РАЗДЕЛ III. ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ

Андрей Белоусов

ОРГАНИЗАЦИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ СУБЪЕКТОВ ХОЗЯЙСТВЕННОЙ ДЕЯТЕЛЬНОСТИ

Одновременно с развитием рыночных отношений в Украине встал вопрос о необходимости обеспечения ее безопасности. Субъекты хозяйственной деятельности оказались незащищенными от влияния криминальной среды. В силу объективных обстоятельств государственные силовые структуры не смогли эффективно противостоять бурно развивающейся преступности в стране, что привело к возникновению новых видов противоправных деяний - преступлений с использованием современных информационных технологий.

Бурный технический рост, внедрение в повседневную практику компьютеризации внутренних и внешних производственных цепочек породило особый вид экономических преступлений - компьютерных. Новый УК Украины не оставил это незамеченным - в действующее уголовное законодательство введено уголовно-правовое понятие компьютерных преступлений и соответствующие статьи, предусматривающие наказания за определенные виды деяний, совершаемые с использованием компьютерной техники, а также в отношении компьютерной информации.

Большинство таких деяний носят корыстную направленность, и поэтому представляют наибольшую опасность для финансовой и производственной сферы. К основным видам таких преступлений за рубежом относят - компьютерные мошенничества, компьютерные подлоги, компьютерные диверсии (повреждение компьютерной информации и программ), несанкционированные доступы и перехваты массивов информации. Особую озабоченность вызывают две тенденции развития компьютерной преступности. Во-первых, благодаря транснациональным информационньм сетям, прежде всего Интернету, такая преступность может миновать любые границы. Во-вторых, она активно используется организованными преступными группировками. Оценка потерь, которые несет экономика в развитых странах Запада, составляет гигантские цифры - порядка миллиардов долларов. Стоит напомнить, что европейцы не имеют столь высокого уровня уголовных преступлений, развитие технического прогресса прямо пропорционально связано со столь же бурным ростом компьютерных мошенничеств.

Одно из первых криминальных использований компьютерной техники в нашей стране (тогда ещё СССР) относится к 1979 году, когда в Вильнюсе было похищено свыше 78 тыс. руб. В последние годы компьютеры применялись уже не только для хищений и разного рода мошенничеств, но и для изготовления поддельных денежных знаков, различных банковских платежных документов, кредитных, дебитных карт, различного рода карт-систем (например, для пользователей городских таксофонов, спутникового телевидения, сотовых радиотелефонов и др.). Отмечены случаи компьютерного хулиганства со значительным ущербом (заражение ЭВМ Игналинской АЭС вирусными программами в 1993 году).

Анализ уголовных дел и иной доступной информации показал, что механизм совершения преступления в целом состоит в следующем:

преступники   имели   отношение   к   разработке   программного   обеспечения   и

эксплуатации   компьютерной   техники,   используя   указанные   возможности   для

несанкционированного дописания в массивы "операционного дня" необходимой им

информации;

несанкционированный доступ осуществлялся в течение короткого времени (до 1

минуты)   под   видом   законного   пользователя   с   неустановленного   терминала,

имеющего телекоммуникационную связь с единой сетью ЭВМ;

80

 

Компьютерная преступность и кибертерроризм                                    2004/2

для  дальнейших  операций  была  заранее  разработана  и  внедрена  специальная

программа, которая в пользу каких-либо лиц (юридических или физических, реальных

и вымышленных) открыла технологические счета, имеющие первоначально нулевой

остаток, в РКЦ были дополнительно внедрены для дальнейшей обработки и рассылки

по нужным адресам бумажные носители - фальшивые платежные поручения с

поддельными печатями РКЦ, как якобы прошедшие там обработку;

для осложнения бухгалтерского контроля под предлогом произошедшего, якобы, сбоя

программы не выдавались  необходимые документы:  контрольные  и  оборотные

ведомости по балансовым счетам, а также ведомость остатков в разрезе кодов валют

за день перерасчета;

получение со счетов наличными осуществлялось в заранее разработанном порядке и

без всяких следов.

 Возможность осуществления преступных деяний в областях автоматизации производства и бухгалтерского учета заключалась, прежде всего, в слабой готовности противостоять мошенничеству, неумении осуществить систему разделения доступа, обновлении паролей, ключевых слов и так далее.

 Наиболее опасными субъектами компьютерных мошенничеств являются так называемые "хакеры", "крекеры" и представители групп, занимающихся промышленным шпионажем. В этой связи, как рекомендуют специалисты по безопасности, особенно серьезное внимание, следует обращать на вновь принимаемых сотрудников-специалистов в области компьютерной техники, программирования и защиты компьютерной информации. Уже известны случаи, когда отдельные хакеры в целях личного обогащения пытались устроиться на работу в информационные службы крупных коммерческих структур. Но наибольшую опасность могут представлять такие специалисты в случае вхождения ими в сговор е руководителями подразделений и служб самой коммерческой структуры или связанных с ней систем, а также с организованными преступными группами, поскольку в этих случаях причиняемый ущерб от совершенных преступлений и тяжесть последствий значительно увеличиваются.

 Необходимо также учитывать, что по мере освоения компьютерной. техники

усложняется и механизм ее использования в различных правонарушениях. Увеличивается

число преступлений "со взломом". Используемые компьютерными преступниками методики

"взлома" или несанкционированного доступа, в общей сложности, сводятся к двум

разновидностям:               

1."Взлом" изнутри: преступник имеет физический доступ к терминалу, с которого доступна интересующая его информация и может определенное время работать на нем без постороннего контроля.      

2."Взлом" извне: преступник не имеет непосредственного доступа к компьютерной системе, но имеет возможность каким-либо способом (обычно посредством удаленного доступа через сети) проникнуть в защищенную систему для внедрения специальных программ, произведения манипуляций с обрабатываемой или хранящейся в системе информацией, или осуществления других противозаконных действий.

Анализ последних деяний свидетельствует, что разовые преступления по проникновению в системы со своих или соседних рабочих мест постепенно перерастают, как у нас, так и за рубежом, в сетевые компьютерные преступления путем "взлома" защитных систем организаций.

В последние годы компьютеры применялись также для изготовления поддельных денежных знаков, различных банковских платежных документов, кредитных, дебитных карт, различного рода карт-систем.

                81

 

Компьютерная преступность и кибертерроризм    :               2004/2

Как указывают компетентные эксперты, наряду со "специалистами" в области компьютерной техники и программирования, в данной сфере незаконного бизнеса появляется все больше любителей. Последние умело производят декодирование паролевой системы защиты карты с последующим перепрограммированием имеющейся или установлением микросхемы ("чипа") с записью необходимой информации для совершения мошенничеств. После подобной модификации, переделанные или вновь изготовленные поддельные пластиковые карты, или другие их типы и виды реализуются среди недобросовестных клиентов для их последующего использования. Данный вид незаконного бизнеса уже получил широкое распространение за рубежом, и в настоящее время активно внедряется в Украине, в том числе с позиций группировок организованной преступности, имеющих также и международные связи. Таким образом, очевидно, что помимо традиционных мер безопасности в технической сфере (организационные, материальные, программные), необходимо ставить в повестку дня проблему соответствующей подготовки сотрудников служб безопасности. Речь идет, прежде всего, о подготовке специалистов в области компьютерной безопасности, основной функцией которых должно стать выявление, предупреждение и пресечение деятельности по нанесению информационного и финансового ущерба.

Анализ состояния дел в области информационной безопасности показывает, что в ряде развитых государств сложилась и успешно функционирует вполне устоявшаяся инфраструктура системы информационной безопасности (СИБ), т.е. системы мер, обеспечивающей такое состояние конфиденциальной информации, при котором исключаются ее разглашение, утечка, несанкционированный доступ (внешние угрозы), а также искажение, модификация, потеря (внутренние угрозы).

Тем не менее, как свидетельствует реальность, злоумышленные действия над информацией не только не прекращаются, а имеют достаточно устойчивую тенденцию к росту. Опыт показывает, что для успешного противодействия этой тенденции необходима стройная и управляемая система обеспечения безопасности информации (ОБИ).

Поскольку информация является продуктом информационной системы (ИС), т.е. организационно-упорядоченной совокупности информационных ресурсов, технологических средств, реализующих информационные процессы в традиционном или автоматизированном режимах для удовлетворения информационных потребностей пользователей, то материальными объектами информационной безопасности являются элементы таких ИС:

потребители и персонал;

материально-технические средства (МТС) информатизации;

информационные ресурсы (ИР) с ограниченным доступом.

Таким образом, под информационной безопасностью далее будем понимать состояние защищенности информационных ресурсов, технологий их формирования и использования, а также прав субъектов информационной деятельности. Здесь важно заметить следующее:

Объектом  защиты становится  не  просто  информация как некие  сведения,  а

информационный ресурс, т.е. информация на материальных носителях (документы,

базы данных, патенты, техническая документация и т.д.), право на доступ к которой

юридически закреплено за ее собственником и им же регулируется [1].

Информационная    безопасность    пользователей,    в    отличие    от    физической,

обеспечивает защищенность их прав на доступ к ИР для удовлетворения своих

информационных потребностей.

С точки зрения экономической целесообразности защищать следует лишь ту

информацию, разглашение (утечка, потеря и т.д.) которой неизбежно приведет к

материальному и моральному ущербу.

Важнейшими принципами обеспечения безопасности ИС являются [2]: •   Законность мероприятий по выявлению и предотвращению правонарушений в информационной сфере.

82

 

Компьютерная преступность и кибертерроризм    2004/2

Непрерывность реализации и совершенствования средств и методов контроля и

защиты информационной системы.

Экономическая целесообразность, т.е. сопоставимость возможного ущерба и затрат

на обеспечение безопасности информации.

Комплексность использования всего арсенала имеющихся средств защиты во всех

подразделениях фирмы и на всех этапах информационного процесса.

Последнее дает наибольший эффект тогда, когда все используемые средства, методы и мероприятия объединены в единую управляемую систему информационной безопасности. В этом случае достигается полный охват объектов защиты (персонала, МТС информатизации и ИР) всей совокупностью форм противодействия и защиты на основе правовых, организационных и инженерно-технических мероприятий.

В зависимости от масштаба и вида деятельности коммерческой организации структура ее СИБ может быть разнообразной исходя из экономической целесообразности. Однако обязательными элементами, присутствующими в ее структуре и соответствующие основным направлениям защиты, должны быть следующие [3]:

1.Правовая защита - юридическая служба (юрист, патентовед, оценщик интеллектуальной собственности т.п.), взаимодействующая с бухгалтерией и плановым отделом.

2.Организационная защита - службы охраны (комендант, контролеры, пожарные и т.п.) и режима (государственной, служебной тайны, конфиденциальной информации и т.п.), взаимодействующие с отделом кадров.

3.Инженерно-техническая защита - инженерно-техническая служба (операторы ЭВМ, связисты, криптографы, техники и т.п.), взаимодействующие с функциональными подразделениями фирмы.

Объединяющим и координирующим началом всей СИБ является ее начальник в ранге заместителя руководителя фирмы по безопасности, опирающийся в своих действиях на решения Совета безопасности, объединяющего начальников соответствующих служб и возглавляемого ответственным руководителем фирмы.

Функционально СИБ строится в виде перекрывающихся "концентрических" контуров защиты по отношению к внешним угрозам, в центре которых располагается объект защиты. При этом "внешним" контуром (большего "радиуса") является контур правовой защиты, обеспечивающий законность и правомерность, как самого объекта, так и мер по его защите. Далее следует контур организационной защиты, обеспечивающий порядок доступа к объекту, который непосредственно защищается "внутренним" контуром инженерно-технической защиты путем контроля и предотвращения утечки, НСД, модификации и потери информации.

Такое построение СИБ позволяет существенно локализовать техническую защиту и сократить расходы на нее вследствие правовой "селекции" объектов защиты и организации ограниченного доступа к ним. Реализация процесса защиты информации в каждом из означенных контуров происходит примерно по следующим этапам: 1.  Определение объекта защиты:

права на защиту ИР;

стоимостная оценка ИР и его основных элементов;

длительность жизненного цикла ИР;

траектория   информационного   процесса   по   функциональным   подразделениям

фирмы.

■             ■ ■.'

83

 

Компьютерная преступность и кибертерроризм    ;              2004Д

2.             Выявление угроз:

источников угроз (конкурентов, преступников, сотрудников и т.п.);

целей угроз (ознакомление, модификация, уничтожение и т.п.);

возможных каналов реализации угроз (разглашение, утечка, НСД и т.п.):

Определение необходимых мер защиты.

Оценка их эффективности и экономической целесообразности.

Реализация принятых мер с учетом выработанных критериев (приоритетов).

Доведение   принятых   мер   до   персонала   (в   части   касающейся),   контроль их

эффективности и устранение (предотвращение) последствий угроз.

Описанный выше процесс, по сути, является процессом управления информационной безопасностью объекта, и реализуется системой управления, включающей в себя, помимо самого управляемого (защищаемого) объекта, средства контроля за его состоянием, механизм сравнения текущего состояния с требуемым и формирователь управляющих воздействий для локализации и предотвращения ущерба вследствие угроз. Критерием управления в данном случае целесообразно считать минимум информационного ущерба при минимальных затратах на ОБИ, а целью управления - обеспечение требуемого состояния объекта в смысле защищенности.

Разработка структуры системы управления информационной безопасностью СУИБ, как и любой другой системы управления, основывается на трех базовых принципах управления [4]:

Принцип    разомкнутого    управления.     Заранее     сформированные     требования

реализуются исполнительными органами СИБ, воздействуя на объект защиты. Достоинством

является простота, а недостатком - низкая эффективность защиты, т.к. трудно заранее

предугадать момент воздействия и вид угрозы.

Принцип компенсации. В контур управления оперативно вводится информация об

обнаруженной угрозе, в результате чего исполнительные органы СИБ концентрируют свои

усилия на локализации и противодействии конкретной угрозе. Достоинством является более

высокая эффективность, а недостатками - трудность правильного обнаружения угрозы и

невозможность устранения последствий внутренних угроз.

Принцип обратной связи. Обнаруживается не сама угроза, а реакция системы на нее и

степень нанесенного ущерба. Достоинством является конкретность и точность отработки

последствий угроз (экономическая целесообразность), включая и внутренние. Недостатком

является   запаздывание   (инерционность)   принимаемых   мер,   т.к.   обнаруживается   не

предполагаемая угроза, а уже реакция на нее.

Сочетая при создании СУИБ различные принципы управления в каждом отдельном контуре защиты объекта можно добиться оптимального соотношения эффективности и стоимости ОБИ.

Таким образом, предложенный подход к разработке СИБ с позиций теории управления позволяет воспользоваться ее апробированным математическим аппаратом при анализе и синтезе СУИБ, оптимизируя ее в смысле основных показателей качества теории управления:

минимума информационного ущерба и затрат на управление (защиту);

управляемости и наблюдаемости;

быстродействия и устойчивости управления.

В связи с новыми процессами, происходящими в современном обществе, существенно возрастает значение фактора корпоративной культуры. Информатизация бизнеса, интернетизация   многих   сфер   предпринимательской   деятельности   (финансы,   реклама,

84

 

Компьютерная преступность и кибертерроризм    2004/2

торговля и т.п.), внедрение компьютерных технологий управления выдвигают на первый план проблемы информационной безопасности организации, создают необходимость адаптации традиционной профессиональной и корпоративной культуры к новой информационной ситуации, поэтому неотъемлемой частью корпоративной культуры предпринимательства становиться стратегия информационной безопасности.

Но, вкладывая средства в информационную безопасность, не стоит пренебрегать человеческим фактором. При этом важна опора не на приблизительные оценки, а на результаты специальных диагностических исследований. Проведение таких исследований предполагает разработку теоретических аспектов. Один из таких аспектов связан с выбором приоритетных групп для диагностики влияния их на принятие решений в сфере информационной безопасности и их роли в формировании корпоративной культуры. Эти группы можно дифференцировать следующим образом:

Руководители. Несомненно, руководители имеют прямое отношение к проблемам

информационной   безопасности.   Руководители   принимают   стратегические   решения   о

расширении информационной базы и о принятии на работу специалиста по информационной

безопасности. Вследствие отсутствия знаний по данной проблеме многие руководители

усугубляют проблемы, предполагая, что эксперт по безопасности, находясь в каком-нибудь

отдалённом месте, сможет предотвратить, обнаружить или залатать бреши в защите на

десятках ПК, рассеянных по всей организации. Нередко руководители, осмысливая только

часть проблемы и давая команду о повсеместной установке определённого средства защиты,

не только не решают проблемы, но и усложняют её решение.

Специалисты по информационной безопасности. Если организация небольшая, то в

ней нередко предпринимаются попытки совместить в одном лице обязанности менеджера по

информационной безопасности и администратора сети. Это далеко не всегда приводит к

успешной  защите   информационных   интересов   фирмы,   т.к.   объём   профессиональных

обязанностей    данных    специалистов    различен.    Администратор    сети    отвечает    за

функционирование сети, в том числе и за её безопасность (в технических и программных

аспектах), тогда как менеджер по безопасности должен держать в поле зрения все участки

информационной   среды   фирмы   и   предотвращать   все   угрозы   её   информационной

безопасности  (технические  способы  несанкционированного  доступа  -   подслушивание,

подключение,    внедрение,    похищение    документов,    шантаж    и    подкуп    персонала,

дезинформация и т.п.). Поэтому менеджер по безопасности должен владеть всем комплексом

проблем информационной безопасности, уметь работать с людьми не в меньшей степени,

чем с техническими средствами защиты. Цель специалиста по безопасности не в нагшсании

памяток или заявлений стратегического порядка, а в повышении безопасности информации.

Администраторы локальных сетей. Администраторы сети - это, как правило,

технически грамотные молодые люди. Они достигли своего положения, благодаря своей

кропотливой    работе,    умению    быстро    постигать    и    возможность    покупать    книги

соответствующего содержания. Администраторы сети сталкиваются с большим количеством

проблем связанных с безопасностью сети. У них, как и у специалистов по информационной

безопасности,   возникает  масса  конфликтов   с   пользователями  из-за  ущемления   прав

пользователей.

Менеджеры сети в большинстве случаев сталкиваются со следующими проблемами:

отказ выполнять процедуры управления;

отказ выполнять процедуры управления надлежащим образом;

отказ исправлять известные изъяны системы;

отказ следовать установленным процедурам эксплуатации;

отказ в дисциплинарном наказании пользователей при нарушении ими

информационной безопасности.

85

 

Компьютерная преступность и кибертерроризм    ЗОИ

Пользователи. Самые типичные угрозы информационной безопасности исходя

от   "внутреннего   врага".   Чаще   всего   компьютеры   становятся   жертвой   небрежное

пользователя. Но   компетентные и аккуратные пользователи также представляют угрозу.

Они могут подобрать для работы сложное программное обеспечение, которое с трудом будут

использовать другие, списать из сети и установить файл, содержащий вирус. Пользователей

больше волнуют их личные перспективы, а не нужды организации. В связи с этим от них

исходит потенциальная угроза информационной безопасности.  Особое место занимает

группа недовольных обозлённых пользователей. Люди, которые вредят изнутри, наиболее

хрупкое место информационной безопасности, поскольку это те люди, которым доверяют.

Хакеры: Хакер (в переводе с английского) означает - индивидуум, который

получает удовольствие от изучения деталей функционирования компьютерных систем и от

расширения   их   возможностей,   в   отличие   от   большинства   пользователей,   которые

предпочитают знать только  необходимый минимум.  Данная  трактовка  отличается от

принятой в средствах массовой информации, и приведшей к подмене понятий. Всех

профессионалов, связанных с информационной безопасностью, можно разделить на хакеров

(hackers) и крекеров (crackers). И те, и другие занимаются решением одних и тех же задач

поиском уязвимостей в вычислительных системах и осуществлением атак на данные

системы ("взлом") [5].

Главное различие хакеров и крекеров заключается в преследуемых целях. Основная задача хакера в том, чтобы, исследуя защиту обнаружить слабые места в системе безопасности и проинформировать пользователей и разработчиков, с целью устранения найденных уязвимостей и повышения уровня защиты.

Кракеры    непосредственно    осуществляют    "взлом"    системы    с    целью    получения несанкционированного доступа к закрытым для них информационным ресурсам и системам.

Кракеры подразделяются:              

вандалы - самая малочисленная часть кракеров, их цель - проникновение в

систему с целью полного её уничтожения;             

"шутники" - основная цель - известность, достигаемая путём проникновения в

систему     и     введением     туда     различных     эффектов     выражающих    их

неудовлетворённое чувство юмора;

взломщики - профессиональные крекеры, основная задача - взлом системы с

определёнными целями, как-то кража или подмена информации с целью наживы.

Наиболее уважаемая группа в среде крекеров.

Крекеры также занимаются снятием защиты с коммерческих версий программных продуктов, изготовлением регистрационных ключей для условно бесплатных программ. Выбор и диагностика этих групп в данный момент ставит перед исследователем множество проблем, самой крупной проблемой в этой области исследования является нежелание многих коммерческих фирм и организаций из-за боязни потерять престиж и клиентуру сделать достоянием гласности проблемы информационной безопасности, с которыми сталкивается предприятие на российском рынке. Так до сих пор сложно определить масштабы проблем связанных с крекерами, ощущается явный недостаток фактов по данной проблеме.

В сложившейся ситуации от 80% до 90% злоупотреблений, угрожающих информационной безопасности, являются внутренними. Один из администраторов сети крупного коммерческого банка заявляет, что никогда не встречался с внешними нарушениями системы. "Однако у нас были некоторые действительно глупые внутренние нарушения безопасности. Например, люди оставляли свои пароли на виду в рабочем

86

 

Компьютерная преступность и кибертерррризм        2004/2

помещении". Исходя из этого, повышение информационной безопасности зависит, прежде всего, от пользователя, сотрудников фирмы.

Повысив корпоративную культуру, заставив пользователей более серьёзно и осмысленно относиться к своим обязанностям, можно существенно повысить информационную безопасность. Поэтому топ-менеджеры и менеджеры по безопасности фирмы не должны экономить на инвестициях в подготовку персонала фирмы, мероприятия по формированию корпоративного духа, повышение информационной культуры, социальной и профессиональной ответственности каждого сотрудника за соблюдение информационно-безопасного режима.

Проскуряков A.M. Интеллектуальная собственность. - Вологда: Ардвисура, 1998.

Ярочкин В.И. Безопасность информационных систем. - М.: изд. "Ось-89", 1996.

Ярочкин В.И. Система безопасности фирмы. - М.: изд. "Ось-89", 1998.

Теория автоматического управления. В 2-х частях / Под ред.Воронова А.А. - М.:

Высшая школа, 1986.

Медведовский И.Д., Семьянов П.В. Хакеры или кракеры «Что такое хорошо и что

такое плохо?». - http://www.crime-research.ru/library/24.htm.

Конференция "Информационная безопасность компьютерных систем" от 2 ноября

2000 года  "Современные технологические решения в  сфере  обеспечения безопасности

компьютерных систем". - Доклад д.т.н, профессора, академика РАЕН Минаева В.А.

  7. Мануйлов И.Н. Корпоративная информационная безопасность фирмы, как компонент копоративной культуры.

Логінов О.В.

ЗАГРОЗИ НАЦІОНАЛЬНИМ ІНТЕРЕСАМ ОСОБИСТОСТІ В ІНФОРМАЦІЙНІЙ СФЕРІ УКРАЇНИ

У прийнятому 19 червня 2003 р. Законі України „Про основи національної безпеки" [1] (відповідно до п.17 ч.і ст.92 Конституції України [2]) визначено основні засади державної політики, спрямованої на захист національних інтересів і гарантування в Україні безпеки особи, суспільства і держави від зовнішніх і внутрішніх загроз в усіх сферах життєдіяльності.

У ст.1 вказаного Закону закріплено, що „національна безпека - це захищеність життєво важливих інтересів людини і громадянина, суспільства і держави, за якої забезпечуються сталий розвиток суспільства, своєчасне виявлення, запобігання і нейтралізація реальних та потенційних загроз національним інтересам".

Об'єктами національної безпеки України виступають держава, суспільство та людина і громадянин (ст.З Закону). Забезпечення безпеки людини в нашій країні визнається найбільшою соціальною цінністю та виступає головним обов'язком держави, що прямо передбачено ст.З Конституції України. Аналіз змісту ст.6 Закону України від 19 червня 2003 р. „Про основи національної безпеки" дозволив виявити відсутність у переліку національних інтересів України такого виду як забезпечення інформаційної безпеки. Існування зазначеної прогалини обумовлене нехтуванням основними положеннями Конституції України в ст.17 якої зазначено, що забезпечення інформаційної безпеки - одна з найважливіших функцій держави, справа усього народу.

У зв'язку з цим, вельми актуальним стає питання щодо необхідності визначення самого поняття „інформаційна безпека" як системоутворюючого елементу національної безпеки, а також окреслення: національних інтересів особистості (людини і громадянина) в інформаційній   сфері;    загроз   та   небезпек   національним    інтересам    особистості   в

87

 

Компьютерная преступность и кибертерроризм    2004/2

інформаційній сфері та визначення основних напрямів забезпечення інформаційної безпеки України.

Під поняттям „інформаційна безпека" необхідно розуміти систему національних інтересів в інформаційній сфері, загроз та небезпек, внутрішніх та зовнішніх чинників, що впливають на стан інформаційної безпеки, умов їх генези, еволюції та балансу, а також органи законодавчої, виконавчої та судової влади, державні, громадські та інші організації та об'єднання, громадян, які беруть участь у забезпеченні інформаційної безпеки відповідно до закону і законодавство, що регламентує відносини у сфері інформаційної безпеки, що в своїй органічній єдності утворюють феномен інформаційної безпеки.

Зважаючи на багатоаспектність національних інтересів України в інформаційній сфері особливого значення набуває їх визначення стосовно особистості, які полягають у реалізації конституційних прав людини і громадянина на доступ до інформації, на використання інформації в інтересах здійснення не забороненої законом діяльності, фізичного, духовного й інтелектуального розвитку, а також у захисті інформації, що забезпечує особисту безпеку.

На сучасному етапі розвитку українського суспільства зазначений перелік національних інтересів особистості в інформаційній сфері може піддаватися низці потенційних загроз та небезпек, серед яких варто виділити наступні:

маніпулювання інформацією, що виражається у цілеспрямованій дезінформації,

поширенні недостовірної, неповної або упередженої інформації, а також її приховування

або перекручування;

порушення конституційних прав і свобод людини і громадянина в області масової

інформації,  шляхом витіснення українських  інформаційних  агентств,  засобів  масової

інформації з   внутрішнього  інформаційного  ринку  і  посилення  залежності   духовної,

економічної і політичної сфер суспільного життя України від закордонних інформаційних

структур;

створення монополій на формування, одержання і поширення інформації в Україні,

у тому числі з використанням телекомунікаційних систем;

прийняття органами державної влади України нормативних правових актів, що

обмежують конституційні права і свободи громадян в області інформаційної діяльності;

неправомірне обмеження доступу громадян до відкритих інформаційних ресурсів

органів державної влади, відкритих архівних матеріалів, до іншої відкритої соціально

значущої та суспільно необхідної інформації;

пропаганда зразків масової культури, заснованих на культі насильства, на духовних і

моральних цінностях, що суперечать цінностям, прийнятим у суспільстві.

Об'єктом впливу окреслених загроз та небезпек виступає світогляд різних соціальних верств населення України. Особливо вразливою у цьому відношенні є молодь нашої країни, Формування її світогляду залежить від багатьох чинників, зокрема інформації, яка розповсюджується засобами масової інформації (ЗМІ) та через INTERNET.

У сучасних умовах у ЗМІ отримало розповсюдження використання деструктивних прийомів подачі інформації з елементами цільової дезорієнтації, апелювання до низинних інстинктів, нав'язування помилкових моральних цінностей та інших прийомів ведення інформаційної війни. їхньою метою є соціальна переорієнтація суспільства, особливо молоді, убік заперечення і відчуження від позитивного національного досвіду, що приводить до розвитку бездуховності, аморальності, зростання злочинності, порушенню стабільності суспільства і держави. Особливо небезпечні в цьому відношенні сучасні комп'ютерні мережі, що використовують спеціальні інформаційні технології для безпосереднього психологічного і фізичного впливу на свідомість і здоров'я користувача. Крім того, інформаційне середовище все ширше використовується для внутрішньополітичної боротьби в інтересах маніпулювання масовою свідомістю. Збільшуються випадки несанкціонованого доступу до інформації у всіх сферах діяльності з метою її розкрадання, перекручування і знищення. У цьому випадку INTERNET виступає не як джерело суб'єктивних загроз, а лише каналом їхнього поширення. При цьому

88

 

Компьютерная преступность и кибертерроризм    2004/2

джерела можуть мати як внутрішню, так і зовнішню природу, а пріоритетність загроз та небезпек може змінюватися залежно від періоду їх прогнозу.

Для того, щоб громадяни нашої країни (у першу чергу молодь) змогли відстоювати наші національні інтереси, вони повинні перебувати під впливом інформаційного потоку, що формує українські суспільні цінності. З позицій забезпечення інформаційної безпеки особистості існуюча проблема повинна розглядатися крізь призму наступних аспектів: 1) вироблення технології доведення інформації до об'єкта; 2) визначення безпосереднього змісту інформації — полягає у чіткому визначенні національних інтересів, національних цінностей, тобто формуванні ідеологічної доктрини нашого суспільства.

Наступним дестабілізуючим фактором у забезпеченні національних інтересів особистості в інформаційній сфері є повільні темпи інформатизації України. Сьогодні спостерігається негативна потенційно небезпечна тенденція щодо орієнтації вітчизняних користувачів на монопольне застосування закордонних комп'ютерних і телекомунікаційних технологій. Найбільшу загрозу при цьому представляє:

витіснення з вітчизняного ринку українських виробників засобів інформатизації,

телекомунікації і зв'язку;

використання не сертифікованих відповідно до вимог безпеки засобів та систем

інформатизації і зв'язку, а також засобів захисту інформації.

З огляду на викладене необхідно вказати, що основними джерелами загроз національним інтересам особистості в інформаційній сфері є:

нерозвиненість інститутів громадянського суспільства і недостатній державний

контроль за розвитком інформаційного ринку України;

недостатнє   фінансування   заходів   щодо   забезпечення   інформаційної   безпеки

України;

недостатня кількість кваліфікованих кадрів в області забезпечення інформаційної

безпеки.

Недопущення прояву вказаних загроз та небезпек можливе за наявності ефективної системи забезпечення інформаційної безпеки, що виражається в механізмі вироблення, перетворення і реалізації концепції, стратегії і тактики в сфері інформаційної безпеки за допомогою скоординованої діяльності державних і недержавних структур щодо реалізації комплексу захисних заходів, таких як заходи технічного, організаційно-правового, політичного характеру та правового характеру.

З огляду на викладене пропонуються основні напрямки забезпечення національних інтересів особистості в інформаційній сфері України. До таких необхідно відносити:

забезпечення конституційних прав і свобод людини і громадянина вільно шукати,

одержувати, передавати і поширювати інформацію будь-яким законним способом;

забезпечення конституційних прав і свобод людини і громадянина на особисту та

сімейну таємницю, таємницю листування, телефонних переговорів, поштових, телеграфних

та інших повідомлень, на захист своєї честі й гідності;

зміцнення   державних  засобів   масової  інформації,   розширення   їх   можливості

своєчасно доводити достовірну інформацію українським та іноземним громадянам;

розвиток та удосконалення  індустрії інформаційних  послуг та  інфраструктури

єдиного інформаційного простору України;

зміцнення   механізмів   правового   регулювання   відносин   в   області   охорони

інтелектуальної власності, створення умов для дотримання встановлених законодавством

обмежень на доступ до конфіденційної інформації;

забезпечення заборон на збір, збереження, використання і поширення інформації

про приватне життя особи без її згоди та іншої інформації, доступ до якої обмежений

законодавством.

Таким чином, визначений нами перелік національних інтересів особистості в інформаційній сфері; загроз та небезпек інформаційній сфері та напрями забезпечення національних    інтересів    особистості    повинні    знайти    відображення    у    Доктрині

89

 

Компьютерная преступность и кибертерроризм                    -              2004/2

інформаційної безпеки  України  як  складової нормативно-правової  бази,  що  регулює відносини забезпечення національної безпеки України.

Закон України від 19 червня 2003 р. „Про основи національної безпеки" // Офіційний

Вісник України. - 2003. - № 29. - Ст.1433.

Конституція України: прийнята на п'ятій сесії Верховної Ради України 28 червня

1996 р. - К.: Преса України, 1997. - 80 с

Сергей Охрименко, Валерий Черней

УГРОЗЫ ПРОЦЕССАМ АУТЕНТИФИКАЦИИ В ИНФОРМАЦИОННЫХ

СИСТЕМАХ

Основным моментом в управлении безопасностью информационной системы является личная ответственность каждого пользователя. Это достигается с помощью использования механизмов, закрепляющих ответственность. Каждому пользователю присваивается условное имя, уникальное в данной системе, а соответственно этому имени устанавливается пароль, который пользователь должен хранить в секрете и предъявлять системе в качестве доказательства того, что он именно тот, за кого выдает себя. Таким образом, в управлении безопасностью информационной системы (ИС) и ее информационными ресурсами выделяются два механизма: идентификация, которая выражается через соответствующее условное имя, и аутентификация, которая выражается через предъявление пароля.

После аутентификации, доступ к ресурсам системы разрешается пользователю в соответствии с политикой доступа, внедренной в ИС и, правами, определяемыми администратором на этапе авторизации.

Одновременно с механизмами аутентификации в ИС должны быть внедрены механизмы фиксации авторства, которые должны обеспечить невозможность отказа пользователя от своих действий, что обеспечивается с помощью мониторинга и аудита. В плане расследования компьютерных инцидентов, данные механизмы достаточно надежны и являются инструментом анализа прошедших событий. Следует отметить, что они не обладают свойством доказательности, т.е. их нельзя применять при доказательстве авторства. Это связано, в первую очередь, с тем, что система защиты является комплексным и сложным конгломератом информационных технологий, которые интегрированы в саму ИС. Для использования данных аудита в доказательстве авторства необходимо доказать, что сама ИС защищена, что является сложным и трудоемким процессом. Кроме того, предполагается, что данные аудита являются на 100 % верными, а это, в свою очередь, означает доказательство того, что сама ИС защищена на 100%. С теоретической точки зрения создание подобных ИС возможно.

Таким образом, успешность действий по организации защиты информации имеет в качестве базового стержня аутентификацию.

Требования к безопасности и механизмам превентивной защиты в сфере информационных технологий должны быть адекватны потенциальным угрозам со стороны нарушителя. Данные утверждения верны также и для механизмов аутентификации. Это означает, что при проектировании, разработке и внедрении механизмов аутентификации необходимо принимать во внимание возможные типы атак, как на протоколы аутентификации, так и на механизмы их реализации.

Возможные угрозы протоколам аутентификации можно объединить в следующие группы:

90

 

Компьютерная преступность и кибертерроризм                    2004/2

Пассивное наблюдение - является сегодня одной из самых распространенных угроз.

Это   обусловлено,   во-первых,   относительной   простотой   реализации,      а   во-вторых,

сложностью обнаружения со стороны системы безопасности ИС. В случае использования

криптографических протоколов аутентификации атака не является действенной, но она

может применяться совместно с другими средствами нападения для получения максимально

возможного количества информации, как об участниках, так и о конкретном протоколе.

Шифрование сообщений протокола позволяет обеспечить их конфиденциальность и делает

бесполезными действия злоумышленника, если ключи, используемые сторонами, не были

скомпрометированы.

Воздействие на обменную информацию. Это следующая по сложности группа угроз

аутентификации.  Выражается  в  том,  что  злоумышленник  перехватывает  информацию,

видоизменяет   ее    и    отсылает   получателю.    В    итоге    получатель    уверен,    что    он

аутентифицировался   с   законным   участником   протокола,   а   на   самом   деле   -   со

злоумышленником. Последствия подобного типа атак могут быть катастрофическими для

введенного в заблуждение участника, так как в первую очередь нарушается целостность

передаваемой информации. Для приложений, где целостность является главным требованием

системы безопасности, нарушение ее, и передаваемых сообщений создает соответствующий

риск в виде прямых потерь. Именно, исходя из данных соображений,  в банковских

информационных системах обеспечение целостности предаваемых сообщений является

приоритетным.

Изменение   структуры   протокола.   Данный   класс   злоупотреблений   достаточно

специфичен    и    появился    в    результате    анализа    криптографических    протоколов

аутентификации, поскольку атаки первых двух классов оказались безрезультатными. Суть

данных атак состоит в том, что злоумышленник видоизменяет структуру протоколов, после

чего законные  участники  в  процессе  аутентификации  не  могут  закончить  протокол.

Последствия могут быть самыми разнообразными - от простого отказа в обслуживании, до

получения нарушителем доступа к ресурсам ИС.

Видоизменение механизмов принятия решений. Данный класс атак не является

прямой атакой на протокол, но используется достаточно часто. Состоит в видоизменении

механизмов принятия решений, таких, как программы проверки подписи, принятии решений

об аутентичности и т.д. Особенно привлекательны в случае, когда готовится атака на

конкретного участника ИС. Обнаружение подобного рода злоупотреблений возможно только

при    реализации    самозащиты    механизмов    обеспечения    безопасности    и    наличии

доверительной компьютерной базы.

Рассмотрим наиболее распространенные угрозы процессам аутентификации.

Криптоанализ. Криптоанализ является самым известным методом атаки на любые модели защиты, использующие криптографические операции. Но со становлением криптографии, как отдельной отрасли науки, информационная индустрия пришла к решениям, которые сводят к минимуму усилия криптоаналитика.

Известны атаки на криптографические протоколы без компрометации криптоалгоритма. На практике стратегия криптоаналитика заключается в анализе и разработке атаки на протокол и только в случае неудачи - в атаке криптоалгоритма, что, как правило, требует значительных вычислительных ресурсов и инвестиций. Сегодня большинство пользователей, использующих криптографию для защиты своей информации, выбирают стандартные криптоалгоритмы, прошедшие апробацию, что делает атаку методом криптоанализа на применяемые механизмы практически невозможной.

91

 

Компьютерная преступность и кибертерроризм    2004/2

Перехват обменной информации. Перехват сообщений - это несанкционированное чтение информации. При применении криптографических методов защиты для построения протоколов аутентификации нарушитель не сможет воспользоваться перехваченной информацией, если ему недоступны соответствующие ключи.

Повтор сообщений. Повтор сообщений - это повторная передача ранее регистрированных сообщений. Часто возникает необходимость, чтобы получатель был уверен в том, что моменты формирования, передачи и приема сообщения очень близки друг к другу. Это означает, что отправитель в момент приема сообщения получателем находится на другом конце канала связи. Если получатель не может в этом убедиться, его легко ввести в заблуждение, что зачастую приводит к серьезным последствиям.

Практически данная атака реализуется следующим образом: отправитель формирует и передает сообщение, а нарушитель перехватывает его в канале связи и задерживает до времени, выбираемого по своему усмотрению. Прием устаревшего сообщения в момент, выбранный нарушителем, может быть ненужным или даже представлять опасность для получателя или ИС. Другой способ реализации атаки - перехват, а потом - повтор сообщения. В итоге получатель приходит к выводу, что оно отправлено законным отправителем.

Если при формировании сообщения отправитель применяет защищенную отметку времени, этого достаточно, чтобы исключить возможность задержек, но недостаточно, чтобы защититься от другой опасности - получения сообщения, созданного очень давно.

Практически это может быть реализовано следующим образом. Отправитель или нарушитель под его именем формирует сообщение с будущей отметкой времени и помещает его в электронную почту с инструкцией передать в указанное время. Отправитель (нарушитель) имеет возможность подготовить целую серию таких сообщений, которые будут поступать получателю в определенные моменты времени, создавая эффект авторского присутствия.

Маскарад. Это попытка выдать себя за другого в целях получения несанкционированного доступа к информационным ресурсам или расширения полномочий. Если строго рассматривать данную угрозу, то на самом деле она означает нарушение состояния аутентификации.

Дезорганизация. Это незаконное изменение адресной части передаваемой информации. Следует отметить, что недооценка данной угрозы может привести к нарушению целостности технологических процессов обработки данных и, соответственно, к значительным материальным потерям. Дезорганизация может привести к тому, что кто-то или все не смогут завершить протокол, то есть не смогут аутентифицироваться, а в итоге не получат доступ к информационным ресурсам. Итогом реализации данной угрозы будет отказ в обслуживании.

Манипуляция. Это незаконная замена, вставка, удаление или переупорядочение данных в информационных потоках. В чем-то манипуляция схожа с дезорганизации. Основное отличие состоит в том, что если дезорганизация не имеет четко сформулированной цели, и последствия могут быть непредсказуемыми, то при манипуляции данными предполагается достижение заранее известной цели.

Отказ от обязательств. Отказ от обязательств состоит в отказе от ранее принять  или переданных сообщений (взятых на себя обязательств). Данная угроза является самой распространенной в системах электронной торговли и банковских информационных системах, когда пользователь отказывается от проведенных ранее транзакций. Развитие технологий, в особенности появление криптографических средств, позволило решить данную проблему. Применение электронной цифровой подписи позволяет фиксировать авторство сообщения и предупредить отказы от авторства или принятых обязательств.

Подбрасывание ключей. Данная угроза является самой распространенной атакой на протоколы, основанной на криптографии с открытыми ключами. Атака состоит в том, что злоумышленник представляет свой публичный ключ вместо публичного ключа легального

92

 

Компьютерная преступность и кибертерроризм    2004/2

пользователя. В случае если он подписывает сообщение своим секретным ключом, получатель решит, что он получил подписанное сообщение от законного участника процесса обмена данными. Эта атака является особо опасной для финансово-банковских систем ввиду того, что злоумышленник может сформировать сообщение от имени законного пользователя, в итоге может быть проведена незаконная транзакция.

Для предотвращения возможности подобного рода атак используется иерархическая система сертификации, реализующая трехсторонние доверительные связи, в результате чего в рамках системы выделяются главные, доверенные органы, которые формируют так называемые сертификаты публичных ключей пользователей. В результате сертификации формируется логическая связь между именем пользователя (держателя ключа) и конкретным публичным ключом. Подпись главного уполномоченного известна всем участникам системы обмена, они могут доверять ей и верить, что публичный ключ, указанный в сертификате, принадлежит пользователю, имя которого значится в этом сертификате.

Атака рефлексией с параллельным протоколом. Состоит в том, что нарушитель начинает встречный протокол. Он (злоумышленник) посылает те же вопросы, которые он получает. Например, если кто-то запрашивает пароль, можно ему же параллельно адресовать это вопрос. В случае получения ответа, его можно вернуть в качестве ответа, и этот ответ будет принят как верный.

Главный в центре. Состоит в том, что нарушитель ведет диалог одновременно с каждым из участников, а они думают, что сообщаются напрямую.

Однозначное отнесение конкретной угрозы к той или иной группе затруднено ввиду их сложности и разносторонности. Но с уверенностью можно определить принадлежность отдельных характеристик угроз к той или иной группе. Более того, с развитием информационных технологий и теории анализа протоколов аутентификации наблюдается появление видов и разновидностей атак, которые совмещают в себе две или более описанных выше угроз. Это означает, что при разработке протоколов аутентификации должны приниматься во внимание их стойкость по отношению не только к обычным угрозам, но и их модификациям и объединениям в более сложные, интегрированные.

Герасименко В.А. Защита информации в автоматизированных системах обработки

данных. - М.: Энергоатомиздат, 1994. - кн. 1,2.

Медведовский И.Д., Семьянов П.В., Платонов В.В. Атака через Интернет. НПО «Мир

исемья-95», 1997.

Мельников В.В. Защита информации в компьютерных системах. - М.; Финансы и

статистика, 1997.

Олейник В. Основные открытия XX века в области криптографии // Acta Academia,

Chisinau: Evrica, 2000. - C.23-38.

Охрименко    С.А.,    Черней    Г.А.    Угрозы    безопасности    автоматизированным

информационным  системам   (программные   злоупотребления)  //  НТИ.   Серия   1.

Организация и методика информационной работы. - 1996, № 5. - С.5-13.

6.             Черней Г.А. Проблемы аутентификации в информационных системах. - Кишинев:

Реклама, 2001.-112 с.

Марин Присэкару

МЕНЕДЖМЕНТ И АНАЛИЗ РИСКОВ В ИНФОРМАЦИОННЫХ СИСТЕМАХ

Настоящая работа представляет собой краткое описание метода качественного анализа рисков ИТ. В настоящее время почти невозможно не услышать или не прочитать о рисках, связанных с использованием информационных технологий. Руководство компаний всё больше интересуется смыслом словосочетаний «менеджмент рисков» и «анализ рисков»,

93

 

Компьютерная преступность и кибертерроризм                                    2004/2

применимых к информационным технологиям, используемых внутри компании. Но этот интерес ещё не дал начало разработке методологии или интернационального стандарта в области менеджмента и анализа рисков ИТ. Несмотря на многие рекомендации профессиональных ассоциаций и государственных учреждений, до сих пор не существует единой терминологии в этой области. Поэтому все подходы к данному вопросу являются субъективными, как и настоящая работа. Бесспорно, что при настоящей технической обстановке мы не можем говорить об абсолютной безопасности. Всё же очень важно, чтобы внутри компании существовал процесс по выявлению и оценке рисков, определение их воздействия и средств контроля для уменьшения или избежания рисков. Этот процесс в большинстве случаев назван анализом рисков.

Успех процесса анализа рисков во многом зависит от поддержки и участия руководства компании. Именно руководство ответственно за инициализацию процесса, координирование действий и обеспечение реализации в рамках настоящего времени. Хотя причастность руководства может быть и косвенной, но поддержка обязательна. Специфические задачи руководства в процессе анализа рисков должны быть следующими:

отбор группы участников и их руководителя;

определение полномочий и обязанностей для этого задания;

пересмотр и поддержка открытий;

-              принятие финальных решений в связи с внедрением мер безопасности.

Руководитель группы должен принимать участие при отборе членов группы, должен

составить план необходимых работ и удостовериться, что этот план будет выполнен в заданные сроки, скоординировать составление и формат отчётов адресованных руководству.

Количество членов группы может быть разным, в зависимости от размеров компании, но желательно не меньше трёх, или по одному человеку для каждого подразделения компании, которое интенсивно использует информационные ресурсы. Члены группы должны избираться с учетом уровня их компетентности в анализируемых процессах, происходящих в определённых подразделениях, и меры зависимости этих процессов от информационных технологий.

После назначения руководителя группы и состава самой группы, процесс анализа рисков будет протекать в следующей последовательности фаз:

Идентификация информационных ресурсов.

Группирование и иерархизация информационных ресурсов.

Выявление рисков.

Ассоциация рисков к ресурсам.

Выявление средств защиты.

Оценка рисков.

Выдача рекомендаций.

1. В процессе идентификации информационных ресурсов должен быть составлен общий макет информационной инфраструктуры организации. В этом аспекте в раздел информационных ресурсов будут входить: данные и информация, вычислительная техника, программное обеспечение, услуги, помещения и другие значимые для компании информационные ресурсы. Эти ресурсы должны быть выявлены с определённым уровнем обобщённости (не слишком детализировано, но и не полностью обобщено) и с избежанием совмещения информационных ресурсов. В большинстве случаев целесообразно группирование ресурсов (к примеру: рабочие станции, принтеры, документация). Может быть полезной информация о лице, ответственном за каждый обозначенный ресурс (для консультаций с данным лицом). Другой неотъемлемой информацией для последующего анализа является взаимосвязь между ресурсами (к примеру: какая система, на каком сервере, какими услугами пользуется). Результатом данной фазы может быть список (или несколько списков, для каждой категории по отдельности) со всеми констатированньми информационными ресурсами организации.

94

 

Компьютерная преступность и кибертерроризм                                    2004/2

2.             Группирование   и   иерархизация   информационных   ресурсов   необходимы   для

определения приоритетов их зашиты (к примеру: если существуют два сервера и только один

блок   бесперебойного   питания,   для   которого   мы   будем   его   использовать).   Группа

впоследствии отберёт критерии классификации ресурсов как критических, основных и

нормальных. Возможными критериями могут являться критичность, причинённый ущерб в

связи    с    недоступностью    ресурса,    стоимость    «падения»    ресурса,    компрометация

конфиденциальности и целостности и др.  Важно,  чтобы между участниками группы

существовало единая интерпретация данных критериев. Классификация ресурсов должна

учитывать взаимосвязь между ними. Количество ресурсов в каждой категории не является

определённым,   но   предпочтительно   ограничение   количества   критичных   ресурсов   во

избежание    конфузов.    Результатом    данной    фазы    является    перечень    важнейших

информационных ресурсов, исходя из их уровня критичности:

-    критические ресурсы - организация или подразделение не могут продолжать свою деятельность без данных ресурсов;

основные ресурсы - организация или подразделение могут продолжать свою деятельность, но очень ограниченное время (несколько часов, дней), и ресурсы должны быть обязательно восстановлены;

нормальные ресурсы - организация или подразделение могут продолжать свою деятельность длительный период времени, но некоторые пользователи будут частично ущемлены, будут вынуждены искать альтернативные выходы.

Выявление рисков подразумевает выбор из списка общих рисков, свойственных

информационным технологиям, тех, которые участники группы считают относящимися к

своей инфраструктуре. Не заслуживающие внимания риски, из списка удаляются. Риски

должны быть явно идентифицированы с одним или несколькими ресурсами. В  этой

интерпретации риск являет собой вероятность нежелательного происшествия.

На фазе ассоциации рисков к ресурсам имеет место индивидуализация рисков по

каждому критическому ресурсу в частности. Из списка приемлемых рисков третьей фазы,

выбираются риски,  относящиеся  к данному анализируемому ресурсу,  с  добавлением

соответствующих комментариев. Учитывается специфика каждого ресурса. Результатом этой

фазы   является   перечень   и   описание   рисков   для   каждого   критического   ресурса,

обозначенного во второй фазе.

Выявление средств защиты подразумевает комплектацию списка, полученного на

четвёртом  этапе,   описанием  средств  защиты,   используемых  в  настоящее   время  для

уменьшения или избежания затронутого риска. В результате мы получаем перечень рисков

для каждого ресурса, описание этих рисков и средств защиты, используемых в настоящее

время в компании для уменьшения или избежания данных рисков.

Этап оценки рисков очень важен, а результаты данного этапа во многом зависят от

профессионализма членов группы. Для каждого критического ресурса составляется иерархия

рисков в зависимости от уровня последствий в случае его реализации. Эта классификация

делается на основе голосования членов группы, ответственных за оценку; на данном этапе

принимается во внимание вся информация, собранная на предыдущих этапах. Полученные

результаты   обосновываются, описывается каждый из рисков и возможные последствия в

случае его реализации, если средства защиты не меняются.

7.             На этапе выдачи рекомендаций члены группы, анализируя всю полученную

информацию, принимают решения относительно существующих условий, которые позволят

минимизацию, обход или устранение выявленных рисков. Рекомендуется разработка двух

95

 

Компьютерная преступность и кибертерроризм            2004/2

или более решений для одного риска. Приоритетными определяются те решения, которые позволяют устранение группы рисков для одного или более ресурсов. Результатом этапа является составление финального отчета высшему руководству.

http://www.theiia.org/itaudit/.

http://www.knowledgeleader.com/IntemalAudit/.

http://www.auditserve.com.

Александр Томашевский

ИСПОЛЬЗОВАНИЕ СЕРТИФИКАЦИОННЫХ ИСПЫТАНИЙ ДЛЯ ПОВЫШЕНИЯ НАДЕЖНОСТИ ЗАЩИТЫ ИНФОРМАЦИИ

В условиях развития информационного пространства Украины и вхождения в мировое информационное пространство, чрезвычайной остроты и актуальности приобретают вопросы обеспечения информационной безопасности в информационных системах, которые работают в сфере государственной деятельности, экономики, финансов, военного дела и т.п. Значительно повышаются требования к надежности защиты информации от несанкционированного доступа.

Надежность защиты информации [1,2] является сложной многоплановой проблемой, при решении которой необходимо решить вопросы:

защиты информации от повреждения   из-за отказов и сбоев технических средств и

программного обеспечения;

защиты   от   умышленного   повреждения   информации   с   помощью   специально

спровоцированных нарушениях работоспособности технических средств или программного

обеспечения;

защиты от несанкционированного доступа.

В данной статье рассматривается повышение надежности защиты информации с помощью сертификационных испытаний технических средств информационных систем.

Сертификация - это процесс, осуществляемый в отношении такой категории, как "изделие" (товар, средство), когда в результате выполнения комплекса мероприятий, определенных правилами и порядком ее проведения, устанавливается, удостоверяется или подтверждается качество изделия. Таким образом, сертификация есть деятельность некоторой третьей стороны, независимой от изготовителя (продавца) и потребителя продукции или услуг, по подтверждению соответствия этих продукции или услуг установленным требованиям.

В рассматриваемой области - это подтверждение соответствия средства защиты информации как определенной конкретной технической реализации на удовлетворение этим средством установленным требованиям по безопасности. Особо при этом следует подчеркнуть три момента. Во-первых, процедура сертификации осуществляется в отношении только технических средств или технической части системы защиты, включающей в обязательном порядке и организационно-технические и организационные средства и меры. Во-вторых, требования по безопасности включают количественные критерии и нормы, и поэтому, в отличие от других процедур, входящих в процесс лицензирования и сертификации, процедуры сертификационных испытаний базируются на формальных методах и развитой метрологической базе.

Сертификация  средств защиты  информации  -  деятельность  по  подтверждению соответствия средств защиты информации требованиям государственных стандартов и требованиям по безопасности информации. Целями сертификации являются:

96

 

Компьютерная преступность и кибертерроризм    2004/2

создание условий для деятельности предприятий и предпринимателей на товарном

рынке;

содействие потребителям в компетентном выборе продукции;

содействие экспорту и повышение конкурентоспособности продукции;

защита потребителя от недобросовестности изготовителя (продавца, исполнителя);

контроль безопасности продукции для окружающей среды, жизни и имущества;

подтверждение показателей качества продукции, заявленных изготовителями.

В Украине начала создаваться нормативно-правовая основа деятельности в области технической защите информации (ТЗИ). Правовой основой для осуществления этой деятельности стало Положение о технической защите информации в Украине (утверждено Указом Президента Украины от 27.09.99 №1229/99).

Завершен первый этап формирования системы сертификации средств ТЗИ. Создан и аккредитован в Системе сертификации УкрСЕПРО орган из сертификации средств обеспечения ТЗИ и две испытательных лаборатории. К настоящему времени разработано 11 ДСТУ по направлению Система сертификации УкрСЕПРО. Однако по вопросу сертификации средств защиты информации нормативная база отсутствует, в отличие от России, где еще в 1995 г. утверждено Постановлением Правительства Российской Федерации от 26 июня 1995 г. N 608 «Положение о сертификации средств защиты информации»

Нормативно-правовые документы в области ТЗИ, принятые на Украине являются документами верхнего уровня, они являются необходимыми, но недостаточными для формирования полной системы нормативных документов в данной предметной области. Для эффективного решения проблем безопасности информации требуется разработка документов нижнего уровня, которые определят структуру базовых услуг безопасности (функций защиты), а также требования к политике их реализации, основных принципов проектирования и функционирование, необходимо создание средств защиты информации разного назначения, разработать методики проведения сертификационных и других испытательных работ.

Сертификационные испытания должны проводится в испытательных центрах (лабораториях), аккредитованных Госстандартом, а в случае испытаний криптографических средств и систем безопасности и с СБУ.

Органы по сертификации и испытательные центры (лаборатории) должны нести ответственность за выполнение возложенных на них функций, обеспечивать сохранность государственных и коммерческих секретов, а также за соблюдение авторских прав заявителя при испытаниях его продукции.

Обязательной сертификации по требованиям безопасности информации должны подлежать средства и системы вычислительной техники и связи, в том числе импортного производства, предназначенные для обработки и передачи конфиденциальной информации, для использования в управлении экологически опасными объектами, вооружением и военной техникой, а также средства защиты и контроля эффективности защиты такой информации.

При сертификации технических средств информационных систем на надежность защиты информации должны подтверждаться требования, связанные с обеспечением безопасности информации по направлениям:

защита информации от несанкционированного доступа;

защита информации посредством криптографических преобразований;

защита  информации от утечки за счет побочных электромагнитных излучений и

наводок (ПЭМИН);

защита информации от утечки или воздействия на нее за счет специальных

устройств, встроенных в технические средства.

Проведение сертификационных испытаний заключается в измерении технических характеристик   и   параметров,   характеризующих   надежность   защиты   информации,   и

97

 

Компьютерная преступность и кибертерроризм    2004/2

определении их соответствия  заданным в  нормативной документации сертификационным показателям на данный вид испытаний.

Сложнейшей проблемой является выбор сертификационных показателей и разработка методики их измерений по различным направлениям обеспечения безопасности информации.

В данной работе рассмотрены вопросы выбора сертификационных показателей и разработка методики их измерений для сертификационных испытаний для определения надежности защиты информации в персональном компьютере (ПК) от утечки за счет ПЭМИН.

Проблема утечки информации через побочные электромагнитные излучения и наводки (ПЭМИН) известна специалистам на протяжении уже более чем 20 лет, но только в последние годы она стала обсуждаться в открытой литературе. Это связано, прежде всего, с распространением персональных компьютеров. Практически любое предприятие, будь это коммерческая фирма или государственная организация, не может сегодня существовать без применения СВТ этого вида.

Работа ПК, как и любого другого электронного устройства, сопровождается электромагнитными излучениями радиодиапазона. В этом случае радиоизлучение регистрируется на частотах до 1 ГГц с максимумом в полосе от 50 до 300 МГц [3]. Такой широкий спектр излучения объясняется тем, что в СВТ информацию переносят последовательности прямоугольных импульсов малой длительности, и непреднамеренное излучение ПК включает и составляющие с частотами не первых гармоник. К появлению дополнительных составляющих приводит и применение в СВТ высокочастотной коммутации.

Говорить о диаграмме направленности электромагнитного излучения ПК не приходится, так как на практике относительное расположение его составных частей (системный блок, монитор, соединительные кабели и провода питания) имеет очень большое число комбинаций. В конечном счете, она определяется расположением соединительных кабелей, так как именно они являются основными источниками радиоизлучения в ПК, у которых системный блок имеет металлический кожух.

Кроме того, вблизи работающего ПК существуют квазистатическйе магнитные и электрические поля, быстро убывающие с расстоянием, но вызывающие наводки на любые проводящие цепи (металлические трубы, телефонные провода, провода системы пожарной безопасности и т.д.). Они существенны на частотах от десятков килогерц до десятков мегагерц.

Уровни побочного электромагнитного излучения СВТ регламентированы рядом зарубежных и отечественных стандартов с точки зрения электромагнитной совместимости Согласно данных Специального Международного Комитета по Радиопомехам [4] для диапазона 230-1000 МГц уровень напряженности электромагнитного поля, излучаемого СВТ, на расстоянии 10 метров не должен превышать 37 dB. Такой уровень достаточен для перехвата электромагнитного излучения СВТ на значительных расстояниях, так что соответствие уровня электромагнитного излучения СВТ нормам на электромагнитную совместимость не является гарантией сохранения конфиденциальности обрабатываемой в них информации.

Применение в средствах ВТ импульсных сигналов прямоугольной формы и высокочастотной коммутации приводит к тому, что в спектре излучений присутствуют компоненты с частотами вплоть до СВЧ. Энергетический спектр сигналов убывает с ростом частоты, но эффективность излучения при этом увеличивается, и уровень излучений может оставаться постоянным до частот нескольких гигагерц. Резонансы из-за паразитных связей могут вызвать усиление излучения на некоторых частотах спектра.

Естественно, не весь спектр электромагнитного излучения компьютера может быть использован для перехвата информации. Интерес в этом отношении представляют лишь

98

 

Компьютерная преступность н кибертерроризм    2004/2

соединительные проводные линии, по которым передается информация. Для персонального компьютера это, прежде всего:

линия связи, по которой передаются сигналы от контроллера клавиатуры к порту

ввода-вывода на материнской плате;

линии связи, по которым передается видеосигнал от видеоадаптера до электродов

электронно-лучевой трубки монитора;

линии связи шины данных внутри микропроцессора и т. д.

Наиболее вероятными источниками ПЭМИН являются сигнальные кабели и высоковольтные блоки. Основным источником наиболее мощного излучения в составе компьютера является монитор (если это монитор с электронно-лучевой трубкой). Сигнал, передаваемый на монитор, не является зашифрованным, и, следовательно, злоумышленникам не составит большого труда восстановить исходную информацию. Таким же несложным является процесс перехвата сигналов на принтер. Однако перехват в этом случае становится длительным и трудоемким - необходимо ждать случая, когда оператор выведет на монитор или принтер интересующую информацию.

Однако считать монитор самым опасным в смысле ПЭМИН было бы не совсем правильно. Корпус монитора можно экранировать. А вот экранировать клавиатуру намного сложнее, зато весьма важная информация типа пароля не отражается явно на экране монитора, но легко может быть перехвачена по излучению клавиатуры. Практически все блоки компьютера излучают ПЭМИН, а чувствительность современных приемников отодвигает на второй план проблему мощности излучения.

По оценкам аналитиков, по каналу ПЭМИН может быть перехвачено не более 1-2% информации персонального компьютера. С одной стороны, может показаться, что это очень немного по сравнению с другими каналами утечки, однако специфика состоит в том, что информация, снимаемая по каналу ПЭМИН, является наиболее ценной для злоумышленников.

Для проведения испытаний уровней побочных электромагнитных излучений в линиях передачи информационных сигналов между устройствами ПК была выбрана методика принудительной (искусственной) активизации исследуемой цепи эталонным сигналом, заключающаяся в следующем.

Для выделения сигналов ПЭМИН обследуемых устройств из общей совокупности радиосигналов и помех необходимо сформировать в проверяемой аппаратуре тестовый сигнал, с одной стороны, легко идентифицируемый при приеме, а с другой - переводящий аппаратуру в состояние, при котором уровень создаваемых ею побочных излучений максимален. Для этого была использована программа, инициирующая тестовые режимы работы системного блока и монитора ПК, следуя которой можно определить частоты излучений по характерному звуковому сигналу, полученному после их детектирования селективным широко полосным приемником. Тестирование системного блока основано на организации работы процессора в режиме периодической обработки определённой последовательности операций. В качестве такой последовательности используется циклическое чередование пачек констант от FFFFFFFFh до OOOOOOOOh в зависимости от обследуемого компонента системного блока. В этом режиме на экран ничего не выводится (экран погашен) для исключения влияния излучения монитора на тестовый сигнал, излучаемый системным блоком.

Тестирование дисплея основано на том, что наиболее мощным источником электромагнитного излучения информационного сигнала, поступающего на дисплей, является видеоусилитель, где цифровой видеосигнал усиливается до нескольких десятков вольт перед подачей на ЭЛТ. Тестовый режим работы дисплея, заключается в организации подачи на экран периодической последовательности пачек видеоимпульсов. При этом частота следования этих пачек выбирается в звуковом диапазоне (200 - 1500 Гц), что позволяет легко находить частоты несущих излучаемого тестового сигнала по его характерному звучанию после детектирования. Для получения звучания, отличающегося от

99

 

Компьютерная преступность и кибертерроризм                    2004/2

других сигналов и шумов радиоэфира, тестовый сигнал представляет периодическое чередование нескольких последовательностей пачек видеоимпульсов с разными частотами.

Процедура измерения ПЭМИН:

1. Исследуемый ПК располагается на высоте 1 м над заземленным металлическим листом, находящимся на полу измерительной площадки. Сигнал от калиброванной антенны подается на вход широко полосного приемника для измерения. В зависимости от того, в каком диапазоне частот производится обнаружение ПЭМИН, согласно таблицы 1, выбирается тип и дальность расположения антенны от обследуемой ПК и тип приемника.

Таблица 1 - Исходные данные для проведения испытаний

На обследуемом ПК запускается программа, активизирующая   тестовым сигналом

определенный пользователем компонент (клавиатура, дисплей, клавиатура и т.д.).

Осуществляется поиск излучения, модулированного тестовым сигналом, в диапазоне

частот от 0.009 до 1000 МГц (согласно таблице 1).

При  обнаружении   сигнала   определяется   его   соответствие   информационному

(тестовому) сигналу и производится измерение его уровня в присутствии шумов ис+ш на

входе радиоприемного устройства с помощью измерительной аппаратуры.

Отключается контролируемая аппаратура, и на всех частотах, на которых был

обнаружен тестовый сигнал, измеряются уровни шумов Um..

Примечание: в данной работе для определения уровня иш был использован аналитический способ, в соответствии с которым Uш = Еш ■ hd, где hd - действующая высота антенны, а Еш — шумовая напряженность электрического поля. Принятые значения Еш для крупного промышленного города приведены в таблице 2.

Таблица 2 - Принятые значения Еш.

По формуле рассчитываются значения уровня сигнала Uc на входе

приемника контроля.

Расчетная дальность Rn,  на которой возможно  восстановление информационного

сигнала, находится из соотношения ., где-расстояние между источником

ПЭМИН и антенной.

С целью выделения сигналов ПЭМИН обследуемых линий связи из общей совокупности радиосигналов и помех в ходе проведения испытаний использовался тестовый сигнал, с одной стороны, легко идентифицируемый при приеме, а с другой - переводящий

100

 

Компьютерная преступность и кибертерррризм    ,               2004/2

аппаратуру в состояние, при котором уровень создаваемых ею побочных излучений максимален.

Для автоматического формирования тестовых сигналов было использовано программное обеспечение "Test", работающее под управлением операционных систем Windows 9x/NT/2000.

Объектом исследования была выбрана ПК модели MTV P4 l,4Ghz с монитором Samsung.

Приборы, применявшиеся при измерениях: универсальные широкополосные приёмники (с комплектом рамочных и штыревых антенн) типа "SMV-П" и "SMV-8,5"; осциллограф типа "С1-65а", спектроанализатор Oscor 5000.

В таблице 3 приведены данные замеров интенсивности излучения (напряженности поля ПЭМИН), возникающего в линии связи монитора фирмы Samsung с системным блоком.

Таблица 3 - Интенсивность излучения линии связи монитор - системный блок.

Измерения показывают, что в зависимости от поколения исследуемого ПК, информационный сигнал наблюдается в различных диапазонах частот, но говорить о возможности выделения частотных под диапазонов характерных определенному поколению нельзя в виду размытости сигналов по всей частотной шкале.

Уровень излучения компонентов исследованных ПК не превышает 22 дБ, т.е. соответствует санитарным нормам. Уровень излучения имеет явно выраженную резонансную формой, что является причиной увеличения уровня излучения на 8.. 12 дБ на некоторых частотах, по сравнению с излучением на соседних частотах. Резонансные явления наблюдаться в диапазонах частот - на частотах от 80 до 110 МГц и от 190 до 230 МГц.

При исследовании внимание было акцентировано на определении ПЭМИН линии связи монитор - системный блок, так как восстановление информации по сигналам, излучаемым линиями связи с другими устройствами ПК, затруднительно в виду параллельной обработки битов информации в них и периодичности работы. На рисунке 1, 2 представлены результаты испытаний для линии связи монитор - системный блок исследуемого ПК.

101

 

Согласно приведенной методики, произведен расчет радиусов зон вероятного снятия ПЭМИН. Получено, что с максимальной вероятностью информативный сигнал может быть восстановлен: на частоте 190 МГц на расстоянии Rn=5Q,8M.

По результатам, данной работы в качестве основного сертификационного показателя для оценки надежности защиты информации от несанкционированного съема по ПЭМИН предлагается использовать предельно возможную дальность съема информативного сигнала, определенную по описанной методике.

102

 

Компьютерная преступность и кибертерроризм    2004/2

Томашевский   А.В.   Оценка   надежности   защиты   компьютерной   информации   >

Компьютерная преступность и кибертерроризм: Сборник научных работ. - Запорожье:

центр исследования компьютерной преступности, 2004. - Вып.1. - С. 176-182.

Томашевський О.В. Визначення надійності технічних засобів захисту інформації /

Інформаційні технології та захист інформації:  36. наук, праць. - Запоріжжя: Юрид. ін-т

МВС України, 1999. -Вип.З, № 1. - С.97-103.

Генне В. И.  Защита информации от утечек через побочные электромагнитные

излучения цифрового электронного оборудования // Конфидент. - 1998.- № 2. - С.89-93.

Нормы    и    методы    измерения    характеристик    радиопомех    от    оборудования

информационной техники / Публикация CISPR. - № 22- МЭК, 1985.

'               '

Валерий Черней

.               -             

ОРГАНИЗАЦИЯ ПРОЦЕССА ПЛАНИРОВАНИЯ ДЕЙСТВИЙ ПО ОБЕСПЕЧЕНИЮ НЕПРЕРЫВНОГО ФУНКЦИОНИРОВАНИЯ ИНФОРМАЦИОННЫХ СИСТЕМ

Информационные системы становятся жизненно важными элементами деятельности личности, общества, государства во всех проявлениях. В силу ряда причин, носящих объективный и субъективный характер, критичным становится нарушение безопасного состояния информационной инфраструктуры. На достижение и поддержание этого состояния направлены действия по обеспечению непрерывной работы и восстановлению (ОНРВ) нормального функционирования информационных систем.

ОНРВ подразумевает разработку и внедрение планов, организационных и технических мероприятий, позволяющих быстро и эффективно восстановить нормальное функционирование информационных систем (ИС) после сбоев и отклонений от безопасного состояния. Особое внимание необходимо уделять организационным мерам. Необходимо четко расписать процедуры реагирования на инциденты и последовательность действий в случае нештатных ситуаций.

Типы    планов.    Основным    является    «План    по    обеспечению    непрерывности деятельности организации». Этот план включает следующие разделы: действия по предотвращению инцидентов; действия во время инцидентов;

действия по устранению последствий инцидентов и восстановлению работоспособности ИС.

Остальные планы, могут быть разработаны в качестве приложений к основному плану, но следует отметить, что они должны быть обязательно достаточными и не дублировать действия. В их числе можно выделить «План обеспечения непрерывности поддержки», который призван обеспечивать поддержку основных систем и важных приложений. Для каждого основного приложения должны быть разработаны инструкции по администрированию и поддержанию работоспособности.

«План обеспечения непрерывности выполнения операций» призван обеспечить восстановление важнейших функций организации в момент и после реализации угрозы. В случае инцидентов, все основные силы должны быть сконцентрированы на восстановление важнейших функций организации. Обычно данный план ориентирован на восстановление функций центрального офиса и на реализацию этих функций в промежутке времени до восстановления   нормальной   работы.   В   плане   определяется   порядок   делегирования

103

 

Компьютерная преступность и кибертерроризм    2004/2

полномочий, назначение заместителей, сохранение критичных документов и баз данных. условия перехода на резервную систему.

«План восстановления бизнеса» может быть оформлен в виде приложения к «Плану по обеспечению непрерывности деятельности организации». План регламентирует процесс возобновления бизнес-процессов после реализации угроз в виде процедур предотвращения прерываний критически важных процессов во время серьезных аварий и разрушительных бедствий.

«План реагирования на компьютерные инциденты». Этот план определяет действия в случае атак на ИС организации. Разработка и реализация процедур должна быть выполнена персоналом ИС подразделений и нацелена на выявление фактов атак, снижение степени воздействия злоумышленников и восстановление систем после инцидентов.

«План восстановления в случае стихийных бедствий». Применяется в случае катастрофических событий, таких как ураганы, пожары, землетрясения и др. План содержит подробные ссылки на планы восстановления функционирования системы, приложений или компьютерного оборудования при передислокации на запасную площадку после серьезного бедствия.

.    ■

«План реагирования в случае чрезвычайных ситуаций» расписывает действия персонала в случае возникновения ситуаций, представляющих потенциальную угрозу для здоровья и жизни людей, окружающей среды или имущества. План рассматривается как приложение и дополнение к «Плану по обеспечению непрерывности деятельности организации», но все действия должны быть выполнены комплексно.

«Планы по восстановлению работоспособности ИС» содержит процедуры резервирования компонентов ИС, установки и настройки операционных систем и основных приложений. Необходима подробная фиксация порядка действий, ответственных и их реквизиты, местонахождение резервных копий данных, примерное время восстановления и т.д.

Этапы планирования. Рассмотрев основные типы планов, представляется возможным провести анализ этапов планирования. В практической деятельности выделяются следующие этапы планирования.

1.             Согласие руководства.  Это основной этап и от постановки задачи руководству и

принятого  им решения зависит выполнение  или невыполнение  последующих  этапов.

Обоснование    необходимо   предоставить   в   понятном   руководству   виде,    исключив

технические термины; желательно проводить количественный анализ возможных потерь от

тех или иных угроз.

2.             Разработка основных положений политики ОНРВ. Чтобы обеспечить полное

понимание плана, необходимо четко определить выдвинутые требования в политике ОНРВ.

Политика должна расписывать структуру и область действия планов, обязанности и их

распределение, требования к ресурсам, требования к обучению персонала, тестирование и

мероприятия по тренировке персонала, порядок пересмотра и сопровождения конкретных

планов.

3.             Инициализация  проекта.     Данный  этап  необходим  для  четкого  понимания

существующей информационной среды организации. Данный этап позволит определить

цели проекта и составить рабочую программу, идентифицировать и ассоциировать все

последствия конкретным ресурсам. Информация, полученная на данном этапе, позволит

разработать начальные программы восстановления.

104

 

Компьютерная преступность и кибертерроризм    2004/2

4.             Анализ влияния нарушений в ИС на бизнес. Данный этап можно разделить на 3

составные части. Они направлены на определение системных требований, критические

процессы для установки приоритетов восстановления:

определение критических ресурсов. Исходя из выявленных функций, определяются

системы,   подсистемы,   которые   вовлечены   для   реализации   критических   функций   и

процессов, и их зависимость от конкретных ресурсов системы;

определение допустимого времени простоя. Проводится оценка степени зависимости

системы от перерывов в работе компонентов. При этом надо принять во внимание, что

серьезность   последствий   возрастает   с   увеличением   периода   простоя   и   необходимо

учитывать и негативное влияние на взаимосвязанные компоненты ИС;

установка приоритетов восстановления.  В  зависимости от результатов  первых

подэтапов, имея в виду важность обрабатываемой информации и степень ее влияния на

деятельность, определяются приоритеты восстановления компонентов ИС и подходящие

стратегии восстановления.

5.             Определение защитных мер предупреждения инцидентов. В зависимости от

критичности конкретного сектора, системы - компоненты ИС, можно выбирать конкретное

решение по предупреждению каких-либо инцидентов.

6.             Разработка стратегий восстановления. Стратегии восстановления выбираются,

исходя из возможных последствий и допустимого времени простоя системы, определенных

при анализе влияния на бизнес, и предусматривает разработку мер частичного или полного

восстановления.   Как   временное  решение,   можно  развертывать   систему  в  резервном

помещении,   восстановить   функционирование   критических   процессов   на   резервном

оборудовании, переходить на выполнение нарушенных функций вручную.

7.             Разработка Плана ОНРВ. Структурно план объединяет следующие пять частей:

основные положения;

условия реализации плана;

восстановление работоспособности;

действия по восстановлению основной ИС;

приложения.

Необходимо отметить, что приложения должны включать информацию, которая подвержена частым изменениям, т.е. информация о персонале, поставщиках услуг, копии важных договоров, процедуры проверки и восстановления процессов в системе, требования к оборудованию и программному обеспечению, описание резервного помещения и т.д.

План   тестирования   и   тестирование   процедур.   Обучение   и   тренировка

персонала.      Тестирование   разработанных   планов   помогает   оценить   возможности  и

готовность   персонала к быстрому и эффективному реагированию. В ходе тестирования

необходимо   уделить   внимание   возможности   восстановления   на   другой   платформе,

возможности    восстановления    с    использованием    резервного    носителя,    насколько

скоординированы действия сотрудников, взаимодействие групп, процедуры оповещения

персонала и другие. Тестирование плана завершается  обучением и тренировкой персонала.

Тренировки должны проводиться регулярно.

Поддержка (сопровождение, развитие, совершенствование) ПОНРВ. Для того

чтобы   план   ОНРВ   был   эффективным   и   жизненным,   его   необходимо   постоянно

поддерживать  в  актуальном  состоянии,  отражающем  текущие  системные  требования,

процедуры, организационную структуру и политики безопасности. Необходимо регулярно

корректировать ПОНРВ, рассматривая этот процесс как часть общего процесса управления

изменениями информационной системы.

Janet G. Butler, Poul Badura «Contingency Planning and Disaster Recovery: Protecting

Your Organization's Resources», Publisher: Computer Technology Research Corporation, 1997.

http://vgalaktionoff.narod.ru/unpub/Crash.htm.

http://www.datafort.ru/content/rus/rubr26/rubr-263.asp.

http://www.utoronto.ca/security/drp.htm.

105

 

Компьютерная преступность и кибертерроризм    2004/2

«все книги     «к разделу      «содержание      Глав: 8      Главы:  1.  2.  3.  4.  5.  6.  7.  8.