Ақпараттық қауіпсіздікке ықтимал қауіптер. Ақпараттық қауіпсіздік қатерлерінің түрлері. Ақпараттық қауіпсіздік пен деректерге қол жеткізуді бұзудың нақты мысалдары

Ақпараттық қауіпсіздікке ықтимал қауіптер. Ақпараттық қауіпсіздік қатерлерінің түрлері. Ақпараттық қауіпсіздік пен деректерге қол жеткізуді бұзудың нақты мысалдары

Қазіргі қоғамда ақпараттық технологияларжәне сақтау үшін электронды БАҚүлкен деректер базасы ақпарат пен түрлердің қауіпсіздік мәселелері ақпараттық қауіптербекершіліктен ада емес. Ақпараттың иесіне немесе пайдаланушысына зиян келтіруі мүмкін табиғи немесе жасанды кездейсоқ және қасақана әрекеттер осы мақаланың тақырыбы болып табылады.

Ақпараттық саладағы қауіпсіздікті қамтамасыз ету принциптері

Ақпараттық қауіпсіздіктің негізгі принциптері, оның қауіпсіздігі мен тұтастығын қамтамасыз ету жүйелері:

  • Ақпараттық мәліметтердің тұтастығы. Бұл принцип ақпараттың оны беру және сақтау кезінде мазмұны мен құрылымын сақтауын білдіреді. Деректерді жасау, өзгерту немесе жою құқығы тек тиісті рұқсат мәртебесі бар пайдаланушылар үшін сақталған.
  • Деректер құпиялылығы. Деректер массивіне қол жеткізу осы жүйеде рұқсат етілген пайдаланушылардың анық шектеулі шеңберіне ие, осылайша ақпаратқа рұқсатсыз қол жеткізуден қорғауды қамтамасыз етеді.
  • Деректер массивінің қолжетімділігі. Осы қағидатқа сәйкес уәкілетті пайдаланушылар оған дер кезінде және кедергісіз қол жеткізе алады.
  • Ақпараттың сенімділігі. Бұл принцип ақпараттың қатаң түрде тек кімнен алынған және оның қайнар көзі болып табылатын субъектіге тиесілі екендігінде көрінеді.

Қауіпсіздік тапсырмалары

Компьютерлік жүйедегі ақаулар мен қателер ауыр зардаптарға әкелуі мүмкін болса, ақпараттық қауіпсіздік мәселелері бірінші орынға шығады. Ал ақпараттық қауіпсіздік жүйесінің міндеттері аясында олар көп қырлы және кешенді шараларды білдіреді. Олар ақпаратты теріс пайдаланудың, бүлдірудің, бұрмалаудың, көшірудің және блоктаудың алдын алуды қамтиды. Бұған тиісті рұқсаты жоқ адамдардың рұқсатсыз кіруін қадағалау және алдын алу, ақпараттың ағып кетуін және оның тұтастығы мен құпиялылығына барлық ықтимал қауіптерді болдырмау кіреді. Сағат заманауи дамудеректер базасы, қауіпсіздік мәселелері шағын және жеке пайдаланушылар үшін ғана емес, сонымен қатар қаржы институттары үшін де маңызды болып отыр, ірі корпорациялар.

Ақпараттық қауіпсіздік қатерлерінің түрлерінің классификациясы

Бұл контексте «қауіп» деген сөз потенциалды білдіреді ықтимал әрекеттер, операциялық жүйеге немесе онда сақталған ақпаратқа жағымсыз салдарға немесе әсерлерге әкелуі мүмкін құбылыстар мен процестер. IN қазіргі әлеммұндай ақпараттық қауіптердің жеткілікті үлкен саны белгілі, олардың түрлері критерийлердің біріне негізделіп жіктеледі.

Сонымен, пайда болу сипатына қарай олар мыналарды ажыратады:

  • табиғи қауіптер. Бұл физикалық әсерлердің немесе табиғи құбылыстардың нәтижесінде пайда болғандар.
  • жасанды қауіптер. TO бұл түрақпараттық қауіптерге адамның іс-әрекетімен байланысты барлық нәрселер жатады.

Алдын ала ойлану дәрежесіне сәйкес қауіптер кездейсоқ және қасақана болып бөлінеді.

Ақпараттық қауіпсіздікке тікелей қауіп төндіретін көзге байланысты табиғи (мысалы, табиғи құбылыстар), адамдық (ақпаратты жария ету арқылы оның құпиялылығын бұзу), бағдарламалық және техникалық құралдар болуы мүмкін. Соңғы түрі, өз кезегінде, рұқсат етілген (операциялық жүйелердің жұмысындағы қателер) және рұқсат етілмеген (веб-сайтты бұзу және вирустық инфекция) қауіптерге бөлуге болады.

Көз қашықтығы бойынша классификация

Дереккөздің орнына байланысты ақпараттық қауіптердің 3 негізгі түрі бар:

  • Компьютерден тыс көзден келетін қауіптер операциялық жүйе. Мысалы, ақпаратты байланыс арналары арқылы беру кезінде ұстап алу.
  • Көзі басқарылатын операциялық жүйеде орналасқан қауіптер. Мысалы, деректерді ұрлау немесе ақпараттың ағып кетуі.
  • Жүйенің өзінде пайда болған қауіптер. Мысалы, ресурсты қате тасымалдау немесе көшіру.

Басқа классификациялар

Дереккөздің қашықтығына қарамастан, ақпараттық қауіп түрі пассивті (әсер деректер құрылымының өзгеруіне әкелмейді) және белсенді (әсер деректер құрылымын, компьютерлік жүйенің мазмұнын өзгертеді) болуы мүмкін.

Сонымен қатар, ақпараттық қауіптер компьютерге кіру кезеңдерінде пайда болуы мүмкін және рұқсат етілген қол жеткізуден кейін анықталуы мүмкін (мысалы, деректерді рұқсатсыз пайдалану).

Қауіптердің орналасуына сәйкес 3 түрі болуы мүмкін: орналасқан ақпаратқа қол жеткізу сатысында пайда болатын қауіптер. сыртқы құрылғыларжады, в жедел жадыжәне байланыс желілері арқылы айналатын бірінде.

Кейбір қауіптер (мысалы, ақпаратты ұрлау) жүйенің белсенділігіне байланысты емес, басқалары (вирустар) тек деректерді өңдеу кезінде анықталады.

Байқамаған (табиғи) қауіптер

Ақпараттық қауіптердің осы түрін енгізу тетіктері, сондай-ақ олардың алдын алу әдістері жеткілікті түрде зерттелген.

үшін ерекше қауіп компьютерлік жүйелеравариялар мен табиғи (табиғи) құбылыстарды бейнелейді. Мұндай әсер ету нәтижесінде ақпарат қолжетімсіз болады (толық немесе ішінара), ол бұрмалануы немесе толығымен жойылуы мүмкін. Ақпараттық қауіпсіздік жүйесі мұндай қауіптерді толығымен жоя немесе алдын ала алмайды.

Тағы бір қауіп - компьютерлік жүйені әзірлеуде жіберілген қателер. Мысалы, дұрыс емес жұмыс алгоритмдері, қате бағдарламалық қамтамасыз ету. Дәл осы қателерді шабуылдаушылар жиі қолданады.

Ақпараттық қауіпсіздікке қасақана емес, бірақ елеулі қауіп түрлерінің тағы бір түрі – пайдаланушылардың біліксіздігі, немқұрайлылығы немесе немқұрайлылығы. Жүйелердің ақпараттық қауіпсіздігін әлсірету жағдайларының 65% -ында ақпараттың жоғалуына, құпиялылығы мен тұтастығын бұзуға әкелген пайдаланушылардың функционалдық міндеттерін бұзуы болды.

Қасақана ақпараттық қауіптер

Қауіптің бұл түрі динамикалық сипатымен және бұзушылардың мақсатты әрекеттерінің жаңа түрлерімен және әдістерімен үнемі толығуымен сипатталады.

Бұл аймақта шабуылдаушылар арнайы бағдарламаларды пайдаланады:

  • Вирустар - өздігінен көшірілетін және жүйеде таралатын шағын бағдарламалар.
  • Құрттар - бұл компьютерді жүктеген сайын іске қосылатын утилиталар. Вирустар сияқты, олар жүйеде өздігінен көшіріледі және таралады, бұл оның шамадан тыс жүктелуіне және жұмысының блокталуына әкеледі.
  • Трояндық аттар - пайдалы қолданбалардың астында жасырылған зиянды бағдарлама. Олар шабуылдаушыға ақпараттық файлдарды жібере алады және жүйелік бағдарламалық жасақтаманы жоя алады.

Бірақ зиянды бағдарлама қасақана енудің жалғыз құралы емес. Сондай-ақ тыңшылықтың көптеген әдістері қолданылады - телефонды тыңдау, бағдарламалар мен қорғау атрибуттарын ұрлау, құжаттарды бұзу және ұрлау. Құпия сөзді ұстау көбінесе пайдалану арқылы жүзеге асырылады арнайы бағдарламалар.

Өнеркәсіптік тыңшылық

ФБР мен Компьютерді қорғау институтының (АҚШ) статистикасы интрузиялардың 50%-ын компаниялардың немесе кәсіпорындардың қызметкерлерінің өздері жасайтынын көрсетеді. Олардан басқа, бәсекелес компаниялар, несие берушілер, сатып алушылар және сатушы компаниялар, сондай-ақ қылмыстық элементтер осындай ақпараттық қауіптердің субъектілеріне айналады.

Әсіресе хакерлер мен технораттар алаңдатады. Бұл сайттарды бұзатын білікті пайдаланушылар мен бағдарламашылар компьютерлік желілерпайда алу мақсатында немесе спорттық қызығушылық үшін.

Ақпаратты қалай қорғауға болады?

Ақпараттық қауіптердің әртүрлі түрлерінің тұрақты өсуі мен қарқынды дамуына қарамастан, әлі де қорғаныс әдістері бар.

  • Физикалық қорғанысБұл ақпараттық қауіпсіздіктің бірінші кезеңі. Бұған рұқсат етілмеген пайдаланушыларға және өту жүйесіне, әсіресе сервер бөліміне кіруге рұқсатты шектеу кіреді.
  • Ақпаратты қорғаудың негізгі деңгейі блоктаушы бағдарламалар болып табылады компьютерлік вирустарЖәне антивирустық бағдарламалар, күмәнді сипаттағы хат-хабарларды сүзгілеу жүйелері.
  • Әзірлеушілер ұсынатын DDoS қорғауы бағдарламалық қамтамасыз ету.
  • Жасау сақтық көшірмелербасқа сыртқы тасымалдағышта немесе «бұлтта» сақталады.
  • Апат және деректерді қалпына келтіру жоспары. үшін бұл әдіс маңызды ірі компанияларсәтсіздікке ұшыраған жағдайда өзін қорғағысы келетін және тоқтап қалу уақытын қысқартқысы келетіндер.
  • Электрондық тасымалдаушылардың көмегімен деректерді беру кезінде оларды шифрлау.

Ақпараттық қауіпсіздік кешенді тәсілді қажет етеді. Неғұрлым көп әдістер қолданылса, рұқсат етілмеген қол жеткізуден, деректерді жою немесе зақымдау қаупінен, сондай-ақ оларды ұрлаудан қорғау тиімдірек болады.

Сізді ойландыратын бірнеше фактілер

2016 жылы DDoS шабуылдары банктердің 26%-да тіркелді.

Жеке деректердің ең үлкен ағып кетуі 2017 жылдың шілдесінде Equifax несиелік бюросында (АҚШ) орын алды. 143 миллион адамның деректері мен 209 мың несие картасының нөмірі қате адамдардың қолына түскен.

«Ақпарат кімге тиесілі болса, ол әлемге ие». Бұл мәлімдеме өзектілігін жоғалтқан жоқ, әсіресе қашан біз сөйлесемізбәсекелестік туралы. Сөйтіп, 2010 жылы ол бұзылды iPhone презентациясы 4 қызметкерлердің бірі смартфонның прототипін барға қалдырып кеткендіктен, оны тауып алған студент прототипін журналистерге сатқан. Нәтижесінде смартфонның эксклюзивті шолуы оның ресми тұсаукесерінен бірнеше ай бұрын БАҚ-қа жарияланды.

КС-дегі ақпараттық қауіпсіздіктің ықтимал қауіптерінің барлық жиынтығын 2 негізгі класқа бөлуге болады (1-сурет).

1-сурет

Зиянкестердің қасақана әрекеттеріне қатысы жоқ және кездейсоқ уақытта жүзеге асатын қауіптер деп аталады. кездейсоқ немесе әдейі емес. Жалпы кездейсоқ қатерлерді жүзеге асыру механизмі жеткілікті түрде зерттелген, осы қауіптерге қарсы тұруда айтарлықтай тәжірибе жинақталған.

Табиғи апаттар мен апаттар КС үшін ең жойқын зардаптарға толы, өйткені соңғылары физикалық жойылуға ұшырайды, ақпарат жоғалады немесе оған қол жеткізу мүмкін болмайды.

Ақаулар мен сәтсіздіктер күрделі жүйелер сөзсіз. Сәтсіздіктер мен сәтсіздіктер нәтижесінде өнімділік бұзылады техникалық құралдар, деректер мен бағдарламалар жойылады және бұрмаланады, құрылғы жұмысының алгоритмі бұзылады.

CS, алгоритмдік және бағдарламалық қамтамасыз етуді әзірлеудегі қателер қателер техникалық құралдардың істен шығуы мен істен шығуының салдарына ұқсас салдарға әкеледі. Сонымен қатар, мұндай қателерді шабуылдаушылар CS ресурстарына әсер ету үшін пайдалана алады.

Нәтижесінде пайдаланушылар мен техникалық қызмет көрсету қызметкерлерінің қателері Қауіпсіздік 65% жағдайда бұзылады. Қызметкерлердің функционалдық міндеттерін біліксіз, немқұрайлы немесе ұқыпсыз орындауы ақпараттың жойылуына, тұтастығы мен құпиялылығының бұзылуына әкеп соғады.

Қасақана қорқытулар құқық бұзушының мақсатты әрекеттерімен байланысты. Қауіптердің бұл класы жеткілікті зерттелмеген, өте серпінді және үнемі жаңа қауіптермен толықтырылып отырады.

Тыңшылық пен диверсияның әдістері мен құралдары Көбінесе COP-ға ену үшін, сондай-ақ ұрлау және жою үшін қорғаныс жүйесі туралы ақпаратты алу үшін қолданылады. ақпараттық ресурстар. Мұндай әдістерге тыңдау, визуалды бақылау, құжаттар мен машиналық тасымалдағыштарды ұрлау, қауіпсіздік жүйесінің бағдарламалары мен атрибуттарын ұрлау, көлік құралдарының қалдықтарын жинау және талдау, өртеу жатады.

Ақпаратқа рұқсатсыз қол жеткізу (UAS) әдетте КС стандартты аппараттық-бағдарламалық құралдарын пайдалану кезінде орын алады, нәтижесінде пайдаланушының немесе процестің ақпараттық ресурстарға қол жеткізуін шектеудің белгіленген ережелері бұзылады. Қол жеткізуді бақылау ережелері ақпарат бірліктеріне адамдардың немесе процестердің қол жеткізу құқықтарын реттейтін ережелер жиынтығы ретінде түсініледі. Ең жиі кездесетін бұзушылықтар:

Құпия сөздерді ұстау - арнайы әзірленген

бағдарламалар;

-- «маскарад» – бір қолданушының басқа біреудің атынан кез келген әрекетті орындауы;

Артықшылықтарды заңсыз пайдалану – зиянкестің заңды пайдаланушылардың артықшылықтарын тартып алуы.

КС техникалық құралдарымен ақпаратты өңдеу және беру процесі қоршаған кеңістікке электромагниттік сәулеленумен және байланыс желілеріндегі электр сигналдарының индукциясымен бірге жүреді. Олардың есімдері бар жалған электромагниттік сәулелену және кедергі (PEMIN). Арнайы жабдықтың көмегімен сигналдар қабылданады, бөлінеді, күшейтіледі және оларды қарауға немесе сақтау құрылғыларында (жад) жазуға болады. электромагниттік сәулеленушабуылдаушылар ақпаратты алу үшін ғана емес, оны жою үшін де пайдаланады.

КС ақпарат қауіпсіздігіне үлкен қатер болып табылады жүйенің алгоритмдік, бағдарламалық және техникалық құрылымдарын рұқсатсыз өзгерту , ол «бетбелгі» деп аталады. Әдетте, «бетбелгілер» мамандандырылған жүйелерге енгізіледі және CS-ге тікелей зиянды әсер ету үшін немесе жүйеге бақылаусыз кіруді қамтамасыз ету үшін қолданылады.

Қауіпсіздікке қауіп төндіретін негізгі көздердің бірі әдетте арнайы бағдарламаларды пайдалану болып табылады «зиянды бағдарламалар» . Бұл бағдарламаларға ... кіреді.

- «компьютерлік вирустар» - компьютерге енгізілгеннен кейін олардың көшірмелерін жасау арқылы дербес таралатын және белгілі бір жағдайларда КС-ге кері әсер ететін шағын бағдарламалар;

-- «Құрттар» – жүйе жүктелген сайын орындалатын, CS немесе желіге көшу және көшірмелерді өздігінен шығару мүмкіндігі бар бағдарламалар. Бағдарламалардың көшкін тәрізді қайталануы байланыс арналарының, жадының шамадан тыс жүктелуіне, содан кейін жүйенің блокталуына әкеледі;

-- «Троялық аттар» - ұқсайтын бағдарламалар пайдалы қолданба, бірақ іс жүзінде зиянды функцияларды орындайды (бағдарламалық құралды жою, құпия ақпараты бар файлдарды көшіру және шабуылдаушыға жіберу және т.б.).

Жоғарыда аталған қауіпсіздік қатерлерінен басқа, жыл сайын маңыздырақ қауіпсіздік мәселесіне айналатын ақпараттың ағып кету қаупі де бар. Ағып кетулермен тиімді күресу үшін олардың қалай пайда болатынын білу керек (Cурет 2) .

2-сурет

Ағып кетудің төрт негізгі түрі оқиғалардың басым көпшілігін (84%) құрайды, бұл үлестің жартысы (40%) ең танымал қауіп, медиа ұрлығы болып табылады. 15% ішінде. Бұл санатқа ақпаратқа заңды рұқсаты бар қызметкерлердің әрекеттерінен туындаған оқиғалар жатады. Мысалы, қызметкердің ақпаратқа қол жеткізу құқығы болмады, бірақ қауіпсіздік жүйелерін айналып өтіп үлгерді. Немесе инсайдер ақпаратқа қол жеткізіп, оны ұйымнан шығарды. Қосулы хакерлік шабуылқауіптердің де 15%-ын құрайды. Оқиғалардың бұл кең тобына сыртқы ену нәтижесінде орын алған барлық ағып кетулер кіреді. Хакерлердің интрузия үлесінің төмен болуы интрузиялардың өздері аз байқала бастағанымен түсіндіріледі. 14% веб-сайттың ағып кетуі болды. Бұл санатқа қоғамдық орындарда құпия ақпаратты жариялаумен байланысты барлық ағып кетулер кіреді, мысалы жаһандық желілер. 9% - қағаздың ағып кетуі. Анықтама бойынша қағаздың ағуы - бұл құпия ақпаратты қағазға басып шығару нәтижесінде пайда болатын кез келген ағып кету. 7% - басқа ықтимал қауіптер. Бұл санатқа нақты себебін анықтау мүмкін болмаған оқиғалар, сондай-ақ жеке ақпаратты заңсыз мақсаттарда пайдаланғаннан кейін белгілі болған оқиғалар кіреді.

Сонымен қатар, қазіргі уақытта белсенді дамып келеді фишинг - қол жеткізу парольдері, несие картасы нөмірлері, банктік шоттар және басқа да жеке мәліметтер сияқты жеке құпия деректерді ұрлаудан тұратын интернет-алаяқтық технологиясы. Фишинг (ағылшын тілінен. Fishing - балық аулау) құпия сөзбен балық аулауды білдіреді және COP техникалық кемшіліктерін емес, Интернетті пайдаланушылардың сенімділігін пайдаланады. Шабуылдаушы Интернетке жем тастайды және «барлық балықты ұстайды» - оған құлайтын пайдаланушылар.

Қауіптердің нақты түрлерінің ерекшеліктеріне қарамастан, ақпараттық қауіпсіздік тұтастықты, құпиялылықты және қолжетімділікті қамтамасыз етуі керек. Тұтастыққа, құпиялылыққа және қолжетімділікке қауіп төндіреді. Тұтастықты бұзу CS-де сақталған немесе бір жүйеден екінші жүйеге берілетін ақпаратты кез келген қасақана өзгертуді қамтиды. Құпиялықты бұзу ақпарат оған қол жеткізуге құқығы жоқ адамға белгілі болатын жағдайға әкелуі мүмкін. Ақпараттың қолжетімсіздігі қаупі басқа пайдаланушылардың немесе зиянкестердің қасақана әрекеттерінің нәтижесінде кейбір CS ресурсына кіру бұғатталған кезде туындайды.

Ақпараттық қауіпсіздік қатерінің тағы бір түрі CS параметрлерін ашу қаупі болып табылады. Оны жүзеге асыру нәтижесінде КС-де өңделетін ақпаратқа зиян келтірілмейді, бірақ сонымен бірге бастапқы қауіптердің көріну мүмкіндіктері айтарлықтай артады.

Қауіптер экономикалық мүдделердің қайшылықтарынан туындайды әртүрлі элементтерәлеуметтік-экономикалық жүйенің ішінде де, сыртында да өзара әрекеттесу – оның ішінде ақпараттық салада. Олар жалпы және ақпараттық қауіпсіздікті қамтамасыз ету бойынша қызметтің мазмұны мен бағыттарын анықтайды. Экономикалық қауіпсіздік проблемаларын талдау қатерлерді жүзеге асыруға әкеп соғуы мүмкін экономикалық қарама-қайшылықтардың, қауіптер мен шығындардың арақатынасын ескере отырып жүргізілуі тиіс екенін атап өткен жөн. Бұл талдау келесі тізбекке әкеледі:

< источник угрозы (внешняя и/или внутренняя среда предприятия)>

<зона риска (сфера экономической деятельности предприятия, способы её реализации, материальные и информационные ресурсы)>

<фактор (степень уязвимости данных, информации, программного обеспечения, компьютерных и телекоммуникационных устройств, материальных и финансовых ресурсов, персонала)>

< угроза (вид, величина, направление)>

<возможность её реализации (предпосылки, объект , способ действия, скорость и временной интервал действия)>

<последствия (материальный ущерб , моральный вред, размер ущерба и вреда, возможность компенсации)>.

Қауіп әдетте материалдық объектілерге тұрақсыздандыратын әсердің сипатымен (түрімен, әдісімен) анықталады; бағдарламалық қамтамасыз етунемесе ақпарат немесе осындай әсердің салдары (нәтижелері) бар.

Құқықтық тұрғыдан алғанда, қауіп түсінігі Ресей Федерациясының Азаматтық кодексі (1-бөлім, 15-бап) «бұзушылық нәтижесінде субъектіге келтірілген нақты шығындар» деп анықтайтын зиянның құқықтық категориясымен қатаң байланысты. оның құқықтарын (мысалы, бұзушының құпия ақпаратты ұрлауы, жария етуі немесе пайдалануы), мүлікті жоғалту немесе бүлдіру, сондай-ақ бұзылған құқықты қалпына келтіруге және бүлінген немесе жоғалған мүліктің құнын қалпына келтіруге қажет шығындар .

Қауіптердің пайда болуы мен жүзеге асырылуының жағымсыз салдарын талдау қауіптердің ықтимал көздерін, олардың көрінуіне ықпал ететін осалдықтарды және іске асыру әдістерін міндетті түрде анықтауды білдіреді. Осыған байланысты экономикалық және ақпараттық қауіпсіздікке төнетін қатерлер көрсетілген сәйкестендіруді барынша толық және барабар жүзеге асыру үшін жіктелуі керек: қауіп көзі бойынша, туындау сипаты бойынша, іске асыру ықтималдығы бойынша, қауіп-қатерге қатысты. адам әрекетінің түрі, қол сұғушылық объектісі бойынша, салдары бойынша, болжау мүмкіндіктері бойынша.

Қауіптерді бірнеше критерийлер бойынша жіктеуге болады:

  • бірінші кезекте қауіптер бағытталған ақпараттық қауіпсіздіктің аса маңызды құрамдас бөліктері бойынша (қолжетімділік, тұтастық, құпиялылық);
  • қатерлерге тікелей бағытталған ақпараттық жүйелер мен технологиялардың құрамдас бөліктері бойынша (деректер, бағдарламалық-аппараттық жүйелер, желілер, қолдаушы инфрақұрылым);
  • жүзеге асыру әдісі бойынша (кездейсоқ немесе қасақана әрекеттер, техногендік немесе табиғи оқиғалар);
  • қауіп көзін локализациялау арқылы (ақпараттық технология немесе жүйенің сыртында немесе ішінде).

Ықтимал қауіптерді жіктеу үлгілерінің бірі суретте көрсетілген. 2.1 [Вихорев, С., Кобцев Р., 2002].


Күріш. 2.1.

Талдау кезінде қауіптер мен осалдықтардың ықтимал көздерінің көпшілігі анықталғанына және бір-бірімен салыстырылатынына, ал барлық анықталған қауіптер мен осалдықтардың көздері оларды бейтараптандыру және жою әдістерімен салыстырылатынына көз жеткізу қажет.

Бұл жіктеу белгілі бір қатердің өзектілігін бағалау әдістемесін әзірлеу үшін негіз бола алады және ең нақты қауіптероларды болдырмау немесе бейтараптандыру әдістері мен құралдарын таңдау бойынша шаралар қабылдануы мүмкін.

Нақты қауіптер анықталған кезде сараптамалық-аналитикалық әдіс белгілі бір қауіпке ұшыраған қорғаныс объектілерін, осы қауіптердің сипатты көздерін және қатерлерді жүзеге асыруға ықпал ететін осалдықтарды анықтайды.

Талдау негізінде қауіп-қатер көздері мен осалдықтардың өзара байланысының матрицасы құрастырылады, оның негізінде қауіптерді (шабуылдарды) жүзеге асырудың ықтимал салдары анықталады және осы шабуылдардың маңыздылық коэффициенті (қауіптілік дәрежесі) келесідей есептеледі: бұрын анықталған сәйкес қауіптер мен қауіп көздерінің қауіптілік коэффициенттерінің көбейтіндісі.

Оңай ресімделетін және алгоритмденетін мұндай талдаудың ықтимал алгоритмдерінің бірі күріште көрсетілген. 2.2.


Күріш. 2.2.

Бұл тәсілдің арқасында мүмкін:

  • қатынастар субъектісі үшін қауіпсіздік мақсаттарының басымдықтарын белгілеу;
  • тиісті қауіп көздерінің тізбесін анықтау;
  • ағымдағы осалдықтардың тізімін анықтау;
  • осалдықтардың өзара байланысын, қауіп көздерін, оларды жүзеге асыру мүмкіндігін бағалау;
  • объектіге ықтимал шабуылдардың тізімін анықтау;
  • ықтимал шабуылдардың сценарийлерін әзірлеу;
  • қауіптерді жүзеге асырудың ықтимал салдарын сипаттау;
  • қорғау шараларының кешенін және кәсіпорынның экономикалық және ақпараттық қауіпсіздігін басқару жүйесін әзірлеу.

Жоғарыда атап өтілгендей, ең жиі және ең қауіпті (зиян көлемі бойынша) тұрақты пайдаланушылардың, операторлардың, жүйелік әкімшілержәне қызмет ететін басқа адамдар Ақпараттық жүйелер. Кейде мұндай қателер шын мәнінде қауіптер болып табылады (қате енгізілген деректер немесе жүйенің бұзылуына әкелген бағдарламадағы қате), кейде олар шабуылдаушылар пайдалана алатын осалдықтарды жасайды (әдетте әкімшілік қателер осындай). Кейбір мәліметтерге сәйкес, шығындардың 65% -ы абайсыздық, немқұрайлылық немесе персоналдың тиісті дайындықсыздығынан жасалған қасақана қателіктерден болады.

Әдетте пайдаланушылар келесі қауіптердің көзі болуы мүмкін:

  • қасақана (соңында бағдарламалық жасақтаманың өзегін немесе қолданбаларын бұзатын логикалық бомбаны енгізу) немесе деректер мен ақпаратты қасақана жоғалту немесе бұрмалау, басқару жүйесін «бұзу», деректер мен парольдерді ұрлау, оларды рұқсат етілмеген тұлғаларға беру және т.б.;
  • пайдаланушының ақпараттық жүйемен жұмыс істегісі келмеуі (көбінесе жаңа мүмкіндіктерді меңгеру қажет болғанда немесе пайдаланушы сұраныстары мен нақты мүмкіндіктер мен техникалық сипаттамалар) және оның бағдарламалық және аппараттық құрылғыларының қасақана істен шығуы;
  • тиісті дайындықтың жоқтығынан жүйемен жұмыс істей алмау (жалпы компьютерлік сауаттылықтың болмауы, диагностикалық хабарламаларды түсіндіре алмау, құжаттамамен жұмыс істей алмау және т.б.).

Ол анық тиімді әдіскездейсоқ қателіктермен күресу - максималды автоматтандыру және стандарттау, ақпараттық процестер, Fool Proof Device құрылғыларын пайдалану, пайдаланушы әрекеттерін реттеу және қатаң бақылау. Сондай-ақ қызметкер жұмыстан кеткен кезде оның ақпараттық ресурстарға қол жеткізу құқықтарының (логикалық және физикалық) жойылуын қамтамасыз ету қажет.

Ішкі жүйе ақауларының негізгі көздері:

  • техникалық қолдаудың жоқтығынан жүйемен жұмыс істей алмау (құжаттаманың толық еместігі, анықтамалық ақпараттың болмауы және т.б.);
  • белгіленген пайдалану ережелерінен ауытқу (кездейсоқ немесе қасақана);
  • пайдаланушылардың немесе техникалық қызмет көрсету персоналының кездейсоқ немесе қасақана әрекеттері салдарынан жүйенің қалыпты жұмыс режимінен шығуы (сұраныстардың болжалды санынан асып кетуі, өңделетін ақпараттың шамадан тыс көлемі және т.б.);
  • жүйе конфигурациясындағы қателер;
  • бағдарламалық және аппараттық құралдардың ақаулары;
  • деректерді жою;
  • жабдықтың бұзылуы немесе зақымдануы.

Қолдаушы инфрақұрылымға қатысты келесі қауіптерді ескеру ұсынылады:

  • байланыс жүйелерінің, электрмен жабдықтаудың, сумен және/немесе жылумен жабдықтаудың, ауаны кондиционерлеудің (кездейсоқ немесе қасақана) бұзылуы;
  • үй-жайдың бұзылуы немесе бүлінуі;
  • қызмет көрсетуші персоналдың және/немесе пайдаланушылардың өз міндеттерін орындауға мүмкін еместігі немесе дайын болмауы (азаматтық тәртіпсіздіктер, жол-көлік оқиғалары, террористік акт немесе оның қаупі, ереуіл және т.б.).

Қауіпті, әрине табиғи апаттар(су тасқыны, жер сілкінісі, дауыл) және техногендік апаттардың (өрттер, жарылыстар, ғимараттардың қирауы және т.б.) нәтижесіндегі оқиғалар. Статистикалық мәліметтерге сәйкес, өрттің, судың және осыған ұқсас «бұзушылар» үлесіне (олардың ішінде ең қауіптісі электр қуатының үзілуі) өндірістік ақпараттық жүйелер мен ресурстарға келтірілген шығындардың 13-15% құрайды.

Бағалау және талдау нәтижелері қауіптерді жоюдың сәйкес оңтайлы әдістерін таңдау үшін, сондай-ақ объектінің ақпараттық қауіпсіздігінің нақты жағдайын тексеру үшін пайдаланылуы мүмкін.

Жасау үшін оңтайлы жүйекәсіпорынның ақпараттық қауіпсіздігін қамтамасыз ету үшін жағдайды дұрыс бағалау, ықтимал тәуекелдерді анықтау, тұжырымдама мен қауіпсіздік саясатын әзірлеу қажет, оның негізінде жүйелік модель құрастырылады және тиісті енгізу және жұмыс істеу тетіктері әзірленеді.

2-тарау Ақпараттық қауіптер түсінігі және олардың түрлері

2.1 Ақпараттық қауіптер

80-жылдардың соңы, 90-жылдардың басынан бері ақпаратты қорғауға байланысты мәселелер осы саланың екі маманын да толғандырады. компьютерлік қауіпсіздік, және көптеген қарапайым пайдаланушылар дербес компьютерлер. Бұл компьютерлік технологияның біздің өмірімізге әкелетін терең өзгерістерімен байланысты.

Экономикадағы қазіргі заманғы автоматтандырылған ақпараттық жүйелер (АЖЖ) әр түрлі дербестік дәрежесіндегі құрамдас бөліктердің үлкен санынан тұратын, өзара байланысқан және деректермен алмасушы күрделі механизмдер болып табылады. Олардың әрқайсысы дерлік сәтсіздікке ұшырауы немесе сыртқы әсерлерге ұшырауы мүмкін.

Қолданылатын қымбат әдістерге қарамастан, компьютерлік ақпараттық жүйелердің жұмыс істеуі ақпаратты қорғауда әлсіздіктердің бар екенін көрсетті. Мұның сөзсіз салдары ақпаратты қорғауға жұмсалатын шығындар мен күш-жігердің үнемі өсуі болды. Дегенмен, қабылданған шаралар тиімді болуы үшін ақпараттық қауіпсіздікке қандай қауіп төнетінін анықтау, ақпараттың ағып кетуінің ықтимал арналарын және қорғалатын деректерге рұқсатсыз қол жеткізу жолдарын анықтау қажет.

Ақпараттық қауіпсіздік қатерімен (ақпараттық қауіп)сақталатын, тасымалданатын және өңделетін ақпаратты, сондай-ақ бағдарламалық және техникалық құралдарды қоса алғанда, ақпараттық ресурстардың жойылуына, бұрмалануына немесе рұқсатсыз пайдаланылуына әкеп соғуы мүмкін әрекетті немесе оқиғаны білдіреді. Егер ақпараттың құндылығы оны сақтау және/немесе тарату кезінде жоғалса, онда бұзу қаупіақпараттың құпиялылығы. Егер ақпарат құндылығын жоғалту арқылы өзгертілсе немесе жойылса, онда ақпараттың тұтастығына қауіп төндіреді. Егер ақпарат заңды пайдаланушыға уақытында жетпесе, онда оның құндылығы уақыт өте келе төмендеп, толығымен құнсызданады, сол арқылы пайдалану тиімділігіне немесе ақпараттың қолжетімділігіне қауіп төндіреді.

Сонымен, ақпараттық қауіпсіздік қатерлерін жүзеге асыру ақпараттың құпиялылығын, тұтастығын және қолжетімділігін бұзудан тұрады. Шабуыл жасаушы құпия ақпаратпен таныса алады, оны өзгерте алады, тіпті жойып жібереді, сонымен қатар заңды пайдаланушының ақпаратқа қол жеткізуін шектей немесе блоктай алады. Бұл жағдайда шабуылдаушы ұйымның қызметкері де, бөгде де болуы мүмкін. Сонымен қатар, ақпараттың құндылығы персоналдың кездейсоқ, әдейі емес қателерінен, сондай-ақ кейде табиғаттың өзі көрсететін тосын сыйлардан төмендеуі мүмкін.

Ақпараттық қауіп-қатерлерге мыналар себеп болуы мүмкін:

    табиғи факторлар (табиғи апаттар – өрт, су тасқыны, дауыл, найзағай және басқа да себептер);

    адам факторлары. Соңғысы, өз кезегінде, бөлінеді:

- кездейсоқ, байқаусыз сипаттағы қауіптер. Бұл ақпаратты дайындау, өңдеу және беру процесіндегі қателіктермен байланысты қауіптер (ғылыми-техникалық, коммерциялық, ақшалай және қаржылық құжаттама); мақсатты емес «мидың ағылуымен», біліммен, ақпаратпен (мысалы, халықтың көші-қонына байланысты, басқа елдерге бару, отбасын біріктіру және т.б.) Бұл жобалау, әзірлеу және өндірудегі қателіктермен байланысты қауіптер. сапасыз дайындауға байланысты жабдықтың жұмысында қателер бар жүйелер мен олардың құрамдас бөліктерінің (ғимараттар, құрылыстар, үй-жайлар, компьютерлер, коммуникациялар, операциялық жүйелер, қолданбалы бағдарламалар және т.б.); ақпаратты дайындау және өңдеу процесіндегі қателермен (бағдарламашылар мен пайдаланушылардың біліктілігінің жеткіліксіздігінен және сапасыз қызмет көрсетуден туындаған қателері, деректерді дайындау, енгізу және шығару, ақпаратты түзету және өңдеу кезіндегі оператор қателері);

- адамдардың қасақана, қасақана әрекеттерінен туындайтын қауіптер. Бұл ғылыми жаңалықтарды, өндірістік құпияны ойлап табуды, пайдакүнемдік және басқа да қоғамға қарсы мақсаттағы жаңа технологияларды (құжаттама, сызбалар, ашылулар мен өнертабыстарды сипаттау және басқа материалдар) беруге, бұрмалауға және жоюға байланысты қауіптер; қызметтік және басқа да ғылыми-техникалық және коммерциялық әңгімелерді тыңдау және беру; мақсатты «мидың кетуімен», ақпаратты білу (мысалы, пайдакүнемдік ниетпен басқа азаматтық алуға байланысты). Бұл автоматтандырылған ақпараттық жүйенің ресурстарына рұқсатсыз кіруге байланысты қауіптер (құралдардағы техникалық өзгерістер есептеу техникасыжәне байланыс құралдары, компьютерлік техникаға және байланыс арналарына қосылу, ақпараттық тасымалдаушыларды ұрлау: дискеттер, сипаттамалар, басып шығару материалдары және т.б.).

Қасақана жасалған қауіптер AIS пайдаланушыларына зиян келтіруге бағытталған және өз кезегінде белсенді және пассивті болып бөлінеді.

Пассивті қауіптер, әдетте, ақпараттық ресурстарды олардың жұмыс істеуіне әсер етпей, рұқсатсыз пайдалануға бағытталған. Пассивті қауіп - бұл, мысалы, байланыс арналарында айналатын ақпаратты тыңдау арқылы алу әрекеті.

Белсенді қауіптераппараттық, бағдарламалық және ақпараттық ресурстарға мақсатты әсер ету арқылы жүйенің қалыпты жұмыс істеуін бұзуға бағытталған. Белсенді қауіптерге, мысалы, байланыс желілерін бұзу немесе электронды кептелу, ДК немесе оның операциялық жүйесін өшіру, дерекқорлардағы немесе жүйелік ақпараттағы ақпаратты бұрмалау және т.б. жатады. Белсенді қауіптердің көздері зиянкестердің тікелей әрекеттері, бағдарламалық вирустар және т.б.

Қасақана жасалған қауіптер болып бөлінеді ішкі басқарылатын субъектінің ішінде туындайтын және сыртқы .

Ішкі қауіптер көбінесе әлеуметтік шиеленіс пен қиын моральдық климатпен анықталады.

Сыртқы қауіптер бәсекелестердің зиянды әрекеттерімен, экономикалық жағдайлармен және басқа себептермен (мысалы, табиғи апаттар) анықталуы мүмкін. Шетелдік ақпарат көздеріне сүйенсек, ол кеңінен қолданылады өнеркәсіптік тыңшылық - бұл коммерциялық құпияның иесіне зиян келтірсе, оның иесі уәкілеттік бермеген тұлғаның коммерциялық құпияны құрайтын мәліметтерді заңсыз жинауы, иемденуі және беруі.

Негізгі қауіпсіздік қатерлеріне мыналар жатады:

    құпия ақпаратты жария ету;

    ақпараттық компромисс;

    ақпараттық ресурстарды рұқсатсыз пайдалану;

    ресурстарды қате пайдалану; рұқсатсыз ақпарат алмасу;

    ақпараттан бас тарту;

    қызмет көрсетуден бас тарту.

Қауіпті жүзеге асыру құралдары құпия ақпаратты ашудерекқорларға рұқсатсыз кіру, арналарды тыңдау және т.б. болуы мүмкін. Кез келген жағдайда белгілі бір тұлғаның (тұлғалар тобының) меншігі болып табылатын ақпаратты алу, бұл ақпарат құнының төмендеуіне және тіпті жоғалуына әкеледі.

Қауіптерді жүзеге асыру келесі әрекеттер мен оқиғалардың бірінің нәтижесі болып табылады: ашуларқұпия ақпарат, құпия ақпараттың ағып кетуі және рұқсатсыз кіруқорғалған ақпаратқа (106). Ашылған немесе сыртқа шығарылған кезде ақпараттың құпиялылығы бұзылады шектеулі қолжетімділік(Cурет 2).

Күріш. 2 Ақпараттық қауіпсіздікті бұзатын әрекеттер мен оқиғалар

Құпия ақпараттың шығуы - бұл құпия ақпаратты АЖ-дан немесе қызметте сеніп тапсырылған немесе жұмыс барысында белгілі болған адамдар шеңберінен тыс бақылаусыз шығару. Бұл ағып кетудің себебі болуы мүмкін:

    құпия ақпаратты жария ету;

    әртүрлі, негізінен техникалық арналар арқылы ақпаратты алып тастау;

    әртүрлі жолдармен құпия ақпаратқа рұқсатсыз қол жеткізу.

Ақпаратты ашу оның иесі немесе иесі – қызметке немесе жұмысқа тиісті ақпарат сеніп тапсырылған лауазымды адамдар мен пайдаланушылардың осы ақпаратпен танысуға жол берілмеген адамдардың қасақана немесе абайсызда жасаған әрекеттері.

Қол жетімді құпия ақпаратқа бақылаусыз күтім жасау визуалды-оптикалық, акустикалық, электромагниттік және басқа арналар арқылы.

Физикалық табиғаты бойынша ақпаратты берудің келесі құралдары мүмкін:

    Жарық сәулелері.

    Дыбыс толқындары.

    Электромагниттік толқындар.

    Материалдар мен заттар.

Ақпараттың ағып кету арнасы бойынша біз құпия ақпарат көзінен шабуылдаушыға дейінгі физикалық жолды түсінеміз, ол арқылы қорғалған ақпараттың ағып кетуі немесе рұқсатсыз алынуы мүмкін. Ақпараттың ағып кету арнасының пайда болуы (қалыптасу, орнату) үшін белгілі бір кеңістіктік, энергетикалық және уақыттық жағдайлар, сондай-ақ шабуылдаушы жағында ақпаратты қабылдау және бекітудің тиісті құралдары қажет.

Тәжірибеге келетін болсақ, білім берудің физикалық сипатын ескере отырып, ақпараттың ағып кету арналарын келесі топтарға бөлуге болады:

    визуалды-оптикалық;

    акустикалық (соның ішінде акустикалық түрлендіргіш);

    электромагниттік (соның ішінде магниттік және электрлік);

    материалдық (қағаз, фотосурет, магниттік тасымалдаушылар, өндірістік қалдықтар әртүрлі түріқатты, сұйық, газ тәрізді).

Көрнекі-оптикалық арналар- бұл, әдетте, тікелей немесе қашықтан (соның ішінде теледидар) бақылау. Ақпаратты тасымалдаушы – бұл құпия ақпарат көздері шығаратын немесе одан көрінетін, инфрақызыл және ультракүлгін диапазондарда шағылысқан жарық.

акустикалық арналар.Адамдар үшін есту қабілеті көруден кейінгі екінші маңызды ақпарат болып табылады. Сондықтан ақпараттың таралу арналарының бірі акустикалық арна болып табылады. Акустикалық арнада ақпаратты тасымалдаушы ультра (20 000 Гц-тен астам), естілетін және инфрадыбыстық диапазондар диапазонында жатқан дыбыс болып табылады. Адамға естілетін дыбыс жиіліктерінің диапазоны 16-дан 20000 Гц-ке дейін, ал адам сөйлеуінде 100-ден 6000 Гц-ке дейін болады.

Бос ауа кеңістігінде ашық есіктер, терезелер және желдеткіш саңылаулар жағдайында келіссөздер кезінде бөлмелерде акустикалық арналар қалыптасады. Сонымен қатар, мұндай арналар үй-жайлардың ауаны желдету жүйесі арқылы қалыптасады. Бұл жағдайда арналардың қалыптасуы ауа арналарының геометриялық өлшемдері мен пішініне, клапандардың, ауа таратқыштарының және ұқсас элементтердің пішінді элементтерінің акустикалық сипаттамаларына айтарлықтай байланысты.

электромагниттік арналар.Ақпаратты тасымалдаушы толқын ұзындығы 10 000 м (30 Гц-тен аз жиіліктер) ультра ұзыннан 1 - 0,1 мм толқын ұзындығымен сублимацияланғанға дейінгі диапазондағы электромагниттік толқындар болып табылады. (300-ден 3000 ГГц-ке дейінгі жиіліктер). Осы түрлердің әрқайсысы электромагниттік толқындарауқымында да, кеңістікте де таралу ерекшеліктері бар. Ұзын толқындар, мысалы, өте үлкен қашықтыққа таралады, миллиметрлік толқындар, керісінше, бірліктер мен ондаған километрлер ішінде тек көру сызығының қашықтығына дейін. Сонымен қатар, әртүрлі телефон және басқа сымдар мен байланыс кабельдері өздерінің айналасында магниттік және электр өрістерін жасайды, олар басқа сымдар мен олардың орналасқан жерінің жақын аймағындағы жабдық элементтеріндегі пикаптар салдарынан ақпарат ағып кету элементтері ретінде әрекет етеді.

материалдық арналарақпараттың ағуы қатты, сұйық және газ тәрізді немесе корпускулалық (радиоактивті элементтер) түріндегі әртүрлі материалдар болып табылады. Көбінесе бұл әртүрлі өндіріс қалдықтары, ақаулы өнімдер, сызба материалдары және т.б.

Әлбетте, құпия ақпараттың әрбір көзінде белгілі бір дәрежеде ақпараттың ағып кету арналарының кейбір жиынтығы болуы мүмкін. Ағып кетудің себептері әдетте ақпаратты сақтау стандарттарының жетілдірілмегендігімен, сондай-ақ осы стандарттарды (соның ішінде жетілмегендерін) бұзумен, тиісті құжаттармен, техникалық құралдармен, өнім үлгілерімен және құпия ақпаратты қамтитын басқа материалдармен жұмыс істеу ережелерінен ауытқумен байланысты.

Ағып кету факторларын қамтуы мүмкін, мысалы:

    кәсіпорын қызметкерлерінің ақпаратты қорғау ережелерін жеткіліксіз білуі және оларды мұқият сақтау қажеттілігін түсінбеу (немесе түсінбеу);

    құқықтық, ұйымдастырушылық және инженерлік шаралармен ақпаратты қорғау ережелерінің сақталуын бақылаудың әлсіздігі.

Рұқсат етілмеген кіру (UAS)

Бұл ұйым қабылдаған қауіпсіздік саясатына сәйкес пайдаланушы рұқсаты жоқ нысанға қол жеткізген кездегі ақпараттық қауіптердің ең көп тараған түрі. Әдетте, негізгі мәселе кімнің қандай деректер жиынына қол жеткізуі және кімнің қол жеткізе алмайтынын анықтау болып табылады. Басқаша айтқанда, «рұқсат етілмеген» терминіне анықтама беру керек.

Табиғаты бойынша NSD әсері жүйелік қателерді пайдаланатын белсенді әсер болып табылады. UA әдетте қажетті деректер жинағына тікелей сілтеме жасайды немесе UA заңдастыру үшін рұқсат етілген қол жеткізу туралы ақпаратқа әрекет етеді. Жүйенің кез келген объектісі UA бағынуы мүмкін. NSD стандартты және арнайы жобаланған болуы мүмкін бағдарламалық құралдаробъектілерге.

Рұқсатсыз кірудің қарапайым тәсілдері де бар:

    ақпарат тасымалдаушылар мен құжаттық қалдықтарды ұрлау;

    бастамашылық ынтымақтастық;

    ұры тарапынан ынтымақтастыққа итермелеу;

    бопсалау;

    тыңдау;

    бақылау және басқа тәсілдер.

Құпиялық ақпаратты таратудың кез келген әдістері АЖ жұмыс істейтін ұйым үшін де, оны пайдаланушылар үшін де елеулі материалдық және моральдық зиян келтіруі мүмкін.

Менеджерлер құпия ақпаратты заңсыз пайдаланудың алғышарттары мен мүмкіндігін тудыратын себептер мен жағдайлардың едәуір бөлігі ұйымдардың басшылары мен олардың қызметкерлерінің қарапайым кемшіліктерінен туындайтынын есте ұстаған жөн. Мысалы, коммерциялық құпияның таралуына алғышарттар жасайтын себептер мен шарттар мыналарды қамтуы мүмкін:

    ұйым қызметкерлерінің құпия ақпаратты қорғау ережелерін жеткіліксіз білуі және оларды мұқият сақтау қажеттілігін түсінбеу;

    құпия ақпаратты өңдеу үшін сертификатталмаған техникалық құралдарды пайдалану;

    құқықтық ұйымдастыру-инженерлік шаралармен ақпаратты қорғау ережелерінің сақталуын бақылаудың әлсіздігі және т.б.

№1 мысал (М. Накамото ";Жапония ағып кетумен күресіп жатыр";, ";Дүйсенбі"; 03.02.2004 ж.)

Өнеркәсіптік тыңшылықпен байланысты жанжалдар мен қақтығыстарда жапон компаниялары бұрыннан айыпталушы болып келеді - мұның ең танымал мысалдарының бірі 1982 жылы Hitachi қызметкерлері IBM компаниясынан зияткерлік меншікті ұрлады деп айыпталған оқиға болды. Алайда, қазір дәстүрлі түрде жапондықтар үстемдік ететін аймақтарда халықаралық бәсекелестік күшейген сайын, олардың өздері де өнеркәсіптік тыңшылардың құрбанына айналуда.

Өзінің технологиялық әзірлемелерін мұқият қадағалайтын Sharp корпорациясы өзінің ультра заманауи сұйық кристалды панельдер зауытын Камеяма қаласында - шалғай таулы аймақта, көзге көрінбейтін жерде орналастырды. Бірақ мұнда да электроника саласының алыбы өзін үйдегідей сезінбейді. толық қауіпсіздік: Белгілі бір уақыттан бастап Sharp қызметкерлерінің дабылына айына бір рет корпорацияның құпия нысанын айналып өтетін жұмбақ көлік себеп бола бастады. Күдікті көлік, Sharp өкілдерінің айтуынша, басқа біреудің ноу-хауының маңызды мәліметтерін білуге ​​үміттеніп, бәсекелес компанияның агентіне тиесілі болуы мүмкін.

«Жапониядан технологияның ағып кетуі елдің бәсекеге қабілеттілігін төмендетеді және жұмысбастылықтың қысқаруына әкеледі», - деді Экономика, сауда және өнеркәсіп министрлігі (METI) жанындағы Зияткерлік меншікті қорғау агенттігінің директоры Йошинори Комия. Біз кейбір технологиялар шетелге трансфертке жататынын мойындаймыз; бірақ компания басшылары құпия сақтауды қалайтын технологиялар жиі тасымалданады ».

Бұл мәселе жапон үкіметі үшін әсіресе күншығыс елінің көршілері жоғары технологиялық нарықта айтарлықтай табысқа жеткен кезде өте ауыр болды. Жапондық компаниялар нарығындағы ең ірі және күшті компаниялар да қазір қорғаныс позициясын ұстануға және өздерінің зияткерлік меншіктерін мұқият қорғауға мәжбүр.

METI мәліметтері бойынша, өндірістік тыңшылықтың құрбаны болған көптеген компаниялар жанжал тудырмауға тырысады, өйткені ұрлыққа сырттан келген агенттер емес, өз қызметкерлері кінәлі. Мацушита вице-президенті Йокио Сотоку мойындағандай, жапон бизнесінде бәсекелес фирмаларда демалыс күндері жұмыс істейтін қызметкерлер сияқты «бесінші колонна» теріс пайдалану әлі де көп.

METI зерттеулері сонымен қатар коммерциялық ақпараттың ағып кетуіне жол беретін арналардың бірі жапондық компаниялардың бұрынғы қызметкерлері болып табылады, олар басқа Азия елдерінде жұмысқа орналасады және бұрынғы жұмыс берушілердің ноу-хауларын өздерімен бірге алып жүреді. METI жапондық компаниялардың бәсекелестеріне құпия ақпараттың ағып кетуінің негізгі жолдарын анықтады, соның ішінде қызметкерлердің жұмыс уақытынан кейін деректерді көшіру; бәсекелес компаниялардағы толық емес қызметкерлердің жұмысы (мысалы, демалыс күндері); ақпараттық қауіпсіздік саясаты жеткіліксіз дамыған шетелдік компаниямен бірлескен кәсіпорын құру; серіктес-жеткізушінің жабдықты құпиялылық туралы келісімді бұзуы және т.б.

METI ноу-хаудың ағып кетуіне байланысты тәуекелді уақытында түсінбейтін көптеген компаниялар осының салдарынан айтарлықтай шығынға ұшырайтынын атап өтеді, бірақ мұндай істерде соттар оларға жанашырлық танытпайды, өйткені біз немқұрайлылық пен абайсыздық туралы айтып отырмыз. Жапондық компаниялар зияткерлік меншікті ұрлаудан келтірілген шығынды өтеуді сұраған 48 сот ісінің 16-сы ғана ақталған.

Мысал №2 (Б. Gossage ";Chatterbox - бұл бәсекелес үшін құдайдың сыйы"; ";Дүйсенбі"; 16.02.2004 ж.)

Фил Сипович, Everynetwork американдық IT консалтингтік компаниясының негізін қалаушы және бас директоры, өзін ешқашан сөйлегіш немесе абайсыз спикер деп санаған емес. Бәсекелестерінің бірімен ықтимал серіктестік туралы келіссөздер жүргізе отырып, Сипович карталарын көрсетпеуге тырысты, тек мәмілені алға жылжыту үшін шынымен қажет деп санайтын нәрселер туралы айтты.

Келіссөздерден кейін оптимист Сипович адвокатымен бірге құпия ақпаратты жарияламау туралы келісімнің жобасын жасап, оны серіктесіне факс арқылы жіберді. Жауап тек бірнеше аптадан кейін келді және күтпеген болып шықты - серіктес оны не қосылуға, не альянсқа, не басқа нәрсеге қызықтырмайтынын айтты ... Ал бір айдан кейін Сиповичтің клиенттерінің бірі қоңырау шалып, айтты. оған басқа кеңесшінің ұсынысымен жүгінгенін айтты. Белгілі болғандай, сол сәтсіз серіктес! Сол кезде ғана Сипович келіссөздер кезінде өзінің негізгі үш клиентін байқаусызда атап өткенін есіне алды. Оның күдігі ақталды: көп ұзамай тағы екі клиент баламалы кеңесшіден ұсыныс алды. «;Бұл ауқымды маркетингтік науқан емес еді, олар тек мен айтқан клиенттерге ғана көзқарас іздеді», - дейді Сипович.

Жария ету және сыртқа шығу құпия ақпаратпен заңсыз танысуға әкеп соғады. минималды құнышабуылдаушының күш-жігері. Бұған компания қызметкерлерінің 3-суретте көрсетілген ең жақсы емес жеке және кәсіби сипаттамалары мен әрекеттері ықпал етеді.


Күріш. 3 Ақпараттық қауіпсіздік қатерлерін жүзеге асыруға ықпал ететін қызметкерлердің жеке және кәсіби сипаттамалары мен әрекеттері

Ал егер қызметкер шабуылдаушы болмаса да, ол шаршағандықтан, аурудан және т.б.

Ақпараттық ресурстарды қате пайдалану, санкциялану, алайда, жойылуға, ашуға әкелуі мүмкін. немесе аталған ресурстардың ымыраға келуі. Бұл қауіп көбінесе AIS бағдарламалық жасақтамасындағы қателердің нәтижесі болып табылады.

Компьютерлік ақпаратты жою- бұл оны компьютер жадынан өшіру, оны физикалық тасымалдаушылардан жою, сондай-ақ мазмұнын түбегейлі өзгертетін оның құрамдас деректеріне рұқсатсыз өзгертулер енгізу (мысалы, жалған ақпаратты енгізу, жазбаларды қосу, өзгерту, жою). Ақпаратты басқа машиналық тасымалдағышқа бір мезгілде беру, егер осы әрекеттердің нәтижесінде заңды пайдаланушылардың ақпаратқа қол жеткізуіне айтарлықтай кедергі болмаса немесе алып тасталмаса ғана, қылмыстық заң контекстінде компьютерлік ақпаратты жою болып саналмайды. .

Пайдаланушының бағдарламалық құралдарды пайдаланып жойылған ақпаратты қалпына келтіру немесе бұл ақпаратты басқа пайдаланушыдан алу мүмкіндігі кінәліні жауапкершіліктен босатпайды.

Ақпараттың жойылуы файлдың атауын өзгерту емес, сонымен қатар автоматты түрде «;өшіру»; файлдардың ескі нұсқалары уақыт бойынша ең соңғы болып табылады.

Компьютерлік ақпаратты блоктау- бұл пайдаланушылардың компьютерлік ақпаратқа қол жеткізудегі оның жойылуымен байланысты емес жасанды қиындық. Басқаша айтқанда, бұл ақпаратпен әрекеттерді орындау, оның нәтижесі ақпараттың өзін толық сақтай отырып, оны мақсаты бойынша алу немесе пайдалану мүмкін емес.

Ақпараттық компромисс, әдетте, дерекқорға рұқсатсыз өзгертулер енгізу арқылы жүзеге асырылады, нәтижесінде оның тұтынушысы не одан бас тартуға немесе өзгерістерді анықтау және шынайы ақпаратты қалпына келтіру үшін қосымша күш салуға мәжбүр болады. Бұзылған ақпаратты пайдаланған жағдайда тұтынушы барлық салдарымен қате шешімдер қабылдау қаупіне ұшырайды.

Ақпараттан бас тарту, атап айтқанда мәмілені (банктегі операцияны) мойындамау ақпаратты алушының немесе жіберушінің оны алу немесе жіберу фактілерін мойындамауынан тұрады. Маркетингтік қызмет аясында бұл, атап айтқанда, тараптардың біріне жасалған қаржылық келісімдерді «;техникалық» бұзуға мүмкіндік береді; олардан ресми түрде бас тартпай және сол арқылы екінші тарапқа айтарлықтай зиян келтірместен.

Компьютерлік ақпаратты өзгерту- бұл компьютерлік бағдарламаны немесе деректер базасын бейімдеуге байланысты өзгерістерді қоспағанда, оған кез келген өзгерістерді енгізу. Компьютерлік бағдарламаны немесе дерекқорды бейімдеу – «тек пайдаланушының нақты аппараттық құралында немесе нақты пайдаланушы бағдарламаларының бақылауымен компьютерлік бағдарламаның немесе деректер қорының жұмыс істеуін қамтамасыз ету мақсатында ғана жүзеге асырылатын өзгерістерді енгізу» (1-баптың 1-бөлігі). Ресей Федерациясының 1992 жылғы 23 қыркүйектегі Заңы «;Электрондық есептеуіш машиналар мен деректер базаларына арналған бағдарламаларды құқықтық қорғау туралы»;). Басқаша айтқанда, бұл бастапқыда (акт жасалғанға дейін) меншік иесінің немесе заңды пайдаланушының қарамағында болған ақпаратпен салыстырғанда оның мазмұнының өзгеруін білдіреді.

Компьютерлік ақпаратты көшіру- деректер қорының екінші және кейінгі көшірмелерін, кез келген материалдық нысандағы файлдарды өндіру және тұрақты басып шығару, сондай-ақ оларды машиналық тасымалдағышта, ЭЕМ жадында жазу.

Қызмет көрсетуден бас тартукөзі AIS өзі болып табылатын өте маңызды және кең таралған қауіпті білдіреді. Мұндай сәтсіздік әсіресе абонентке ресурстарды берудің кешігуі ол үшін ауыр зардаптарға әкелуі мүмкін жағдайларда қауіпті. Осылайша, бұл шешім әлі де тиімді жүзеге асырылуы мүмкін кезеңде шешім қабылдау үшін қажетті пайдаланушы деректерінің болмауы қисынсыз әрекеттерді тудыруы мүмкін.

Ақпаратқа рұқсатсыз қол жеткізудің негізгі типтік тәсілдері:

    электрондық сәулеленуді ұстау;


  • Құжат

    ... ақпараттыққауіпсіздік. 8.2.9. Жалпы талаптарқамтамасыз ету ақпараттыққауіпсіздікбанк ісі ақпараттехнологиялық процестер 8.2.9.1. Жүйеқамтамасыз ету ақпараттыққауіпсіздікбанк ісі ақпараттық ... -экономикалық ...

  • Ақпараттық қауіпсіздік

    Оқу құралы

    қамтамасыз ету үшін ақпараттыққауіпсіздік RF; жеткіліксіз экономикалықмемлекеттің билігі; тиімділігінің төмендеуі жүйелербілім мен тәрбие...

  • Кәсіпкерлік қызметтің ақпараттық қауіпсіздігі оқу-әдістемелік кешен

    Оқу-әдістемелік кешен

    Математика, информатика, экономикалықтеория, статистика, ... ақпараттыққауіпсіздік. B. Криптографиялық қауіпсіздік әдістері ақпараттыққауіпсіздік. B. Кепілге қойылатын талаптар ақпараттыққауіпсіздіккорпоративтік ақпараттықжүйелер ...

Ақпараттық жүйелердің қауіпсіздігіне қауіптердің негізгі түрлері:

Тәртіп бұзушылар мен зиянкестердің қасақана әрекеттері (персонал ішіндегі ренжіген адамдар, қылмыскерлер, тыңшылар, диверсанттар және т.б.).

Қауіпсіздік қауіптерін әртүрлі критерийлер бойынша жіктеуге болады:

1. Науқан нәтижелері бойынша:

1) ағып кету қаупі;

2) өзгерту қаупі;

3) жоғалту қаупі.

2. Негізінде:

· Әдейі емес;

· Әдейі.

Нәтижесінде кездейсоқ (байқаусыз) қауіптер туындауы мүмкін:

Табиғи апаттар мен авариялар (су тасқыны, дауыл, жер сілкінісі, өрт және т.б.);

АИТУ жабдықтарының (техникалық құралдарының) істен шығуы және істен шығуы;

ААЖ құрамдас бөліктерін (аппараттық құралдар, ақпаратты өңдеу технологиясы, бағдарламалар, деректер құрылымдары және т.б.) жобалау және әзірлеу кезіндегі қателердің салдары;

Операциялық қателер (пайдаланушылардың, операторлардың және басқа қызметкерлердің).

Негізгі себептер әдейі жасалмаған, жасанды қауіптер AIS:

· назар аудармау;

Нормативтік құқықтық актілерді бұзу және жүйеде белгіленген шектеулерді елемеу;

· Біліксіздігі;

· Салақтық.

Қауіптердің мысалдары:

1) қасақана емес әрекеттержүйенің ішінара немесе толық істен шығуына немесе аппараттық құралдардың, бағдарламалық қамтамасыз етудің, жүйенің ақпараттық ресурстарының бұзылуына әкелетін (жабдықты байқаусызда зақымдау, файлдарды жою, бұрмалау). маңызды ақпаратнемесе бағдарламалар, соның ішінде жүйелік және т.б.);

2) жабдықтың дұрыс іске қосылмауы немесе құрылғылар мен бағдарламалардың жұмыс режимдерін өзгерту;

3) ақпарат құралдарын қасақана бұзуақпарат;

4) заңсыз енгізу және жазылмаған бағдарламаларды пайдалану (ойын, оқу, технологиялық және т.б.)., бұзушының қызметтік міндеттерін орындауы үшін қажет емес) кейіннен ресурстарды негізсіз жұмсаумен (процессорлық жүктеме, жедел жад пен сыртқы тасымалдағыштағы жадты басып алу);

6) компьютерлік инфекция вирустар;

7) әкеп соқтыратын ұқыпсыз әрекеттер құпия ақпаратты ашунемесе оны жалпыға қолжетімді ету;

8) жария ету, беру немесе қол жеткізуді басқару атрибуттарының жоғалуы (nпарольдер, шифрлау кілттері, сәйкестендіру карталары, рұқсат қағаздары және т.б.);

9) ұйымдастырушылық шектеулерді елемеу(белгіленген ережелер) жүйедегі разряд бойынша;

10) қауіпсіздікті айналып өту арқылы кіру(алынбалы магниттік тасымалдағыштан сыртқы операциялық жүйені жүктеу және т.б.);

11) біліксіз пайдалану, орнату немесе заңсыз өшіру қорғау құралдарықауіпсіздік қызметкерлері;

12) деректерді абоненттің (құрылғының) қате мекенжайына жіберу;

13) қате деректерді енгізу;

14) байланыс арналарын байқаусызда зақымдау.


қасақана қорқытулар - бұл адамдардың (басқыншылардың) өзімшілдік ұмтылыстарымен байланысты адам әрекетінен туындаған AIS қауіптері.

Ақпараттық жүйеге қатысты қауіп көздері сыртқы немесе ішкі болуы мүмкін.

Өкінішке орай, екі қауіпті іске асыру нәтижесі бірдей салдар болып табылады: ақпаратты жоғалту, оның құпиялылығын бұзу, оны өзгерту.

Негізгі қасақана қасақана қорқытулар әдетте мыналарға бағытталған:

жүйенің әдейі бұзылуы және оның істен шығуы,

· жүйеге ену және ақпаратқа рұқсатсыз қол жеткізу және оны жеке бас пайдасына пайдалану мақсатында.

Өз кезегінде қасақана қауіп-қатерлерді мыналарға бөлуге болады:

1. Белсенді және пассивті .

Пассивті қауіптер - негізінен ақпараттың бүлінуіне және жойылуына әкеп соқпайтын ақпараттық ресурстарды рұқсатсыз пайдалануға бағытталған.

Ол үшін әртүрлі әдістер қолданылады :

A) тыңдау құрылғыларын пайдалану, қашықтан фото және бейне түсіру, медианы ұрлау және т.б.;

б) ақпараттық тасымалдаушыларды (магниттік дискілерді, таспаларды, жад микросхемаларын, сақтау құрылғыларын және дербес компьютерлерді) ұрлау;

в) байланыс арналары арқылы берілетін деректерді ұстап алу және алмасу хаттамаларын, байланысқа кіру ережелерін және пайдаланушының авторизациясын анықтау мақсатында оларды талдау және жүйеге ену мақсатында оларды кейіннен еліктеу әрекеттері;

G) жедел жадтан және сыртқы жад құрылғыларынан (принтер жады буферінен) қалған ақпаратты оқу;

д) ақпаратты оқу ЖЖҚ аймақтарыоперациялық жүйемен (соның ішінде қорғаныс ішкі жүйесінде) пайдаланылады;

д) құпия сөздерді заңсыз алужәне қол жеткізуді басқарудың басқа да реквизиттері (агенттер, пайдаланушылардың немқұрайлылығын пайдалана отырып, жүйе интерфейсін таңдау, еліктеу және т.б. арқылы, содан кейін тіркелген пайдаланушыны бүркемелеу («маскарад»);

Белсенді қауіптер - бұзу қалыпты жұмыс істеуіоның құрамдас бөліктеріне бағытталған жүйе.

Іске асыру әдістері:

A) ДК немесе операциялық жүйенің істен шығуы;

B) байланыс арналарының бұзылуы;

C) қауіпсіздік жүйесін бұзу;

D) программалық вирустарды қолдану және т.б.

2. Ішкі және сыртқы қауіптер .

инсайдерлеркелесі санаттағы қызметкерлер болуы мүмкін:

§ жүйені қолдау және қызмет көрсету персоналы (операторлар, электриктер, техниктер);

§ бағдарламалық қамтамасыз етуді әзірлеу және техникалық қызмет көрсету бөлімдерінің қызметкерлері (қолданбалы және жүйелік бағдарламашылар);

§ АТУ қауіпсіздік қызметінің қызметкерлері;

§ лауазымдық иерархияның әртүрлі деңгейдегі менеджерлері.

BIS-те жүргізілген зерттеулерге сәйкес, бұзушылықтардың 80% -дан астамы банк қызметкерлерімен жасалады.

Бөтен адамдар болуы мүмкін сыртқы бұзушылар .

§ клиенттер (ұйым өкілдері, азаматтар);

§ келушілер (кез келген жағдайда шақырылады);

§ ұйымның тіршілігін қамтамасыз ету мәселелері бойынша өзара әрекеттесетін ұйымдардың өкілдері (энергиямен, сумен, жылумен және т.б.);

бәсекелес ұйымдардың (шетелдік арнайы қызметтер) өкілдері немесе олардың нұсқауы бойынша әрекет ететін тұлғалар;

2.Қорғау әдістері мен құралдары

Қорғаныс жүйесі - бұл құқықтық (заңнамалық) (әкімшілік сипаттағы, ұйымдастырушылық шаралардың, физикалық және техникалық (бағдарламалық-техникалық) қорғау құралдарының, сондай-ақ ақпараттың, ақпараттық технологиялардың қауіпсіздігін қамтамасыз етуге арналған арнайы персоналдың арнайы шараларының жиынтығы (кешені) және автоматтандырылған жүйежалпы.

Халықаралық және ресейлік тәжірибеде компьютерлік жүйелердің қауіпсіздік деңгейін бағалау үшін стандарттар қолданылады. АҚШ-та осы стандарттарды қамтитын құжат қызғылт сары кітап деп аталады. (1985). Ол жүйе қауіпсіздігінің келесі деңгейлерін қамтамасыз етеді:

Жоғары сынып – А;

Орта сынып - В;

Төмен деңгей - С;

· Сынақтан өтпеген жүйелер класы -D.

Ресейлік тәжірибеде РФ Президенті жанындағы Мемлекеттік техникалық комиссия рұқсат етілмеген қол жеткізуден CVT қауіпсіздігінің 7 класын белгілеуді қарастыратын жетекші құжатты әзірледі. Бұл ретте қорғаныс шаралары келесі ішкі жүйелерді қамтиды:

· Қатынасты басқару;

· Тіркеу және есепке алу;

· криптографиялық;

· Тұтастығын қамтамасыз ету;

· Заңнамалық шаралар;

физикалық шаралар.

Ақпараттық қауіпсіздікті қамтамасыз ету әдістері мен құралдары 2-суретте көрсетілген. Қорғау механизмдерінің негізін құрайтын ақпаратты қорғаудың ұсынылған әдістерінің негізгі мазмұнын қарастырыңыз.



Санат бойынша танымал:
Компьютерде караоке клипін қалай жасауға болады?
Компьютерде караоке клипін қалай жасауға болады?
оқу
Origin қолданбасы ойнау үшін қажет, бірақ Fifa 16 орнатылмаған
Origin қолданбасы ойнау үшін қажет, бірақ оны Fifa орнатпаған...
оқу
Facebook әлеуметтік желісіндегі жеке парақшаны тіркеу
Facebook әлеуметтік желісіндегі жеке парақшаны тіркеу
оқу
Қарапайым Nmap Nmap сканерлеуін қалай іске қосу керек
Қарапайым Nmap Nmap сканерлеуін қалай іске қосу керек
оқу

Соңғы мақалалар
Кескінді бірнеше градусқа қалай бұруға болады...
оқу
Яндекс браузеріндегі жарнамаларды өшіру Қайда ...
оқу
Wi-Fi қосылымының ақаулықтарын жою...
оқу
Windows 10 профиліндегі құпия сөзді өзгерту
оқу
Сымсыз маршрутизаторларды орнату нұсқаулары...
оқу
Қатты дискіні қалай таңдауға болады және қайсысын сатып алған дұрыс...
оқу
Манекендерге арналған Meizu. Қоңыраулар мен мекенжайлар кітабы....
оқу
PDFMaster жүктеп алыңыз
оқу
Жоғарғы