Тема: Защита информации в ЭИС

ЛЕКЦИЯ 4

Безопасность информационных систем – это за­щищенность информации и поддерживающей инфраструктуры от случайных или преднамеренных воздействий естественного или искусственного характера, которые могут нанести неприем­лемый ущерб субъектам информационных отношений, в том числе владельцам и пользователям информации и поддерживаю­щей инфраструктуры.

Информационная система (ИС) современной организации или предприятия является сложным образованием, построенным в многоуровневой архитектуре клиент-сервер, которое пользует­ся многочисленными внешними сервисами, а также предостав­ляет во вне собственные сервисы. Деятельность организаций су­щественно зависит от качества работы информационных систем и, в частности, от защищенности всех компонентов систем и коммуникаций между ними.

Современные ИС сложны и, значит, опасны уже сами по се­бе, даже без учета вмешательства злоумышленников. Постоянно обнаруживаются новые ошибки и уязвимые места в програм­мном обеспечении. Приходится принимать во внимание чрезвы­чайно широкий спектр аппаратного и программного обеспече­ния, многочисленные связи между компонентами.

Высокие темпы развития информационных технологий дела­ют весьма актуальной проблему защиты информации, ее пользо­вателей, информационных ресурсов и каналов передачи данных, а также требуют постоянного совершенствования механизмов за­щиты.

Защита информации — это комплекс мероприятий, направ­ленных на обеспечение информационной безопасности.

Основные составляющие информационной безопасности. Спектр интересов субъектов, связанных с использованием ИС, можно разделить на следующие категории: обеспечение доступ­ности, целостности и конфиденциальности информационных ре­сурсов и поддерживающей инфраструктуры. Иногда в число основных составляющих информационной безопасности вклю­чают защиту от несанкционированного копирования информации.

Доступность информации — это ее свойство, характеризующее способность обеспечивать своевременный и беспрепятственный доступ пользователей к интересующей их информации.

Информационные системы создаются (приобретаются) для получения определенных информационных услуг. Если по тем или иным причинам предоставить эти услуги пользователям ста­новится невозможно, наносится ущерб всем субъектам информа­ционных отношений. Особенно ярко ведущая роль доступности проявляется в системах управления производством, транспортом и т.п. Неприятные последствия (материальные и моральные) мо­жет иметь длительная недоступность информационных услуг, ко­торыми пользуется большое количество людей (продажа желез­нодорожных и авиабилетов, банковские услуги и т.п.).

Под целостностью подразумевается актуальность и непроти­воречивость информации, ее защищенность от разрушения и не­санкционированного изменения.

Целостность оказывается важнейшим аспектом в тех случаях, когда информация служит «руководством к действию». Набор и характеристики комплектующих изделий, ход технологического процесса — это примеры информации, нарушение целостности которой может иметь опасные последствия. Искажение офици­альной информации на web-сайте фирмы как минимум отрица­тельно скажется на ее репутации.

К сожалению, практическая реализация мер по обеспечению конфиденциальности современных информационных систем на­талкивается в России на серьезные трудности. Во-первых, сведе­ния о технических каналах утечки информации являются закры­тыми, так что большинство пользователей лишено возможности составить представление о потенциальных рисках. Во-вторых, на пути пользовательской криптографии как основного средства обеспечения конфиденциальности стоят многочисленные зако­нодательные препоны и технические проблемы.

Конфиденциальность — это свойство, указывающее на необхо­димость введения ограничений доступа к конкретной информа­ции для определенного круга пользователей.

Специалист в области информационной безопасности отве­чает за разработку, реализацию и эксплуатацию системы обеспе­чения информационной безопасности, направленной на поддер­жание целостности, пригодности и конфиденциальности дан­ных, накопленных в организации. В его функции входит обеспечение физической (технические средства, линии связи и удален­ные компьютеры) и логической (сами данные, прикладные прог­раммы, операционная система) защиты информационных ресур­сов.

Сложность создания системы защиты информации определя­ется тем, что данные могут быть похищены из компьютера (ско­пированы), одновременно оставаясь на месте. Ценность некото­рых данных заключается в обладании ими, а не в их уничтожении или изменении.

Обеспечение безопасности информации — дело дорогостоя­щее, и не столько из-за затрат на закупку или установку различ­ных технических или программных средств, сколько из-за того, что трудно квалифицированно определить границы разумной бе­зопасности и соответствующего поддержания системы в работо­способном состоянии.

Каждый сбой работы компьютерной сети — это не только мо­ральный ущерб для работников предприятия и сетевых админи­страторов. По мере развития технологий электронных платежей, «безбумажного» документооборота серьезный сбой локальных сетей может парализовать работу целых корпораций и банков, что приведет к ощутимым убыткам. Не случайно защита данных в компьютерных сетях является одной из самых острых проблем.

Обеспечение безопасности информации в компьютерных се­тях предполагает создание препятствий для любых несанкциони­рованных попыток хищения или модификации данных, переда­ваемых в сети. При этом очень важно сохранить все свойства ин­формации (доступность, целостность, конфиденциальность).

Такие области, как банковские и финансовые институты, ин­формационные сети, системы государственного управления, оборонные и специальные структуры, требуют особых мер безо­пасности данных и предъявляют повышенные требования к на­дежности функционирования ИС в соответствии с характером и важностью решаемых ими задач.

Обеспечение безопасности требует учета следующих аспек­тов:

корпоративная сеть имеет несколько территориально разне­сенных частей (поскольку организация располагается на нес­кольких производственных площадках), связи между которыми находятся в ведении внешнего поставщика сетевых услуг, выходя за пределы зоны, контролируемой организацией;

корпоративная сеть имеет одно или несколько подключений к Интернету;

на каждой из производственных площадок могут находить­ся критически важные серверы, в доступе к которым нуждаются сотрудники, работающие на других площадках, мобильные поль­зователи и, возможно, сотрудники других организаций;

для доступа пользователей могут применяться не только компьютеры, но и потребительские устройства, использующие, в частности, беспроводную связь;

в течение одного сеанса работы пользователю приходится обращаться к нескольким информационным сервисам, опираю­щимся на разные аппаратно-программные платформы;

к доступности информационных сервисов предъявляются жесткие требования, которые обычно выражаются в необходи­мости круглосуточного функционирования с максимальным вре­менем простоя порядка нескольких минут;

информационная система представляет собой сеть, в про­цессе работы которой программные компоненты передаются с одной машины на другую и выполняются в целевой среде, под­держивая связь с удаленными компонентами;

не все пользовательские системы контролируются систем­ными администраторами организации;

программное обеспечение, особенно полученное по сети, не может считаться надежным, в нем могут быть ошибки, создаю­щие проблемы в защите;

конфигурация ИС постоянно изменяется на уровнях адми­нистративных данных, программ и аппаратуры (меняется состав пользователей, их привилегии и версии программ, появляются новые сервисы, новая аппаратура и т.п.);

основная угроза информационной безопасности организа­ций по-прежнему исходит не от внешних злоумышленников, а от собственных сотрудников.

Для того чтобы правильно оценить возможный реальный ущерб от потери информации, хранящейся на компьютерах орга­низации или циркулирующей в корпоративной сети, надо знать, какие угрозы при этом могут возникнуть и какие адекватные ме­ры по защите информации необходимо принимать.

Характеристика угроз. Угроза — это потенциальная возмож­ность определенным образом нарушить информационную безо­пасность.

Попытка реализации угрозы называется атакой, а тот, кто предпринимает такую попытку, —злоумышленником. Потенциаль­ные злоумышленники называются источниками угрозы. Чаще всего угроза является следствием наличия уязвимых мест в защи­те информационных систем (таких, например, как возможность доступа посторонних лиц к критически важному оборудованию или ошибки в программном обеспечении).

Угрозы можно классифицировать по нескольким критериям:

по аспекту информационной безопасности (доступность, целостность, конфиденциальность), против которого угрозы направлены в первую очередь;

по компонентам информационных систем, на которые уг­розы нацелены (данные, программы, аппаратура, поддерживаю­щая инфраструктура);

по способу осуществления (случайные или преднамеренные действия природного или техногенного характера);

по расположению источника угроз (внутри или вне рассмат­риваемой информационной системы).

Детализируем наиболее распространенные классы угроз по способу их осуществления в сочетании с другими критериями.

Случайные угрозы:

ошибки обслуживающего персонала и пользователей;

потеря информации, обусловленная неправильным хранением архив­ных данных;

случайное уничтожение или изменение данных;

сбои оборудования и электропитания;

сбои кабельной системы;

перебои электропитания;

сбои дисковых систем;

сбои систем архивирования данных;

сбои работы серверов, рабочих станций, сетевого оборудования;

некорректная работа программного обеспечения;

изменение данных при ошибках в программном обеспечении;

заражение системы компьютерными вирусами;

несанкционированный доступ;

случайное ознакомление с конфиденциальной информацией посто­ронних лиц.

Умышленные угрозы:

несанкционированный доступ к информации и сетевым ресурсам;

раскрытие и модификация данных и программ, их копирование;

раскрытие, модификация или подмена трафика вычислительной сети;

разработка и распространение компьютерных вирусов, ввод в программное обеспечение логических бомб;

кража магнитных носителей и технической документации;

разрушение архивной информации или умышленное ее уничтожение;

фальсификация сообщений, отказ от факта получения информации или изменение времени ее приема;

перехват и ознакомление с информацией, передаваемой по каналам связи.

Из случайных угроз самыми частыми и самыми опасными (с точки зре­ния размера ущерба) являются именно непреднамеренные ошибки штатных пользователей, операторов, системных администраторов и других лиц, обс­луживающих информационные системы. Иногда такие ошибки и являются собственно угрозами (неправильно введенные данные или ошибка в прог­рамме), иногда они создают уязвимые места, которыми могут воспользо­ваться злоумышленники (таковы обычно ошибки администрирования). По опубликованным данным, до 65% потерь — следствие непреднамеренных ошибок.

В связи с этим помимо контроля доступа необходимым элементом за­щиты информации в корпоративной сети является разграничение полномо­чий пользователей. Кроме того, вероятность ошибок обслуживающего персонала и пользователей сети может быть значительно уменьшена, если их правильно обучать и периодически контролировать их действия со стороны администратора системы и специалиста по информационной безопасности.

Трудно предсказуемыми источниками угроз информации являются ава­рии и стихийные бедствия. Но и в этих случаях для сохранения информации могут использоваться различные средства и способы (установка источников бесперебойного питания (UPS), создание и хранение архивных копий дан­ных, размещение некоторых сетевых устройств, например серверов баз дан­ных, в специальных защищенных помещениях).

На безопасность ИС существенное влияние оказывает тот факт, что бе­зошибочных программ в принципе не бывает. Если проект практически в любой области техники можно выполнить с огромным запасом надежности, то в области программирования такая надежность весьма условна, а иногда не достижима. Это касается не только отдельных программ, но и целого ря­да программных продуктов фирм, известных во всем мире, например Microsoft. Ошибки, допущенные при разработке систем, приложений и другого программного обеспечения, которые создают угрозу безопаснос­ти, называют уязвимостями. Информационно-аналитический сайт www.securitylab.ru постоянно публикует информацию об уязвимостях, най­денных в операционных системах и приложениях. По данным этого источ­ника, ежедневно обнаруживаются в среднем 5 — 10 новых уязвимостей.

Таким образом, с одной стороны, информационная безопас­ность является одной из важнейших составляющих информацион­ного менеджмента, а с другой стороны, — одним из источни­ков существенных затрат на сопровождение информационной инфраструктуры.