Суб'єкти інформаційних загроз. Види і особливості загроз безпеки інформаційних ресурсів. Джерела загроз інформаційної безпеки

У сучасному суспільстві інформаційних технологій і зберігання на електронних носіях величезних баз даних питання забезпечення безпеки інформації і видів інформаційних загроз не позбавлені неробства. Випадкові і навмисні дії природного або штучного походження, які можуть завдати шкоди власнику чи користувачу інформацією - тема даної статті.

Принципи забезпечення безпеки в інформаційній сфері

Головними принципами інформаційної безпеки, системи забезпечення її збереження і недоторканності є:

Цілісність інформаційних даних. Цей принцип має на увазі, що інформація зберігає зміст і структуру при її передачі і зберіганні. Право на створення, зміну або знищення даних зберігається лише у користувачів з відповідним статусом доступу.
Політика приватності. Мається на увазі, що доступ до масиву даних має чітко обмежене коло користувачів, авторизованих в даній системі, тим самим забезпечуючи захист від несанкціонованого доступу до інформації.
Доступність масиву даних. Відповідно до цього принципу, авторизовані користувачі отримують своєчасний і безперешкодний доступ до неї.
Достовірність інформації. Цей принцип виражається в тому, що інформація строго належить тільки суб'єкту, від якого вона прийнята і який є її джерелом.

Завдання забезпечення безпеки

Питання інформаційної безпеки виходять на перший план у випадку, якщо порушення в роботі і виникають помилки в комп'ютерній системі можуть призвести до серйозних наслідків. І під завданнями системи забезпечення інформаційної безпеки мають на увазі багатопланові і комплексні заходи. Вони включають запобігання неправомірному використанню, пошкодження, спотворення, копіювання і блокування інформації. Так само як відстеження та запобігання несанкціонованого доступу осіб без належного рівня авторизації, запобігання витоку інформації і всіх можливих загроз її цілісності і конфіденційності. При сучасному розвитку баз даних питання безпеки стають важливими не тільки для дрібних і приватних користувачів, але і для фінансових структур, великих корпорацій.

Класифікація видів загроз інформаційній безпеці

Під «загрозою» в даному контексті мають на увазі потенційно можливі дії, явища і процеси, які здатні привести до небажаних наслідків або впливів на операційну систему або на збережену в ній інформацію. У сучасному світі відомо досить велика кількість таких інформаційних загроз, види яких класифікують на підставі одного з критеріїв.

Так, за природою виникнення виділяють:

Природні загрози. Це ті, які виникли внаслідок фізичних впливів або стихійних явищ.
Штучні загрози. До даного виду інформаційних загроз відносяться всі, які пов'язані з діями людини.

Відповідно до ступеня навмисності загрози поділяються на випадкові і навмисні.

Залежно від безпосереднього джерела загрози інформаційної безпеки можуть бути природні (наприклад, стихійні явища), людські (порушення конфіденційності інформації шляхом її розголошення), програмно-апаратні. Останній вид в свою чергу може поділятися на санкціоновані (помилки в роботі операційних систем) і несанкціоновані (злом сайту і зараження вірусами) загрози.

Класифікація по віддаленості джерела

Залежно від положення джерела виділяють 3 основних види інформаційних загроз:

Загрози від джерела, що знаходиться за межами комп'ютерної операційної системи. Наприклад, перехоплення інформації в момент передачі її по каналах зв'язку.
Загрози, джерело яких знаходиться в межах підконтрольної операційної системи. Наприклад, розкрадання даних або витік інформації.
Загрози, що виникли всередині самої системи. Наприклад, некоректна передача або копіювання ресурсу.

інші класифікації

Незалежно від віддаленості джерела вид інформаційної загрози може бути пасивним (вплив не тягне змін в структурі даних) і активним (вплив змінює структуру даних, зміст комп'ютерної системи).

Крім того, інформаційні загрози можуть з'явитися на етапах доступу до комп'ютера і виявитися після дозволеного доступу (наприклад, несанкціоноване використання даних).

Відповідно до місця розташування в погроз можуть бути 3 типів: ті, які виникають на етапі доступу до інформації, розташованої на зовнішніх пристроях пам'яті, в оперативній пам'яті і в тій, що циркулює по лініях зв'язку.

Деякі загрози (наприклад, розкрадання інформації) не залежить від активності системи, інші (віруси) виявляються виключно при обробці даних.

Ненавмисні (природні) загрози

Механізми реалізації даного виду інформаційних загроз вивчені досить добре, як і методи для їх запобігання.

Особливу небезпеку для комп'ютерних систем представляють аварії і природні (стихійні) явища. В результаті такого впливу стає недоступною інформація (повністю або частково), вона може спотворитися або зовсім знищитися. Система забезпечення інформаційної безпеки не може повністю виключити або попередити такі загрози.

Інша небезпека - це допущені помилки при розробці комп'ютерної системи. Наприклад, невірні алгоритми роботи, некоректне програмне забезпечення. Саме такі помилки часто використовуються зловмисниками.

Ще один вид ненавмисних, але істотних видів загроз інформаційній безпеці - це некомпетентність, недбалість або неуважність користувачів. У 65% випадків ослаблення інформаційної безпеки систем саме порушення функціональних обов'язків користувачами приводили до втрати, порушень конфіденційності та цілісності інформації.

Навмисні інформаційні загрози

Цей вид погроз характеризується динамічним характером і постійним поповненням все новими видами і способами цілеспрямованих дій порушників.

У даній сфері зловмисники використовують спеціальні програми:

Віруси - невеликі програми, які самостійно копіюються і поширюються в системі.
Черви - активуються при кожному завантаженні комп'ютера утиліти. Подібно до вірусів, вони копіюються і самостійно поширюються в системі, що призводить до її перевантаження і блокування роботи.
Троянські коні - приховані під корисними додатками шкідливі програми. Саме вони можуть пересилати зловмисникові інформаційні файли та руйнувати програмне забезпечення системи.

Але шкідливі програми не єдиний інструмент навмисного вторгнення. У хід йдуть також численні методи шпигунства - прослушка, розкрадання програм і атрибутів захисту, злом і розкрадання документів. Перехоплення паролів найчастіше проводиться з використанням спеціальних програм.

Промисловий шпіонаж

Статистика ФБР та Інституту захисту комп'ютерів (США) свідчить про те, що 50% вторгнень здійснюють самі працівники підприємств або підприємств. Крім них, суб'єктами таких інформаційних загроз стають компанії-конкуренти, кредитори, компанії-покупці і компанії-продавці, а також злочинні елементи.

Особливу занепокоєність викликають хакери і технокриси. Це кваліфіковані користувачі і програмісти, які здійснюють злом сайтів і комп'ютерних мереж з метою наживи або зі спортивного інтересу.

Як захистити інформацію?

Незважаючи на постійне зростання і динамічний розвиток різного роду інформаційних загроз, існують все-таки і методи захисту.

Фізичний захист - це перший етап інформаційної безпеки. Так само як обмеження доступу для сторонніх користувачів і пропускна система, особливо для доступу в серверне підрозділ.
Базовий рівень захисту інформації - це програми, що блокують комп'ютерні віруси і антивірусні програми, системи для фільтрації кореспонденції сумнівного характеру.
Захист від DDoS-атак, яку пропонують розробники програмного забезпечення.
Створення резервних копій, що зберігаються на інших зовнішніх носіях або в так званому «хмарі».
План аварійної роботи і відновлення даних. Цей метод важливий для великих компаній, які хочуть убезпечити себе і скоротити час простою в разі збою.
Шифрування даних при передачі їх за допомогою електронних носіїв.

Захист інформації вимагає комплексного підходу. І чим більша кількість методів буде використовуватися, тим ефективніше буде здійснюватися захист від несанкціонованого доступу, загроз знищення або пошкодження даних, а також їх розкрадань.

Кілька фактів, які змушують задуматися

У 2016 році в 26% банків були зафіксовані DDoS-атаки.

Одна з найбільших витоків персональних даних трапилася в липні 2017 року в бюро кредитних історій Equifax (США). Дані 143 мільйонів чоловік і 209 тисяч номерів кредитних карт потрапили в руки зловмисників.

«Хто володіє інформацією - той володіє світом». Це висловлювання не втратило своєї актуальності, особливо коли мова йде про конкуренцію. Так, в 2010 році була зірвана презентація iPhone 4 через те, що один із співробітників забув прототип смартфона в барі, а знайшов його студент продав прототип журналістам. В результаті цього ексклюзивний огляд смартфона вийшов в ЗМІ за кілька місяців до його офіційної презентації.

Розвиток нових інформаційних технологій і загальна комп'ютеризація призвели до того, що інформаційна безпека не тільки стає обов'язковою, вона ще й одна з характеристик ІС. Існує досить великий клас систем обробки інформації, при розробці яких фактор безпеки відіграє першорядну роль (наприклад, банківські інформаційні системи).

Під безпекою ІС розуміється захищеність системи від випадкового або навмисного втручання в нормальний процес її функціонування, від спроб розкрадання (несанкціонованого отримання) інформації, модифікації або фізичного руйнування її компонентів. Інакше кажучи, це здатність протидіяти різним впливи на ІС.

Під загрозою безпеки інформації розуміються події або дії, які можуть призвести до спотворення, несанкціонованого використання або навіть до руйнування інформаційних ресурсів керованої системи, а також програмних і апаратних засобів.

Загрози інформаційної безпеки діляться на два основних типи - це природні та штучні загрози. Зупинимося на природних загрози і спробуємо виділити основні з них . До природним загрозам відносяться пожежі, повені, урагани, удари блискавок і інші стихійні лиха і явища, що не залежать від людини. Найбільш частими серед цих загроз є пожежі. Для забезпечення безпеки інформації, необхідною умовою є обладнання приміщень, в яких перебувають елементи системи (носії цифрових даних, сервери, архіви та ін.), Протипожежними датчиками, призначення відповідальних за протипожежну безпеку і наявність засобів пожежогасіння. Дотримання всіх цих правил дозволить звести до мінімуму загрозу втрати інформації від пожежі.

Якщо приміщення з носіями цінної інформації розташовуються в безпосередній близькості від водойм, то вони схильні загрозу втрати інформації внаслідок повені. Єдине що можна зробити в даній ситуації - це виключити зберігання носіїв інформації на перших поверхах будівлі, які схильні до затоплення.

Ще однією природною загрозою є блискавки. Дуже часто при ударах блискавки виходять з ладу мережеві карти, електричні підстанції та інші пристрої. Особливо відчутні втрати, при виході мережевого обладнання з ладу, несуть великі організації і підприємства, такі як банки. Щоб уникнути подібних проблем необхідно сполучні мережеві кабелі були екрановані (екранований мережний кабель стійкий до електромагнітних завад), а екран кабелю слід заземлити. Для запобігання попадання блискавки в електричні підстанції, слід встановлювати заземлений громовідвід, а комп'ютери і сервери комплектувати джерелами безперебійного живлення.

Наступним видом загроз є штучні загрози, які в свою чергу, діляться на ненавмисні і навмисні загрози. ненавмисні загрози - це дії, які здійснюють люди з необережності, незнання, неуважність або з цікавості. До такого типу загроз відносять установку програмних продуктів, які не входять до списку необхідних для роботи, і в наслідку можуть стати причиною нестабільної роботи системи і втрата інформації. Сюди ж можна віднести і інші «експерименти», які не були злими намірами, а люди, які здійснювали їх, не усвідомлювали наслідків. На жаль, цей вид погроз дуже важко піддається контролю, мало того, щоб персонал був кваліфікований, необхідно щоб кожна людина усвідомлювала ризик, який виникає при його несанкціонованих діях.

навмисні загрози - загрози, пов'язані зі злим умислом навмисного фізичного руйнування, згодом виходу з ладу системи. До навмисним загроз відносяться внутрішні і зовнішні атаки. Всупереч поширеній думці, великі компанії зазнають багатомільйонних втрат часто не від хакерських атак, а з вини своїх же власних співробітників. Сучасна історія знає безліч прикладів навмисних внутрішніх загроз інформації - це витівки конкуруючих організацій, які впроваджують або вербують агентів для подальшої дезорганізації конкурента, помста співробітників, які незадоволені заробітною платою або статусом в фірмі та інше. Для того щоб ризик таких випадків був мінімальний, необхідно, щоб кожен співробітник організації відповідав, так званого, «статусу благонадійності».

До зовнішніх навмисним загрозам можна віднести загрози хакерських атак. Якщо інформаційна система пов'язана з глобальною мережею інтернет, то для запобігання хакерських атак необхідно використовувати міжмережевий екран (так званий firewall), який може бути, як вбудований в обладнання, так і реалізований програмно.

Людини, що намагається порушити роботу інформаційної системи або отримати несанкціонований доступ до інформації, зазвичай називають хакером, а іноді «комп'ютерним піратом» (хакером).

У своїх протиправних діях, спрямованих на оволодіння чужими секретами, зломщики прагнуть знайти такі джерела конфіденційної інформації, які б давали їм найбільш достовірну інформацію в максимальних обсягах з мінімальними витратами на її отримання. За допомогою різного роду вивертів і безлічі прийомів і засобів підбираються шляхи й підходи до таких джерел. В даному випадку під джерелом інформації мається на увазі матеріальний об'єкт, що володіє певними відомостями, що представляють конкретний інтерес для зловмисників або конкурентів.

До основних загроз безпеки інформації і нормального функціонування ІС відносяться:

Витік конфіденційної інформації;

Компрометація інформації;

Несанкціоноване використання інформаційних ресурсів;

Помилкове використання інформаційних ресурсів;

Несанкціонований обмін інформацією між абонентами;

Відмова від інформації;

Порушення інформаційного обслуговування;

Незаконне використання привілеїв.

Витік конфіденційної інформації - це безконтрольний вихід конфіденційної інформації за межі ІС або кола осіб, яким вона була довірена по службі або стала відома в процесі роботи. Цей витік може бути наслідком:

Розголошення конфіденційної інформації;

Догляду інформації з різних, головним чином технічним, каналам;

Несанкціонованого доступу до конфіденційної інформації різними способами.

Розголошення інформації її власником або власником є \u200b\u200bумисні або необережні дії посадових осіб і користувачів, яким відповідні відомості в установленому порядку були довірені по службі чи по роботі, що призвели до ознайомлення з ним осіб, не допущених до цих відомостей.

Можливий безконтрольний догляд конфіденційної інформації по візуально-оптичним, акустичним, електромагнітним і іншим каналам.

Несанкціонований доступ - це протиправне навмисне оволодіння конфіденційною інформацією особою, яка не має права доступу до охоронюваним відомостями.

Найбільш поширеними шляхами несанкціонованого доступу до інформації є:

Перехоплення електронних випромінювань;

Застосування підслуховуючих пристроїв (закладок);

Дистанційне фотографування;

Перехоплення акустичних випромінювань і відновлення тексту принтера;

Відеозапис з подоланням заходів захисту

Маскування під зареєстрованого користувача;

Маскування під запити системи;

Використання програмних пасток;

Використання недоліків мов програмування і операційних систем;

Незаконне підключення до апаратури та ліній зв'язку спеціально розроблених апаратних засобів, що забезпечують доступ інформації;

Зловмисний виведення з ладу механізмів захисту;

Розшифровка спеціальними програмами зашифрованою: інформації;

Інформаційні інфекції.

Перераховані шляху несанкціонованого доступу вимагають досить великих технічних знань і відповідних апаратних або програмних розробок з боку зломщика. Наприклад, використовуються технічні канали витоку - це фізичні шляху від джерела конфіденційної інформації до зловмисника, за допомогою яких можливе отримання охоронюваних відомостей. Причиною виникнення каналів витоку є конструктивні і технологічні недосконалості схемних рішень або експлуатаційний знос елементів. Все це дозволяє хакерам створювати діючі на певних фізичних принципах перетворювачі, що утворюють притаманний цим принципам канал передачі інформації - канал витоку.

Однак є і досить примітивні шляху несанкціонованого доступу:

Розкрадання носіїв інформації і документальних відходів;

Ініціативне співробітництво;

Схиляння до співпраці з боку зломщика;

випитиванія;

підслуховування;

Спостереження і інші шляхи.

Будь-які способи витоку конфіденційної інформації можуть привести до значного матеріального і морального збитку як для організації, де функціонує ІС, так і для її користувачів.

Існує і постійно розробляється величезна безліч шкідливих програм, мета яких - псування інформації в БД і ПО комп'ютерів. Велике число різновидів цих програм не дозволяє розробити постійних і надійних засобів захисту проти них.

Всі безліч потенційних загроз безпеки інформації в КС може бути розділене на 2 основні класи (рис.1).

рис.1

Загрози, які не пов'язані з навмисними діями зловмисників і реалізуються в випадкові моменти часу, називають випадковими або ненавмисними. Механізм реалізації випадкових загроз в цілому досить добре вивчений, накопичений значний досвід протидії цим загрозам.

Стихійні лиха і аварії чреваті найбільш руйнівними наслідками для КС, так як останні зазнають фізичного руйнування, інформація втрачається або доступ до неї стає неможливий.

Збої і відмови складних систем неминучі. В результаті збоїв і відмов порушується працездатність технічних засобів, знищуються і спотворюються дані і програми, порушується алгоритм роботи пристроїв.

Помилки при розробці КС, алгоритмічні та програмні помилки призводять до наслідків, аналогічних наслідків збоїв і відмов технічних засобів. Крім того, такі помилки можуть бути використані зловмисниками для впливу на ресурси КС.

В результаті помилок користувачів і обслуговуючого персоналу порушення безпеки відбувається в 65% випадків. Некомпетентне, недбале або неуважне виконання функціональних обов'язків співробітниками приводить до знищення, порушення цілісності та конфіденційності інформації.

навмисні загрози пов'язані з цілеспрямованими діями порушника. Даний клас загроз вивчений недостатньо, дуже динамічний і постійно поповнюється новими загрозами.

Методи і засоби шпигунства і диверсій найчастіше використовуються для отримання відомостей про систему захисту з метою проникнення в КС, а також для розкрадання і знищення інформаційних ресурсів. До таких методів відносять підслуховування, візуальне спостереження, розкрадання документів і машинних носіїв інформації, розкрадання програм і атрибутів системи захисту, збір і аналіз відходів машинних носіїв інформації, підпали.

Несанкціонований доступ до інформації (НСД) відбувається зазвичай з використанням штатних апаратних і програмних засобів КС, в результаті чого порушуються встановлені правила розмежування доступу користувачів або процесів до інформаційних ресурсів. Під правилами розмежування доступу розуміється сукупність положень, що регламентують права доступу осіб або процесів до одиниць інформації. Найбільш поширеними порушеннями є:

Перехоплення паролів - здійснюється спеціально розробленими

програмами;

- "маскарад" - виконання будь-яких дій одним користувачем від імені іншого;

Незаконне використання привілеїв - захоплення привілеїв законних користувачів порушником.

Процес обробки і передачі інформації технічними засобами КС супроводжується електромагнітними випромінюваннями в навколишній простір і наведенням електричних сигналів в лініях зв'язку. Вони отримали назви побічних електромагнітних випромінювань і наведень (ПЕМВН). За допомогою спеціального обладнання сигнали приймаються, виділяються, посилюються і можуть або бути видимим, або записуватися в пам'ятних пристроях (ЗУ). Електромагнітні випромінювання використовуються зловмисниками не тільки для отримання інформації, але і для її знищення.

Велику загрозу безпеці інформації в КС представляє несанкціонована модифікація алгоритмічної, програмної та технічної структур системи , Яка отримала назву "закладка". Як правило, "закладки" впроваджуються в спеціалізовані системи і використовуються або для безпосереднього шкідницького впливу на КС, або для забезпечення неконтрольованого входу в систему.

Одним з основних джерел загроз безпеці є використання спеціальних програм, які отримали загальну назву "Шкідницькі програми" . До таких програм відносяться:

- "комп'ютерні віруси" - невеликі програми, які після впровадження в ЕОМ самостійно поширюються шляхом створення своїх копій, а при виконанні певних умов чинять негативний вплив на КС;

- "черв'яки" - програми, які виконуються кожного разу при завантаженні системи, що володіють здатністю переміщатися в КС або мережі і самовідтворюється копії. Лавиноподібне розмноження програм призводить до перевантаження каналів зв'язку, пам'яті, а потім до блокування системи;

- "троянські коні" - програми, які мають вид корисної додатки, а на ділі виконують шкідливі функції (руйнування програмного забезпечення, копіювання та пересилання зловмисникові файлів з конфіденційною інформацією і т.п.).

Крім зазначених вище загроз безпеки, існує також загроза витоку інформації, яка з кожним роком стає все більш значущою проблемою безпеки. Щоб ефективно справлятися з витоками, необхідно знати яким чином вони відбуваються (рис.2).

рис.2

На чотири основні типи витоків доводиться переважна більшість (84%) інцидентів, причому половина цієї частки (40%) припадає на найпопулярнішу загрозу - крадіжку носіїв. 15% становить інсайд. До даної категорії відносяться інциденти, причиною яких стали дії співробітників, що мали легальний доступ до інформації. Наприклад, співробітник не мав права доступу до відомостей, але зумів обійти системи безпеки. Або інсайдер мав доступ до інформації і виніс її за межі організації. На хакерську атаку також припадає 15% загроз. У цю велику групу інцидентів потрапляють всі витоки, які сталися внаслідок зовнішнього вторгнення. Чи не занадто висока частка хакерських вторгнень пояснюється тим, що самі вторгнення стали непомітніше. 14% склала веб-витік. До цієї категорії потрапляють всі витоки, пов'язані з публікацією конфіденційних відомостей в загальнодоступних місцях, наприклад, в Глобальних мережах. 9% - це паперова витік. За визначенням паперової витоком є \u200b\u200bбудь-який витік, яка сталася в результаті друку конфіденційних відомостей на паперових носіях. 7% складають інші можливі загрози. До цієї категорії потрапляють інциденти, точну причину яких встановити не вдалося, а також витоку, про які стало відомо постфактум, після використання персональних відомостей в незаконних цілях.

Крім того, в даний час активно розвивається фішинг - технологія Інтернет-шахрайства, яка полягає в крадіжці особистих конфіденційних даних, таких як паролі доступу, номери кредитних карт, банківських рахунків та іншої персональної інформації. Фішинг (від анг. Fishing - рибалка) розшифровується як видобування пароля і використовує не технічні недоліки КС, а легковірність користувачів Інтернету. Зловмисник закидає в Інтернет приманку і "виловлює всіх рибок" - користувачів, які на це клюнуть.

Не залежно від специфіки конкретних видів загроз, інформаційна безпека повинна зберігати цілісність, конфіденційність, доступність. Загрози порушення цілісності, конфіденційності та доступності є первинними. Порушення цілісності включає в себе будь-який навмисне зміна інформації, що зберігається в КС або передається з однієї системи в іншу. Порушення конфіденційності може призвести до ситуації, коли інформація стає відомою тому, хто не має в своєму розпорядженні повноваження доступу до неї. Загроза недоступності інформації виникає щоразу, коли в результаті навмисних дій інших користувачів або зловмисників блокується доступ до деякого ресурсу КС.

Ще одним видом загроз інформаційній безпеці є загроза розкриття параметрів КС. В результаті її реалізації не заподіюється будь-які збитки оброблюваної в КС інформації, але при цьому істотно посилюються можливості прояву первинних загроз.

Під загрозою безпеки інформації (інформаційної загрозою) розуміється дія або подія, яка може привести до руйнування, спотворення чи несанкціонованого використання інформаційних ресурсів, включаючи збережену, передану і оброблювану інформацію, а також програмні і апаратні засоби. Якщо цінність інформації втрачається при її зберіганні та / або поширення, то реалізується загроза порушення конфіденційності інформації. Якщо інформація змінюється або знищується з втратою її цінності, то реалізується загроза цілісності інформації. Якщо інформація вчасно не надходить легальному користувачеві, то цінність її зменшується і з часом повністю знецінюється, тим самим загроза оперативності використання або доступності інформації.

Отже, реалізація погроз інформаційної безпеки полягає в порушенні конфіденційності, цілісності та доступності інформації. Зловмисник може ознайомитися з конфіденційною інформацією, модифікувати її, або навіть знищити, а також обмежити або блокувати доступ легального користувача до інформації. При цьому зловмисником може бути як співробітник організації, так і стороння особа.

Інформаційні загрози можуть бути обумовлені::

- природними факторами (стихійні лиха - пожежа, повінь, ураган, блискавка і інші причини);
- людськими факторами. Останні, в свою чергу, поділяються на:
- а) загрози, що носять випадковий, ненавмисний характер. Це загрози, пов'язані з помилками процесу підготовки, обробки і передачі інформації (науково-технічна, комерційна, валютно-фінансова документація);
- б) з нецеленаправленной «витоком мізків», знань, інформації. Це загрози, пов'язані з помилками процесу проектування, розробки та виготовлення систем і їх компонент (будівлі, споруди, приміщення, комп'ютери, засоби зв'язку, операційні системи, прикладні програми та ін.) З помилками в роботі апаратури через неякісне її виготовлення;
- в) з помилками процесу підготовки та обробки інформації (помилки програмістів і користувачів через недостатню кваліфікацію і неякісного обслуговування, помилки операторів при підготовці, введення і виведення даних, коригування та обробці інформації);
- г) погрози, обумовлені навмисними, навмисними діями людей. Це загрози, пов'язані з передачею, спотворенням і знищенням даних з корисливих і інших антигромадських мотивів (документація, креслення, описи відкриттів і винаходів та інші матеріали);
- д) підслуховуванням і передачею службових та інших науково-технічних і комерційних розмов; з цілеспрямованою «витоком мізків». Це загрози, пов'язані з несанкціонованим доступом до ресурсів автоматизованої інформаційної системи.

Витік конфіденційної інформації - це безконтрольний вихід конфіденційної інформації за межі ІС або кола осіб, яким вона була довірена по службі або стала відома в процесі роботи. Цей витік може бути наслідком:

- розголошення конфіденційної інформації;
- догляду інформації з різних, головним чином технічним, каналам;
- несанкціонованого доступу до конфіденційної інформації різними способами.

Види загроз конфіденційних документів в документопотоках організації можна розділити на кілька груп:

1. Несанкціонований доступ сторонньої особи до документів, справ, баз даних за рахунок його цікавості або обманних, провокують дій, а так само випадкових або навмисних помилок персоналу фірми;
2. Втрата документа або його окремих частин (листів, додатків, схем, копій, примірників, фотографій та ін.), Носія чорнового варіанту документа або робочих записів за рахунок крадіжки, втрати, знищення;
3. Втрата інформацією конфіденційності за рахунок її розголошення персоналом або витоку технічними каналами, зчитування даних в чужих масивах, використання залишкової інформації на копіювальній стрічці, папері, дисках і дискетах, помилкових дій персоналу;
4. Підміна документів, носіїв і їх окремих частин з метою фальсифікації, а також приховування факту втрати, розкрадання;
5. Випадкове або навмисне знищення цінних документів і баз даних, несанкціонована модифікація і спотворення тексту, реквізитів, фальсифікація документів;
6. Загибель документів в умовах екстремальних ситуацій.

Для електронних документів загрози особливо реальні, так як факт крадіжки інформації практично важко виявити. Відносно конфіденційної інформації, що обробляється і зберігається в комп'ютерах, умови виникнення загроз, на думку ряду фахівців, класифікується за ступенем ризику наступним чином:

* Ненавмисні помилки користувачів, операторів, референтів, керуючих справами, системних адміністраторів та інших осіб, які обслуговують інформаційні системи;
* Крадіжки і підробки інформації;
* Стихійні ситуації зовнішнього середовища;
* Зараження вірусами.

Відповідно до характеру зазначених вище загроз формується завдання забезпечення захисту інформації в документопотоках, спрямовані на запобігання або ослаблення цих загроз.

Головним напрямом захисту документованої інформації від можливих небезпек є формування захищеного документообігу і використання в обробці і зберіганні документів спеціалізованої технологічної системи, що забезпечує безпеку інформації на будь-якому типі носія.

Таким чином, безпека - це не тільки захист від злочинних посягань, а й забезпечення безпеки (особливо електронних) документів і інформації, а також заходи щодо захисту найважливіших документів, і забезпечення безперервності і / або відновлення діяльності в разі катастроф.

Організаційні заходи відіграють істотну роль у створенні надійного механізму захисту інформації, так як можливості несанкціонованого використання конфіденційних відомостей в значній мірі обумовлюються не технічними аспектами, а зловмисними діями, недбальством, недбалістю і халатністю користувачів або персоналу захисту. Впливу цих аспектів практично неможливо уникнути за допомогою технічних засобів. Для цього необхідна сукупність організаційно-правових та організаційно-технічних заходів, які виключали б (або, принаймні, зводили б до мінімуму) можливість виникнення небезпеки конфіденційної інформації. Організація роботи з проведення систематичного контролю за роботою персоналу з конфіденційною інформацією, порядком обліку, зберігання і знищення документів і технічних носіїв. Повинна бути розроблена інструкція, що регламентує порядок доступу співробітників до конфіденційної інформації, порядок створення, обліку, зберігання і знищення конфіденційної документів організації.

ТЕМА 12 БЕЗПЕКА ІНФОРМАЦІЙНИХ СИСТЕМ

12.1 Поняття інформаційних загроз і їх види

12.2 Принципи побудови системи інформаційної безпеки

12.3 Організація системи захисту інформації економічних систем

У сучасному світі інформація стає стратегічним ресурсом, одним з основних багатств економічно розвиненої держави. Швидке вдосконалення інформатизації в Росії, проникнення її в усі сфери життєво важливих інтересів особистості, суспільства і держави викликали крім безперечних переваг і поява ряду істотних проблем. Однією з них стала необхідність захисту інформації. З огляду на, що в даний час економічний потенціал все більшою мірою визначається рівнем розвитку інформаційної структури, пропорційно зростає потенційна вразливість економіки від інформаційних впливів.

Кожен збій роботи комп'ютерної мережі це не тільки "моральний" збиток для працівників підприємства і мережевих адміністраторів. У міру розвитку технологій електронних платежів, "безпаперового" документообігу та інших, серйозний збій локальних мереж може просто паралізувати роботу цілих корпорацій і банків, що призводить до відчутних матеріальних втрат. Не випадково, що захист даних в комп'ютерних мережах стає однією з найгостріших проблем на сьогоднішній день.

під загрозою безпеки інформації розуміються події або дії, які можуть призвести до спотворення, несанкціонованого використання або навіть до руйнування інформаційних ресурсів керованої системи, а також програмних і апаратних засобів.

Людини, що намагається порушити роботу інформаційної системи або отримати несанкціонований доступ до інформації, зазвичай називають "Комп'ютерним піратом" (хакером).

У своїх протиправних діях, спрямованих на оволодіння чужими секретами, зломщики прагнуть знайти такі джерела конфіденційної інформації, які б давали їм найбільш достовірну інформацію в максимальних обсягах з мінімальними витратами на її отримання. За допомогою різного виду вивертів і безлічі прийомів і засобів підбираються шляхи й підходи до таких джерел. В даному випадку під джерелом інформації розуміється матеріальний об'єкт, що володіє певними відомостями, що представляють конкретний інтерес для зловмисників або конкурентів.

Якщо цінність інформації втрачається при її зберіганні та / або поширення, то реалізується загроза порушення конфіденційності інформації. Якщо інформація змінюється або знищується з втратою її цінності, то реалізується загроза цілісності інформації. Якщо інформація вчасно не надходить легальному користувачеві, то цінність її зменшується і з часом повністю знецінюється, тим самим реалізується загроза оперативності використання або доступності інформації.

Інформаційні загрози можуть бути обумовлені:

1. природними факторами (стихійні лиха - пожежа, повінь, ураган, блискавка і інші причини);

2. людськими факторами. Останні, в свою чергу, поділяються на:

- загрози, що носять випадковий, ненавмисний характер. Це загрози, пов'язані з помилками процесу підготовки, обробки і передачі інформації (науково-технічна, комерційна, валютно-фінансова документація); з нецеленаправленной «витоком мізків», знань, інформації (наприклад, у зв'язку з міграцією населення, виїздом в інші країни, для возз'єднання з сім'єю і т.п.) Це загрози, пов'язані з помилками процесу проектування, розробки та виготовлення систем і їх компонент (будівлі, споруди, приміщення, комп'ютери, засоби зв'язку, операційні системи, прикладні програми та ін.), з помилками в роботі апаратури через неякісне її виготовлення; з помилками процесу підготовки та обробки інформації (помилки програмістів і користувачів через недостатню кваліфікацію і неякісного обслуговування, помилки операторів при підготовці, введення і виведення даних, коригування та обробці інформації);

- загрози, обумовлені навмисними, навмисними діями людей. Це загрози, пов'язані з передачею, спотворенням і знищенням наукових відкриттів, винаходів секретів виробництва, нових технологій з корисливих і інших антигромадських мотивів (документація, креслення, описи відкриттів і винаходів та інші матеріали); підслуховуванням і передачею службових та інших науково-технічних і комерційних розмов; з цілеспрямованою "витоком мізків", знань інформації (наприклад, у зв'язку з отриманням іншого громадянства з корисливих мотивів). Це загрози, пов'язані з несанкціонованим доступом до ресурсів автоматизованої інформаційної системи (внесення технічних змін в засоби обчислювальної техніки і засоби зв'язку, підключення до засобів обчислювальної техніки і каналів зв'язку, розкрадання носіїв інформації: дискет, описів, роздруківок і ін.).

Умисні загрози мають на меті нанесення шкоди користувачам АІС і, в свою чергу, поділяються на активні і пасивні.

пасивні загрози, Як правило, спрямовані на несанкціоноване використання інформаційних ресурсів, не надаючи при цьому впливу на їх функціонування. Пасивної загрозою є, наприклад, спроба отримання інформації, що циркулює в каналах зв'язку, за допомогою їх прослуховування.

активні загрози мають на меті порушення нормального процесу функціонування системи за допомогою цілеспрямованого впливу на апаратні, програмні та інформаційні ресурси. До активних загроз відносяться, наприклад, руйнування або радіоелектронне придушення ліній зв'язку, виведення з ладу ПЕОМ або її операційної системи, спотворення відомостей в базах даних або в системній інформації і т.д. Джерелами активних загроз можуть бути безпосередні дії зловмисників, програмні віруси і т.п.

Умисні загрози поділяються на внутрішні , Що виникають всередині керованої організації, і зовнішні .

Внутрішні загрози найчастіше визначаються соціальною напруженістю і важким моральним кліматом.

Зовнішні загрози можуть визначатися зловмисними діями конкурентів, економічними умовами і іншими причинами (наприклад, стихійними лихами). За даними зарубіжних джерел, набув широкого поширення промисловий шпіонаж - це що завдають шкоди власнику комерційної таємниці, незаконне збирання, привласнення і передача відомостей, що становлять комерційну таємницю, особою, не уповноваженою на це її власником.

До основних загроз безпеки відносять:

1. розкриття конфіденційної інформації;

2. компрометація інформації;

3. несанкціоноване використання інформаційних ресурсів;

4. помилкове використання ресурсів; несанкціонований обмін інформацією;

5. відмова від інформації;

6. відмова від обслуговування.

Засобами реалізації загрози розкриття конфіденційної інформації можуть бути несанкціонований доступ до баз даних, прослуховування каналів і т.п. У будь-якому випадку отримання інформації, що є надбанням певної особи (групи осіб), що призводить до зменшення і навіть втрати цінності інформації.

Реалізація загроз є наслідком одного з наступних дій і подій: розголошення конфіденційної інформації, витоку конфіденційної інформації та несанкціонований доступ до інформації, що захищається. При розголошенні або витоку відбувається порушення конфіденційності інформації з обмеженим доступом (Рис. 12.1).

Дії і події, що порушують інформаційну безпеку

Мал. 12.1 - Дії і події, що порушують інформаційну безпеку

1. розголошення конфіденційної інформації;

2. догляду інформації з різних, головним чином технічним, каналам;

3. несанкціонованого доступу до конфіденційної інформації різними способами.

розголошення інформації її власником або власником є \u200b\u200bумисні або необережні дії посадових осіб і користувачів, яким відповідні відомості в установленому порядку були довірені по службі чи по роботі, що призвели до ознайомлення з ним осіб, не допущених до цих відомостей.

Можливий безконтрольний догляд конфіденційної інформації по візуально-оптичним, акустичним, електромагнітним і іншим каналам.

За фізичну природу можливі наступні засоби перенесення інформації:

1. Світлові промені.

2. Звукові хвилі.

3. Електромагнітні хвилі.

4. Матеріали і речовини.

Під каналом витоку інформації будемо розуміти фізичний шлях від джерела конфіденційної інформації до зловмисника, за яким може бути витік або несанкціоноване отримання охоронюваних відомостей. Для виникнення (освіти, встановлення) каналу витоку інформації необхідні певні просторові, енергетичні і тимчасові умови, а також відповідні засоби сприйняття і фіксації інформації на стороні зловмисника.

Що стосується практиці з урахуванням фізичної природи освіти канали витоку інформації можна розділити на наступні групи:

1. візуально-оптичні;

2. акустичні (включаючи і акустико-перетворюючі);

3. електромагнітні (включаючи магнітні та електричні);

4. матеріально-речові (папір, фото, магнітні носії, виробничі відходи різного виду - тверді, рідкі, газоподібні).

До факторів витоку можуть, наприклад, ставитися:

1. недостатнє знання працівниками підприємства правил захисту інформації та нерозуміння (або недорозуміння) необхідності їх ретельного дотримання;

2. використання неатестованих технічних засобів обробки конфіденційної інформації;

3. слабкий контроль за дотриманням правил захисту інформації правовими, організаційними та інженерно-технічними заходами.

Основними типовими шляхами несанкціонованого доступу до інформації, є:

1. перехоплення електронних випромінювань;

3. застосування підслуховуючих пристроїв (закладок);

4. дистанційне фотографування;

5. перехоплення акустичних випромінювань і відновлення тексту принтера;

6. розкрадання носіїв інформації і документальних відходів;

7. читання залишкової інформації в пам'яті системи після виконання санкціонованих запитів;

8. копіювання носіїв інформації з подоланням заходів захисту;

9. маскування під зареєстрованого користувача;

10. містифікація (маскування під запити системи);

11. використання програмних пасток;

12. використання недоліків мов програмування і операційних систем;

13. включення в бібліотеки програм спеціальних блоків типу "Троянський кінь";

14. незаконне підключення до апаратури та ліній зв'язку;

15. зловмисний виведення з ладу механізмів захисту;

16. впровадження і використання комп'ютерних вірусів.

Необхідно відзначити, що особливу небезпеку в даний час представляє проблема комп'ютерних вірусів, бо ефективного захисту проти них розробити не вдалося. Решта шляху несанкціонованого доступу піддаються надійної блокування при правильно розробленої і реалізованої на практиці системі забезпечення безпеки

Нижче наведено деякі поширені технічні загрози і причини, в результаті яких вони реалізуються:

1. несанкціонований доступ до інформаційної системи - відбувається в результаті отримання нелегальним користувачем доступу до інформаційної системи;

2. розкриття даних - настає в результаті отримання доступу до інформації або її читання людиною і можливого розкриття ним інформації випадковим або навмисним чином;

3. несанкціонована модифікація даних і програм - можлива в результаті модифікації, видалення або руйнування людиною даних і програмного забезпечення локальних обчислювальних мереж випадковим або навмисним чином;

4. розкриття трафіку локальних обчислювальних мереж - відбудеться в результаті доступу до інформації або її читання людиною і можливого її розголошення випадковим або навмисним чином тоді, коли інформація передається через локальні обчислювальні мережі;

5. підміна трафіка локальних обчислювальних мереж - це його використання легальним способом, коли з'являються повідомлення, що мають такий вигляд, ніби вони послані законним заявленим відправником, а насправді це не так;

6. непрацездатність локальних обчислювальних мереж - це наслідок здійснення загроз, які не дозволяють ресурсів локальних обчислювальних мереж бути своєчасно доступними.

Способи впливу загроз на інформаційні об'єкти поділяються на:

- інформаційні;

- програмно-математичні;

- фізичні;

- радіоелектронні;

- організаційно-правові.

До інформаційних методів належать:

- порушення адресності та своєчасності інформаційного обміну, протизаконний збір і використання інформації;

- несанкціонований доступ до інформаційних ресурсів;

- маніпулювання інформацією (дезінформація, приховування або стиснення інформації);

- порушення технології обробки інформації.

Програмно-математичні методи включають:

- впровадження комп'ютерних вірусів;

- установка програмних і апаратних закладних пристроїв;

- знищення або модифікацію даних в автоматизованих інформаційних системах.

Фізичні способи включають:

- знищення або руйнування засобів обробки інформації і зв'язку;

- знищення, руйнування або розкрадання машинних або інших носіїв інформації;

- розкрадання програмних або апаратних ключів і засобів криптографічного захисту інформації;

- вплив на персонал;

Радіоелектронними засобами є:

- перехоплення інформації в технічних каналах її можливого витоку;

- впровадження електронних пристроїв перехоплення інформації в технічні засоби і приміщення;

- перехоплення, дешифрування і нав'язування неправдивої інформації в мережах передачі даних і лініях зв'язку;

- вплив на парольно-ключові системи;

- радіоелектронне придушення ліній зв'язку та систем управління.

Організаційно-правові способи включають:

- невиконання вимог законодавства про затримку в прийнятті необхідних нормативно-правових положень в інформаційній сфері;

- неправомірне обмеження доступу до документів, що містять важливу для громадян і організацій інформацію.

Суть подібних загроз зводиться, як правило, до нанесення того чи іншого збитку підприємству.

Прояви можливих збитків можуть бути самими різними:

1. моральний і матеріальний збиток ділової репутації організації;

2. моральний, фізичний чи матеріальний збиток, пов'язаний з розголошенням персональних даних окремих осіб;

3. матеріальний (фінансовий) збиток від розголошення інформації, що захищається (конфіденційної) інформації;

4. матеріальний (фінансовий) збиток від необхідності відновлення порушених захищаються інформаційних ресурсів;

5. матеріальні збитки (втрати) від неможливості виконання взятих на себе зобов'язань перед третьою стороною;

6. моральний і матеріальний збиток від дезорганізації в роботі всього підприємства.

Безпосередній шкоду від реалізованої загрози, називається впливом загрози.

Загрози безпеці можна класифікувати за такими ознаками:

1. За мети реалізації загрози. Реалізація тієї чи іншої загрози безпеки може переслідувати наступні цілі:

- порушення конфіденційної інформації;

- порушення цілісності інформації;

- порушення (часткове або повне) працездатності.

2. За принципом дії на об'єкт:

- з використанням доступу суб'єкта системи (користувача, процесу) до об'єкта (файлів даних, каналу зв'язку і т.д.);

- з використанням прихованих каналів.

Під прихованим каналом розуміється шлях передачі інформації, що дозволяє двом взаємодіючим процесам обмінюватися інформацією таким способом, який порушує системну політику безпеки.

3. За характером впливу на об'єкт.

За цим критерієм розрізняють активне і пасивне вплив.

Активна дія завжди пов'язане з виконанням користувачем будь-яких дій, що виходять за рамки його обов'язків і порушують існуючу політику безпеки. Це може бути доступ до певних наборів даних, програмами, розтин пароля і т.д. Активна дія веде до зміни стану системи і може здійснюватися або з використанням доступу (наприклад, до наборів даних), або як з використанням доступу, так і з використанням прихованих каналів.

Пасивне вплив здійснюється шляхом спостереження користувачем будь-яких побічних ефектів (від роботи програми, наприклад) і їх аналізі. На основі такого роду аналізу можна іноді отримати досить цікаву інформацію. Прикладом пасивного впливу може служити прослуховування лінії зв'язку між двома вузлами мережі. Пасивне вплив завжди пов'язане тільки з порушенням конфіденційності інформації, так як при ньому ніяких дій з об'єктами і суб'єктами не проводиться. Пасивне вплив не веде до зміни стану системи.

4. Через появи використовуваної помилки захисту.

Реалізація будь-якої загрози можлива тільки в тому випадку, якщо в даній конкретній системі є якась помилка або пролом захисту.

Така помилка може бути обумовлена \u200b\u200bоднією з наступних причин:

- неадекватністю політики безпеки реальної системі. Це означає, що розроблена політика безпеки настільки не відображає реальні аспекти обробки інформації, що стає можливим використання цієї невідповідності для виконання несанкціонованих дій;

- помилками адміністративного управління, під якими розуміється некоректна реалізація або підтримка прийнятої політики безпеки в даній організації. Наприклад, згідно з політикою безпеки повинен бути заборонений доступ користувачів до певного набору даних, а насправді (через неуважність адміністратора безпеки) цей набір даних доступний всім користувачам.

- помилками у алгоритмах програм, в зв'язках між ними і т.д., які виникають на етапі проектування програми або комплексу програм і завдяки яким їх можна використовувати зовсім не так, як описано в документації. Прикладом такої помилки може служити помилка в програмі аутентифікації користувача, коли за допомогою певних дій користувач має можливість увійти в систему без пароля.

- помилками реалізації алгоритмів програм (помилки кодування), зв'язків між ними і т.д., які виникають на етапі реалізації або налагодження і які також можуть служити джерелом недокументованих властивостей.

5. За способом впливу на об'єкт атаки (при активному впливі):

- безпосередній вплив на об'єкт атаки (в тому числі з використанням привілеїв), наприклад, безпосередній доступ до набору даних, програмою, службі, каналу зв'язку і т.д., скориставшись будь-якої помилкою. Такі дії зазвичай легко запобігти за допомогою засобів контролю доступу.

- вплив на систему дозволів (в тому числі захоплення привілеїв). При цьому способі несанкціоновані дії виконуються щодо прав користувачів на об'єкт атаки, а сам доступ до об'єкта здійснюється потім законним чином. Прикладом може служити захоплення привілеїв, що дозволяє потім безперешкодно отримати доступ до будь-якого набору даних і програмою, зокрема «маскарад», при якому користувач привласнює собі будь-яким чином повноваження іншого користувача видаючи себе за нього.

6. По об'єкту атаки. Однією з найголовніших складових порушення функціонування АІС є об'єкт атаки, тобто компонент системи, який піддається впливу з боку зловмисника. Визначення об'єкта атаки дозволяє вжити заходів щодо ліквідації наслідків порушення, відновлення цього компонента, установці контролю щодо попередження повторних порушень і т.д.

7. За використовуваних засобів атаки.

Для впливу на систему зловмисник може використовувати стандартне програмне забезпечення або спеціально розроблені програми. У першому випадку результати впливу зазвичай передбачувані, так як більшість стандартних програм системи добре вивчені. Використання спеціально розроблених програм пов'язане з великими труднощами, але може бути більш небезпечним, тому в захищених системах рекомендується не допускати додавання програм в АІСЕО без дозволу адміністратора безпеки системи.

8. Станом об'єкта атаки. Стан об'єкта в момент атаки може зробити істотний вплив на результати атаки і на роботу по ліквідації її наслідків.

Об'єкт атаки може перебувати в одному з трьох станів:

- зберігання - на диску, магнітній стрічці, в оперативній пам'яті або будь-якому іншому місці в пасивному стані. При цьому вплив на об'єкт зазвичай здійснюється з використанням доступу;

- передачі - по лінії зв'язку між вузлами мережі або усередині вузла. Вплив передбачає або доступ до фрагментів переданої інформації (наприклад, перехоплення пакетів на ретрансляторі мережі), або просто прослуховування з використанням прихованих каналів;

- обробки - в тих ситуаціях, коли об'єктом атаки є процес користувача.

Подібна класифікація показує складність визначення можливих загроз і способів їх реалізації. Це ще раз підтверджує тезу, що визначити всі безліч загроз для АІСЕО і способів їх реалізації не представляється можливим.