами, применяемыми программным обеспечением и аппаратной платформой, условиями эксплуатации и расположения.
Источники угроз могут использовать уязвимости для нарушения безопасности информации, получения незаконной выгоды (нанесения ущерба собственнику, владельцу, пользователю информации). Кроме того, возможны не злонамеренные действия источников угроз по активизации тех или иных уязвимостей, наносящих вред.
Каждой угрозе могут быть сопоставлены различные уязвимости. Устранение или существенное ослабление уязвимостей влияет на возможность реализации угроз безопасности информации.
Уязвимости безопасности информации могут быть:
Объективными;
Субъективными;
Случайными.
Объективные уязвимости зависят от особенностей построения и технических характеристик оборудования, применяемого на защищаемом объекте. Полное устранение этих уязвимостей невозможно, но они могут существенно ослабляться техническими и инженерно-техническими методами парирования угроз безопасности информации.
Субъективные уязвимости зависят от действий сотрудников и, в основном устраняются организационными и программно-аппаратными методами.
Случайные уязвимости зависят от особенностей окружающей защищаемый объект среды и непредвиденных обстоятельств. Эти факторы, как правило, мало предсказуемы и их устранение возможно только при проведении комплекса организационных и инженерно-технических мероприятий по противодействию, угрозам информационной безопасности.
Классификация и перечень уязвимостей информационной безопасности приведены в таблице 2.2.
Таблица 2.2 - Классификация и перечень уязвимостей информационной безопасности
| Объективные уязвимости | Сопутствующие техническим средствам излучения | Электромагнитные | Побочные излучения элементов технических средств |
| Кабельных линий технических средств | |||
| Излучения на частотах работы генераторов | |||
| На частотах самовозбуждения усилителей | |||
| Электрические | Наводки электромагнитных излучений на линии и проводники | ||
| Просачивание сигналов в цепи электропитания, в цепи заземления | |||
| Неравномерность потребления тока электропитания | |||
| Звуковые | Акустические | ||
| Виброакустические | |||
| Активизируемые | Аппаратные закладки устанавливаемые | В телефонные линии | |
| В сети электропитания | |||
| В помещениях | |||
| В технических средствах | |||
| Программные закладки | Вредоносные программы | ||
| Технологические выходы из программ | |||
| Нелегальные копии ПО | |||
| Определяемые особенностями элементов | Элементы, обладающие электроакустическими преобразованиями | Телефонные аппараты | |
| Громкоговорители и микрофоны | |||
| Катушки индуктивности | |||
| Дроссели | |||
| Трансформаторы и пр. | |||
| Элементы, подверженные воздействию электромагнитного поля | Магнитные носители | ||
| Микросхемы | |||
| Нелинейные элементы, подверженные ВЧ навязыванию | |||
| Определяемые особенностями защищаемого объекта | Местоположением объекта | Отсутствие контролируемой зоны | |
| Наличие прямой видимости объектов | |||
| Удаленных и мобильных элементов объекта | |||
| Вибрирующих отражающих поверхностей | |||
| Организацией каналов обмена информацией | Использование радиоканалов | ||
| Глобальных информационных сетей | |||
| Арендуемых каналов | |||
| Субъективные уязвимости | Ошибки (халатность) | При подготовке и использовании программного обеспечения | При разработке алгоритмов и программного обеспечения |
| При инсталляции и загрузке программного обеспечения | |||
| При эксплуатации программного обеспечения | |||
| При вводе данных (информации) | |||
| При настройке сервисов универсальных систем | |||
| Самообучающейся (самонастраивающейся) сложной системы систем | |||
| При эксплуатации технических средств | При включении/выключении технических средств | ||
| При использовании технических средств охраны | |||
| Некомпетентные действия | При конфигурировании и управлении сложной системы | ||
| При настройке программного обеспечения | |||
| При организации управления потоками обмена информации | |||
| При настройке технических средств | |||
| При настройке штатных средств защиты программного обеспечения | |||
| Неумышленные действия | Повреждение (удаление) программного обеспечения | ||
| Повреждение (удаление) данных | |||
| Повреждение (уничтожение) носителей информации | |||
| Повреждение каналов связи | |||
| Нарушения | Режима охраны и защиты | Доступа на объект | |
| Доступа к техническим средствам | |||
| Соблюдения конфиденциальности | |||
| Режима эксплуатации технических средств и ПО | Энергообеспечения | ||
| Жизнеобеспечения | |||
| Установки нештатного оборудования | |||
| Инсталляции нештатного ПО (игрового, обучающего, технологического) | |||
| Использования информации | Обработки и обмена информацией | ||
| Хранения и уничтожения носителей информации | |||
| Уничтожения производственных отходов и брака | |||
| Психогенные | Психологические | Антагонистические отношения (зависть, озлобленность, обида) | |
| Неудовлетворенность своим положением | |||
| Неудовлетворенность действиями руководства (взыскание, увольнение) | |||
| Психологическая несовместимость | |||
| Психические | Психические отклонения | ||
| Стрессовые ситуации | |||
| Физиологические | Физическое состояние (усталость, болезненное состояние) | ||
| Психосоматическое состояние | |||
| Случайные уязвимости | Сбои и отказы | Отказы и неисправности технических средств | Обрабатывающих информацию |
| Обеспечивающих работоспособность средств обработки информации | |||
| Обеспечивающих охрану и контроль доступа | |||
| Старение и размагничивание носителей информации | Дискет и съемных носителей | ||
| Жестких дисков | |||
| Элементов микросхем | |||
| Кабелей и соединительных линий | |||
| Сбои программного обеспечения | Операционных систем и СУБД | ||
| Прикладных программ | |||
| Сервисных программ | |||
| Антивирусных программ | |||
| Сбои электроснабжения | Оборудования, обрабатывающего информацию | ||
| Обеспечивающего и вспомогательного оборудования |
Все уязвимости имеют разную степень опасности K опуяз, которую можно количественно оценить, проведя их ранжирование.
При этом в качестве критериев сравнения можно выбрать:
Фатальность K 4 - определяет степень влияния уязвимости на неустранимость последствий реализации угрозы;
Доступность K 5 - определяет возможность использования уязвимости источником угроз;
Количество K 6 - определяет количество элементов объекта, которым характерен та или иная уязвимость.
K опуяз для отдельной уязвимости можно определить как отношение произведения вышеприведенных показателей к максимальному значению (125):
Модель нарушителя информационной безопасности - это набор предположений об одном или нескольких возможных нарушителях информационной безопасности, их квалификации, их технических и материальных средствах и т. д.
Правильно разработанная модель нарушителя является гарантией построения адекватной системы обеспечения информационной безопасности. Опираясь на построенную модель, уже можно строить адекватную систему информационной защиты.
Чаще всего строится неформальная модель нарушителя, отражающая причины и мотивы действий, его возможности, априорные знания, преследуемые цели, их приоритетность для нарушителя, основные пути достижения поставленных целей: способы реализации исходящих от него угроз, место и характер действия, возможная тактика и т. п. Для достижения поставленных целей нарушитель должен приложить определенные усилия и затратить некоторые ресурсы.
Определив основные причины нарушений, представляется возможным оказать на них влияние или необходимым образом скорректировать требования к системе защиты от данного типа угроз. При анализе нарушений защиты необходимо уделять внимание субъекту (личности) нарушителя. Устранение причин или мотивов, побудивших к нарушению, в дальнейшем может помочь избежать повторения подобного случая.
Модель может быть не одна, целесообразно построить несколько отличающихся моделей разных типов нарушителей информационной безопасности объекта защиты.
Для построения модели нарушителя используется информация, полученная от служб безопасности и аналитических групп, данные о существующих средствах доступа к информации и ее обработки, о возможных способах перехвата данных на стадиях их передачи, обработки и хранении, об обстановке в коллективе и на объекте защиты, сведения о конкурентах и ситуации на рынке, об имевших место свершившихся случаях нарушения информационной безопасности и т. п.
Кроме этого оцениваются реальные оперативные технические возможности злоумышленника для воздействия на систему защиты или на защищаемый объект. Под техническими возможностями подразумевается перечень различных технических средств, которыми может располагать нарушитель в процессе совершения действий, направленных против системы информационной защиты.
Нарушители бывают внутренними и внешними.
Среди внутренних нарушителей в первую очередь можно выделить:
Непосредственных пользователей и операторов информационной системы, в том числе руководителей различных уровней;
Администраторов вычислительных сетей и информационной безопасности;
Прикладных и системных программистов;
Сотрудников службы безопасности;
Технический персонал по обслуживанию зданий и вычислительной техники, от уборщицы до сервисного инженера;
Вспомогательный персонал и временных работников.
Среди причин, побуждающих сотрудников к неправомерным действиям, можно указать следующие:
Безответственность;
Ошибки пользователей и администраторов;
Демонстрацию своего превосходства (самоутверждение);
- «борьбу с системой»;
Корыстные интересы пользователей системы;
Недостатки используемых информационных технологий.
Группу внешних нарушителей могут составлять:
Клиенты;
Приглашенные посетители;
Представители конкурирующих организаций;
Сотрудники органов ведомственного надзора и управления;
Нарушители пропускного режима;
Наблюдатели за пределами охраняемой территории.
Помимо этого классификацию можно проводить по следующим параметрам.
Используемые методы и средства:
Сбор информации и данных;
Пассивные средства перехвата;
Использование средств, входящих в информационную систему или систему ее защиты, и их недостатков;
Активное отслеживание модификаций существующих средств обработки информации, подключение новых средств, использование специализированных утилит, внедрение программных закладок и «черных ходов» в систему, подключение к каналам передачи данных.
Уровень знаний нарушителя относительно организации информационной структуры:
Типовые знания о методах построения вычислительных систем, сетевых протоколов, использование стандартного набора программ;
Высокий уровень знаний сетевых технологий, опыт работы со специализированными программными продуктами и утилитами;
Высокие знания в области программирования, системного проектирования и эксплуатации вычислительных систем;
Обладание сведениями о средствах и механизмах защиты атакуемой системы;
Нарушитель являлся разработчиком или принимал участие в реализации системы обеспечения информационной безопасности.
Время информационного воздействия:
В момент обработки информации;
В момент передачи данных;
В процессе хранения данных (учитывая рабочее и нерабочее состояния системы).
По месту осуществления воздействия:
Удаленно с использованием перехвата информации, передающейся по каналам передачи данных, или без ее использования;
Доступ на охраняемую территорию;
Непосредственный физический контакт с вычислительной техникой, при этом можно выделить: доступ к рабочим станциям, доступ к серверам предприятия, доступ к системам администрирования, контроля и управления информационной системой, доступ к программам управления системы обеспечения информационной безопасности.
В таблице 2.3 приведены примеры моделей нарушителей информационной безопасности и их сравнительная характеристика.
Таблица 2.3 - Сравнительная характеристика нескольких моделей нарушителя
| Характеристика | Хакер-одиночка | Группа хакеров | Конкуренты | Госструктуры, спецподразделения |
| Вычислительная мощность технических средств | Персональный компьютер | ЛВС, использование чужих вычислительных сетей | Мощные вычислительные сети | Неограниченная вычислительная мощность |
| Доступ к интернету, тип каналов доступа | Модем или выделенная линия | Использование чужих каналов с высокой пропускной способностью | Собственные каналы с высокой пропускной способностью | Самостоятельный контроль над маршрутизацией трафика в Интернете |
| Финансовые возможности | Сильно ограничены | Ограничены | Большие возможности | Практически неограниченные |
| Уровень знаний в области IT | Невысокий | Высокий | Высокий | Высокий, разработчики стандартов |
| Используемые технологии | Готовые программы, известные уязвимости | Поиск новых уязвимостей, изготовление вредоносных программ | Современные методы проникновения в информационные системы и воздействия на потоки данных в ней | Доскональные знания информационных технологий: возможные уязвимости и недостатки |
| Знания о построении системы защиты объекта | Недостаточные знания о построении информационной системы | Могут предпринимать усилия для получения представления о принципах функционирования системы защиты | Могут предпринимать усилия для получения представления о принципах функционирования системы защиты, внедрять своего представителя в службу безопасности | В процессе сертификации системы представители госорганов могут получать достаточно полную информацию о ее построении |
| Преследуемые цели | Эксперимент | Внесение искажений в работу системы | Блокировка функционирования системы, подрыв имиджа, разорение | Непредсказуемые |
| Характер действий | Скрытый | Скрытый | Скрытый или открытый демонстративный | Может не утруждать себя сокрытием своих действий |
| Глубина проникновения | Чаще всего останавливается после первого успешного воздействия | До момента достижения поставленной цели или появления серьезного препятствия | До победного конца | Ничего не способно их остановить |
Загрузка...
