Поняття про соціальний інжиніринг. Політика безпеки.


 

Соціальна інженерія - це метод управління діями людини без використання технічних засобів. Метод заснований на використанні слабкостей людського фактора і вважається дуже руйнівним. Найчастіше соціальну інженерію розглядають як незаконний метод отримання інформації.

Колишній комп'ютерний злочинець, нині консультант з безпеки, Кевін Митник популяризував термін «соціальна інженерія», вказавши, що для зловмисника набагато простіше хитрістю вивудити інформацію з системи, ніж намагатися зламати її.

Приклади технік і термінів соціальної інженерії:

Претекстінг - це дія, відпрацьований за заздалегідь складеним сценарієм (претексту). В результаті ціль повинна видати певну інформацію або вчинити певну дію. Цей вид атак застосовується зазвичай по телефону. Найчастіше ця техніка включає в себе більше, ніж просто брехня, і вимагає будь-яких попередніх досліджень (наприклад, персоналізації: дата народження, сума останнього рахунку тощо), З тим, щоб забезпечити довіру об’єкту. До цього ж виду належать атаки і по онлайн-мессенджерам, наприклад, по ICQ.

Фішинг - техніка, спрямована на неправомірне отримання конфіденційної інформації. Зазвичай зловмисник посилає цілі електронної пошти, підроблений під офіційний лист - від банку або платіжної системи - вимагає «перевірки» певної інформації або вчинення певних дій. Цей лист зазвичай містить посилання на фальшиву веб-сторінку, яка імітує офіційну, з корпоративним логотипом і наповненням, і містить форму, що вимагає ввести конфіденційну інформацію - від домашньої адреси до пін-коду банківської картки.

Кви про кво. Зловмисник може зателефонувати за випадковим номером до компанії і представитися співробітником техпідтримки, опитували, чи є які-небудь технічні проблеми. У випадку, якщо вони є, в процесі їх «рішення» ціль вводить команди, які дозволяють хакеру запустити шкідливе програмне забезпечення.

Політика безпеки формується на основі аналізу поточного стану і перспективи розвитку інформаційної системи, можливих загроз і визначає:

· мету, задачі і пріоритети системи безпеки;

· галузь дії окремих підсистем;

· гарантований мінімальний рівень захисту;

· обов’язки персоналу по забезпеченню захисту;

· санкції за порушення захисту.

Якщо виконання політики безпеки проводиться не в повній мірі або непослідовно, тоді імовірність порушення захисту інформації різко зростає. Під захистом інформації розуміють комплекс заходів, який забезпечує:

· збереження конфіденційності інформації - запобігання ознайомлення з інформацією невповноважених осіб;

· збереження інформації - запобігання пошкодження чи знищення інформації внаслідок свідомих дій зловмисника, помилок персоналу, стихійного лиха;

· прозорість, тобто наявність системи безпеки не повинна створювати перешкод для нормальної роботи системи.

 

 

Питання для самоконтролю.

1. Що таке інформація?

2. Що таке інформаційна безпека?

3. Які категорії інформаційної безпеки існують?

4. Які теми класифікацій загроз безпеці інформації існують?

5. Які загрози безпеці інформації ви можете пригадати?

6. Коли прийнятий Закону Україні «Про захист інформації в автоматизованих системах»?

7. Які напрямками державної політики у сфері захисту інформації існують?

8. Що таке соціальна інженерія ?

9. Що визначає політика безпеки інформації?

 

Література:

1. Н.М. Войтюшенко, А.І. Остапець. Інформатика і комп’ютерна техніка. – К.: Центр навчальної літератури, 2006.

2. 2. О.В. Ярмуш, М.М. Редько. Інформатика і комп’ютерна техніка.– К.:Вища освіта, 2006.