- •Лекция 10 Обеспечение безопасности кис
- •1. Информационная безопасность и политика безопасности.
- •2. Классификация угроз информационной безопасности
- •2.1.Организационные меры защиты
- •2.2. Физическая и техническая защита информационных систем
- •2.3. Аппаратно-программные средства защиты информации.
- •1. Защита ресурсов ис от несанкционированного доступа
- •4. Шифрование информации
- •Правовое обеспечение безопасности кис
2. Классификация угроз информационной безопасности
Факт разглашения (распространения) информации ограниченного доступа за пределами санкционированного круга лиц является утечкой информации.
Каналы утечки информации разделяют на четыре группы.
1-я группа - каналы, связанные с доступом к элементам системы обработки данных, но не требующие изменения компонентов системы. К этой группе относятся каналы, образующиеся за счет:
-
дистанционного скрытого видеонаблюдения или фотографирования;
-
применения подслушивающих устройств;
-
перехвата электромагнитных излучений и наводок и т. д.
2-я группа - каналы, связанные с доступом к элементам системы и изменением структуры ее компонентов. К ней относятся:
-
наблюдение за информацией в процессе обработки с целью ее запоминания;
-
хищение носителей информации;
-
сбор производственных отходов, содержащих обрабатываемую информацию;
-
преднамеренное считывание данных из файлов других пользователей;
-
чтение остаточной информации, т. е. данных, остающихся на магнитных носителях после выполнения заданий;
-
копирование носителей информации;
-
преднамеренное использование для доступа к информации терминалов зарегистрированных пользователей;
-
маскировка под зарегистрированного пользователя путем похищения паролей и других реквизитов разграничения доступа к информации, используемой в системах обработки;
-
использование для доступа к информации так называемых «люков», «дыр» и «лазеек», т. е. возможностей обхода механизма разграничения доступа, возникающих вследствие несовершенства общесистемных компонентов программного обеспечения.
3-я группа, которая включает:
-
незаконное подключение специальной регистрирующей аппаратуры к устройствам системы или линиям связи (перехват модемной и факсимильной связи);
-
злоумышленное изменение программ таким образом, чтобы эти программы наряду с основными функциями обработки информации осуществляли также несанкционированный сбор и регистрацию защищаемой информации;
-
злоумышленный вывод из строя механизмов защиты.
4-я группа, к которой относятся:
-
несанкционированное получение информации путем подкупа или шантажа должностных лиц соответствующих служб;
-
получение информации путем подкупа и шантажа сотрудников, знакомых, обслуживающего персонала или родственников, знающих о роде деятельности.
Потенциальное наличие в информационной системе каналов утечки информации создает угрозы для ее информационной безопасности.
Угроза в уголовном праве - намерение нанести физический, материальный или иной вред отдельному лицу или общественным интересам, выраженное словесно, письменно, действиями либо другим способом.
Применительно к информационной системе угроза - событие, которое потенциально может нанести вред организации путем раскрытия, модификации или разрушения критической информации, или отказа в обслуживании критическими сервисами. Виды угроз:
Естественные угрозы – это угрозы, вызванные воздействиями на элементы информационной системы объективных физических процессов или стихийных природных явлений, не зависящих от человека, такие как стихийные бедствия (пожар, молния, ураган, землетрясение, наводнение, электромагнитные и ионизирующие излучения, военные действия и др.).
Искусственные угрозы – это угрозы, порожденные человеческой деятельностью, и могут быть преднамеренные и непреднамеренные.
К непреднамеренным (пассивным) угрозам относятся:
- утечка информации при текучке специалистов;
- некомпетентная эксплуатация информационной системы и средств ее защиты;
- недостатки в проектировании и сооружении зданий, помещений, систем вентиляции, отопления и др., создающие каналы утечки информации;
-ошибки проектирования и производства изделий, вычислительной техники и оргтехники;
-ошибки проектирования, производства, прокладки и установки средств связи и коммуникаций;
- ошибки разработки и применения программного обеспечения;
- использование неучтенного программного обеспечения;
- ошибки процессов подготовки, ввода, обработки и вывода информации;
- сбои, отказы в работе аппаратуры, приводящие к искажению или уничтожению информации.
Преднамеренными (активными) угрозами являются преднамеренные действия людей с целью нанесения вреда (ущерба), например:
- физическое разрушение информационной системы или вывод из строя ее наиболее важных компонент;
- утечка информации при целенаправленной миграции специалистов для передачи определенных сведений;
- внедрение в систему агентов и вербовка сотрудников;
- контактный доступ к служебным разговорам и просмотру документов с целью передачи их содержания;
- фотографирование, хищение, искажение иди уничтожение документов, фотографий, чертежей, описаний изобретений, новых технологий и др.;
- визуально-оптические способы получения информации;
- бесконтактное подслушивание служебных разговоров с помощью технических средств;
-несанкционированный доступ к ресурсам ЭВМ и компьютерных сетей, средствам связи и оргтехники;
- доступ к сменным машинным носителям информации (хищение, копирование, модификация);
- разработка и использование бесконтрольных программ для искажения или уничтожения информации на машинных носителях;
- перехват данных в процессе информационного обмена;
- возможность фиксации электромагнитных и акустических излучений от ЭВМ, сигналов, наводимых в токопроводящих коммуникациях, радиосигналов и сигналов спутниковой связи.
Активные виды угроз могут повлечь совершение компьютерных преступлений. К ним относятся:
несанкционированный доступ к компьютерной информации;
модификация компьютерной информации;
компьютерный саботаж;
неправомерное завладение компьютерной информацией;
изготовление либо сбыт специальных средств для получения неправомерного доступа к компьютерной системе или сети;
разработка, использование либо распространение вредоносных программ;
нарушение правил эксплуатации компьютерной системы или сети.
Вероятность проявления и ущерб от реализации той или иной угрозы в зависимости от типа информационной системы могут быть различными. Наличие самой угрозы еще не означает, что она нанесет вред. Когда появляется слабое место в средствах обеспечения безопасности системы и система становится «видима» из внешнего мира, возникает риск.
Риск - это ситуация, когда угроза, используя уязвимое место в защите, может нанести вред информационной системе. Существуют различные методики оценки рисков. Самая простая состоит в оценке суммарного ущерба от предполагаемых угроз, когда в первом приближении под риском понимается произведение "возможного ущерба от угрозы" на "вероятность угрозы"
,
где R - суммарный риск от реализации n угроз;
Ri = Qi Pi - риск от реализации i-й угрозы;
Qi - ущерб от реализации i-й угрозы;
Pi - вероятность реализации i-й угрозы.
В ряде случаев величину ущерба целесообразно оценить не материальной величиной, а дискретным числом (уровнем), отражающим свойства ущерба, так, как это представлено, например, в табл. 7.1.
Таблица 7.1
Величина ущерба |
Описание |
0 |
Раскрытие информации принесет ничтожный моральный и финансовый ущерб фирме |
1 |
Ущерб от угрозы есть, но он незначителен, основные финансовые операции и положение фирмы на рынке не затронуты |
2 |
Финансовые операции не ведутся в течение некоторого времени, за это время фирма терпит убытки, но ее положение на рынке и количество клиентов изменяются минимально |
3 |
Значительные потери на рынке и в прибыли. От фирмы уходит ощутимая часть клиентов |
4 |
Потери очень значительны, фирма на период до года теряет положение на рынке. Для восстановления положения требуются крупные финансовые займы. |
5 |
Фирма прекращает существование |
Таким образом, целесообразность обеспечения информационной безопасности определяется величиной предполагаемого риска. Вопрос об информационной безопасности необходимо решать в случае, если затраты на обеспечение защиты критической информации меньше величины суммарного риска. Если это не так, то требования к безопасности необходимо снижать.
-
Средства и методы защиты КИС
Совокупность методов и средств, обеспечивающих целостность, конфиденциальность, достоверность, аутентичность и доступность информации в условиях воздействия на нее угроз естественного или искусственного характера образует защиту информации (Data protection).
Методы и средства обеспечения информационной безопасности (защиту информации) можно разделить на:
административные (организационные) меры защиты информации;
физические и технические средства и способы защиты информации;
аппаратно-программные средства защиты информации.