Уязвимые места в информационной безопасности

Отношение объекта (фирма, организация) и субъекта (конкурент, злоумышленник) в информационном процессе с противоположными интересами можно рассматривать с позиции активности в действиях, приводящих к овладению конфиденциальными сведениями.

ОВЛАДЕНИЕ КОНФИДЕНЦИАЛЬНОЙ ИНФОРМАЦИЕЙ

В этом случае возможны такие ситуации:

владелец (источник) не принимает никаких мер к сохранению конфиденциальной информации, что позволяет злоумышленнику легко получить интересующие его сведения;

источник информации строго соблюдает меры информационной безопасности, тогда злоумышленнику приходится прилагать значительные усилия к осуществлению доступа к охраняемым сведениям, используя для этого всю совокупность способов несанкционированного проникновения: легальное или нелегальное;

промежуточная ситуация – это утечка информации по техническим каналам, при которой источник еще не знает об этом (иначе он принял бы меры защиты), а злоумышленник легко, без особых усилий может их использовать в своих интересах.

Факт получения охраняемых сведений злоумышленниками или конкурентами называют утечкой. Однако одновременно с этим в значительной части законодательных актов, законов, кодексов, официальных материалов используются и такие понятия:

как разглашение сведений и несанкционированный доступ к конфиденциальной информации. Угрозы информации рис. 6.1.

 

 

Рис. 6.1. Проявления угроз информации

 

Следующие признаки могут свидетельствовать о наличии уязвимых мест:

Не разработаны положения о защите информации или они не соблюдаются. Не назначен ответственный за информационную безопасность.

Пароли пишутся на компьютерных терминалах, помещаются в общедоступные места, ими делятся с другими, или они появляются на компьютерном экране при их вводе.

Удаленные терминалы и микрокомпьютеры оставляются без присмотра в рабочие и нерабочие часы. Данные отображаются на компьютерных экранах, оставленных без присмотра.

Не существует ограничений на доступ к информации, или на характер ее использования.

Все пользователи имеют доступ ко всей информации и могут использовать все функции системы.

Не ведется системных журналов, и не хранится информация о том, кто и для чего использует компьютер.

Изменения в программы могут вноситься без их предварительного утверждения руководством.

Отсутствует документация или она не позволяет делать следующее: понимать получаемые отчеты и формулы, по которым получаются результаты, модифицировать программы, готовить данные для ввода, исправлять ошибки, производить оценку мер защиты, и понимать сами данные – их источники, формат хранения, взаимосвязи между ними.

Делаются многочисленные попытки войти в систему с неправильными паролями.

Вводимые данные не проверяются на корректность и точность, или при их проверке много данных отвергается из-за ошибок в них, требуется сделать много исправлений в данных, не делается записей в журналах об отвергнутых транзакциях.

Имеют место выходы из строя системы, приносящие большие убытки.Не производился анализ информации, обрабатываемой в компьютере, с целью определения необходимого для нее уровня безопасности.

Мало внимания уделяется информационной безопасности. Хотя политика безопасности и существует, большинство людей считает, что на самом деле она не нужна.