Что вы представляете под безопасностью информационной системы
Основы информационной безопасности. Часть 1: Виды угроз
Безопасность виртуального сервера может быть рассмотрена только непосредственно как «информационная безопасность». Многие слышали это словосочетание, но не все понимают, что же это такое?
«Информационная безопасность» — это процесс обеспечения доступности, целостности и конфиденциальности информации.
Под «доступностью» понимается соответственно обеспечение доступа к информации. «Целостность» — это обеспечение достоверности и полноты информации. «Конфиденциальность» подразумевает под собой обеспечение доступа к информации только авторизованным пользователям.
Исходя из Ваших целей и выполняемых задач на виртуальном сервере, необходимы будут и различные меры и степени защиты, применимые по каждому из этих трех пунктов.
Для примера, если Вы используете виртуальный сервер, только как средство для серфинга в интернете, то из необходимых средств для обеспечения безопасности, в первую очередь будет использование средств антивирусной защиты, а так же соблюдение элементарных правил безопасности при работе в сети интернет.
В другом случае если у Вас размещен на сервере продающий сайт или игровой сервер, то и необходимые меры защиты будут совершенно различными.
Знание возможных угроз, а также уязвимых мест защиты, которые эти угрозы обычно эксплуатируют, необходимо для того, чтобы выбирать наиболее оптимальные средства обеспечения безопасности, для этого рассмотрим основные моменты.
Под «Угрозой» понимается потенциальная возможность тем или иным способом нарушить информационную безопасность. Попытка реализации угрозы называется «атакой», а тот, кто реализует данную попытку, называется «злоумышленником». Чаще всего угроза является следствием наличия уязвимых мест в защите информационных систем.
Рассмотрим наиболее распространенные угрозы, которым подвержены современные информационные системы.
Угрозы информационной безопасности, которые наносят наибольший ущерб
Рассмотрим ниже классификацию видов угроз по различным критериям:
Применимо к виртуальным серверам, угрозы, которые Вам как администратору сервера, необходимо принимать во внимание это — угроза доступности, конфиденциальности и целостность данных. За возможность осуществления угроз направленных на конфиденциальность и целостность данных, не связанные с аппаратной или инфраструктурной составляющей, Вы несете прямую и самостоятельную ответственность. В том числе как и применение необходимых мер защиты, это Ваша непосредственная задача.
На угрозы направленные на уязвимости используемых Вами программ, зачастую Вы как пользователь не сможете повлиять, кроме как не использовать данные программы. Допускается использование данных программ только в случае если реализация угроз используя уязвимости этих программ, либо не целесообразна с точки зрения злоумышленника, либо не имеет для Вас как для пользователя существенных потерь.
Обеспечением необходимых мер безопасности от угроз направленных на аппаратуру, инфраструктуру или угрозы техногенного и природного характера, занимается напрямую та хостинг компания, которую Вы выбрали и в которой арендуете свои сервера. В данном случае необходимо наиболее тщательно подходить к выбору, правильно выбранная хостинг компания на должном уровне обеспечит Вам надежность аппаратной и инфраструктурной составляющей.
Вам как администратору виртуального сервера, данные виды угроз нужно принимать во внимание только в случаях при которых даже кратковременная потеря доступа или частичная или полная остановка в работоспособности сервера по вине хостинг компании могут привести к не соизмеримым проблемам или убыткам. Это случается достаточно редко, но по объективным причинам ни одна хостинг компания не может обеспечить Uptime 100%.
Угрозы непосредственно информационной безопасности
К основным угрозам доступности можно отнести
Основные угрозы целостности
Можно разделить на угрозы статической целостности и угрозы динамической целостности.
Так же стоит разделять на угрозы целостности служебной информации и содержательных данных. Под служебной информацией понимаются пароли для доступа, маршруты передачи данных в локальной сети и подобная информация. Чаще всего и практически во всех случаях злоумышленником осозхнанно или нет, оказывается сотрудник организации, который знаком с режимом работы и мерами защиты.
С целью нарушения статической целостности злоумышленник может:
Основные угрозы конфиденциальности
Конфиденциальную информацию можно разделить на предметную и служебную. Служебная информация (например, пароли пользователей) не относится к определенной предметной области, в информационной системе она играет техническую роль, но ее раскрытие особенно опасно, поскольку оно чревато получением несанкционированного доступа ко всей информации, в том числе предметной.
Даже если информация хранится в компьютере или предназначена для компьютерного использования, угрозы ее конфиденциальности могут носить некомпьютерный и вообще нетехнический характер.
К неприятным угрозам, от которых трудно защищаться, можно отнести злоупотребление полномочиями. На многих типах систем привилегированный пользователь (например системный администратор) способен прочитать любой (незашифрованный) файл, получить доступ к почте любого пользователя и т.д. Другой пример — нанесение ущерба при сервисном обслуживании. Обычно сервисный инженер получает неограниченный доступ к оборудованию и имеет возможность действовать в обход программных защитных механизмов.
Для наглядности данные виды угроз так же схематично представлены ниже на рис 1. 
Рис. 1. Классификация видов угроз информационной безопасности
Для применения наиболее оптимальных мер по защите, необходимо провести оценку не только угроз информационной безопасности но и возможного ущерба, для этого используют характеристику приемлемости, таким образом, возможный ущерб определяется как приемлемый или неприемлемым. Для этого полезно утвердить собственные критерии допустимости ущерба в денежной или иной форме.
Каждый кто приступает к организации информационной безопасности, должен ответить на три основных вопроса:
Основные методы и средства защиты, а так же минимальные и необходимые меры безопасности применяемые на виртуальных серверах в зависимости от основных целей их использования и видов угроз, нами будут рассмотрены в следующих статьях под заголовком «Основы информационной безопасности».
Что такое информационная безопасность и какие данные она охраняет
Если компания хранит бухгалтерскую информацию, клиентскую базу, анкеты сотрудников или корпоративные тайны, то важно, чтобы эти данные не попали не в те руки, то есть были защищены. Защитой данных занимается информационная безопасность. Разобрались, что это и какие именно данные она защищает.
Что такое информационная безопасность
Информационная безопасность — это различные меры по защите информации от посторонних лиц. В доцифровую эпоху для защиты информации люди запирали важные документы в сейфы, нанимали охранников и шифровали свои сообщения на бумаге.
Сейчас чаще защищают не бумажную, а цифровую информацию, но меры, по сути, остались теми же: специалисты по информационной безопасности создают защищенные пространства (виртуальные «сейфы»), устанавливают защитное ПО вроде антивирусов («нанимают охранников») и используют криптографические методы для шифрования цифровой информации.
За что отвечает информационная безопасность
Она отвечает за три вещи: конфиденциальность, целостность и доступность информации. В концепции информационной безопасности их называют принципами информационной безопасности.
Конфиденциальность означает, что доступ к информации есть только у того, кто имеет на это право. Например, ваш пароль от электронной почты знаете только вы, и только вы можете читать свои письма. Если кто-то узнает пароль или другим способом получит доступ в почтовый ящик, конфиденциальность будет нарушена.
Целостность означает, что информация сохраняется в полном объеме и не изменяется без ведома владельца. Например, на вашей электронной почте хранятся письма. Если злоумышленник удалит некоторые или изменит текст отдельных писем, то это нарушит целостность.
Доступность означает, что тот, кто имеет право на доступ к информации, может ее получить. Например, вы в любой момент можете войти в свою электронную почту. Если хакеры атакуют серверы, почта будет недоступна, это нарушит доступность.
Какая бывает информация и как ее защищают
Информация бывает общедоступная и конфиденциальная. К общедоступной имеет доступ любой человек, к конфиденциальной — только отдельные лица.
Может показаться, что защищать общедоступную информацию не надо. Но на общедоступную информацию не распространяется только принцип конфиденциальности — она должна оставаться целостностной и доступной. Поэтому информационная безопасность занимается и общедоступной информацией.
Главная задача информационной безопасности в IT и не только — защита конфиденциальной информации. Если доступ к ней получит посторонний, это приведет к неприятным последствиям: краже денег, потере прибыли компании, нарушению конституционных прав человека и другим неприятностям.
Защита конфиденциальных данных — главная задача специалистов по информационной безопасности. Сама конфиденциальная информация бывает разной. Например, у оборонной компании это стратегическое расположение средств ПВО. А у ресторана — рецепт секретного соуса.
Баранников Андрей, руководитель отдела ИБ ИТ-компании «Рексофт»
Если с общедоступной информацией все понятно, то о конфиденциальной информации стоит поговорить отдельно, так как у нее есть несколько разновидностей.
Основные виды конфиденциальной информации
Персональные данные. Информация о конкретном человеке: ФИО, паспортные данные, номер телефона, физиологические особенности, семейное положение и другие данные. В России действует 152-ФЗ — закон, который обязывает охранять эту информацию. Мы подробно рассказывали об этом в статье «Как выполнить 152-ФЗ о защите персональных данных и что с вами будет, если его не соблюдать».
Тот, кто работает с персональными данными, обязан защищать их и не передавать третьим лицам. Информация о клиентах и сотрудниках относится как раз к персональным данным.
Коммерческая тайна. Внутренняя информация о работе компании: технологиях, методах управления, клиентской базе. Если эти данные станут известны посторонним, компания может потерять прибыль.
Компания сама решает, что считать коммерческой тайной, а что выставлять на всеобщее обозрение. При этом не вся информация может быть коммерческой тайной — например, нельзя скрывать имена учредителей юрлица, условия труда или факты нарушения законов. Подробнее о коммерческой тайне рассказывает закон 98-ФЗ.
Профессиональная тайна. Сюда относятся врачебная, нотариальная, адвокатская и другие виды тайны, относящиеся к профессиональной деятельности. С ней связано сразу несколько законов.
Служебная тайна. Информация, которая известна отдельным службам, например, налоговой или ЗАГСу. Эти данные обычно хранят государственные органы, они отвечают за их защиту и предоставляют только по запросу.
Государственная тайна. Сюда относят военные сведения, данные разведки, информацию о состоянии экономики, науки и техники государства, его внешней политики. Эти данные самые конфиденциальные — к безопасности информационных систем, в которых хранится такая информация, предъявляют самые строгие требования.
Безопасность информационных систем
Защита данных
на базе системы
П онятие безопасности информационных систем знакомо большинству пользователей. Актуальность построения системы информационной безопасности подтверждается постоянным ростом хакерских атак, нападений на банковские, корпоративные сети и компьютеры частных пользователей. Даже устройства «Интернета вещей» несут в себе риски при несанкционированном доступе. Все это порождает особое внимание к построению систем безопасности.
Правовое регулирование информационной безопасности
Виды ИБ-угроз
Информационная безопасность на любом уровне предполагает реализацию трех составляющих:
Хакеры могут быть заинтересованы в разрушении любой из этих составляющих в зависимости от целей, которые будут разными у организатора бизнес-шпионажа, злоумышленника, похищающего номера банковских карт, и иностранного государства, поставившего целью дезорганизовать систему управления противника с применением информационных технологий.
В зависимости от уровня сетей ранжируется и модель угроз. В Концепции информационной безопасности описываются основные типы угроз, стоящие перед государством, а значит, и перед обществом и бизнесом. Это:
Документ предлагает целостную систему защиты от рисков высшего уровня.
На частном уровне виды угроз конкретизируются. В различных исследованиях называются системные проблемы безопасности информационных систем:
Уязвимость программного обеспечения, наличие незадекларированных возможностей позволяют использовать различные способы взлома баз данных. На национальном уровне все чаще преимущество отдается российскому ПО, разрабатываемому с учетом актуальных угроз и не содержащему НД.
Составляющие информационной безопасности
Компания, желающая выстроить эффективную систему информационной безопасности, должна учитывать нарастание степени рисков. Постоянно растет уровень технологий, направленных на совершение нарушений в сфере ИБ, при этом падает квалификация исполнителей. Сейчас выстраивание системы ботнетов, организующих DDoS-атаки, способно обрушить ИС не самого защищенного уровня, а пользование ими доступно школьнику. Риски становятся не единичными, а массовыми, любой интернет-магазин, чья продукция не понравилась покупателю, рискует стать жертвой атаки.
Компания, желающая реализовать целостную концепцию безопасности информационных систем, должна использовать не менее трех уровней защиты:
Реализуя эти меры, организация достигает следующих целей:
Экономия ресурсов становится ключевой задачей для компании. Так, РЖД может позволить себе создавать собственную сеть коммуникаций, Intranet, уровень защищенности которой снимает большинство рисков. Небольшая организация пользуется исключительно Интернетом, неся все последствия, связанные с незащищенностью систем общего доступа.
Построение системы ИБ
Строя работающую структуру безопасности информационных систем, организация должна начать с разработки, которая поможет оптимизировать и систематизировать выбранные меры и средства. Базой для ее построения становятся ответы на вопросы:
Надо ли защищаться и что защищать
В простых ситуациях, для маленьких компаний задачу безопасности ИС решают штатные средства защиты, встроенные в операционные системы. Это брандмауэры, антивирусы, программы фильтрации электронной почты. Но НИИ окажется заинтересован в сохранности своих архивов от несанкционированного доступа, медицинскому учреждению нужно обеспечить защиту персональных данных клиентов, провайдер интернет-услуг озадачен постоянной доступностью сервера. Модель угроз готовится каждой организацией исходя из того, какие ее информационные ресурсы интересуют злоумышленника.
Вторым шагом станет решение задачи, от какого типа угроз следует защищаться. Необходимо предложить меры, способные:
снять риск нарушения функционирования информационного пространства путем исключения воздействия на информационные системы;
обеспечить защиту от несанкционированного доступа к информации путем обнаружения и ликвидации попыток использования ресурсов информационного пространства, приводящих к нарушению его целостности;
От кого необходимо защищаться
Модель угроз окажется индивидуальной в каждом случае. По мнению ИТ-специалистов большинства организаций, основная опасность исходит от хакеров или внешних злоумышленников. И действительно, большинство зафиксированных инцидентов происходит от того, что на информационные системы производятся атаки с внешних ресурсов. И такие риски угрожают не только конфиденциальности информации, они происходят редко и с четко поставленными целями пиара и демонстрации возможностей хакерских группировок. Большая угроза связана с тем, что внешние злоумышленники нападают на системы управления предприятий, организаций ЖКХ, сайты государственных структур с целью дестабилизации систем управления. Внешние угрозы характерны для банковской сферы, где происходят попытки воровства денег со счетов граждан. Массовые вирусные атаки также носят внешний характер, и их целью становится вымогательство средств за разблокировку ресурса, доступность которого утрачена. Любая информационная система в целях безопасности должна иметь один или несколько встроенных модулей защиты от угроз этого рода.
Но с точки зрения хищения внутренней корпоративной информации или обрабатываемых персональных данных гораздо опаснее оказываются сотрудники. В 70-80 % случаев, как показывают исследования, утечки организовывают сотрудники компании. Существует несколько психологических типов нарушителей:
Во многих случаях возможность организации утечки остается у сотрудника и после увольнения, если он сумел сохранить право на удаленный доступ к корпоративной системе. Часто служба информационной безопасности недооценивает эту степень риска. Наибольшую опасность представляет персонал ИТ-подразделений, имеющий доступ ко всем учетным записям и базам данных и способный не только похитить информацию, но и скрыть сведения о своих неправомерных шагах в системе. Даже если настроен аудит действий пользователей, большинство программных продуктов дают возможность затереть их следы в журналах регистрации.
Степень риска невозможно оценить в финансовом отношении, так как большинство компаний и банков, исходя из необходимости сохранения деловой репутации, оставляют в тайне данные о хищении ценной информации, имеющей отношение к клиентам. Чаще всего вскрытие таких инцидентов происходит случайно. В США факт утраты данных клиентов может привести к наложению многомиллионных штрафов на компанию, это служит дополнительной причиной молчания. Утрата конфиденциальных данных говорит о том, что фирма мало времени или средств уделяла работе с персоналом, позволила не менять пароли или иметь несанкционированный доступ к чужим учетным записям, а это значит, что она недостаточно заботится о клиентах.
Часто штатные средства обеспечения безопасности информационных систем не дают возможности разграничить доступ к данным различной степени конфиденциальности на уровне программных средств. Именно этот риск выявился при первом выходе на рынок Windows XP с поддержкой в ней технологии универсальной последовательной шины доступа (Universal Serial Bus, USB). После выявления уязвимости предложенный пользователям вариант обновления Service Pack 2 для Windows XP с множеством улучшений подсистемы безопасности не смог предложить средств разграничения доступа к портам USB и FireWire. Точно так же штатная система аудита действий пользователей, содержащаяся в Windows, не позволяет проводить эффективный поиск по операциям, совершаемым пользователями, и не исключает рисков того, что данные журналов регистрации действий будут удалены системными администраторами.
Эти ситуации приводят к необходимости разрабатывать структуру безопасности, индивидуальную для каждой организации и учитывающую заявленные в модели угроз риски. Возникает необходимость приобретения более сложных, чем встроенные в операционные системы, продуктов безопасности. Часто решением для снятия рисков со стороны инсайдеров становится установка DLP-системы, комплексно решающей задачи организации утечек данных со стороны персонала.
От чего защищаться с точки зрения внешних угроз
При разработке архитектуры системы информационной безопасности необходимо предусмотреть способы защиты, которые минимизируют риски наиболее массовых проблем – вирусов и спама. Решается эта задача установкой:
Но если пользователь ненамеренно откроет вложение, содержащее вирус и пришедшее по почте от знакомого корреспондента или от того, чей адрес покажется знакомым, вирус или троянский конь сможет подорвать безопасность всей ИС. Поэтому основными задачами окажутся обучение и подготовка пользователей, установка программных средств, обеспечивающих защиту от непреднамеренных ошибок.
Как выстраивать систему безопасности
Часто руководители, информированные о существовании угроз, идут на поводу у сотрудников ИТ-подразделений и без анализа эффективности приобретают популярные программные продукты. Они не анализируют реальное соответствие предложенного ПО задачам организации.
Построение обоснованной стратегии поможет выбрать и внедрить программные продукты, которые будут соответствовать реальному уровню угроз. Это в наибольшей степени отвечает задачам экономической безопасности, так как затраты окажутся соответствующими угрозам, и компания не понесет дополнительного ущерба из-за неэффективности внедренного ПО.
Но выбор программного обеспечения не единственная задача. Без разработки системы организационных мероприятий ПО окажется бесполезным. Не только исходя из требований регулятора по защите персональных данных, но и опираясь на логику защиты сведений, необходимо определить:
В дальнейшем определение этих двух групп позволит соотнести уже на программном уровне, выстраивая степени дифференциации доступа, модель ограничения прав на работу с данными. Такая система выстраивается сначала на уровне принятия локального нормативного акта, далее на уровне программных решений. Но этого недостаточно. В компании необходимо принять и разработать такие документы, как:
1. Политика безопасности по работе с информацией.
2. Правила работы с Интернетом и внешней электронной почтой.
3. Правила обращения с носителями информации, порядок контроля их использования.
4. Правила обращения с бумажными документами, их сохранностью.
В ряде случаев необходимым становится контроль использования систем копирования, принтеров и ксероксов. В каждом из этих случаев современные программные решения позволяют минимизировать риск утечки информации на бумажных носителях. Для операторов персональных данных важны подготовка политики обработки ПД и размещение ее в открытом доступе.
Но чисто технических решений недостаточно, нужно внедрить работающий механизм привлечения нарушителя к ответственности. Для этого необходимо:
При реализации правового механизма обеспечения безопасности информационных систем любой случай преднамеренной или непреднамеренной утечки данных окажется основанием для проведения служебного расследования или привлечения правоохранительных органов. Виновный не только понесет дисциплинарную ответственность, вплоть до увольнения, но и будет обязан возместить причиненный ущерб, а в критичных случаях даже будет привлечен к уголовной ответственности. Убежденность персонала в том, что при любой попытке похитить информацию любой сотрудник понесет наказание, в большинстве случаев снижает степень риска. А если сотрудники будут знать, что все их действия в пределах информационного периметра компании отслеживаются, уровень безопасности информационной системы повысится дополнительно.
Технические средства защиты
Средства контроля за действиями персонала, способные блокировать любые попытки вывести данные за пределы организации, такие как DLP-системы, являются очевидным, но доступным не для всех организаций решением. Но ограничиваться ими нельзя, особенно в ситуации, когда существует риск внешних атак. Потребуются мощные технические средства, например, маршрутизаторы, их установка снизит расходы на брандмауэры.
Вся концепция работы с безопасностью информационных систем должна соответствовать требованиям регуляторов, а в ряде случаев и превосходить их, так как иногда разрабатываемые рекомендации не отвечают растущему уровню угроз.
Безопасность информационной системы
Тема 12 ЗАЩИТА ИНФОРМАЦИИ В АВТОМАТИЗИРОВАННЫХ И ИНФОРМАЦИОННЫХ СИСТЕМАХ
Безопасность информационной системы
Криптографическое закрытие информации
Защита информации от компьютерных вирусов
Безопасность информационной системы
Безопасность информационной системы — свойство, заключающееся в способности системы обеспечить конфиденциальность и целостность информации [22].
Угрозы информационным системам можно объединить и следующие группы [22]:
• угроза раскрытия информации;
• угроза нарушения целостности — умышленное несанкционированное или неумышленное изменение (удаление) данных, хранящихся в вычислительной системе или передаваемых из одной системы в другую;
• угроза отказа в обслуживании — блокировка доступа к некоторому ресурсу вычислительной системы.
По природе возникновения угрозы можно разделить на;
Естественные угрозы — это угрозы, связанные с воздействиями на ИС объективных физических процессов или природных явлений. Искусственные угрозы — это угрозы информационной системе, связанные с деятельностью человека.
Пользователем ИС могут быть осуществлены следующие непреднамеренные действия, представляющие угрозу безопасности информационной системы [22]:
• доведение до состояния частичного или полного отказа системы, разрушение аппаратных, программных, информационных ресурсов системы (порча оборудования, носителей информации, удаление, искажение файлов с важной информацией или программ, в том числе системных, и т. п.);
• неправомерное включение оборудования или изменение режимов работы устройств и программ;
• запуск сервисных программ, способных при некомпетентном использовании вызывать потерю работоспособности системы или необратимые изменения в системе;
• нелегальное внедрение и использование неучтенных программ, не являющихся необходимыми для выполнения служебных обязанностей, с последующим необоснованным расходованием ресурсов (загрузка процессора, захват оперативной памяти и памяти внешних носителей);
• заражение компьютера вирусами;
• разглашение конфиденциальной информации;
• разглашение, передача или утрата атрибутов разграничения доступа (паролей, ключей шифрования, идентификационных карточек, пропусков и т.п.);
• игнорирование организационных ограничений;
• некомпетентное использование, настройка или неправомерное отключение средств защиты информации;
• пересылка данных по ошибочному адресу абонента (устройства);
• ввод ошибочных данных;
• повреждение каналов связи.
Пользователем ИС могут быть осуществлены следующие преднамеренные действия, представляющие угрозу безопасности информационной системы [22]:
• физическое разрушение системы или вывод из строя наиболее важных ее компонентов;
• отключение или вывод из строя подсистем обеспечения функционирования вычислительных систем (электропитания, охлаждения и вентиляции, линий связи и т. п.);
• дезорганизация функционирования системы (изменение режимов работы устройств или программ, создание мощных активных радиопомех и т.п.);
• внедрение агентов в число персонала (в том числе и в службу безопасности), вербовка персонала или отдельных пользователей, имеющих определенные полномочия;
• применение подслушивающих устройств, дистанционная фото- и видеосъемка и т. п.;
• перехват побочных электромагнитных, акустических и других излучений устройств и линий связи, а также наводка активных излучений на вспомогательные технические средства, непосредственно не участвующие в обработке информации (телефонные линий, сети питания, отопления и т. п.);
• перехват данных, передаваемых по каналам связи, и их анализ с целью осуществления попыток проникновения в систему;
• хищение носителей информации;
• несанкционированное копирование носителей информации;
• хищение производственных отходов (распечаток, записей, списанных носителей информации и т. п.);
• чтение остатков информации из оперативной памяти и с внешних запоминающих устройств, чтение информации из областей оперативной памяти, используемых операционной системой;
• незаконное получение паролей и других реквизитов разграничения доступа (агентурным путем, используя халатность пользователей, путем подбора, имитации интерфейса системы и т. п.) с последующей маскировкой под зарегистрированного пользователя;
• несанкционированное использование терминалов пользователей, имеющих уникальные физические характеристики;
• вскрытие шифров криптозащиты информации;
• внедрение аппаратных спецвложений, программ закладок и «троянских коней».
Следует заметить, что чаще всего для достижения поставленной цели злоумышленник использует не один способ, а их некоторую совокупность.
Формализованное описание или представления комплекса возможностей нарушителя по реализации тех или иных угроз безопасности информации называют моделью нарушителя.
При разработке модели нарушителя делаются предположения [22]:
• о категориях лиц, к которым может принадлежать нарушитель;
• о мотивах действий нарушителя;
• о квалификации нарушителя и его технической оснащенности;
• о характере возможных действий нарушителя.
По отношению к ИС нарушители могут быть внутренними (из числа персонала системы) или внешними (посторонними лицами). Внутренними нарушителями могут быть лица из следующих категорий персонала [22]:
• персонал, обслуживающий технические средства (инженеры, техники);
• сотрудники отделов разработки и сопровождения программного обеспечения (прикладные и системные программисты);
• технический персонал, обслуживающий здание (уборщики, электрики, сантехники и другие сотрудники, имеющие доступ в здание и помещения, где расположены компоненты ИС);
• сотрудники службы безопасности ИС;
• руководители различных уровней должностной иерархии.
Посторонние лица, которые могут быть внешними нарушителями [22]:
• представители организаций, взаимодействующих по вопросам обеспечения жизнедеятельности организации (энерго-, водо-, теплоснабжение и т. п.);
• представители конкурирующих организаций или лица, действующие по их заданию;
• лица, случайно или умышленно нарушившие пропускной режим (без цели нарушения безопасности ИС).
Можно выделить три основных мотива нарушений:
Нарушителей можно классифицировать по следующим признакам [22].
1. По уровню знаний об ИС.
2. но уровню возможностей, различают нарушителей:
• применяющих чисто агентурные методы получения сведений;
• применяющих пассивные средства (технические средства перехвата без модификации компонентов системы);
• использующих только штатные средства и недостатки систем защиты для ее преодоления, а также компактные магнитные носители информации, которые могут быть, скрытно пронесены через посты охраны;
• применяющих методы и средства активного воздействия (модификация и подключение дополнительных механических средств, подключение к каналам передачи данных, внедрение программных «закладок» и использование специальных инструментальных и технологических программ).
3. По месту действия нарушители могут быть:
• не имеющие доступа на контролируемую территорию организации;
• действующие с контролируемой территории без доступа в здания и сооружения;
• действующие внутри помещений, но без доступа к техническим средствам ИС;
• действующие с рабочих мест конечных пользователей ИС;
• имеющие доступ в зону данных (баз данных, архивов и т. п.);
• имеющие доступ в зону управления средствами обеспечения безопасности ИС.
Система защиты — это совокупность специальных мер правового и административного характера, организационных мероприятий, программно-аппаратных средств защиты, а также специального персонала, предназначенных для обеспечения информационной безопасности [22].
Для построения эффективной системы защиты необходимо провести следующие работы [22]:
• определить угрозы безопасности информации;
• выявить возможные каналы утечки информации и несанкционированного доступа (НСД) к данным;
• построить модель потенциального нарушителя;
• выбрать соответствующие меры, методы, механизмы и средства защиты.
Проблема создания системы защиты информации включает две задачи:
• разработка системы защиты информации;
• оценка разработанной системы защиты информации.
Вторая задача решается путем анализа технических характеристик системы с целью установления, удовлетворяет ли система защиты информации комплексу требований. Такая задача в настоящее время решается экспертным путем с помощью сертификации средств защиты информации и аттестации системы защиты информации в процессе ее внедрения.
Рассмотрим основное содержание методов защиты информации [22].
Создание препятствий — методы физического преграждения злоумышленнику пути к защищаемой информации (аппаратуре, носителям информации и т. д.).
Управление доступом — метод защиты информации регулированием использования всех ресурсов компьютерной информационной системы (элементов баз данных, программных и технических средств).
Защита от несанкционированного доступа к ресурсам компьютера — это комплексная проблема, подразумевающая решение следующих вопросов [22]:
• присвоение пользователю, терминалам, программам, файлам и каналам связи уникальных имен и кодов (идентификаторов);
• выполнение процедур установления подлинности при обращениях к информационной системе, то есть проверка того, что лицо или устройство, сообщившее идентификатор, в действительности ему соответствует;
• проверка полномочий, то есть проверка права пользователя на доступ к системе или запрашиваемым данным;
• автоматическая регистрация в специальном журнале всех Ёак удовлетворенных, так и отвергнутых запросов к информационным ресурсам с указанием идентификатора пользователя, терминала, времени и сущности запроса, то есть ведение аудита.
Маскировка — метод защиты информации путем ее криптографического закрытия.
Регламентация — метод защиты информации, создающий такие условия автоматизированной обработки, хранения и передачи защищаемой информации, при которых возможности несанкционированного доступа к ней сводились бы к минимуму.
Принуждение — метод защиты, при котором пользователи и персонал системы вынуждены соблюдать правила обработки, передачи и использования защищаемой информации под угрозой материальной, административной или уголовной ответственности.
Рассмотренные методы обеспечения безопасности реализуются на практике за счет применения различных средств защиты, таких как технические, программные, организационные, законодательные.