Необходимость и потребность в защите информации. Основные понятия компьютерной безопасности
Стремительное развитие современного производства теснейшим образом связано с информатизацией управления. Информация играет все более важную роль в производстве товаров и услуг как ресурс и как товар. Все бизнес-процессы в определяющей степени зависят от информации, которая необходима для снижения риска при принятии решения. Информация превратилась в стратегический ресурс, от которого зависит конкурентоспособность организации.
Компьютеры обслуживают промышленные, торговые, строительные предприятия, банковские системы, распределяют энергию, следят за расписанием поездов и т.д. Компьютерные системы обеспечивают хранение информации, ее обработку и предоставление потребителям. С развитием вычислительной техники и информационных технологий увеличивается сложность систем защиты компьютерной информации. Конкуренция между фирмами выводит на первый план вопросы информационной безопасности.
Артур Вонг (Arthur Wong), вице-президент корпорации Symantec Security, которая является мировым лидером в сфере информационной безопасности, считает, что «злоумышленники предпринимают все более изощренные атаки, пытаясь нарушить целостность корпоративных и личных данных». По мере развития и усложнения средств и методов автоматизации процессов обработки информации, повышается ее уязвимость. Основные факторы, способствующие повышению уязвимости:
- увеличение объемов информации, накапливаемой, хранимой и обрабатываемой с помощью ЭВМ и других средств автоматизации;
- сосредоточение в единых базах данных информации различного назначения и различных принадлежностей;
- расширение круга пользователей, имеющих непосредственный доступ к ресурсам вычислительной системы и находящимся в ней данных;
- усложнение режимов функционирования технических средств вычислительных систем: широкое внедрение многопрограммного режима, режимов разделения времени и режимов реального времени;
- автоматизация межмашинного обмена информацией.
Для принятия мер по защите информации, необходимо определить, что собой представляет компьютерная безопасность. К основным понятиям компьютерной безопасности относятся следующие понятия:
- безопасность информации – защита информации от утечки, модификации, утраты;
- утечка информации – ознакомление постороннего лица с содержанием секретной информации;
- модификация информации – несанкционированное изменение информации;
- утрата информации – физическое уничтожение информации;
- уязвимость компьютерной системы - это некая ее характеристика, которая делает возможным возникновение угрозы;
- угроза безопасности информации – действие или событие, которое может привести к разрушению, искажению или несанкционированному использованию информационных ресурсов;
- угроза безопасности компьютерной системы - это потенциально возможное случайное или умышленное происшествие, которое может оказать нежелательное воздействие на информацию и на операционную систему.
- угроза раскрытия заключается в утечке информации лицу, которому не следовало бы ее знать, обычно данной угрозе подвержены государственные структуры;
- угроза целостности[1] - умышленное изменение (модификация или удаление) данных, хранящихся в вычислительной системе или передаваемых из одной системы в другую, данной угрозе подвержены деловые или коммерческие структуры;
- угроза отказа в обслуживании возникает при блокировании доступа к некоторому ресурсу вычислительной системы;
- атака (англ. Attack) – попытка злоумышленника вызвать отклонения от нормального протекания информационного процесса.
Угрозы подразделяются на:
- случайные угрозы, источником которых могут быть ошибки в программном обеспечении, выход из строя аппаратных средств, неправильные действия пользователей или администратора и пр.;
- умышленные угрозы – угрозы, которые преследуют цель нанесения ущерба пользователям автоматизированных информационных технологий.
Умышленные угрозы подразделяются на:
а) пассивные угрозы, которые направлены на несанкционированное использование информационных ресурсов;
б) активные угрозы, которые направлены на нарушение процесса функционирования системы, посредством целенаправленного воздействия на аппаратные, программные и информационные ресурсы (например: разрушение линий связи, вывод из строя ПЭВМ, искажение сведений в базе данных).
Для обеспечения безопасности информации необходима защита всех сопутствующих компонентов информационного процесса: технических средств, программных средств, информации, персонала. С этой целью строится система защиты - комплекс специальных мер правового и административного характера, организационных мероприятий, физических и технических средств защиты, специального персонала, предназначенных для обеспечения безопасности информационной системы в целом. Для построения эффективной системы защиты следует:
- определить угрозы безопасности информации;
- выявить возможные каналы утечки информации и каналы несанкционированного доступа[2] к защищаемым данным;
- построить модель потенциального нарушителя;
- разработать политику безопасности (выбрать соответствующие меры, методы, механизмы и средства защиты);
- построить замкнутую, комплексную, эффективную систему защиты.
Все виды информации в той или иной степени обрабатываются на ПЭВМ, следовательно, ПЭВМ может стать источником утечки информации. Возможные каналы утечки информации:
- несанкционированный просмотр (фотографирование) информации на дисплее, принтере, графопостроителе;
- хищение результатов регистрации информации;
- несанкционированный доступ к машинным носителям информации с целью их просмотра и (или) копирования;
- хищение съемных машинных носителей информации;
- электромагнитные излучения;
- акустические излучения;
- радиозакладки, настраиваемые на определенные излучения;
- наводки в сети питания, контуре заземления, каналах связи, системе охранной и пожарной сигнализации, в системах тепло-, водо- и газоснабжения.
Возможные каналы несанкционированного доступа к информации:
- терминалы[3] и ПЭВМ;
- средства отображения информации;
- носители информации;
- средства загрузки программного обеспечения;
- ремонт и профилактика аппаратуры;
- внутренний монтаж аппаратуры
- линии связи;
- технологические пульты;
- корзины с отходами носителей информации.
При разработке модели нарушителя определяются: предположения о категориях лиц, к которым может принадлежать нарушитель; предположения о мотивах действий нарушителя; предположения о квалификации нарушителя и его технической оснащенности; предположения о характере возможных действий нарушителя. Модель потенциального нарушителя:
1.Объекты преступных посягательств: технологический процесс обработки, передачи и хранения информации и информация.
2.Перечень возможных угроз:
- нарушение сроков и порядка прохождения документов;
- искажение, фальсификация, переадресация, несанкционированное уничтожение, ложная авторизация документов и другой информации, хранящейся и обрабатываемой в системе;
- нарушение конфиденциальности информации[4], отнесенной к коммерческой тайне.
3.Возможные субъекты, осуществляющие преступные посягательства (внутренние и внешние нарушители):
- сотрудник предприятия, имеющий полномочия по доступу к информационной системе предприятия (санкционированный пользователь: оператор, обслуживающий персонал, администратор системы и пр.);
- сотрудник предприятия, не имеющий полномочий по доступу к информационной системе предприятия (программисты, сотрудники служб безопасности, менеджеры, технический персонал и пр.);
- лицо, не являющееся сотрудником предприятия, но имеющее полномочия по доступу к информационной системе предприятия (представители организаций, взаимодействующих по вопросам обеспечения жизнедеятельности организации);
- лицо, не являющееся сотрудником предприятия и не имеющее полномочий по доступу к информационной системе (клиенты, посетители, представители конкурирующих организаций и пр.).
4.Возможные типы преступных посягательств в информационной системе предприятия:
- вмешательство в технологический процесс обработки, хранения и передачи информации;
- использование санкционированного пользователя для вмешательства в технологический процесс обработки, хранения и передачи информации.
5.Формы осуществления преступных посягательств:
- сговор, включающий сотрудника (сотрудников) предприятия в качестве участника;
- использование сотрудника (сотрудников) предприятия;
- осуществление экономического, физического или морального давления на сотрудника (сотрудников) предприятия;
- имитация в преступных целях действий санкционированного пользователя, находящегося на территории учреждения;
- имитация в преступных целях действий санкционированного пользователя, находящегося вне территории учреждения.
6.Группа риска санкционированных пользователей:
- сотрудники предприятия, задействованные в технологии обработки, передачи и хранения информации;
- сотрудники предприятия, не задействованные в технологии обработки, передачи и хранения информации, но имеющие возможность организовать вмешательство в технологический процесс;
- сотрудники взаимодействующих организаций, задействованные в технологическом процессе обмена информации;
- сотрудники внешних учреждений и организаций, привлекаемые предприятием для выполнения работ по договорам на временной или постоянной основе.
7.Группа риска несанкционированных пользователей:
- сотрудники предприятия, имеющие возможность оказывать экономическое, физическое или моральное воздействие на санкционированных пользователей информационной системы, с целью реализации преступного посягательства в информационной сфере;
- бывшие сотрудники предприятия или взаимодействующих организаций, имевшие ранее доступ к информационной системе;
- криминальные элементы, имеющие своей целью реализацию преступного посягательства в информационной системе.
8.Мотивы преступных посягательств:
- экономические мотивы (с целью материального обогащения);
- эмоциональные мотивы (акт личной мести, обида или психическое расстройство и т.д.);
- политические мотивы (с целью нанесения ущерба национальной системе или стране в целом).
9.Возможные места осуществления преступных посягательств: здания, сооружения, технические средства (вычислительная техника, телекоммуникационное оборудование, каналы связи, программные средства и т.д.), системы жизнеобеспечения, задействованные в информационном процессе.
Модель нарушителя строится с учетом особенностей конкретной предметной области и технологии обработки информации. Определение конкретных значений характеристик возможных нарушителей в значительной степени субъективно. Каждый вид нарушителя должен быть охарактеризован значениями характеристик, приведенных выше.