Файл: Виды и состав угроз информационной безопасности (Основные положения информационной безопасности).pdf

Мистификация. Возможна, например, в случаях, когда пользователь удаленного терминала ошибочно подключается к какой-либо системе, будучи абсолютно уверенным, что работает именно с той самой системой, с которой намеревался. Владелец системы, к которой произошло подключение, формируя правдоподобные отклики, может поддержать контакт в течение определенного времени и получать конфиденциальную информацию, в частности коды пользователя и т.д.

Мотивами совершения компьютерных преступлений, как показали исследования зарубежных и российских исследователей, являются следующие:

• корыстные соображения — 66,%;
• политические цели — 17%;
• исследовательский интерес — 7%;
• хулиганство — 5%;
• месть — 5%.

1.5. Ущерб от нарушения информационной безопасности и последствия данного ущерба

Ущерб данным можно условно разделить на два типа, это:

• Раскрытие информации.
• Искажение и уничтожение информации.

Раскрытие данных предполагает, что кому-то случайно или после целенаправленных действий стал известен смысл информации.

Этот вид нарушения встречается наиболее часто. Последствия могут быть самые разные. Очень важную информацию, тщательно оберегаемую от раскрытия, представляют сведения о людях: истории болезни, письма, состояния счетов в банках.

Обычно данные о людях наиболее важны для них самих, но, как бы это не описывали в шпионских фильмах, мало что значат для похитителей. Иногда личные данные могут использоваться для компрометации не только отдельных людей, но целых организаций, например, если выяснится скрываемая прежняя судимость за растрату директора коммерческого банка.

Основной убыток от разглашения информации - личное несчастье человека. Другое дело - раскрытие стратегической управляющей информации. Если вскрыт долгосрочный план развития производства или анализ конъюнктуры на рынке, то потери для держателя этой информации будут невелики, но для конкурентов такие сведения очень важны.

Искажения или уничтожение информации представляют существенно большую опасность. Во многих организациях жизненно важные данные хранятся в файлах: инвентарные описи, графики работ, списки заказов. Если такие данные будут искажены или стерты, то работа надолго парализуется.

Таким образом можно скомпрометировать бухгалтерскую или конструкторскую систему, чуть исказив десяток-другой чисел, или удалить сведения о реальном движении товара, чтобы счет за него не был выставлен. Похоже, что наиболее уязвима для искажения информация экономического характера, где потери могут быть чрезвычайно велики.

---

Возможные последствия ущерба информационной безопасности:

• нарушение конституционных прав на сохранение личной тайны и конфиденциальности персональных данных;
• экономический и моральный ущерб вследствие разглашения коммерческой тайны или «электронного мошенничества»;
• аварии на железнодорожном и воздушном транспорте вследствие нарушения работы систем управления ими;
• экологические катастрофы; ущерб в политической или военной сфере вследствие разглашения государственной тайны.

и многие другие...

Глава 2. Защита информации

2.1. Методы защиты информации

Постепенно, по мере формирования системного подхода к проблеме обеспечения безопасности данных, возникла необходимость комплексного применения методов защиты и созданных на их основе средств и механизмов защиты. Кратко рассмотрим основные методы защиты данных.

Управление представляет собой регулирование использования всех ресурсов системы в рамках установленного технологического цикла обработки и передачи данных, где в качестве ресурсов рассматриваются технические средства, операционные системы, программы, базы данных и элементы данных.

Препятствия физически преграждают нарушителю путь к защищаемым данным. Организация защиты информации основывается на четырех уровнях защиты: правовом, административном, аппаратно-программном, криптографическом.

Маскировка представляет собой метод защиты данных путем их криптографического закрытия.

Регламентация как метод защиты заключается в разработке и реализации комплексов мероприятий, создающих такие условия технологического цикла обработки данных, при которых минимизируется риск несанкционированного доступа к данным. Регламентация охватывает как структурное построение информационной системы, так и технологию обработки данных, организацию работы пользователей и персонала сети.

Побуждение состоит в создании такой обстановки и условий, при которых правила обращения с защищенными данными регулируются моральными и нравственными нормами.

Принуждение включает угрозу материальной, административной и уголовной ответственности за нарушение правил обращения с защищенными данными.

2.2. Средства защиты информации

На основе перечисленных методов создаются средства защиты данных. Все средства защиты данных можно разделить на формальные и неформальные.

---

Формальными называются такие средства защиты, которые выполняют свои функции по заранее установленным процедурам без вмешательства человека. К формальным средствам защиты относятся технические и программные средства.

К техническим средствам защиты относятся все устройства, которые предназначены для защиты данных. В свою очередь, технические средства защиты можно разделить на физические и аппаратные.

Физические средства защиты создают препятствия для нарушителей на путях к защищаемым данным, например, на территорию, на которой располагаются объекты ИВС, в помещения с аппаратурой, носителями данных и т.п.

Физические средства защиты выполняют следующие основные функции:

• охрана территории и зданий;
• охрана внутренних помещений;
• охрана оборудования и наблюдение за ним;
• контроль доступа в защищаемые зоны;
• нейтрализация излучений и наводок;
• создание препятствий визуальному наблюдению и подслушиванию;
• противопожарная защита;
• блокировка действий нарушителя и т.п.

Для предотвращения проникновения нарушителей на охраняемые объекты применяются следующие технические устройства:

сверхвысокочастотные, ультразвуковые и инфракрасные системы;

• лазерные и оптические системы;
• телевизионные (ТВ) системы;
• кабельные системы;
• системы защиты окон и дверей.

Под аппаратными средствами защиты понимаются специальные средства, непосредственно входящие в состав технического обеспечения ИВС и выполняющие функции защиты как самостоятельно, так и в комплексе с другими средствами.

Аппаратные средства защиты данных можно условно разбить на группы согласно типам аппаратуры, в которых они используются. В качестве таких групп рассмотрим следующие:

• средства защиты процессора;
• средства защиты памяти;
• средства защиты терминалов;
• средства защиты устройств ввода-вывода;
• средства защиты каналов связи

Программными называются средства защиты данных, функционирующие в составе программного обеспечения средств и механизмов защиты данных. Они выполняют функции защиты данных самостоятельно или в комплексе с другими средствами защиты.

Рассмотрим классификацию программных средств защиты по функциональному назначению:

• Средства внешней защиты (защита каналов связи, защита территории, защита помещений, защита устройств информационной системы)
• Средства внутренней защиты ( защита операционных систем, программного обеспечения, баз данных)
• Средства управления защитой (регистрация пользователей, распределение ресурсов, идентификация и установление подлинности)
• Средства обеспечения защиты (контроль, генерация служебной информации, сигнализация, рассылка информации о защите пользователям, компенсация нарушений функционирования, координация работы системы обеспечения безопасности)

---

Отдельную группу формальных средств составляют криптографические средства, которые реализуются в виде программных, аппаратных и программно-аппаратных средств защиты.

Неформальными называются такие средства защиты, которые реализуются в результате деятельности людей, либо регламентируют эту деятельность.

Неформальные средства включают организационные, законодательные и морально-этические меры и средства.

Под организационными средствами защиты понимаются организационно-технические и организационно-правовые мероприятия, осуществляемые для обеспечения безопасности данных.

Мероприятия, осуществляемые при создании сети, обеспечивают выполнение требований защиты:

• при разработке системы в целом и всех ее подсистем;
• при монтаже и наладке оборудования;
• при разработке математического, программного, информационного и технического обеспечения сети;
• при испытаниях и приемке сети в эксплуатацию.

Мероприятия, осуществляемые в процессе эксплуатации сети включают в себя:

• организацию пропускного режима; организацию технологического цикла обработки и передачи данных;
• организацию работы обслуживающего персонала;
• организацию интерфейса пользователей с сетью;
• организацию ведения протоколов обмена;
• распределение реквизитов разграничения доступа между пользователями (паролей, профилей полномочий, списков доступа и т.п.).

Мероприятия общего характера включают в себя:

• учет требований защиты при подборе и подготовке кадров;
• организацию плановых и внезапных проверок функционирования механизмов защиты;
• планирование всех мероприятий по обеспечению безопасности данных:
• разработку документов по обеспечению безопасности данных и т.д.

Рассмотрим основные принципы организации работ, которые способствуют обеспечению безопасности данных:

Минимизация сведений, доступных персоналу. Этот принцип означает, что каждый сотрудник должен знать только те детали процесса обеспечения безопасности данных, которые необходимы ему для выполнения своих обязанностей.

Минимизация связей персонала. Организация технологического цикла сбора, обработки и передачи данных, по мере возможности, должна исключать или минимизировать контакты обслуживающего персонала.

Разделение полномочий. В системах с высокими требованиями по обеспечению безопасности данных ответственные процедуры выполняются, как правило, после подтверждения их необходимости двумя сотрудниками.

---

Минимизация доступных данных требует ограничения количества данных, которые могут быть доступны персоналу и пользователям.

Дублирование контроля. Контроль важнейших операций нельзя поручать одному сотруднику.

Ведение эксплуатационной документации подразумевает фиксацию факта передачи смены с перечислением того, что и в каком состоянии передается. Особенности организации обеспечения безопасности данных отражаются в эксплуатационной документации и функциональных обязанностях персонала, которые разрабатываются с учетом целей и задач, стоящих перед сетью, и требований по защите данных в ней.

В системах с повышенными требованиями к защите вводится специальное должностное лицо, занимающееся вопросами обеспечения безопасности данных.

Негативным последствием информатизации общества является и появление компьютерных преступлений.

Законодательные меры позволяют сдерживать потенциальных преступников, причем под законодательными мерами понимаются законодательные акты, которыми регламентируются правила использования данных ограниченного доступа и устанавливаются меры ответственности за нарушение этих правил.

Основы такого законодательства заложены в Декларации прав и свобод гражданина, принятых Верховным Советом РФ 12 ноября 1991 года. Пункт 2 статьи 13 этой декларации гласит: "Каждый человек имеет право искать, получать и свободно распространять информацию. Ограничения этого права могут устанавливаться Законом только в целях охраны личной, семейной, профессиональной, коммерческой и государственной тайны, а также нравственности".

Данное положение дает основу для построения иерархии законов. Важнейшим из них является Закон "О государственной тайне", вступивший в действие 21 сентября 1993 года. Согласно этому закону под государственной тайной понимаются защищаемые государством сведения в области его военной, внешнеполитической, экономической, разведывательной, контрразведывательной и оперативно-розыскной деятельности, распространение которых может нанести ущерб безопасности РФ. Необходимо отметить, что данный Закон не рассматривает человека в качестве носителя сведений, составляющих государственную тайну.

Закон о государственной тайне устанавливает органы защиты государственной тайны, к которым относятся:

• межведомственная комиссия по защите государственной тайны;
• органы федеральной исполнительной власти (Министерства безопасности и обороны, Федеральное Агентство Правительственной Связи и Информации), служба внешней разведки, Государственная техническая комиссия (ГТК) и их органы на местах;
• органы государственной власти, предприятия, учреждения и организации и их структурные подразделения по защите государственной тайны.

---