Σπίτι › ΜΕ › Πιθανές απειλές για την ασφάλεια των πληροφοριών. Τύποι απειλών για την ασφάλεια των πληροφοριών. Συγκεκριμένα παραδείγματα παραβιάσεων της ασφάλειας των πληροφοριών και της πρόσβασης στα δεδομένα

Πιθανές απειλές για την ασφάλεια των πληροφοριών. Τύποι απειλών για την ασφάλεια των πληροφοριών. Συγκεκριμένα παραδείγματα παραβιάσεων της ασφάλειας των πληροφοριών και της πρόσβασης στα δεδομένα

Στη σύγχρονη κοινωνία Τεχνολογίες πληροφορικήςκαι αποθήκευση στο ηλεκτρονικά μέσατεράστιες βάσεις δεδομένων, θέματα διασφάλισης της ασφάλειας των πληροφοριών και των ειδών απειλές πληροφοριώνδεν στερούνται αδράνειας. Το θέμα αυτού του άρθρου είναι οι τυχαίες και σκόπιμες ενέργειες φυσικής ή τεχνητής προέλευσης που μπορούν να προκαλέσουν ζημιά στον κάτοχο ή τον χρήστη των πληροφοριών.

Αρχές διασφάλισης της ασφάλειας στη σφαίρα των πληροφοριών

Οι βασικές αρχές της ασφάλειας των πληροφοριών, του συστήματος για τη διασφάλιση της ασφάλειας και της ακεραιότητάς του είναι:

Ακεραιότητα των δεδομένων πληροφοριών. Αυτή η αρχή συνεπάγεται ότι οι πληροφορίες διατηρούν το περιεχόμενο και τη δομή καθώς μεταδίδονται και αποθηκεύονται. Το δικαίωμα δημιουργίας, αλλαγής ή καταστροφής δεδομένων διατηρείται μόνο για χρήστες με την κατάλληλη κατάσταση πρόσβασης.
Ιδιωτικότητα δεδομένων. Εννοείται ότι η πρόσβαση στη συστοιχία δεδομένων έχει έναν σαφώς περιορισμένο κύκλο χρηστών που είναι εξουσιοδοτημένοι σε αυτό το σύστημα, παρέχοντας έτσι προστασία από μη εξουσιοδοτημένη πρόσβαση σε πληροφορίες.
Διαθεσιμότητα του συνόλου δεδομένων. Σύμφωνα με αυτήν την αρχή, οι εξουσιοδοτημένοι χρήστες λαμβάνουν έγκαιρη και ανεμπόδιστη πρόσβαση σε αυτό.
Αξιοπιστία πληροφοριών. Αυτή η αρχή εκφράζεται στο γεγονός ότι οι πληροφορίες ανήκουν αυστηρά μόνο στο υποκείμενο από το οποίο ελήφθησαν και που είναι η πηγή τους.

Προκλήσεις ασφάλειας

Τα ζητήματα ασφάλειας πληροφοριών έρχονται στο προσκήνιο όταν οι διακοπές και τα σφάλματα σε ένα σύστημα υπολογιστή μπορεί να οδηγήσουν σε σοβαρές συνέπειες. Και τα καθήκοντα ενός συστήματος ασφάλειας πληροφοριών σημαίνουν πολύπλευρα και ολοκληρωμένα μέτρα. Αυτά περιλαμβάνουν την αποτροπή κακής χρήσης, ζημιάς, παραμόρφωσης, αντιγραφής και αποκλεισμού πληροφοριών. Αυτό περιλαμβάνει την παρακολούθηση και την αποτροπή μη εξουσιοδοτημένης πρόσβασης από άτομα χωρίς το κατάλληλο επίπεδο εξουσιοδότησης, την πρόληψη της διαρροής πληροφοριών και όλων των πιθανών απειλών για την ακεραιότητα και το απόρρητό τους. Στο σύγχρονη ανάπτυξηΤα θέματα ασφάλειας της βάσης δεδομένων γίνονται σημαντικά όχι μόνο για τους μικρούς και ιδιώτες χρήστες, αλλά και για τα χρηματοπιστωτικά ιδρύματα, μεγάλες εταιρείες.

Ταξινόμηση τύπων απειλών για την ασφάλεια των πληροφοριών

Με τον όρο «απειλή» σε αυτό το πλαίσιο εννοούμε δυνητικά πιθανές ενέργειες, φαινόμενα και διαδικασίες που μπορεί να οδηγήσουν σε ανεπιθύμητες συνέπειες ή επιπτώσεις στο λειτουργικό σύστημα ή στις πληροφορίες που είναι αποθηκευμένες σε αυτό. ΣΕ σύγχρονος κόσμοςΥπάρχει ένας αρκετά μεγάλος αριθμός τέτοιων απειλών πληροφοριών, οι τύποι των οποίων ταξινομούνται με βάση ένα από τα κριτήρια.

Έτσι, ανάλογα με τη φύση του περιστατικού, διακρίνουν:

Φυσικές απειλές. Αυτά είναι εκείνα που προέκυψαν ως αποτέλεσμα φυσικών επιρροών ή φυσικών φαινομένων.
Ανθρωπογενείς απειλές. ΠΡΟΣ ΤΗΝ αυτό το είδοςΟι απειλές πληροφοριών περιλαμβάνουν όλα όσα σχετίζονται με ανθρώπινες ενέργειες.

Ανάλογα με τον βαθμό της σκόπιμης, οι απειλές χωρίζονται σε τυχαίες και σκόπιμες.

Ανάλογα με την άμεση πηγή της απειλής για την ασφάλεια των πληροφοριών, μπορεί να είναι φυσική (για παράδειγμα, φυσικά φαινόμενα), ανθρώπινη (παραβίαση του απορρήτου των πληροφοριών με την αποκάλυψή τους), λογισμικό και υλικό. Ο τελευταίος τύπος, με τη σειρά του, μπορεί να χωριστεί σε εξουσιοδοτημένες (λάθη στη λειτουργία των λειτουργικών συστημάτων) και σε μη εξουσιοδοτημένες (παραβίαση ιστότοπου και μόλυνση από ιούς) απειλές.

Ταξινόμηση ανά απόσταση πηγής

Ανάλογα με την τοποθεσία της πηγής, υπάρχουν 3 κύριοι τύποι απειλών πληροφοριών:

Απειλές από πηγή εκτός του υπολογιστή λειτουργικό σύστημα. Για παράδειγμα, υποκλοπή πληροφοριών τη στιγμή της μετάδοσής τους μέσω καναλιών επικοινωνίας.
Απειλές των οποίων η πηγή βρίσκεται εντός του ελεγχόμενου λειτουργικού συστήματος. Για παράδειγμα, κλοπή δεδομένων ή διαρροή πληροφοριών.
Απειλές που προκύπτουν μέσα στο ίδιο το σύστημα. Για παράδειγμα, εσφαλμένη μεταφορά ή αντιγραφή ενός πόρου.

Άλλες ταξινομήσεις

Ανεξάρτητα από την απόσταση της πηγής, ο τύπος της απειλής πληροφοριών μπορεί να είναι παθητικός (η επίδραση δεν συνεπάγεται αλλαγές στη δομή των δεδομένων) και ενεργός (η επίδραση αλλάζει τη δομή των δεδομένων, το περιεχόμενο του συστήματος υπολογιστή).

Επιπλέον, απειλές πληροφοριών ενδέχεται να εμφανιστούν κατά τα στάδια πρόσβασης σε υπολογιστή και να εντοπιστούν μετά από εξουσιοδοτημένη πρόσβαση (για παράδειγμα, μη εξουσιοδοτημένη χρήση δεδομένων).

Ανάλογα με τη θέση τους, οι απειλές μπορεί να είναι 3 τύπων: αυτές που προκύπτουν στο στάδιο της πρόσβασης σε πληροφορίες που βρίσκονται στο εξωτερικές συσκευέςμνήμη, σε μνήμη τυχαίας προσπέλασηςκαι σε αυτό που κυκλοφορεί κατά μήκος των γραμμών επικοινωνίας.

Ορισμένες απειλές (για παράδειγμα, κλοπή πληροφοριών) δεν εξαρτώνται από τη δραστηριότητα του συστήματος, άλλες (ιοί) εντοπίζονται αποκλειστικά κατά την επεξεργασία δεδομένων.

Ακούσιες (φυσικές) απειλές

Οι μηχανισμοί για την εφαρμογή αυτού του τύπου απειλής πληροφοριών έχουν μελετηθεί αρκετά καλά, όπως και οι μέθοδοι αποτροπής τους.

Ιδιαίτερος κίνδυνος για συστήματα υπολογιστώναντιπροσωπεύουν ατυχήματα και φυσικά (φυσικά) φαινόμενα. Ως αποτέλεσμα αυτού του αντίκτυπου, οι πληροφορίες γίνονται απρόσιτες (εν όλω ή εν μέρει), μπορεί να παραμορφωθούν ή να καταστραφούν εντελώς. Ένα σύστημα ασφάλειας πληροφοριών δεν μπορεί να εξαλείψει ή να αποτρέψει πλήρως τέτοιες απειλές.

Ένας άλλος κίνδυνος είναι τα λάθη που γίνονται κατά την ανάπτυξη ενός συστήματος υπολογιστή. Για παράδειγμα, λανθασμένοι αλγόριθμοι λειτουργίας, εσφαλμένο λογισμικό. Αυτοί είναι οι τύποι σφαλμάτων που χρησιμοποιούνται συχνά από τους εισβολείς.

Ένας άλλος τύπος ακούσιων, αλλά σημαντικών τύπων απειλών για την ασφάλεια των πληροφοριών είναι η ανικανότητα, η αμέλεια ή η απροσεξία των χρηστών. Στο 65% των περιπτώσεων εξασθενημένης ασφάλειας πληροφοριών συστημάτων, ήταν παραβιάσεις λειτουργικών ευθυνών από χρήστες που οδήγησαν σε απώλεια, παραβιάσεις του απορρήτου και της ακεραιότητας των πληροφοριών.

Εσκεμμένες απειλές πληροφοριών

Αυτό το είδος απειλής χαρακτηρίζεται από δυναμικό χαρακτήρα και από τη συνεχή προσθήκη νέων τύπων και μεθόδων στοχευμένων ενεργειών από τους παραβάτες.

Σε αυτήν την περιοχή, οι εισβολείς χρησιμοποιούν ειδικά προγράμματα:

Οι ιοί είναι μικρά προγράμματα που αντιγράφουν ανεξάρτητα και εξαπλώνονται σε όλο το σύστημα.
Τα σκουλήκια είναι βοηθητικά προγράμματα που ενεργοποιούνται κάθε φορά που εκκινείται ο υπολογιστής. Όπως οι ιοί, αντιγράφονται και εξαπλώνονται ανεξάρτητα στο σύστημα, γεγονός που οδηγεί σε υπερφόρτωση και αποκλεισμό της εργασίας του.
Δούρειοι ίπποι - κρυμμένοι κάτω από χρήσιμες εφαρμογές κακόβουλο λογισμικό. Μπορούν να στείλουν αρχεία πληροφοριών στον εισβολέα και να καταστρέψουν το λογισμικό του συστήματος.

Αλλά το κακόβουλο λογισμικό δεν είναι το μόνο εργαλείο σκόπιμης εισβολής. Χρησιμοποιούνται επίσης πολυάριθμες μέθοδοι κατασκοπείας - υποκλοπές, κλοπή προγραμμάτων και χαρακτηριστικών ασφαλείας, πειρατεία και κλοπή εγγράφων. Η υποκλοπή κωδικού πρόσβασης γίνεται συχνότερα χρησιμοποιώντας ειδικά προγράμματα.

Βιομηχανική κατασκοπεία

Στατιστικά στοιχεία από το FBI και το Ινστιτούτο Ασφάλειας Υπολογιστών (ΗΠΑ) δείχνουν ότι το 50% των εισβολών πραγματοποιούνται από υπαλλήλους των ίδιων των εταιρειών ή επιχειρήσεων. Εκτός από αυτά, τα θέματα τέτοιων απειλών πληροφοριών περιλαμβάνουν ανταγωνιστικές εταιρείες, πιστωτές, εταιρείες αγοραπωλησίας, καθώς και εγκληματικά στοιχεία.

Οι χάκερ και οι τεχνο-αρουραίοι προκαλούν ιδιαίτερη ανησυχία. Πρόκειται για ειδικευμένους χρήστες και προγραμματιστές που παραβιάζουν ιστότοπους και δίκτυα υπολογιστώνμε σκοπό το κέρδος ή για αθλητικό συμφέρον.

Πώς να προστατέψετε τις πληροφορίες;

Παρά τη συνεχή ανάπτυξη και τη δυναμική ανάπτυξη διαφόρων τύπων απειλών πληροφοριών, εξακολουθούν να υπάρχουν μέθοδοι προστασίας.

Φυσική προστασία- Αυτό είναι το πρώτο στάδιο ασφάλειας πληροφοριών. Αυτό περιλαμβάνει τον περιορισμό της πρόσβασης για μη εξουσιοδοτημένους χρήστες και ένα σύστημα πρόσβασης, ειδικά για την πρόσβαση στο τμήμα διακομιστή.
Το βασικό επίπεδο προστασίας πληροφοριών είναι τα προγράμματα που μπλοκάρουν ιούς υπολογιστώνΚαι προγράμματα προστασίας από ιούς, συστήματα φιλτραρίσματος αλληλογραφίας αμφίβολης φύσης.
Προστασία από επιθέσεις DDoS που προσφέρεται από προγραμματιστές λογισμικό.
Δημιουργία αντίγραφα ασφαλείας, αποθηκευμένο σε άλλα εξωτερικά μέσα ή στο λεγόμενο «σύννεφο».
Σχέδιο αποκατάστασης καταστροφών και δεδομένων. Αυτή η μέθοδος είναι σημαντική για μεγάλες εταιρείεςπου θέλουν να προστατεύσουν τον εαυτό τους και να μειώσουν τον χρόνο διακοπής λειτουργίας σε περίπτωση αποτυχίας.
Κρυπτογράφηση δεδομένων κατά τη μετάδοσή τους με χρήση ηλεκτρονικών μέσων.

Η προστασία των πληροφοριών απαιτεί μια ολοκληρωμένη προσέγγιση. Και όσο περισσότερες μέθοδοι χρησιμοποιούνται, τόσο πιο αποτελεσματική θα είναι η προστασία από μη εξουσιοδοτημένη πρόσβαση, απειλές καταστροφής ή βλάβης δεδομένων, καθώς και κλοπή.

Μερικά στοιχεία που θα σας κάνουν να σκεφτείτε

Το 2016, το 26% των τραπεζών υπέστη επιθέσεις DDoS.

Μία από τις μεγαλύτερες διαρροές προσωπικών δεδομένων σημειώθηκε τον Ιούλιο του 2017 στο γραφείο πιστωτικού ιστορικού Equifax (ΗΠΑ). Τα στοιχεία 143 εκατομμυρίων ανθρώπων και 209 χιλιάδες αριθμοί πιστωτικών καρτών έπεσαν στα χέρια των επιτιθέμενων.

«Όποιος κατέχει τις πληροφορίες έχει τον κόσμο». Αυτή η δήλωση δεν έχει χάσει τη σημασία της, ειδικά όταν μιλάμε γιασχετικά με τον ανταγωνισμό. Έτσι, το 2010 διαταράχθηκε Παρουσίαση iPhone 4 λόγω του γεγονότος ότι ένας από τους υπαλλήλους ξέχασε το πρωτότυπο smartphone σε ένα μπαρ και ο μαθητής που το βρήκε πούλησε το πρωτότυπο σε δημοσιογράφους. Ως αποτέλεσμα, μια αποκλειστική κριτική του smartphone δημοσιεύθηκε στα μέσα ενημέρωσης αρκετούς μήνες πριν από την επίσημη παρουσίασή του.

Το σύνολο των πιθανών απειλών για την ασφάλεια των πληροφοριών σε ένα σύστημα υπολογιστή μπορεί να χωριστεί σε 2 κύριες κατηγορίες (Εικ. 1).

Εικ.1

Οι απειλές που δεν σχετίζονται με τις εσκεμμένες ενέργειες των επιτιθέμενων και εφαρμόζονται σε τυχαίους χρόνους ονομάζονται τυχαίος ή ακούσια. Ο μηχανισμός για την εφαρμογή τυχαίων απειλών είναι γενικά αρκετά καλά μελετημένος και έχει συσσωρευτεί σημαντική εμπειρία για την αντιμετώπιση αυτών των απειλών.

Φυσικές καταστροφές και ατυχήματα είναι γεμάτα με τις πιο καταστροφικές συνέπειες για τα CS, καθώς τα τελευταία υπόκεινται σε φυσική καταστροφή, χάνονται πληροφορίες ή καθίσταται αδύνατη η πρόσβαση σε αυτές.

Αποτυχίες και αποτυχίες πολύπλοκα συστήματα είναι αναπόφευκτα. Ως αποτέλεσμα αστοχιών και αστοχιών, η απόδοση διακόπτεται τεχνικά μέσα, δεδομένα και προγράμματα καταστρέφονται και παραμορφώνονται, διακόπτεται ο αλγόριθμος λειτουργίας των συσκευών.

Σφάλματα στην ανάπτυξη CS, αλγοριθμικών και λογισμικού Τα σφάλματα οδηγούν σε συνέπειες παρόμοιες με τις συνέπειες των αστοχιών και των αστοχιών του τεχνικού εξοπλισμού. Επιπλέον, τέτοια σφάλματα μπορούν να χρησιμοποιηθούν από εισβολείς για να επηρεάσουν πόρους CS.

Σαν άποτέλεσμα σφάλματα από τους χρήστες και το προσωπικό συντήρησης παραβίαση ασφάλειας συμβαίνει στο 65% των περιπτώσεων. Η ανίκανη, απρόσεκτη ή απρόσεκτη εκτέλεση των λειτουργικών καθηκόντων από τους υπαλλήλους οδηγεί σε καταστροφή, παραβίαση της ακεραιότητας και του απορρήτου των πληροφοριών.

Εσκεμμένες απειλές συνδέονται με τις στοχευμένες ενέργειες του δράστη. Αυτή η κατηγορία απειλών δεν έχει μελετηθεί επαρκώς, είναι πολύ δυναμική και ενημερώνεται συνεχώς με νέες απειλές.

Μέθοδοι και μέσα κατασκοπείας και δολιοφθοράς πιο συχνά χρησιμοποιείται για τη λήψη πληροφοριών σχετικά με το σύστημα ασφαλείας με σκοπό τη διείσδυση στο CS, καθώς και για κλοπή και καταστροφή πληροφοριακούς πόρους. Τέτοιες μέθοδοι περιλαμβάνουν υποκλοπή, οπτική παρακολούθηση, κλοπή εγγράφων και μέσων αποθήκευσης υπολογιστή, κλοπή προγραμμάτων και χαρακτηριστικών συστημάτων ασφαλείας, συλλογή και ανάλυση απορριμμάτων μέσων αποθήκευσης υπολογιστών και εμπρησμό.

Μη εξουσιοδοτημένη πρόσβαση σε πληροφορίες (UAI) συνήθως συμβαίνει με τη χρήση τυπικού υλικού και λογισμικού του συστήματος υπολογιστή, με αποτέλεσμα να παραβιάζονται οι καθιερωμένοι κανόνες για τον περιορισμό της πρόσβασης χρηστών ή διαδικασιών σε πόρους πληροφοριών. Οι κανόνες ελέγχου πρόσβασης νοούνται ως ένα σύνολο διατάξεων που ρυθμίζουν τα δικαιώματα πρόσβασης προσώπων ή διαδικασιών σε μονάδες πληροφοριών. Οι πιο συχνές παραβιάσεις είναι:

Η υποκλοπή κωδικού πρόσβασης πραγματοποιείται από ειδικά σχεδιασμένα

προγράμματα?

-- "Μασκαράδα" - εκτέλεση οποιωνδήποτε ενεργειών από έναν χρήστη για λογαριασμό άλλου.

Η παράνομη χρήση προνομίων είναι η κατάσχεση των προνομίων των νόμιμων χρηστών από έναν εισβολέα.

Η διαδικασία επεξεργασίας και μετάδοσης πληροφοριών με τεχνικά μέσα ενός υπολογιστικού συστήματος συνοδεύεται από ηλεκτρομαγνητική ακτινοβολία στον περιβάλλοντα χώρο και την επαγωγή ηλεκτρικών σημάτων στις γραμμές επικοινωνίας. Πήραν ονόματα ψευδής ηλεκτρομαγνητική ακτινοβολία και παρεμβολές (PEMIN). Με τη βοήθεια ειδικού εξοπλισμού, τα σήματα λαμβάνονται, απομονώνονται, ενισχύονται και μπορούν είτε να προβληθούν είτε να καταγραφούν σε συσκευές αποθήκευσης (συσκευές μνήμης). Ηλεκτρομαγνητική ακτινοβολίαχρησιμοποιούνται από τους επιτιθέμενους όχι μόνο για να αποκτήσουν πληροφορίες, αλλά και για να τις καταστρέψουν.

Μια σημαντική απειλή για την ασφάλεια των πληροφοριών στο CS είναι μη εξουσιοδοτημένη τροποποίηση των αλγοριθμικών, λογισμικού και τεχνικών δομών του συστήματος , που ονομάζεται "σελιδοδείκτης". Κατά κανόνα, οι «σελιδοδείκτες» είναι ενσωματωμένοι σε εξειδικευμένα συστήματα και χρησιμοποιούνται είτε για άμεσες επιβλαβείς επιπτώσεις στο σύστημα του υπολογιστή είτε για την παροχή ανεξέλεγκτη εισόδου στο σύστημα.

Μία από τις κύριες πηγές απειλών για την ασφάλεια είναι η χρήση ειδικών προγραμμάτων, που ονομάζονται συλλογικά «προγράμματα δολιοφθοράς» . Τέτοια προγράμματα περιλαμβάνουν:

-- "ιοί υπολογιστών" - μικρά προγράμματα που, μετά την εισαγωγή τους σε έναν υπολογιστή, εξαπλώνονται ανεξάρτητα δημιουργώντας αντίγραφα του εαυτού τους και, εάν πληρούνται ορισμένες προϋποθέσεις, έχουν αρνητικό αντίκτυπο στο σύστημα υπολογιστή.

-- Τα "σκουλήκια" είναι προγράμματα που εκτελούνται κάθε φορά που εκκινείται το σύστημα, με τη δυνατότητα να μετακινούνται σε σύστημα υπολογιστή ή δίκτυο και να αναπαράγουν αντίγραφα. Ένας πολλαπλασιασμός προγραμμάτων που μοιάζει με χιονοστιβάδα οδηγεί σε υπερφόρτωση των καναλιών επικοινωνίας, της μνήμης και στη συνέχεια σε αποκλεισμό του συστήματος.

-- "Δούρειοι ίπποι" - προγράμματα που μοιάζουν χρήσιμη εφαρμογή, αλλά στην πραγματικότητα εκτελούν επιβλαβείς λειτουργίες (καταστροφή λογισμικού, αντιγραφή και αποστολή αρχείων με εμπιστευτικές πληροφορίες σε εισβολέα κ.λπ.).

Εκτός από τις απειλές για την ασφάλεια που αναφέρθηκαν παραπάνω, υπάρχει επίσης η απειλή της διαρροής πληροφοριών, η οποία γίνεται ολοένα και πιο σημαντικό ζήτημα ασφάλειας κάθε χρόνο. Για να αντιμετωπίσετε αποτελεσματικά τις διαρροές, πρέπει να γνωρίζετε πώς εμφανίζονται (Εικ. 2).

Εικ.2

Τέσσερις κύριοι τύποι διαρροών αντιπροσωπεύουν τη συντριπτική πλειοψηφία (84%) των περιστατικών, με το μισό από αυτό το μερίδιο (40%) να αντιπροσωπεύει την πιο δημοφιλή απειλή - κλοπή μέσων. Το 15% είναι εσωτερικές πληροφορίες. Αυτή η κατηγορία περιλαμβάνει περιστατικά που προκαλούνται από ενέργειες εργαζομένων που είχαν νόμιμη πρόσβαση σε πληροφορίες. Για παράδειγμα, ένας υπάλληλος δεν είχε δικαιώματα πρόσβασης σε πληροφορίες, αλλά κατάφερε να παρακάμψει συστήματα ασφαλείας. Ή κάποιος εμπιστευμένος είχε πρόσβαση σε πληροφορίες και τις έβγαλε εκτός του οργανισμού. Επί επίθεση χάκεραντιπροσωπεύει επίσης το 15% των απειλών. Αυτή η ευρεία ομάδα περιστατικών περιλαμβάνει όλες τις διαρροές που προέκυψαν ως αποτέλεσμα εξωτερικής εισβολής. Το όχι πολύ υψηλό ποσοστό εισβολών χάκερ εξηγείται από το γεγονός ότι οι ίδιες οι εισβολές έχουν γίνει λιγότερο αισθητές. Το 14% ήταν διαρροές ιστού. Αυτή η κατηγορία περιλαμβάνει όλες τις διαρροές που σχετίζονται με τη δημοσίευση εμπιστευτικών πληροφοριών σε δημόσιους χώρους, για παράδειγμα, σε Παγκόσμια δίκτυα. Το 9% είναι διαρροή χαρτιού. Εξ ορισμού, διαρροή χαρτιού είναι κάθε διαρροή που προκύπτει ως αποτέλεσμα της εκτύπωσης εμπιστευτικών πληροφοριών σε χαρτί. Το 7% είναι άλλες πιθανές απειλές. Αυτή η κατηγορία περιλαμβάνει περιστατικά για τα οποία δεν κατέστη δυνατό να προσδιοριστεί η ακριβής αιτία, καθώς και διαρροές που έγιναν γνωστές εκ των υστέρων, μετά από χρήση προσωπικών στοιχείων για παράνομους σκοπούς.

Επιπλέον, αυτή τη στιγμή αναπτύσσεται ενεργά phishing - Τεχνολογία διαδικτυακής απάτης, η οποία συνίσταται σε κλοπή προσωπικών εμπιστευτικών δεδομένων, όπως κωδικούς πρόσβασης, αριθμούς πιστωτικών καρτών, τραπεζικούς λογαριασμούς και άλλες προσωπικές πληροφορίες. Το phishing (από το αγγλικό Fishing - fishing) σημαίνει ψάρεμα με κωδικό πρόσβασης και χρησιμοποιεί όχι τις τεχνικές ελλείψεις του συστήματος υπολογιστή, αλλά την ευπιστία των χρηστών του Διαδικτύου. Ο εισβολέας ρίχνει δόλωμα στο Διαδίκτυο και «πιάνει όλα τα ψάρια» - χρήστες που το ερωτεύονται.

Ανεξάρτητα από τις ιδιαιτερότητες συγκεκριμένων τύπων απειλών, η ασφάλεια των πληροφοριών πρέπει να διατηρεί την ακεραιότητα, την εμπιστευτικότητα και τη διαθεσιμότητα. Οι απειλές για την ακεραιότητα, την εμπιστευτικότητα και τη διαθεσιμότητα είναι πρωταρχικές. Η παραβίαση της ακεραιότητας περιλαμβάνει κάθε σκόπιμη τροποποίηση των πληροφοριών που είναι αποθηκευμένες σε ένα σύστημα υπολογιστή ή μεταδίδονται από το ένα σύστημα στο άλλο. Η παραβίαση του απορρήτου μπορεί να οδηγήσει σε μια κατάσταση όπου οι πληροφορίες γίνονται γνωστές σε κάποιον που δεν έχει την εξουσία πρόσβασης σε αυτές. Η απειλή της μη προσβασιμότητας των πληροφοριών προκύπτει κάθε φορά που, ως αποτέλεσμα σκόπιμων ενεργειών άλλων χρηστών ή εισβολέων, η πρόσβαση σε κάποιον πόρο CS αποκλείεται.

Ένας άλλος τύπος απειλής για την ασφάλεια των πληροφοριών είναι η απειλή αποκάλυψης παραμέτρων CS. Ως αποτέλεσμα της υλοποίησής του δεν προκαλείται ζημιά στις πληροφορίες που επεξεργάζονται στο CS, αλλά ταυτόχρονα ενισχύονται σημαντικά οι δυνατότητες εκδήλωσης πρωτογενών απειλών.

Οι απειλές προκύπτουν από αντικρουόμενα οικονομικά συμφέροντα διάφορα στοιχεία, αλληλεπιδρώντας τόσο εντός όσο και εκτός του κοινωνικοοικονομικού συστήματος - συμπεριλαμβανομένης της σφαίρας της πληροφορίας. Καθορίζουν το περιεχόμενο και τις κατευθύνσεις των δραστηριοτήτων για τη διασφάλιση της γενικής ασφάλειας και της ασφάλειας των πληροφοριών. Πρέπει να σημειωθεί ότι η ανάλυση των προβλημάτων οικονομικής ασφάλειας πρέπει να πραγματοποιείται λαμβάνοντας υπόψη τις αλληλεπιδράσεις των οικονομικών αντιθέσεων, απειλών και απωλειών που μπορεί να οδηγήσει η εφαρμογή των απειλών. Αυτή η ανάλυση οδηγεί στην ακόλουθη αλυσίδα:

< источник угрозы (внешняя и/или внутренняя среда предприятия)>

<зона риска (сфера экономической деятельности предприятия, способы её реализации, материальные и информационные ресурсы)>

<фактор (степень уязвимости данных, информации, программного обеспечения, компьютерных и телекоммуникационных устройств, материальных и финансовых ресурсов, персонала)>

< угроза (вид, величина, направление)>

<возможность её реализации (предпосылки, объект , способ действия, скорость и временной интервал действия)>

<последствия (материальный ущерб , моральный вред, размер ущерба и вреда, возможность компенсации)>.

Μια απειλή συνήθως ταυτίζεται είτε με τη φύση (είδος, μέθοδος) μιας αποσταθεροποιητικής επίδρασης σε υλικά αντικείμενα, λογισμικόή πληροφορίες, ή με τις συνέπειες (αποτελέσματα) μιας τέτοιας επιρροής.

Από νομική άποψη, η έννοια της απειλής σχετίζεται αυστηρά με τη νομική κατηγορία της ζημίας, την οποία ο Αστικός Κώδικας της Ρωσικής Ομοσπονδίας (Μέρος I, άρθρο 15) ορίζει ως «πραγματικά έξοδα που πραγματοποιήθηκαν από το υποκείμενο ως αποτέλεσμα παραβίασης των δικαιωμάτων του (για παράδειγμα, κλοπή, αποκάλυψη ή χρήση εμπιστευτικών πληροφοριών από τον παραβάτη), απώλεια ή ζημιά σε περιουσία, καθώς και τα έξοδα που θα πρέπει να κάνει για την αποκατάσταση του παραβιασμένου δικαιώματος και την αξία του κατεστραμμένου ή χαμένου ιδιοκτησία."

Η ανάλυση των αρνητικών συνεπειών της εμφάνισης και εφαρμογής απειλών απαιτεί τον υποχρεωτικό εντοπισμό των πιθανών πηγών απειλών, των τρωτών σημείων που συμβάλλουν στην έκφανσή τους και των μεθόδων εφαρμογής τους. Από την άποψη αυτή, οι απειλές για την οικονομική ασφάλεια και την ασφάλεια των πληροφοριών πρέπει να ταξινομηθούν προκειμένου να πραγματοποιηθεί πλήρως και επαρκώς αυτός ο προσδιορισμός: από την πηγή της απειλής, από τη φύση της εμφάνισής της, από την πιθανότητα εφαρμογής, σε σχέση με τον τύπο της ανθρώπινης δραστηριότητας, από το αντικείμενο της επίθεσης, από τις συνέπειες, από τις δυνατότητες πρόβλεψης.

Οι απειλές μπορούν να ταξινομηθούν σύμφωνα με διάφορα κριτήρια:

σχετικά με τα πιο σημαντικά στοιχεία της ασφάλειας των πληροφοριών (διαθεσιμότητα, ακεραιότητα, εμπιστευτικότητα), κατά των οποίων στρέφονται κυρίως οι απειλές·
από στοιχεία πληροφοριακών συστημάτων και τεχνολογιών (δεδομένα, συστήματα υλικού και λογισμικού, δίκτυα, υποστηρικτικές υποδομές) που στοχεύουν άμεσα απειλές·
με μέθοδο υλοποίησης (τυχαίες ή εσκεμμένες ενέργειες, γεγονότα ανθρωπογενούς ή φυσικής κλίμακας)·
με τον εντοπισμό της πηγής των απειλών (εκτός ή εντός της τεχνολογίας πληροφοριών ή του συστήματος).

Ένα από τα πιθανά μοντέλα ταξινόμησης απειλών φαίνεται στο Σχ. 2.1 [Vikhorev, S., Kobtsev R., 2002].

Ρύζι. 2.1.

Κατά την ανάλυση, είναι απαραίτητο να διασφαλιστεί ότι η πλειονότητα των πιθανών πηγών απειλών και τρωτών σημείων εντοπίζονται και συγκρίνονται μεταξύ τους και ότι όλες οι αναγνωρισμένες πηγές απειλών και τρωτών σημείων συγκρίνονται με μεθόδους εξουδετέρωσης και εξάλειψής τους.

Αυτή η ταξινόμηση μπορεί να χρησιμεύσει ως βάση για την ανάπτυξη μιας μεθοδολογίας για την αξιολόγηση της συνάφειας μιας συγκεκριμένης απειλής και όταν τρέχουσες απειλέςμπορούν να ληφθούν μέτρα για την επιλογή μεθόδων και μέσων πρόληψης ή εξουδετέρωσής τους.

Κατά τον εντοπισμό των τρεχουσών απειλών, η μέθοδος εμπειρογνωμόνων-αναλυτικής προσδιορίζει τα αντικείμενα προστασίας που εκτίθενται σε μια συγκεκριμένη απειλή, τις χαρακτηριστικές πηγές αυτών των απειλών και τα τρωτά σημεία που συμβάλλουν στην υλοποίηση των απειλών.

Με βάση την ανάλυση, καταρτίζεται μια μήτρα σχέσεων μεταξύ πηγών απειλών και τρωτών σημείων, από την οποία καθορίζονται οι πιθανές συνέπειες της υλοποίησης απειλών (επιθέσεων) και υπολογίζεται ως προϊόν ο συντελεστής σημαντικότητας (βαθμός επικινδυνότητας) αυτών των επιθέσεων. των συντελεστών κινδύνου των αντίστοιχων απειλών και των πηγών απειλών που εντοπίστηκαν προηγουμένως.

Ένας από τους πιθανούς αλγόριθμους για τη διεξαγωγή μιας τέτοιας ανάλυσης, ο οποίος μπορεί εύκολα να επισημοποιηθεί και να αλγοριθμηθεί, φαίνεται στο Σχ. 2.2.

Ρύζι. 2.2.

Χάρη σε αυτή την προσέγγιση είναι δυνατό:

θέτουν προτεραιότητες για στόχους ασφάλειας για το θέμα της σχέσης·
να καθορίσει μια λίστα τρεχουσών πηγών απειλών.
να καθορίσει μια λίστα τρωτών σημείων.
αξιολόγηση της σχέσης μεταξύ τρωτών σημείων, πηγών απειλών και της δυνατότητας εφαρμογής τους·
να καθορίσει μια λίστα πιθανών επιθέσεων στην εγκατάσταση.
Ανάπτυξη σεναρίων για πιθανές επιθέσεις.
περιγράψτε τις πιθανές συνέπειες της εφαρμογής των απειλών·
να αναπτύξει ένα σύνολο προστατευτικών μέτρων και ένα σύστημα διαχείρισης για την οικονομική ασφάλεια και την ασφάλεια πληροφοριών της επιχείρησης.

Σημειώθηκε παραπάνω ότι τα πιο συχνά και πιο επικίνδυνα (από την άποψη του ύψους της ζημιάς) είναι ακούσια σφάλματα τακτικών χρηστών, χειριστών, διαχειριστές συστήματοςκαι άλλα άτομα που υπηρετούν Πληροφοριακά συστήματα. Μερικές φορές τέτοια σφάλματα είναι στην πραγματικότητα απειλές (δεδομένα που έχουν εισαχθεί λανθασμένα ή ένα σφάλμα προγράμματος που προκάλεσε σφάλμα συστήματος), μερικές φορές δημιουργούν ευπάθειες που μπορούν να εκμεταλλευτούν οι εισβολείς (συνήθως είναι σφάλματα διαχείρισης). Σύμφωνα με ορισμένες εκτιμήσεις, έως και το 65% των απωλειών οφείλονται σε ακούσια λάθη που προκαλούνται από απροσεξία, αμέλεια ή ανεπαρκή εκπαίδευση του προσωπικού.

Συνήθως, οι χρήστες μπορούν να είναι πηγές των ακόλουθων απειλών:

σκόπιμη (ενσωμάτωση λογικής βόμβας που τελικά θα καταστρέψει τον πυρήνα ή τις εφαρμογές λογισμικού) ή ακούσια απώλεια ή παραμόρφωση δεδομένων και πληροφοριών, «χακάρισμα» του συστήματος διαχείρισης, κλοπή δεδομένων και κωδικών πρόσβασης, μεταφορά τους σε μη εξουσιοδοτημένα άτομα κ.λπ.
απροθυμία των χρηστών να εργαστούν με το σύστημα πληροφοριών (τις περισσότερες φορές εκδηλώνεται όταν είναι απαραίτητο να κυριαρχήσουν νέες δυνατότητες ή όταν υπάρχει ασυμφωνία μεταξύ των αιτημάτων των χρηστών και των πραγματικών δυνατοτήτων και τεχνικά χαρακτηριστικά) και σκόπιμη απενεργοποίηση των συσκευών υλικού και λογισμικού του·
αδυναμία εργασίας με το σύστημα λόγω έλλειψης κατάλληλης εκπαίδευσης (έλλειψη γενικής παιδείας υπολογιστών, αδυναμία ερμηνείας διαγνωστικών μηνυμάτων, αδυναμία εργασίας με τεκμηρίωση κ.λπ.).

Είναι προφανές ότι αποτελεσματική μέθοδοςκαταπολέμηση ακούσιων σφαλμάτων - μέγιστη αυτοματοποίηση και τυποποίηση, διαδικασίες πληροφόρησης, τη χρήση Fool Proof Devices, ρύθμιση και αυστηρό έλεγχο των ενεργειών των χρηστών. Είναι επίσης απαραίτητο να διασφαλιστεί ότι όταν ένας εργαζόμενος αποχωρεί, τα δικαιώματα πρόσβασής του (λογικά και φυσικά) σε πόρους πληροφοριών ανακαλούνται.

Οι κύριες πηγές αστοχιών εσωτερικού συστήματος είναι:

αδυναμία εργασίας με το σύστημα λόγω έλλειψης τεχνική υποστήριξη(ελλιπής τεκμηρίωση, έλλειψη πληροφοριών αναφοράς κ.λπ.)
απόκλιση (τυχαία ή εσκεμμένη) από καθιερωμένους κανόνεςλειτουργία;
έξοδος του συστήματος από τον κανονικό τρόπο λειτουργίας λόγω τυχαίων ή σκόπιμων ενεργειών των χρηστών ή του προσωπικού συντήρησης (υπέρβαση του εκτιμώμενου αριθμού αιτημάτων, υπερβολικός όγκος επεξεργασμένων πληροφοριών κ.λπ.)
σφάλματα διαμόρφωσης συστήματος.
βλάβες λογισμικού και υλικού.
καταστροφή δεδομένων·
καταστροφή ή ζημιά σε εξοπλισμό.

Συνιστάται να ληφθούν υπόψη οι ακόλουθες απειλές σε σχέση με την υποστηρικτική υποδομή:

διακοπή (τυχαία ή εκ προθέσεως) συστημάτων επικοινωνίας, παροχής ρεύματος, παροχής νερού ή/και θερμότητας, κλιματισμού.
καταστροφή ή ζημιά σε εγκαταστάσεις·
αδυναμία ή απροθυμία του προσωπικού εξυπηρέτησης ή/και των χρηστών να εκτελέσουν τα καθήκοντά τους (πολιτικές αναταραχές, ατυχήματα μεταφοράς, τρομοκρατική επίθεση ή απειλή, απεργία κ.λπ.).

Επικίνδυνο, φυσικά φυσικές καταστροφές(πλημμύρες, σεισμοί, τυφώνες) και γεγονότα που προκύπτουν από ανθρωπογενείς καταστροφές (πυρκαγιές, εκρήξεις, καταρρεύσεις κτιρίων κ.λπ.). Σύμφωνα με στατιστικά στοιχεία, η φωτιά, το νερό και παρόμοιοι «επιτιθέμενοι» (μεταξύ των οποίων ο πιο επικίνδυνος είναι η διακοπή ρεύματος) ευθύνονται για το 13-15% των απωλειών που προκαλούνται στα συστήματα πληροφοριών και στους πόρους παραγωγής.

Τα αποτελέσματα της αξιολόγησης και της ανάλυσης μπορούν να χρησιμοποιηθούν κατά την επιλογή κατάλληλων βέλτιστων μεθόδων για την αποτροπή απειλών, καθώς και κατά τον έλεγχο της πραγματικής κατάστασης της ασφάλειας πληροφοριών ενός αντικειμένου.

Για τη δημιουργία βέλτιστο σύστημαασφάλεια πληροφοριών μιας επιχείρησης, είναι απαραίτητο να αξιολογηθεί σωστά η κατάσταση, να εντοπιστούν πιθανοί κίνδυνοι, να αναπτυχθεί μια ιδέα και πολιτική ασφάλειας, βάσει της οποίας δημιουργείται ένα μοντέλο συστήματος και αναπτύσσονται κατάλληλοι μηχανισμοί υλοποίησης και λειτουργίας.

Κεφάλαιο 2 Η έννοια των απειλών πληροφοριών και τα είδη τους

2.1 Πληροφοριακές απειλές

Από τα τέλη της δεκαετίας του '80 και τις αρχές της δεκαετίας του '90, προβλήματα που σχετίζονται με την ασφάλεια των πληροφοριών έχουν ανησυχήσει και τους δύο ειδικούς στον τομέα ασφάλεια του υπολογιστή, καθώς και πολυάριθμοι απλοί χρήστες προσωπικούς υπολογιστές. Αυτό οφείλεται στις βαθιές αλλαγές που φέρνει η τεχνολογία των υπολογιστών στη ζωή μας.

Τα σύγχρονα αυτοματοποιημένα συστήματα πληροφοριών (AIS) στα οικονομικά είναι σύνθετοι μηχανισμοί που αποτελούνται από μεγάλο αριθμό στοιχείων διαφορετικού βαθμού αυτονομίας, διασυνδεδεμένων και ανταλλαγής δεδομένων. Σχεδόν καθένα από αυτά μπορεί να αποτύχει ή να εκτεθεί σε εξωτερικές επιρροές.

Παρά τις δαπανηρές μεθόδους που χρησιμοποιήθηκαν, η λειτουργία των πληροφοριακών συστημάτων υπολογιστών έχει αποκαλύψει την παρουσία αδυναμιών στην ασφάλεια των πληροφοριών. Η αναπόφευκτη συνέπεια ήταν το συνεχώς αυξανόμενο κόστος και οι προσπάθειες για την προστασία των πληροφοριών. Ωστόσο, για να είναι αποτελεσματικά τα μέτρα που λαμβάνονται, είναι απαραίτητο να προσδιοριστεί ποια είναι η απειλή για την ασφάλεια των πληροφοριών, να εντοπιστούν πιθανά κανάλια διαρροής πληροφοριών και τρόποι μη εξουσιοδοτημένης πρόσβασης σε προστατευμένα δεδομένα.

Υπό απειλή για την ασφάλεια των πληροφοριών (απειλή πληροφοριών)σημαίνει ενέργεια ή συμβάν που μπορεί να οδηγήσει σε καταστροφή, παραμόρφωση ή μη εξουσιοδοτημένη χρήση πόρων πληροφοριών, συμπεριλαμβανομένων των αποθηκευμένων, μεταδιδόμενων και επεξεργασμένων πληροφοριών, καθώς και λογισμικού και υλικού. Εάν η αξία των πληροφοριών χαθεί κατά την αποθήκευση ή/και τη διανομή τους, τότε απειλή παραβίασηςεμπιστευτικότητα των πληροφοριών. Εάν μια πληροφορία αλλάξει ή καταστραφεί με απώλεια της αξίας της, τότε υλοποιείται απειλή για την ακεραιότητα των πληροφοριών. Εάν οι πληροφορίες δεν φτάσουν εγκαίρως στον νόμιμο χρήστη, τότε η αξία τους μειώνεται και με την πάροδο του χρόνου αποσβένεται πλήρως, με αποτέλεσμα να απειλείται η αποτελεσματικότητα της χρήσης ή η διαθεσιμότητα των πληροφοριών.

Έτσι, η εφαρμογή απειλών για την ασφάλεια των πληροφοριών συνίσταται στην παραβίαση του απορρήτου, της ακεραιότητας και της διαθεσιμότητας των πληροφοριών. Ένας εισβολέας μπορεί να δει εμπιστευτικές πληροφορίες, να τις τροποποιήσει ή ακόμα και να τις καταστρέψει, καθώς και να περιορίσει ή να αποκλείσει την πρόσβαση ενός νόμιμου χρήστη σε πληροφορίες. Σε αυτή την περίπτωση, ο εισβολέας μπορεί να είναι είτε υπάλληλος του οργανισμού είτε ξένος. Αλλά, εκτός από αυτό, η αξία των πληροφοριών μπορεί να μειωθεί λόγω τυχαίων, ακούσιων λαθών του προσωπικού, καθώς και εκπλήξεων που μερικές φορές παρουσιάζονται από την ίδια τη φύση.

Οι απειλές πληροφοριών μπορεί να προκληθούν από:

φυσικοί παράγοντες (φυσικές καταστροφές - πυρκαγιά, πλημμύρα, τυφώνας, κεραυνοί και άλλες αιτίες).

ανθρώπινοι παράγοντες. Οι τελευταίες, με τη σειρά τους, χωρίζονται σε:

– απειλές που είναι τυχαίες, ακούσιες στη φύση. Πρόκειται για απειλές που σχετίζονται με σφάλματα κατά τη διαδικασία προετοιμασίας, επεξεργασίας και μετάδοσης πληροφοριών (επιστημονική, τεχνική, εμπορική, νομισματική και οικονομική τεκμηρίωση). με άστοχη «διαρροή εγκεφάλων», γνώσεις, πληροφορίες (για παράδειγμα, σε σχέση με μετανάστευση πληθυσμού, ταξίδια σε άλλες χώρες, επανένωση με την οικογένεια κ.λπ.) Πρόκειται για απειλές που σχετίζονται με σφάλματα στη διαδικασία σχεδιασμού, ανάπτυξης και κατασκευής συστημάτων και τα εξαρτήματά τους (κτίρια, κατασκευές, εγκαταστάσεις, υπολογιστές, εξοπλισμός επικοινωνιών, λειτουργικά συστήματα, προγράμματα εφαρμογών κ.λπ.) με σφάλματα στη λειτουργία του εξοπλισμού λόγω κακής ποιότητας κατασκευής. με σφάλματα στη διαδικασία προετοιμασίας και επεξεργασίας πληροφοριών (λάθη προγραμματιστών και χρηστών λόγω ανεπαρκών προσόντων και κακής ποιότητας υπηρεσίας, σφάλματα χειριστή στην προετοιμασία, εισαγωγή και έξοδο δεδομένων, διόρθωση και επεξεργασία πληροφοριών)·

– απειλές που προκαλούνται από εσκεμμένες, εσκεμμένες ενέργειες ανθρώπων. Πρόκειται για απειλές που συνδέονται με τη μεταφορά, παραμόρφωση και καταστροφή επιστημονικών ανακαλύψεων, εφευρέσεις μυστικών παραγωγής, νέες τεχνολογίες για ιδιοτελείς και άλλους αντικοινωνικούς λόγους (τεκμηρίωση, σχέδια, περιγραφές ανακαλύψεων και εφευρέσεων και άλλα υλικά). υποκλοπή και μετάδοση επίσημων και άλλων επιστημονικών, τεχνικών και εμπορικών συνομιλιών· με στοχευμένη «διαρροή εγκεφάλων», γνώσεις και πληροφορίες (για παράδειγμα, σε σχέση με την απόκτηση άλλης υπηκοότητας για ιδιοτελείς λόγους). Πρόκειται για απειλές που σχετίζονται με μη εξουσιοδοτημένη πρόσβαση στους πόρους ενός αυτοματοποιημένου συστήματος πληροφοριών (κάνοντας τεχνικές αλλαγές στα μέσα τεχνολογία υπολογιστώνκαι επικοινωνίες, σύνδεση με εξοπλισμό υπολογιστή και κανάλια επικοινωνίας, κλοπή μέσων ενημέρωσης: δισκέτες, περιγραφές, εκτυπώσεις κ.λπ.).

Οι εσκεμμένες απειλές στοχεύουν στην πρόκληση βλάβης στους χρήστες του AIS και, με τη σειρά τους, διακρίνονται σε ενεργητικές και παθητικές.

Παθητικές απειλές, κατά κανόνα, στοχεύουν στη μη εξουσιοδοτημένη χρήση πληροφοριακών πόρων χωρίς να επηρεάζεται η λειτουργία τους. Μια παθητική απειλή είναι, για παράδειγμα, μια προσπάθεια απόκτησης πληροφοριών που κυκλοφορούν στα κανάλια επικοινωνίας ακούγοντάς τους.

Ενεργές απειλέςέχουν στόχο να διαταράξουν την κανονική λειτουργία του συστήματος μέσω στοχευμένων επιπτώσεων σε υλικό, λογισμικό και πόρους πληροφοριών. Οι ενεργές απειλές περιλαμβάνουν, για παράδειγμα, καταστροφή ή ηλεκτρονική εμπλοκή γραμμών επικοινωνίας, απενεργοποίηση υπολογιστή ή του λειτουργικού του συστήματος, παραμόρφωση πληροφοριών σε βάσεις δεδομένων ή πληροφορίες συστήματος κ.λπ. Πηγές ενεργών απειλών μπορεί να είναι άμεσες ενέργειες εισβολέων, ιοί λογισμικού κ.λπ.

Οι εσκεμμένες απειλές χωρίζονται σε εσωτερικός που προκύπτουν μέσα στον διαχειριζόμενο οργανισμό και εξωτερικός .

Οι εσωτερικές απειλές καθορίζονται τις περισσότερες φορές από την κοινωνική ένταση και το δύσκολο ηθικό κλίμα.

Οι εξωτερικές απειλές μπορούν να προσδιοριστούν από κακόβουλες ενέργειες ανταγωνιστών, οικονομικές συνθήκες και άλλους λόγους (για παράδειγμα, φυσικές καταστροφές). Σύμφωνα με ξένες πηγές, έχει πάρει μεγάλες διαστάσεις βιομηχανική κατασκοπεία - είναι η παράνομη συλλογή, ιδιοποίηση και διαβίβαση πληροφοριών που συνιστούν εμπορικό μυστικό από άτομο μη εξουσιοδοτημένο από τον κάτοχό τους, που είναι επιζήμια για τον κάτοχο ενός εμπορικού μυστικού.

Οι κύριες απειλές για την ασφάλεια περιλαμβάνουν:

αποκάλυψη εμπιστευτικών πληροφοριών·

συμβιβασμός πληροφοριών·

μη εξουσιοδοτημένη χρήση πόρων πληροφοριών·

κατάχρηση πόρων· μη εξουσιοδοτημένη ανταλλαγή πληροφοριών·

άρνηση παροχής πληροφοριών·

άρνηση παροχής υπηρεσιών.

Μέσα υλοποίησης απειλών αποκάλυψη εμπιστευτικών πληροφοριώνΜπορεί να υπάρχει μη εξουσιοδοτημένη πρόσβαση σε βάσεις δεδομένων, υποκλοπές καναλιών κ.λπ. Σε κάθε περίπτωση, η απόκτηση πληροφοριών που είναι ιδιοκτησία συγκεκριμένου ατόμου (ομάδας προσώπων), η οποία οδηγεί σε μείωση, ακόμη και απώλεια της αξίας των πληροφοριών.

Η εφαρμογή των απειλών είναι συνέπεια μιας από τις ακόλουθες ενέργειες και γεγονότα: γνωστοποιήσειςεμπιστευτικές πληροφορίες, διαρροή εμπιστευτικών πληροφοριών και μη εξουσιοδοτημένη πρόσβασησε προστατευμένες πληροφορίες (106). Όταν αποκαλύπτονται ή διαρρεύσουν, παραβιάζεται το απόρρητο των πληροφοριών με περιορισμένη πρόσβαση (Εικ. 2).

Ρύζι. 2 Ενέργειες και συμβάντα που παραβιάζουν την ασφάλεια των πληροφοριών

Διαρροή εμπιστευτικών πληροφοριών - πρόκειται για την ανεξέλεγκτη δημοσιοποίηση εμπιστευτικών πληροφοριών πέρα από τα όρια της IP ή του κύκλου των προσώπων στα οποία ανατέθηκε μέσω της υπηρεσίας ή έγινε γνωστή κατά τη διάρκεια της εργασίας. Αυτή η διαρροή μπορεί να οφείλεται σε:

αποκάλυψη εμπιστευτικών πληροφοριών·

η ροή πληροφοριών μέσω διαφόρων, κυρίως τεχνικών, καναλιών·

μη εξουσιοδοτημένη πρόσβαση σε εμπιστευτικές πληροφορίες με διάφορους τρόπους.

Αποκάλυψη πληροφοριών κάτοχος ή κάτοχός του είναι οι σκόπιμες ή απρόσεκτες ενέργειες αξιωματούχων και χρηστών στους οποίους ανατέθηκαν οι σχετικές πληροφορίες με τον καθορισμένο τρόπο μέσω της υπηρεσίας ή της εργασίας τους, οι οποίες οδήγησαν στην εξοικείωση με αυτό ατόμων στα οποία δεν επιτρεπόταν να έχουν πρόσβαση σε αυτές τις πληροφορίες .

Διαθέσιμος ανεξέλεγκτη αφαίρεση εμπιστευτικών πληροφοριών μέσω οπτικο-οπτικών, ακουστικών, ηλεκτρομαγνητικών και άλλων καναλιών.

Λόγω της φυσικής τους φύσης, είναι δυνατά τα ακόλουθα μέσα μεταφοράς πληροφοριών:

Ακτίνες φωτός.

Ηχητικά κύματα.

Ηλεκτρομαγνητικά κύματα.

Υλικά και ουσίες.

Με τον όρο κανάλι διαρροής πληροφοριών εννοούμε μια φυσική διαδρομή από μια πηγή εμπιστευτικών πληροφοριών προς έναν εισβολέα, μέσω της οποίας είναι δυνατή η διαρροή ή η μη εξουσιοδοτημένη λήψη προστατευμένων πληροφοριών. Για την εμφάνιση (σχηματισμό, δημιουργία) καναλιού διαρροής πληροφοριών απαιτούνται ορισμένες χωρικές, ενεργειακές και χρονικές συνθήκες, καθώς και κατάλληλα μέσα αντίληψης και καταγραφής πληροφοριών από την πλευρά του εισβολέα.

Σε σχέση με την πρακτική, λαμβάνοντας υπόψη τη φυσική φύση της εκπαίδευσης, τα κανάλια διαρροής πληροφοριών μπορούν να χωριστούν στις ακόλουθες ομάδες:

οπτικο-οπτικό?

ακουστική (συμπεριλαμβανομένης της ακουστικής μεταμόρφωσης)·

ηλεκτρομαγνητικά (συμπεριλαμβανομένων των μαγνητικών και ηλεκτρικών)·

απτά (χαρτί, φωτογραφίες, μαγνητικά μέσα, βιομηχανικά απόβλητα διάφοροι τύποι– στερεό, υγρό, αέριο).

Οπτικά οπτικά κανάλια– πρόκειται, κατά κανόνα, για άμεση ή εξ αποστάσεως (συμπεριλαμβανομένης της τηλεόρασης) παρατήρηση. Ο φορέας πληροφοριών είναι το φως που εκπέμπεται από πηγές εμπιστευτικών πληροφοριών ή αντανακλάται από αυτό στο ορατό, υπέρυθρο και υπεριώδες εύρος.

Ακουστικά κανάλια.Για ένα άτομο, η ακοή είναι η δεύτερη πιο ενημερωτική μετά την όραση. Επομένως, ένα από τα αρκετά κοινά κανάλια διαρροής πληροφοριών είναι το ακουστικό κανάλι. Στο ακουστικό κανάλι, ο φορέας της πληροφορίας είναι ο ήχος που βρίσκεται στο υπερήχο (πάνω από 20.000 Hz), το ακουστικό και το υπέρηχο εύρος. Εύρος συχνότητες ήχουακούγεται από τον άνθρωπο κυμαίνεται από 16 έως 20.000 Hz και περιέχεται στην ανθρώπινη ομιλία - από 100 έως 6.000 Hz.

Στον ελεύθερο χώρο αέρα, τα ακουστικά κανάλια σχηματίζονται στα δωμάτια κατά τη διάρκεια των διαπραγματεύσεων στην περίπτωση ανοιχτών θυρών, παραθύρων και αεραγωγών. Επιπλέον, τέτοια κανάλια σχηματίζονται από το σύστημα εξαερισμού του αέρα των χώρων. Σε αυτή την περίπτωση, ο σχηματισμός καναλιών εξαρτάται σημαντικά από τις γεωμετρικές διαστάσεις και το σχήμα των αεραγωγών, τα ακουστικά χαρακτηριστικά των διαμορφωμένων στοιχείων των βαλβίδων, των διανομέων αέρα και παρόμοιων στοιχείων.

Ηλεκτρομαγνητικά κανάλια.Ο φορέας πληροφοριών είναι ηλεκτρομαγνητικά κύματα στην περιοχή από εξαιρετικά μακρά με μήκος κύματος 10.000 m (συχνότητες μικρότερες από 30 Hz) έως εξαχνωμένα με μήκος κύματος 1 - 0,1 mm. (συχνότητες από 300 έως 3000 GHz). Καθένας από αυτούς τους τύπους Ηλεκτρομαγνητικά κύματαέχει συγκεκριμένα χαρακτηριστικά διάδοσης, τόσο σε εμβέλεια όσο και σε χώρο. Τα μεγάλα κύματα, για παράδειγμα, διαδίδονται σε πολύ μεγάλες αποστάσεις, ενώ τα κύματα χιλιοστών, αντίθετα, εκτείνονται μόνο σε μια οπτική γραμμή εντός λίγων ή δεκάδων χιλιομέτρων. Επιπλέον, διάφορα τηλεφωνικά και άλλα καλώδια και καλώδια επικοινωνίας δημιουργούν μαγνητικά και ηλεκτρικά πεδία γύρω τους, τα οποία λειτουργούν επίσης ως στοιχεία διαρροής πληροφοριών λόγω παρεμβολών με άλλα καλώδια και στοιχεία εξοπλισμού στην κοντινή ζώνη της θέσης τους.

Υλικά και κανάλια υλικούΟι διαρροές πληροφοριών περιλαμβάνουν μια ποικιλία υλικών σε στερεή, υγρή, αέρια ή σωματιδιακή μορφή (ραδιενεργά στοιχεία). Πολύ συχνά πρόκειται για διάφορα απόβλητα παραγωγής, ελαττωματικά προϊόντα, ακατέργαστα υλικά κ.λπ.

Προφανώς, κάθε πηγή εμπιστευτικών πληροφοριών μπορεί να έχει, στον ένα ή τον άλλο βαθμό, ένα σύνολο καναλιών διαρροής πληροφοριών. Οι αιτίες της διαρροής σχετίζονται συνήθως με ατελή πρότυπα αποθήκευσης πληροφοριών, καθώς και με παραβιάσεις αυτών των προτύπων (συμπεριλαμβανομένων των ατελών), αποκλίσεις από τους κανόνες χειρισμού σχετικών εγγράφων, τεχνικά μέσα, δείγματα προϊόντων και άλλα υλικά που περιέχουν εμπιστευτικές πληροφορίες.

Οι παράγοντες διαρροής μπορεί να περιλαμβάνουν, για παράδειγμα:

ανεπαρκής γνώση των κανόνων ασφάλειας πληροφοριών από τους υπαλλήλους της επιχείρησης και έλλειψη κατανόησης (ή έλλειψη κατανόησης) της ανάγκης για προσεκτική συμμόρφωσή τους·

αδύναμος έλεγχος της συμμόρφωσης με τους κανόνες προστασίας των πληροφοριών με νομικά, οργανωτικά και μηχανολογικά μέτρα.

Μη εξουσιοδοτημένη πρόσβαση (UNA)

Αυτός ο πιο συνηθισμένος τύπος απειλής πληροφοριών περιλαμβάνει έναν χρήστη που αποκτά πρόσβαση σε ένα αντικείμενο για το οποίο δεν έχει άδεια σύμφωνα με την πολιτική ασφαλείας του οργανισμού. Η μεγαλύτερη πρόκληση είναι συνήθως να καθοριστεί ποιος θα πρέπει να έχει πρόσβαση σε ποια σύνολα δεδομένων και ποιος όχι. Με άλλα λόγια, ο όρος «μη εξουσιοδοτημένος» πρέπει να οριστεί.

Από τη φύση της, η επιρροή της NSD είναι μια ενεργή επιρροή που χρησιμοποιεί σφάλματα συστήματος. Η NSD συνήθως έχει απευθείας πρόσβαση στο απαιτούμενο σύνολο δεδομένων ή επηρεάζει τις πληροφορίες σχετικά με την εξουσιοδοτημένη πρόσβαση προκειμένου να νομιμοποιήσει την NSD. Οποιοδήποτε αντικείμενο συστήματος μπορεί να υπόκειται σε NSD. Η NSD μπορεί να πραγματοποιηθεί χρησιμοποιώντας τόσο τυπικό όσο και ειδικά σχεδιασμένο λογισμικόσε αντικείμενα.

Υπάρχουν επίσης αρκετά πρωτόγονοι τρόποι μη εξουσιοδοτημένης πρόσβασης:

κλοπή μέσων αποθήκευσης και απορρίμματα εγγράφων·

προορατική συνεργασία·

παρότρυνση για συνεργασία εκ μέρους του διαρρήκτη·

ανίχνευση?

υποκλοπή?

παρατήρηση και άλλους τρόπους.

Οποιεσδήποτε μέθοδοι διαρροής εμπιστευτικών πληροφοριών μπορεί να οδηγήσουν σε σημαντική υλική και ηθική ζημιά τόσο για τον οργανισμό όπου λειτουργεί το πληροφοριακό σύστημα όσο και για τους χρήστες του.

Οι διευθυντές θα πρέπει να θυμούνται ότι μεγάλο μέρος των λόγων και των συνθηκών που δημιουργούν τις προϋποθέσεις και την πιθανότητα παράνομης απόκτησης εμπιστευτικών πληροφοριών προκύπτουν από στοιχειώδεις ελλείψεις των ηγετών του οργανισμού και των υπαλλήλων τους. Για παράδειγμα, οι λόγοι και οι προϋποθέσεις που δημιουργούν τις προϋποθέσεις για τη διαρροή εμπορικών μυστικών μπορεί να περιλαμβάνουν:

ανεπαρκής γνώση από τους υπαλλήλους του οργανισμού σχετικά με τους κανόνες για την προστασία των εμπιστευτικών πληροφοριών και έλλειψη κατανόησης της ανάγκης για προσεκτική συμμόρφωσή τους·

χρήση μη πιστοποιημένων τεχνικών μέσων για την επεξεργασία εμπιστευτικών πληροφοριών·

αδύναμος έλεγχος της συμμόρφωσης με τους κανόνες προστασίας των πληροφοριών με νομικά οργανωτικά και μηχανικά μέτρα κ.λπ.

Παράδειγμα Νο. 1 (M. Nakamoto "Η Ιαπωνία καταπολεμά τις διαρροές", "Monday" με ημερομηνία 03/02/2004)

Οι ιαπωνικές εταιρείες είναι εδώ και καιρό κατηγορούμενοι σε σκάνδαλα και διαμάχες βιομηχανικής κατασκοπείας, με ένα από τα πιο διάσημα παραδείγματα να είναι η υπόθεση εργαζομένων της Hitachi το 1982 που κατηγορούνται για κλοπή πνευματικής ιδιοκτησίας από την IBM. Τώρα, όμως, καθώς ο διεθνής ανταγωνισμός εντείνεται σε περιοχές όπου παραδοσιακά κυριαρχούσαν οι Ιάπωνες, οι ίδιοι γίνονται όλο και περισσότερο θύματα βιομηχανικών κατασκόπων.

Η Sharp Corporation, η οποία φρουρεί προσεκτικά τις δικές της τεχνολογικές εξελίξεις, έχει εγκαταστήσει το υπερσύγχρονο εργοστάσιό της για την παραγωγή πάνελ υγρών κρυστάλλων στην πόλη Kameyama - σε μια απομακρυσμένη ορεινή περιοχή, μακριά από τα αδιάκριτα βλέμματα. Αλλά και εδώ ο γίγαντας της βιομηχανίας ηλεκτρονικών δεν αισθάνεται άνετα. πλήρη ασφάλεια: για κάποιο χρονικό διάστημα, οι υπάλληλοι της Sharp άρχισαν να ανησυχούν από ένα μυστηριώδες αυτοκίνητο που κυκλοφορούσε γύρω από τις μυστικές εγκαταστάσεις της εταιρείας περίπου μία φορά το μήνα. Το ύποπτο αυτοκίνητο, σύμφωνα με εκπροσώπους της Sharp, μπορεί κάλλιστα να ανήκει σε πράκτορα μιας ανταγωνιστικής εταιρείας που ελπίζει να μάθει σημαντικές λεπτομέρειες της τεχνογνωσίας κάποιου άλλου.

«Η διαρροή τεχνολογίας από την Ιαπωνία μειώνει την ανταγωνιστικότητα της χώρας και οδηγεί σε μείωση της απασχόλησης», δήλωσε ο Yoshinori Komiya, διευθυντής της Υπηρεσίας Προστασίας Πνευματικής Ιδιοκτησίας στο Υπουργείο Οικονομίας, Εμπορίου και Βιομηχανίας (METI). Αναγνωρίζουμε ότι ορισμένες τεχνολογίες υπόκεινται σε μεταφορά στο εξωτερικό. αλλά τώρα συχνά μεταφέρονται τεχνολογίες που οι ηγέτες των εταιρειών προσπαθούν να κρατήσουν μυστικές».

Αυτό το πρόβλημα έχει γίνει ιδιαίτερα οδυνηρό για την ιαπωνική κυβέρνηση τώρα που οι γείτονες της χώρας του ανατέλλοντος ηλίου έχουν επιτύχει σοβαρή επιτυχία στην αγορά υψηλής τεχνολογίας. Ακόμη και οι μεγαλύτερες και πιο ισχυρές ιαπωνικές εταιρείες πρέπει τώρα να λάβουν αμυντική στάση και να προστατεύσουν προσεκτικά την πνευματική τους ιδιοκτησία.

Σύμφωνα με το METI, πολλές εταιρείες που πέφτουν θύματα βιομηχανικής κατασκοπείας προσπαθούν να μην προκαλέσουν σκάνδαλο, αφού οι δικοί τους υπάλληλοι και όχι εξωτερικοί πράκτορες είναι ένοχοι για τις κλοπές. Όπως παραδέχεται ο Yokio Sotoku, αντιπρόεδρος της Matsushita, οι παραβιάσεις από τους πέμπτους αρθρογράφους, όπως οι υπάλληλοι που εργάζονται σε αντίπαλες εταιρείες τα Σαββατοκύριακα, εξακολουθούν να είναι συχνές στις ιαπωνικές επιχειρήσεις.

Η έρευνα της METP δείχνει επίσης ότι ένα από τα κανάλια για τη διαρροή εμπορικών πληροφοριών είναι πρώην υπάλληλοι ιαπωνικών εταιρειών που αναλαμβάνουν θέσεις εργασίας σε άλλες ασιατικές χώρες και παίρνουν μαζί τους την τεχνογνωσία των πρώην εργοδοτών τους. Η METP προσδιόρισε τους κύριους τρόπους με τους οποίους διαρρέουν εμπιστευτικές πληροφορίες σε ανταγωνιστές ιαπωνικών εταιρειών, συμπεριλαμβανομένης της αντιγραφής δεδομένων από τους υπαλλήλους κατά τις μη εργάσιμες ώρες. οι εργαζόμενοι εργάζονται με μερική απασχόληση σε ανταγωνιστικές εταιρείες (για παράδειγμα, τα Σαββατοκύριακα). δημιουργία κοινοπραξίας με ξένη εταιρεία με ανεπαρκώς ανεπτυγμένη πολιτική ασφάλειας πληροφοριών· παραβίαση συμφωνίας εμπιστευτικότητας από συνεργάτη-προμηθευτή εξοπλισμού κ.λπ.

Η METI σημειώνει ότι πολλές εταιρείες που δεν αντιλήφθηκαν έγκαιρα τον κίνδυνο που σχετίζεται με τη διαρροή τεχνογνωσίας υφίστανται σημαντικές απώλειες εξαιτίας αυτού, αλλά τα δικαστήρια σε τέτοιες περιπτώσεις τις αντιμετωπίζουν χωρίς συμπάθεια, αφού μιλάμε για αμέλεια και απροσεξία. Από τις 48 δικαστικές υποθέσεις στις οποίες ιαπωνικές εταιρείες ζήτησαν αποζημίωση για ζημίες από κλοπή πνευματικής ιδιοκτησίας, μόνο 16 υποθέσεις βρέθηκαν να είναι βάσιμες.

Παράδειγμα Νο. 2 (B. Gossage "Chatterbox - ένα θεϊκό δώρο για έναν ανταγωνιστή"; "Monday" με ημερομηνία 16/02/2004)

Ο Phil Sipowicz, ιδρυτής και επικεφαλής της αμερικανικής εταιρείας συμβούλων πληροφορικής Everynetwork, δεν θεώρησε ποτέ τον εαυτό του φλύαρο ή επιρρεπή σε αδιάκριτες δηλώσεις. Όταν διαπραγματευόταν μια πιθανή συνεργασία με έναν από τους ανταγωνιστές του, ο Σίποβιτς προσπάθησε να μην αποκαλύψει τα χαρτιά του, λέγοντας μόνο ό,τι θεωρούσε πραγματικά απαραίτητο για την προώθηση της συμφωνίας.

Μετά τις διαπραγματεύσεις, ένας αισιόδοξος Σίποβιτς, μαζί με τον δικηγόρο του, συνέταξαν μια συμφωνία μη αποκάλυψης και την έστειλαν με φαξ στη σύντροφό του. Η απάντηση ήρθε μόλις λίγες εβδομάδες αργότερα και ήταν απροσδόκητη - ο εταίρος είπε ότι δεν τον ενδιαφέρει μια συγχώνευση, μια συμμαχία ή οτιδήποτε άλλο... Και ένα μήνα αργότερα, ένας από τους πελάτες του Sipovich τηλεφώνησε και είπε ότι είχε έρθει σε επαφή μαζί του με πρόταση άλλου συμβούλου. Όπως αποδείχθηκε, ο ίδιος αποτυχημένος συνεργάτης! Μόνο τότε ο Σίποβιτς θυμήθηκε ότι κατά τη διάρκεια των διαπραγματεύσεων ανέφερε κατά λάθος τρεις από τους βασικούς πελάτες του. Οι υποψίες του ήταν δικαιολογημένες: σύντομα άλλοι δύο πελάτες έλαβαν επίσης προσφορές από εναλλακτικό σύμβουλο. «Αυτή δεν ήταν μια μεγάλης κλίμακας εκστρατεία μάρκετινγκ, αναζητούσαν μια προσέγγιση μόνο για εκείνους τους πελάτες τους οποίους ο ίδιος ανέφερα», δηλώνει ο Sipovich. «Δεν μπορούσα να κάνω τίποτα, αφού χύθηκα τα φασόλια».

Η αποκάλυψη και η διαρροή οδηγεί σε μη εξουσιοδοτημένη πρόσβαση σε εμπιστευτικές πληροφορίες όταν ελάχιστο κόστοςπροσπάθειες από την πλευρά του επιτιθέμενου. Αυτό διευκολύνεται από μερικά όχι τα καλύτερα προσωπικά και επαγγελματικά χαρακτηριστικά και ενέργειες των εργαζομένων της εταιρείας, που παρουσιάζονται στο Σχ. 3

Ρύζι. 3 Προσωπικά και επαγγελματικά χαρακτηριστικά και ενέργειες των εργαζομένων που συμβάλλουν στην υλοποίηση απειλών για την ασφάλεια των πληροφοριών

Και ακόμη κι αν ο υπάλληλος δεν είναι επιθετικός, μπορεί να κάνει λάθη ακούσια λόγω κούρασης, ασθένειας κ.λπ.

Λανθασμένη χρήση πληροφοριακών πόρων, η επιβολή κυρώσεων, ωστόσο, μπορεί να οδηγήσει σε καταστροφή και αποκάλυψη. ή σε κίνδυνο καθορισμένων πόρων. Αυτή η απειλή είναι συνήθως συνέπεια σφαλμάτων στο λογισμικό AIS.

Καταστροφή πληροφοριών υπολογιστή- αυτό είναι η διαγραφή του από τη μνήμη του υπολογιστή, η διαγραφή του από τα φυσικά μέσα, καθώς και μη εξουσιοδοτημένες αλλαγές στα δεδομένα που το αποτελούν, η ριζική αλλαγή του περιεχομένου (για παράδειγμα, εισαγωγή ψευδών πληροφοριών, προσθήκη, αλλαγή, διαγραφή εγγραφών). Η ταυτόχρονη μεταφορά πληροφοριών σε άλλο μέσο υπολογιστή δεν θεωρείται στο πλαίσιο του ποινικού δικαίου ως καταστροφή πληροφοριών υπολογιστή μόνο εάν, ως αποτέλεσμα αυτών των ενεργειών, δεν παρεμποδίστηκε ή αποκλειστεί σημαντικά η πρόσβαση των νόμιμων χρηστών στις πληροφορίες.

Ο χρήστης έχει τη δυνατότητα να επαναφέρει τις κατεστραμμένες πληροφορίες χρησιμοποιώντας λογισμικό ή να αποκτήσει αυτή η πληροφορίααπό άλλο χρήστη δεν απαλλάσσει τον ένοχο από την ευθύνη.

Η καταστροφή των πληροφοριών δεν σημαίνει μετονομασία του αρχείου όπου περιέχεται, ούτε το "εξαποβάλλει" αυτόματα. οι παλαιότερες εκδόσεις αρχείων είναι ενημερωμένες.

Αποκλεισμός πληροφοριών υπολογιστή– πρόκειται για τεχνητή δυσκολία πρόσβασης σε πληροφορίες υπολογιστή για χρήστες, που δεν σχετίζεται με την καταστροφή τους. Πρόκειται δηλαδή για τη διενέργεια ενεργειών με πληροφορίες, αποτέλεσμα των οποίων είναι η αδυναμία απόκτησης ή χρήσης της για τον προορισμό της, με απόλυτη ασφάλεια της ίδιας της πληροφορίας.

Συμβιβασμός πληροφοριώνΤο , κατά κανόνα, υλοποιείται κάνοντας μη εξουσιοδοτημένες αλλαγές σε βάσεις δεδομένων, με αποτέλεσμα ο καταναλωτής του να αναγκάζεται είτε να το εγκαταλείψει είτε να καταβάλει πρόσθετες προσπάθειες για τον εντοπισμό αλλαγών και την επαναφορά αληθινών πληροφοριών. Εάν χρησιμοποιηθούν παραβιασμένες πληροφορίες, ο καταναλωτής εκτίθεται στον κίνδυνο να λάβει λανθασμένες αποφάσεις με όλες τις επακόλουθες συνέπειες.

Η άρνηση παροχής πληροφοριών, ιδίως η μη αναγνώριση συναλλαγής (τραπεζική λειτουργία) συνίσταται στη μη αναγνώριση από τον παραλήπτη ή τον αποστολέα των πληροφοριών των γεγονότων της παραλαβής ή αποστολής της. Στο πλαίσιο των δραστηριοτήτων μάρκετινγκ, αυτό, ειδικότερα, επιτρέπει σε ένα από τα μέρη να καταγγείλει τις συναφθείσες χρηματοοικονομικές συμφωνίες «τεχνικά». τρόπο, χωρίς να τις αποκηρύξει επισήμως και να προκαλέσει σημαντική ζημία στο άλλο μέρος.

Τροποποίηση πληροφοριών υπολογιστή- αυτή είναι η εισαγωγή οποιωνδήποτε αλλαγών σε αυτό, εκτός από αυτές που σχετίζονται με την προσαρμογή ενός προγράμματος υπολογιστή ή μιας βάσης δεδομένων. Προσαρμογή προγράμματος υπολογιστή ή βάσης δεδομένων είναι «η εισαγωγή αλλαγών που πραγματοποιούνται αποκλειστικά με σκοπό τη διασφάλιση της λειτουργίας ενός προγράμματος υπολογιστή ή βάσης δεδομένων σε συγκεκριμένα τεχνικά μέσα του χρήστη ή υπό τον έλεγχο συγκεκριμένων προγραμμάτων χρήστη» (Μέρος 1 του άρθρου 1 του νόμου της Ρωσικής Ομοσπονδίας της 23ης Σεπτεμβρίου 1992 έτους "Σχετικά με τη νομική προστασία προγραμμάτων για ηλεκτρονικούς υπολογιστές και βάσεις δεδομένων";). Με άλλα λόγια, αυτό σημαίνει αλλαγή στο περιεχόμενό του σε σύγκριση με τις πληροφορίες που ήταν αρχικά (πριν από τη διάπραξη της πράξης) στη διάθεση του ιδιοκτήτη ή του νόμιμου χρήστη.

Αντιγραφή πληροφοριών υπολογιστή– παραγωγή και μόνιμη καταγραφή του δεύτερου και των επόμενων αντιγράφων της βάσης δεδομένων, αρχείων σε οποιαδήποτε υλική μορφή, καθώς και η καταγραφή τους σε μέσα υπολογιστή, σε μνήμη υπολογιστή.

Άρνηση παροχής υπηρεσιώναντιπροσωπεύει μια πολύ σημαντική και διαδεδομένη απειλή, η πηγή της οποίας είναι το ίδιο το AIS. Μια τέτοια άρνηση είναι ιδιαίτερα επικίνδυνη σε καταστάσεις όπου μια καθυστέρηση στην παροχή πόρων σε έναν συνδρομητή μπορεί να οδηγήσει σε τρομερές συνέπειες για αυτόν. Έτσι, η έλλειψη δεδομένων από τον χρήστη που είναι απαραίτητα για τη λήψη μιας απόφασης κατά την περίοδο κατά την οποία αυτή η απόφαση μπορεί να εφαρμοστεί ακόμη αποτελεσματικά μπορεί να τον κάνει να ενεργεί παράλογα.

Οι κύριοι τυπικοί τρόποι μη εξουσιοδοτημένης πρόσβασης σε πληροφορίες είναι:

υποκλοπή ηλεκτρονικής ακτινοβολίας.

Εγγραφο
... ενημερωτικήασφάλεια. 8.2.9. Γενικές απαιτήσεις ασφάλειας ενημερωτικήασφάλειαΤΡΑΠΕΖΙΚΕΣ ΕΡΓΑΣΙΕΣ πληροφορίες τεχνολογικές διαδικασίες 8.2.9.1. Σύστημαπρόβλεψη ενημερωτικήασφάλειαΤΡΑΠΕΖΙΚΕΣ ΕΡΓΑΣΙΕΣ ενημερωτική ... -οικονομικός ...
Ασφάλεια πληροφοριών
Φροντιστήριο
Με διάταξη ενημερωτικήασφάλεια RF; ανεπαρκής οικονομικόςη εξουσία του κράτους· μειωμένη αποτελεσματικότητα συστήματαεκπαίδευση και ανατροφή...
Ασφάλεια πληροφοριών της επιχειρηματικής δραστηριότητας εκπαιδευτικό και μεθοδολογικό συγκρότημα
Σύμπλεγμα εκπαίδευσης και μεθοδολογίας
Μαθηματικά, Πληροφορική, οικονομικόςθεωρία, στατιστική,... ενημερωτικήασφάλεια. Β. Μέθοδοι κρυπτογραφικής διασφάλισης ενημερωτικήασφάλεια. Β. Απαιτήσεις εξασφαλίσεων ενημερωτικήασφάλειαεταιρικός ενημερωτικήσυστήματα ...

Οι κύριοι τύποι απειλών για την ασφάλεια των πληροφοριακών συστημάτων είναι:

Εσκεμμένες ενέργειες παραβατών και επιτιθέμενων (προσβεβλημένου προσωπικού, εγκληματιών, κατασκόπων, σαμποτέρ κ.λπ.).

Οι απειλές ασφαλείας μπορούν να ταξινομηθούν σύμφωνα με διάφορα κριτήρια:

1. Με βάση τα αποτελέσματα της δράσης:

1) απειλή διαρροής.

2) απειλή τροποποίησης.

3) απειλή απώλειας.

2. Με βάση:

· Ακούσια?

· Σκόπιμα.

Μπορεί να προκύψουν τυχαίες (ακούσιες) απειλές ως αποτέλεσμα:

Φυσικές καταστροφές και ατυχήματα (πλημμύρα, τυφώνας, σεισμός, πυρκαγιά κ.λπ.)

Βλάβη και αστοχία εξοπλισμού (τεχνικά μέσα) της AITU.

Συνέπειες σφαλμάτων στο σχεδιασμό και την ανάπτυξη στοιχείων AIS (υλισμικό, τεχνολογία επεξεργασίας πληροφοριών, προγράμματα, δομές δεδομένων κ.λπ.).

Λειτουργικά σφάλματα (από χρήστες, χειριστές και λοιπό προσωπικό).

Κύριοι λόγοι ακούσιες, ανθρωπογενείς απειλές AIS:

· Απροσεξία.

· παραβίαση των κανονισμών και παράβλεψη περιορισμών που έχουν θεσπιστεί στο σύστημα.

· Ανικανότητα.

· Αμέλεια.

Παραδείγματα απειλών:

1) ακούσιες ενέργειες,που οδηγεί σε μερική ή πλήρη αποτυχία του συστήματος ή καταστροφή υλικού, λογισμικού, πόρων πληροφοριών του συστήματος (ακούσια ζημιά στον εξοπλισμό, διαγραφή, παραμόρφωση αρχείων με σημαντικές πληροφορίεςή προγράμματα, συμπεριλαμβανομένων των συστημάτων, κ.λπ.)

2) παράνομη ενεργοποίηση εξοπλισμού ή αλλαγή τρόπων λειτουργίας συσκευών και προγραμμάτων;

3) ακούσια βλάβη στα μέσαπληροφορίες;

4) παράνομη εισαγωγή και χρήση μη καταχωρημένων προγραμμάτων (παιχνίδια, εκπαιδευτικά, τεχνολογικά κ.λπ.., δεν είναι απαραίτητο για τον παραβάτη να εκτελεί τα επίσημα καθήκοντά του) με επακόλουθη αδικαιολόγητη κατανάλωση πόρων (φορτίο επεξεργαστή, σύλληψη μνήμης RAM και μνήμης σε εξωτερικά μέσα).

6) μόλυνση υπολογιστή ιοί?

7) απρόσεκτες ενέργειες που οδηγούν σε αποκάλυψη εμπιστευτικών πληροφοριώνή δημοσιοποίηση·

8) αποκάλυψη, μεταφορά ή απώλεια ιδιοτήτων ελέγχου πρόσβασης (σελκωδικούς πρόσβασης, κλειδιά κρυπτογράφησης, κάρτες ταυτότητας, πάσο κ.λπ.)

9) αγνοώντας τους οργανωτικούς περιορισμούς(καθιερωμένοι κανόνες) με κατάταξη στο σύστημα.

10) σύνδεση στο σύστημα παρακάμπτοντας τα μέτρα ασφαλείας(φόρτωση ξένου λειτουργικού συστήματος από αφαιρούμενα μαγνητικά μέσα κ.λπ.)

11) αναρμόδια χρήση, ρύθμιση ή μη εξουσιοδοτημένος τερματισμός λειτουργίας προστατευτικός εξοπλισμόςΠΡΟΣΩΠΙΚΟ ΑΣΦΑΛΕΙΑΣ;

12) αποστολή δεδομένων σε λάθος διεύθυνση του συνδρομητή (συσκευή).

13) εισαγωγή λανθασμένων δεδομένων.

14) ακούσια βλάβη στα κανάλια επικοινωνίας.

εσκεμμένες απειλές - Πρόκειται για απειλές AIS που προκαλούνται από ανθρώπινη δραστηριότητα και συνδέονται με τις εγωιστικές φιλοδοξίες των ανθρώπων (επιτιθέμενων).

Πηγές απειλών προς σύστημα πληροφορίωνμπορεί να είναι εξωτερικό ή εσωτερικό.

Δυστυχώς, η εφαρμογή και των δύο απειλών έχει τις ίδιες συνέπειες: απώλεια πληροφοριών, παραβίαση του απορρήτου τους, τροποποίησή τους.

Βασικός σκόπιμες απειλές συνήθως στοχεύουν σε:

· εσκεμμένη αποδιοργάνωση της λειτουργίας του συστήματος και αποτυχία του,

· με σκοπό τη διείσδυση στο σύστημα και τη μη εξουσιοδοτημένη πρόσβαση σε πληροφορίες και τη χρήση τους για προσωπικό όφελος.

Οι εσκεμμένες απειλές, με τη σειρά τους, μπορούν να χωριστούν σε:

1. Ενεργητική και παθητική .

Παθητικές απειλές - στοχεύουν κυρίως στη μη εξουσιοδοτημένη χρήση πληροφοριακών πόρων, η οποία δεν συνεπάγεται βλάβη ή καταστροφή πληροφοριών.

Για αυτό χρησιμοποιούνται διάφορες μέθοδοι υλοποίησης. :

ΕΝΑ) χρήση συσκευών ακρόασης, απομακρυσμένη λήψη φωτογραφιών και βίντεο, κλοπή μέσων, κ.λπ.

β) κλοπή μέσων αποθήκευσης (μαγνητικούς δίσκους, κασέτες, τσιπ μνήμης, συσκευές αποθήκευσης και προσωπικούς υπολογιστές).

γ) υποκλοπή δεδομένων που μεταδίδονται μέσω καναλιών επικοινωνίας και ανάλυσή τους προκειμένου να καθοριστούν τα πρωτόκολλα ανταλλαγής, οι κανόνες για την είσοδο στην επικοινωνία και η εξουσιοδότηση χρήστη και οι επακόλουθες προσπάθειες μίμησής τους για διείσδυση στο σύστημα.

ΣΟΛ) ανάγνωση υπολειπόμενων πληροφοριών από τη μνήμη RAM και τις εξωτερικές συσκευές αποθήκευσης (buffer μνήμης εκτυπωτή).

δ) ανάγνωση πληροφοριών από Περιοχές RAM, που χρησιμοποιείται από το λειτουργικό σύστημα (συμπεριλαμβανομένου του υποσυστήματος ασφαλείας).

μι) παράνομη απόκτηση κωδικών πρόσβασηςκαι άλλες λεπτομέρειες ελέγχου πρόσβασης (μέσω ευφυΐας, με χρήση της αμέλειας των χρηστών, με επιλογή, μίμηση της διεπαφής συστήματος, κ.λπ., ακολουθούμενη από μεταμφίεση ως εγγεγραμμένος χρήστης («μασκέ»)·

Ενεργές απειλές - παράβαση κανονική λειτουργίασύστημα μέσω στοχευμένης επιρροής στα στοιχεία του.

Μέθοδοι υλοποίησης:

Α) αποτυχία του υπολογιστή ή του λειτουργικού συστήματος.

Β) διακοπή των καναλιών επικοινωνίας.

Γ) παραβίαση του συστήματος ασφαλείας.

Δ) χρήση ιών λογισμικού κ.λπ.

2. Εσωτερικές και εξωτερικές απειλές .

Εσωτερικοί παραβάτεςμπορεί να είναι άτομα από τις ακόλουθες κατηγορίες προσωπικού:

§ προσωπικό υποστήριξης και συντήρησης (χειριστές, ηλεκτρολόγοι, τεχνικοί) του συστήματος.

§ υπάλληλοι τμημάτων ανάπτυξης και συντήρησης λογισμικού (προγραμματιστές εφαρμογών και συστημάτων).

§ Αξιωματικοί ασφαλείας του AITU.

§ διευθυντές σε διάφορα επίπεδα της επίσημης ιεραρχίας.

Σύμφωνα με έρευνα που έγινε στο BIS, πάνω από το 80% των παραβάσεων γίνονται από τραπεζικούς υπαλλήλους

Οι ξένοι που μπορεί να είναι εξωτερικούς παραβάτες .

§ πελάτες (εκπρόσωποι οργανισμών, πολίτες).

§ επισκέπτες (προσκεκλημένοι για οποιοδήποτε λόγο).

§ εκπρόσωποι οργανισμών που αλληλεπιδρούν σε θέματα διασφάλισης της ζωής του οργανισμού (ενέργεια, νερό, παροχή θερμότητας κ.λπ.).

εκπροσώπους ανταγωνιστικών οργανισμών (ξένες υπηρεσίες πληροφοριών) ή πρόσωπα που ενεργούν σύμφωνα με τις οδηγίες τους·

2.Μέθοδοι και μέσα προστασίας

Σύστημα προστασίας - Πρόκειται για ένα σύνολο (συγκρότημα) ειδικών μέτρων νομικής (νομοθετικής) (διοικητικής φύσης, οργανωτικά μέτρα, φυσικά και τεχνικά (υλισμικό και λογισμικό) μέσα προστασίας, καθώς και ειδικό προσωπικό που έχει σχεδιαστεί για να διασφαλίζει την ασφάλεια των πληροφοριών, την τεχνολογία πληροφοριών και το αυτοματοποιημένο σύστημα στο σύνολό του.

Στη διεθνή και τη ρωσική πρακτική, τα πρότυπα χρησιμοποιούνται για την αξιολόγηση του επιπέδου ασφάλειας των συστημάτων υπολογιστών. Στις ΗΠΑ, το έγγραφο που περιέχει αυτά τα πρότυπα ονομάζεται Orange Book. (1985). Παρέχει τα ακόλουθα επίπεδα ασφάλειας συστήματος:

· Ανώτατη τάξη - Α;

· Ενδιάμεση τάξη – Β;

· Χαμηλό επίπεδο – C;

· Κατηγορία συστημάτων που δεν έχουν περάσει τη δοκιμή – Δ.

Στη ρωσική πρακτική, η Κρατική Τεχνική Επιτροπή υπό τον Πρόεδρο της Ρωσικής Ομοσπονδίας έχει αναπτύξει ένα έγγραφο κατευθυντήριων γραμμών που προβλέπει τη δημιουργία 7 τάξεων ασφάλειας ηλεκτρονικού εξοπλισμού από μη εξουσιοδοτημένη πρόσβαση. Στην περίπτωση αυτή, τα προστατευτικά μέτρα καλύπτουν τα ακόλουθα υποσυστήματα:

· Έλεγχος πρόσβασης.

· Εγγραφή και λογιστική.

· Κρυπτογραφική;

· Διασφάλιση ακεραιότητας.

· Νομοθετικά μέτρα.

· Φυσικά μέτρα.

Μέθοδοι και μέσα για τη διασφάλιση της ασφάλειας των πληροφοριών φαίνονται στο σχήμα 2. Ας εξετάσουμε το κύριο περιεχόμενο των παρουσιαζόμενων μεθόδων ασφάλειας πληροφοριών, οι οποίες αποτελούν τη βάση των μηχανισμών ασφαλείας.

Δημοφιλή στην κατηγορία: