Možne grožnje informacijski varnosti. Vrste groženj informacijski varnosti. Konkretni primeri kršitev informacijske varnosti in dostopa do podatkov

V sodobni družbi informacijske tehnologije in skladiščenje pri elektronski mediji ogromne baze podatkov, vprašanja zagotavljanja varnosti informacij in vrst informacijske grožnje niso brez brezdelja. Tema tega članka so naključna in namerna dejanja naravnega ali umetnega izvora, ki lahko povzročijo škodo lastniku ali uporabniku informacij.

Načela zagotavljanja varnosti v informacijski sferi

Glavna načela varnosti informacij, sistema za zagotavljanje njihove varnosti in celovitosti so:

• Celovitost informacijskih podatkov. To načelo pomeni, da informacije med prenosom in shranjevanjem ohranjajo vsebino in strukturo. Pravica do ustvarjanja, spreminjanja ali uničenja podatkov je pridržana le uporabnikom z ustreznim statusom dostopa.
• Zasebnost podatkov. Razume se, da ima dostop do podatkovnega polja jasno omejen krog pooblaščenih uporabnikov v tem sistemu, s čimer je zagotovljena zaščita pred nepooblaščenim dostopom do informacij.
• Razpoložljivost nabora podatkov. V skladu s tem načelom imajo pooblaščeni uporabniki pravočasen in nemoten dostop do nje.
• Zanesljivost informacij. To načelo se izraža v dejstvu, da informacije strogo pripadajo samo subjektu, od katerega so bile prejete in ki je njihov vir.

Varnostni izzivi

Vprašanja informacijske varnosti pridejo v ospredje, ko lahko motnje in napake v računalniškem sistemu povzročijo resne posledice. In naloge sistema informacijske varnosti pomenijo večplastne in celovite ukrepe. Ti vključujejo preprečevanje zlorabe, poškodb, izkrivljanja, kopiranja in blokiranja informacij. To vključuje spremljanje in preprečevanje nepooblaščenega dostopa oseb brez ustrezne ravni avtorizacije, preprečevanje uhajanja informacij in vseh možnih groženj njihovi celovitosti in zaupnosti. pri sodobni razvoj vprašanja varnosti baz podatkov postajajo pomembna ne le za male in zasebne uporabnike, ampak tudi za finančne institucije, velike korporacije.

Razvrstitev vrst groženj informacijski varnosti

Z "grožnjo" v tem kontekstu mislimo potencialno možna dejanja, pojavi in ​​procesi, ki lahko povzročijo neželene posledice ali vplive na operacijski sistem ali informacije, shranjene v njem. IN sodobni svet Obstaja precej veliko število takšnih informacijskih groženj, katerih vrste so razvrščene na podlagi enega od kriterijev.

Torej, glede na naravo pojavljanja razlikujejo:

• Naravne grožnje. To so tisti, ki so nastali kot posledica fizičnih vplivov ali naravnih pojavov.
• Grožnje, ki jih povzroči človek. TO te vrste Informacijske grožnje vključujejo vse, kar je povezano s človeškimi dejanji.

Glede na stopnjo namernosti se grožnje delijo na naključne in namerne.

Glede na neposredni vir grožnje informacijski varnosti je lahko naravna (na primer naravni pojavi), človeška (kršitev zaupnosti informacij z razkritjem), programska in strojna oprema. Slednje pa lahko razdelimo na pooblaščene (napake v delovanju operacijskih sistemov) in nepooblaščene (vdiranje v spletno stran in okužba z virusi) grožnje.

Razvrstitev glede na oddaljenost vira

Glede na lokacijo vira obstajajo 3 glavne vrste informacijskih groženj:

• Grožnje iz vira zunaj računalnika operacijski sistem. Na primer prestrezanje informacij v času njihovega prenosa po komunikacijskih kanalih.
• Grožnje, katerih vir je znotraj nadzorovanega operacijskega sistema. Na primer kraja podatkov ali uhajanje informacij.
• Grožnje, ki nastanejo znotraj samega sistema. Na primer nepravilen prenos ali kopiranje vira.

Druge klasifikacije

Ne glede na oddaljenost vira je vrsta informacijske grožnje lahko pasivna (vpliv ne povzroči sprememb v strukturi podatkov) in aktivna (vpliv spremeni strukturo podatkov, vsebino računalniškega sistema).

Poleg tega se informacijske grožnje lahko pojavijo med stopnjami dostopa do računalnika in se odkrijejo po pooblaščenem dostopu (na primer nepooblaščena uporaba podatkov).

Grožnje so glede na njihovo lokacijo tri vrste: tiste, ki nastanejo na stopnji dostopa do informacij, ki se nahajajo na zunanje naprave spomin, v pomnilnik z naključnim dostopom in v tistem, ki kroži po komunikacijskih linijah.

Nekatere grožnje (na primer kraje informacij) niso odvisne od aktivnosti sistema, druge (viruse) zaznamo izključno med obdelavo podatkov.

Nenamerne (naravne) grožnje

Mehanizmi za izvajanje te vrste informacijske grožnje so precej dobro preučeni, prav tako metode za njihovo preprečevanje.

Posebna nevarnost za računalniški sistemi predstavljajo nesreče in naravne (naravne) pojave. Zaradi takega vpliva informacije postanejo nedostopne (v celoti ali delno), lahko so izkrivljene ali popolnoma uničene. Sistem informacijske varnosti takšnih groženj ne more popolnoma odpraviti ali preprečiti.

Druga nevarnost so napake pri razvoju računalniškega sistema. Na primer nepravilni algoritmi delovanja, nepravilna programska oprema. To so vrste napak, ki jih napadalci pogosto uporabljajo.

Druga vrsta nenamernih, a pomembnih vrst groženj informacijski varnosti je nesposobnost, malomarnost ali nepazljivost uporabnikov. V 65% primerov oslabljene informacijske varnosti sistemov so kršitve funkcionalnih odgovornosti s strani uporabnikov privedle do izgube, kršitve zaupnosti in celovitosti informacij.

Namerna informacijska grožnja

Za to vrsto groženj je značilna dinamična narava in nenehno dodajanje novih vrst in načinov usmerjenega delovanja kršiteljev.

Na tem področju napadalci uporabljajo posebne programe:

• Virusi so majhni programi, ki se samostojno kopirajo in širijo po sistemu.
• Črvi so pripomočki, ki se aktivirajo ob vsakem zagonu računalnika. Tako kot virusi se kopirajo in samostojno širijo v sistemu, kar vodi v njegovo preobremenitev in blokiranje dela.
• Trojanski konji – skriti pod uporabnimi aplikacijami zlonamerna programska oprema. Napadalcu lahko pošljejo informacijske datoteke in uničijo sistemsko programsko opremo.

Vendar zlonamerna programska oprema ni edino orodje za namerno vdor. Uporabljajo se tudi številne metode vohunjenja - prisluškovanje, kraje programov in varnostnih atributov, vdori in kraje dokumentov. Prestrezanje gesel se najpogosteje izvaja z uporabo posebni programi.

Industrijsko vohunjenje

Statistični podatki FBI in Inštituta za računalniško varnost (ZDA) kažejo, da 50 % vdorov izvedejo sami zaposleni v podjetjih ali podjetjih. Poleg njih so subjekti tovrstnih informacijskih groženj še konkurenčna podjetja, upniki, kupoprodajna podjetja ter kriminalni elementi.

Posebej zaskrbljujoči so hekerji in tehnopodgane. To so usposobljeni uporabniki in programerji, ki vdirajo v spletna mesta in računalniška omrežja zaradi dobička ali zaradi športnega interesa.

Kako zaščititi podatke?

Kljub nenehni rasti in dinamičnemu razvoju različnih vrst informacijskih groženj še vedno obstajajo načini zaščite.

• Fizično varovanje- To je prva stopnja informacijske varnosti. To vključuje omejevanje dostopa za nepooblaščene uporabnike in sistem dostopa, predvsem za dostop do strežniškega oddelka.
• Osnovna raven zaščite informacij so programi, ki blokirajo računalniški virusi in protivirusni programi, sistemi za filtriranje korespondence dvomljive narave.
• Zaščita pred napadi DDoS, ki jo ponujajo razvijalci programsko opremo.
• Ustvarjanje varnostne kopije, shranjenih na drugih zunanjih medijih ali v tako imenovanem »oblaku«.
• Načrt za katastrofo in obnovitev podatkov. Ta metoda je pomembna za velika podjetja ki se želijo zaščititi in skrajšati izpade v primeru okvare.
• Šifriranje podatkov pri prenosu preko elektronskih medijev.

Varovanje informacij zahteva celovit pristop. In več kot bo uporabljenih metod, učinkovitejša bo zaščita pred nepooblaščenim dostopom, grožnjami uničenja ali poškodovanja podatkov ter krajo.

Nekaj ​​dejstev, da se boste zamislili

Leta 2016 je 26 % bank doživelo DDoS napade.

Eno največjih uhajanj osebnih podatkov se je zgodilo julija 2017 v uradu za kreditno zgodovino Equifax (ZDA). V roke napadalcev so padli podatki 143 milijonov ljudi in 209 tisoč številk kreditnih kartic.

"Kdor ima v lasti informacije, ima v lasti svet." Ta izjava ni izgubila pomembnosti, zlasti ko govorimo o o konkurenci. Tako je bil leta 2010 moten iPhone predstavitev 4 zaradi dejstva, da je eden od zaposlenih pozabil prototip pametnega telefona v lokalu, študent, ki ga je našel, pa je prototip prodal novinarjem. Zato je bila v medijih več mesecev pred uradno predstavitvijo objavljena ekskluzivna ocena pametnega telefona.

Celoten niz potencialnih groženj varnosti informacij v računalniškem sistemu lahko razdelimo v 2 glavna razreda (slika 1).

Slika 1

Imenujejo se grožnje, ki niso povezane z namernimi dejanji napadalcev in se izvajajo ob naključnih trenutkih naključen ali nenamerno. Mehanizem za izvajanje naključnih groženj je na splošno precej dobro raziskan in pri boju proti tem grožnjam je bilo nabranih precej izkušenj.

Naravne nesreče in nesreče so preobremenjeni z najbolj uničujočimi posledicami za CS, saj so slednji predmet fizičnega uničenja, informacije se izgubijo ali dostop do njih postane nemogoč.

Neuspehi in neuspehi kompleksni sistemi so neizogibni. Zaradi napak in okvar je delovanje moteno tehnična sredstva, podatki in programi so uničeni in popačeni, algoritem delovanja naprav je moten.

Napake pri razvoju CS, algoritemske in programske opreme napake povzročijo posledice, podobne posledicam okvar in okvar tehnične opreme. Poleg tega lahko napadalci takšne napake uporabijo za vplivanje na vire CS.

Kot rezultat napake uporabnikov in vzdrževalca do kršitve varnosti pride v 65 % primerov. Nestrokovno, malomarno ali nepazljivo opravljanje funkcionalnih nalog zaposlenih vodi do uničenja, kršitve celovitosti in zaupnosti informacij.

Namerne grožnje povezanih z usmerjenimi dejanji storilca. Ta razred groženj ni dovolj raziskan, je zelo dinamičen in se nenehno posodablja z novimi grožnjami.

Metode in sredstva vohunjenja in sabotaže najpogosteje se uporablja za pridobivanje informacij o varnostnem sistemu z namenom vdora v CS, pa tudi za krajo in uničenje informacijskih virov. Takšne metode vključujejo prisluškovanje, vizualni nadzor, krajo dokumentov in računalniških pomnilniških medijev, krajo programov in atributov varnostnega sistema, zbiranje in analizo odpadkov računalniških pomnilniških medijev ter požig.

Nepooblaščen dostop do informacij (UAI) običajno se pojavi z uporabo standardne strojne in programske opreme računalniškega sistema, zaradi česar so kršena uveljavljena pravila za omejevanje dostopa uporabnikov ali procesov do informacijskih virov. Pravila nadzora dostopa se razumejo kot niz določb, ki urejajo pravice dostopa oseb ali procesov do enot informacij. Najpogostejše kršitve so:

Prestrezanje gesel izvajajo posebej zasnovani

programi;

-- "maskarada" - izvajanje kakršnih koli dejanj enega uporabnika v imenu drugega;

Nezakonita uporaba privilegijev je odvzem privilegijev zakonitih uporabnikov s strani vsiljivca.

Proces obdelave in prenosa informacij s tehničnimi sredstvi računalniškega sistema spremlja elektromagnetno sevanje v okoliški prostor in indukcija električnih signalov v komunikacijskih linijah. Imajo imena lažno elektromagnetno sevanje in motnje (PEMIN). S pomočjo posebne opreme se signali sprejemajo, izolirajo, ojačajo in jih je mogoče gledati ali zapisati v pomnilniške naprave (pomnilniške naprave). Elektromagnetno sevanje napadalci ne uporabljajo samo za pridobivanje informacij, ampak tudi za njihovo uničenje.

Velika grožnja informacijski varnosti v CS je nepooblaščeno spreminjanje algoritemskih, programskih in tehničnih struktur sistema , ki se imenuje »zaznamek«. Praviloma so »zaznamki« vgrajeni v specializirane sisteme in se uporabljajo bodisi za neposredne škodljive učinke na računalniški sistem bodisi za nenadzorovan vstop v sistem.

Eden glavnih virov varnostnih groženj je uporaba posebnih programov, ki jih s skupnim imenom imenujemo "sabotažni programi" . Takšni programi vključujejo:

-- »računalniški virusi« - majhni programi, ki se po vnosu v računalnik samostojno širijo tako, da ustvarjajo svoje kopije, in ob izpolnjevanju določenih pogojev negativno vplivajo na računalniški sistem;

-- »črvi« so programi, ki se zaženejo vsakič, ko se sistem zažene, z možnostjo, da se premaknejo v računalniški sistem ali omrežje in samoreproducirajo kopije. Lazovito širjenje programov vodi do preobremenitve komunikacijskih kanalov, pomnilnika in nato do blokade sistema;

-- “Trojanski konji” - programi, ki izgledajo kot uporabna aplikacija, v resnici pa opravljajo škodljive funkcije (uničenje programske opreme, kopiranje in pošiljanje datotek z zaupnimi informacijami napadalcu itd.).

Poleg zgoraj omenjenih varnostnih groženj obstaja še nevarnost uhajanja informacij, ki postaja vsako leto bolj pomemben varnostni problem. Za učinkovito reševanje puščanja morate vedeti, kako nastane (slika 2).

Slika 2

Štiri glavne vrste uhajanja informacij predstavljajo veliko večino (84 %) incidentov, pri čemer polovica tega deleža (40 %) predstavlja najbolj razširjeno grožnjo – krajo medijev. 15% so notranje informacije. Ta kategorija vključuje incidente, ki jih povzročijo dejanja zaposlenih, ki so imeli zakonit dostop do informacij. Na primer, zaposleni ni imel pravic dostopa do informacij, vendar mu je uspelo zaobiti varnostne sisteme. Ali pa je imel notranji dostop do informacij in jih je odnesel zunaj organizacije. Vklopljeno hekerski napad prav tako predstavlja 15 % groženj. Ta široka skupina incidentov vključuje vsa puščanja, ki so nastala kot posledica zunanjega vdora. Ne prevelik delež hekerskih vdorov pojasnjujejo s tem, da so sami vdori postali manj opazni. 14 % je bilo spletnih uhajanj. Ta kategorija vključuje vsa uhajanja informacij, povezana z objavo zaupnih informacij na javnih mestih, na primer v Globalna omrežja. 9% je puščanje papirja. Po definiciji je puščanje papirja vsako puščanje, ki nastane kot posledica tiskanja zaupnih informacij na papir. 7 % so druge možne grožnje. Ta kategorija vključuje incidente, za katere ni bilo mogoče ugotoviti točnega vzroka, kot tudi uhajanja, ki so postala znana naknadno, potem ko so bili osebni podatki uporabljeni v nezakonite namene.

Poleg tega se trenutno aktivno razvija lažno predstavljanje - Tehnologija internetnih goljufij, ki vključuje krajo osebnih zaupnih podatkov, kot so gesla za dostop, številke kreditnih kartic, bančni računi in drugi osebni podatki. Phishing (iz angleščine Fishing - ribolov) pomeni ribolov z geslom in ne uporablja tehničnih pomanjkljivosti računalniškega sistema, temveč lahkovernost uporabnikov interneta. Napadalec vrže vabo na internet in "ujame vse ribe" - uporabnike, ki mu nasedejo.

Ne glede na posebnosti posameznih vrst groženj mora informacijska varnost ohranjati celovitost, zaupnost in razpoložljivost. Primarne so grožnje integriteti, zaupnosti in razpoložljivosti. Kršitev integritete vključuje vsako namerno spreminjanje informacij, ki so shranjene v računalniškem sistemu ali se prenašajo iz enega sistema v drugega. Kršitev zaupnosti lahko povzroči situacijo, ko informacije postanejo znane nekomu, ki nima pooblastil za dostop do njih. Nevarnost nedostopnosti informacij se pojavi, ko je zaradi namernih dejanj drugih uporabnikov ali napadalcev blokiran dostop do nekega vira CS.

Druga vrsta grožnje informacijski varnosti je grožnja razkritja parametrov CS. Zaradi njegovega izvajanja se informacije, obdelane v CS, ne poškodujejo, hkrati pa se možnosti za manifestacijo primarnih groženj bistveno povečajo.

Grožnje izhajajo iz nasprotujočih si ekonomskih interesov različne elemente, ki medsebojno delujejo znotraj in zunaj družbeno-ekonomskega sistema – tudi v informacijski sferi. Določajo vsebino in usmeritve dejavnosti za zagotavljanje splošne in informacijske varnosti. Treba je opozoriti, da je treba analizo problemov ekonomske varnosti izvajati ob upoštevanju medsebojnih razmerij ekonomskih nasprotij, ogroženosti in izgub, ki jih lahko povzroči uresničevanje groženj. Ta analiza vodi do naslednje verige:

< источник угрозы (внешняя и/или внутренняя среда предприятия)>

<зона риска (сфера экономической деятельности предприятия, способы её реализации, материальные и информационные ресурсы)>

<фактор (степень уязвимости данных, информации, программного обеспечения, компьютерных и телекоммуникационных устройств, материальных и финансовых ресурсов, персонала)>

< угроза (вид, величина, направление)>

<возможность её реализации (предпосылки, объект , способ действия, скорость и временной интервал действия)>

<последствия (материальный ущерб , моральный вред, размер ущерба и вреда, возможность компенсации)>.

Grožnjo običajno identificiramo z naravo (vrsto, načinom) destabilizirajočega učinka na materialne objekte, programsko opremo informacije ali s posledicami (rezultati) takega vpliva.

S pravnega vidika je pojem grožnje tesno povezan s pravno kategorijo škode, ki jo Civilni zakonik Ruske federacije (15. del I. člena) opredeljuje kot »dejanske stroške, ki jih ima subjekt zaradi kršitve. njegovih pravic (na primer kraja, razkritje ali uporaba zaupnih informacij s strani kršitelja), izgubo ali škodo na premoženju, pa tudi stroške, ki jih bo moral narediti za povrnitev kršene pravice, in vrednost poškodovanega ali izgubljenega lastnina."

Analiza negativnih posledic pojava in izvajanja groženj zahteva obvezno identifikacijo možnih virov groženj, ranljivosti, ki prispevajo k njihovemu pojavu, in načinov izvajanja. V zvezi s tem je treba grožnje ekonomski in informacijski varnosti razvrstiti, da bi to identifikacijo najbolj popolno in ustrezno izvedli: po viru grožnje, po naravi njenega pojava, po verjetnosti izvedbe, glede na vrsto človekove dejavnosti, po predmetu napada, po posledicah, po zmožnostih napovedovanja.

Grožnje lahko razvrstimo po več merilih:

• o najpomembnejših komponentah informacijske varnosti (dostopnost, celovitost, zaupnost), proti katerim so grožnje primarno uperjene;
• po komponentah informacijskih sistemov in tehnologij (podatki, sistemi strojne in programske opreme, omrežja, podporna infrastruktura), ki so neposredno tarče groženj;
• po metodi izvajanja (naključna ali namerna dejanja, dogodki človeškega ali naravnega obsega);
• z lokalizacijo vira groženj (zunaj ali znotraj informacijske tehnologije ali sistema).

Eden od možnih modelov klasifikacije groženj je prikazan na sl. 2.1 [Vikhorev, S., Kobcev R., 2002].

riž. 2.1.

Pri analizi je treba zagotoviti, da se večina možnih virov groženj in ranljivosti identificira in med seboj primerja ter da se vsi identificirani viri groženj in ranljivosti primerjajo z metodami za njihovo nevtralizacijo in odpravo.

Ta razvrstitev lahko služi kot podlaga za razvoj metodologije za ocenjevanje pomembnosti posamezne grožnje in kdaj najbolj trenutne grožnje sprejeti je mogoče ukrepe za izbiro metod in sredstev za njihovo preprečevanje ali nevtralizacijo.

Pri identifikaciji aktualnih groženj s strokovno-analitično metodo ugotavljamo objekte zaščite, ki so izpostavljeni posamezni grožnji, značilne vire teh groženj in ranljivosti, ki prispevajo k uresničevanju groženj.

Na podlagi analize se sestavi matrika razmerij med viri groženj in ranljivostmi, iz katere se določijo možne posledice izvajanja groženj (napadov) in se izračuna koeficient pomembnosti (stopnja nevarnosti) teh napadov kot produkt koeficientov nevarnosti ustreznih groženj in prej identificiranih virov groženj.

Eden od možnih algoritmov za izvedbo takšne analize, ki ga je mogoče enostavno formalizirati in algoritmizirati, je prikazan na sl. 2.2.

riž. 2.2.

Zahvaljujoč temu pristopu je mogoče:

• določiti prioritete varnostnih ciljev za subjekt odnosa;
• določi seznam trenutnih virov groženj;
• določite seznam trenutnih ranljivosti;
• oceni razmerje med ranljivostmi, viri groženj in možnostjo njihove implementacije;
• določiti seznam možnih napadov na objekt;
• razviti scenarije za možne napade;
• opisati možne posledice izvajanja groženj;
• razviti niz zaščitnih ukrepov in sistem upravljanja za ekonomsko in informacijsko varnost podjetja.

Zgoraj je bilo ugotovljeno, da so najpogostejše in najnevarnejše (glede na višino škode) nenamerne napake rednih uporabnikov, operaterjev, sistemski skrbniki in druge osebe, ki služijo Informacijski sistemi. Včasih so takšne napake dejansko grožnje (napačno vneseni podatki ali programska napaka, ki je povzročila zrušitev sistema), včasih ustvarjajo ranljivosti, ki jih napadalci lahko izkoristijo (običajno so to administrativne napake). Po nekaterih ocenah do 65 % izgub nastane zaradi nenamernih napak, ki so posledica malomarnosti, malomarnosti ali neustrezne usposobljenosti osebja.

Običajno so lahko uporabniki viri naslednjih groženj:

• namerna (vgradnja logične bombe, ki bo sčasoma uničila programsko jedro ali aplikacije) ali nenamerna izguba ali izkrivljanje podatkov in informacij, »vdiranje« v sistem administracije, kraja podatkov in gesel, posredovanje le-teh nepooblaščenim osebam itd.;
• nepripravljenost uporabnika na delo z informacijskim sistemom (najpogosteje se kaže, ko je treba osvojiti nove zmožnosti ali ko pride do neskladja med zahtevami uporabnikov in dejanskimi zmožnostmi in tehnične lastnosti) in namerno onemogočanje njegovih strojnih in programskih naprav;
• nezmožnost dela s sistemom zaradi pomanjkanja ustrezne usposobljenosti (splošna računalniška pismenost, nezmožnost tolmačenja diagnostičnih sporočil, nezmožnost dela z dokumentacijo itd.).

To je očitno učinkovita metoda boj proti nenamernim napakam – maksimalna avtomatizacija in standardizacija, informacijskih procesov, uporaba Fool Proof Devices, regulacija in strog nadzor uporabniških dejanj. Prav tako je treba zagotoviti, da se ob odhodu zaposlenega odvzamejo njegove pravice dostopa (logične in fizične) do informacijskih virov.

Glavni viri okvar notranjega sistema so:

• nezmožnost dela s sistemom zaradi pomanjkanja tehnična podpora(nepopolna dokumentacija, pomanjkanje referenčnih informacij ipd.);
• odstopanje (naključno ali namerno) od uveljavljena pravila delovanje;
• izstop sistema iz običajnega načina delovanja zaradi naključnih ali namernih dejanj uporabnikov ali vzdrževalcev (preseganje ocenjenega števila zahtev, prevelik obseg obdelanih informacij itd.);
• napake v konfiguraciji sistema;
• okvare programske in strojne opreme;
• uničenje podatkov;
• uničenje ali poškodba opreme.

Priporočljivo je upoštevati naslednje nevarnosti v zvezi s podporno infrastrukturo:

• motnje (naključne ali namerne) komunikacijskih sistemov, oskrbe z električno energijo, oskrbe z vodo in/ali toploto, klimatizacije;
• uničenje ali poškodovanje prostorov;
• nezmožnost ali nepripravljenost servisnega osebja in/ali uporabnikov, da opravljajo svoje dolžnosti (državljanski nemiri, prometne nesreče, teroristični napad ali grožnja z njim, stavka itd.).

Nevarno, seveda naravne nesreče(poplave, potresi, orkani) in dogodki, ki so posledica nesreč, ki jih povzroči človek (požari, eksplozije, zrušitve zgradb itd.). Po statističnih podatkih ogenj, voda in podobni »napadalci« (med katerimi je najnevarnejši izpad električne energije) povzročijo 13-15 % izgub, povzročenih proizvodnim informacijskim sistemom in virom.

Rezultate ocenjevanja in analize lahko uporabimo pri izbiri ustreznih optimalnih metod za obrambo pred grožnjami, pa tudi pri reviziji realnega stanja informacijske varnosti objekta.

Za ustvarjanje optimalni sistem informacijske varnosti podjetja, je treba kompetentno oceniti stanje, identificirati morebitna tveganja, razviti koncept in varnostno politiko, na podlagi katere se zgradi model sistema ter razvijejo ustrezni mehanizmi implementacije in delovanja.

Poglavje 2 Pojem informacijskih groženj in njihove vrste

2.1 Informacijske grožnje

Od poznih 80-ih in zgodnjih 90-ih so težave, povezane z informacijsko varnostjo, skrbele tako strokovnjake na tem področju. računalniška varnost, kot tudi številni običajni uporabniki osebni računalniki. To je posledica globokih sprememb, ki jih računalniška tehnologija prinaša v naša življenja.

Sodobni avtomatizirani informacijski sistemi (AIS) v ekonomiji so kompleksni mehanizmi, sestavljeni iz velikega števila komponent različnih stopenj avtonomije, ki so med seboj povezane in izmenjujejo podatke. Skoraj vsak od njih lahko odpove ali je izpostavljen zunanjim vplivom.

Kljub dragim uporabljenim metodam je delovanje računalniških informacijskih sistemov razkrilo prisotnost slabosti informacijske varnosti. Neizogibna posledica so bili vedno večji stroški in prizadevanja za zaščito informacij. Da pa bi bili sprejeti ukrepi učinkoviti, je treba ugotoviti, kaj je grožnja informacijski varnosti, prepoznati možne kanale uhajanja informacij in načine nepooblaščenega dostopa do varovanih podatkov.

Ogrožena informacijska varnost (informacijska grožnja) pomeni dejanje ali dogodek, ki lahko privede do uničenja, izkrivljanja ali nepooblaščene uporabe informacijskih virov, vključno s shranjenimi, prenesenimi in obdelanimi informacijami ter programsko in strojno opremo. Če se vrednost informacije med shranjevanjem in/ali distribucijo izgubi, potem grožnja kršitve zaupnost podatkov. Če se informacija spremeni ali uniči z izgubo vrednosti, potem je realizirana grožnja celovitosti informacij. Če informacija do zakonitega uporabnika ne pride pravočasno, se njena vrednost zmanjša in sčasoma popolnoma razvrednoti, s čimer je ogrožena učinkovitost uporabe oziroma dostopnost informacij.

Izvajanje groženj informacijski varnosti torej pomeni kršitev zaupnosti, celovitosti in razpoložljivosti informacij. Napadalec si lahko ogleda zaupne informacije, jih spremeni ali celo uniči, prav tako pa lahko zakonitemu uporabniku omeji ali blokira dostop do informacij. V tem primeru je lahko napadalec zaposleni v organizaciji ali zunanji sodelavec. Toda poleg tega se lahko vrednost informacij zmanjša zaradi naključnih, nenamernih napak osebja, pa tudi zaradi presenečenj, ki jih včasih predstavlja narava sama.

Informacijske grožnje lahko povzročijo:

naravni dejavniki (naravne nesreče - požar, poplava, orkan, strela in drugi vzroki);

človeški dejavniki. Slednji pa se delijo na:

– grožnje, ki so naključne, nenamerne narave. Gre za grožnje, povezane z napakami v procesu priprave, obdelave in posredovanja informacij (znanstvene, tehnične, komercialne, denarne in finančne dokumentacije); z neciljanim »begom možganov«, znanja, informacij (na primer v zvezi z migracijami prebivalstva, potovanji v druge države, zaradi združitve z družino ipd.) Gre za grožnje, povezane z napakami v načrtovanju, razvoju in procesu proizvodnje sistemov in njihovi sestavni deli (zgradbe, objekti, prostori, računalniki, komunikacijska oprema, operacijski sistemi, uporabniški programi itd.) z napakami v delovanju opreme zaradi slabe kakovosti izdelave; z napakami v procesu priprave in obdelave informacij (napake programerjev in uporabnikov zaradi nezadostne usposobljenosti in nekvalitetne storitve, napake operaterja pri pripravi, vnosu in izpisu podatkov, popravljanju in obdelavi informacij);

– grožnje, ki nastanejo zaradi namernih, premišljenih dejanj ljudi. Gre za grožnje, povezane s prenosom, izkrivljanjem in uničenjem znanstvenih odkritij, izumov proizvodnih skrivnosti, novih tehnologij iz sebičnih in drugih nesocialnih razlogov (dokumentacija, risbe, opisi odkritij in izumov ter drugo gradivo); prisluškovanje in prenos uradnih in drugih znanstvenih, tehničnih in komercialnih pogovorov; s ciljnim »begom možganov«, znanja in informacij (na primer v zvezi s pridobitvijo drugega državljanstva iz sebičnih razlogov). Gre za grožnje, povezane z nepooblaščenim dostopom do virov avtomatiziranega informacijskega sistema (tehnične spremembe sredstev računalniška tehnologija in komunikacije, povezava z računalniško opremo in komunikacijskimi kanali, kraja nosilcev informacij (diskete, opisi, izpisi itd.).

Namerna grožnja je namenjena povzročanju škode uporabnikom AIS in se deli na aktivne in pasivne.

Pasivne grožnje, so praviloma namenjeni nepooblaščeni uporabi informacijskih virov, ne da bi to vplivalo na njihovo delovanje. Pasivna grožnja je na primer poskus pridobivanja informacij, ki krožijo po komunikacijskih kanalih, s poslušanjem le-teh.

Aktivne grožnje imajo za cilj motenje normalnega delovanja sistema s ciljnim vplivom na strojno, programsko in informacijske vire. Aktivne grožnje vključujejo na primer uničenje ali elektronsko motenje komunikacijskih linij, onesposobitev osebnega računalnika ali njegovega operacijskega sistema, izkrivljanje podatkov v bazah podatkov ali sistemskih informacijah itd. Viri aktivnih groženj so lahko neposredna dejanja napadalcev, programski virusi itd.

Namerne grožnje delimo na notranji ki nastanejo znotraj upravljane organizacije, in zunanji .

Notranje grožnje največkrat določata družbena napetost in težka moralna klima.

Zunanje grožnje lahko določajo zlonamerna dejanja konkurentov, gospodarske razmere in drugi razlogi (na primer naravne nesreče). Po tujih virih se je zelo razširila industrijsko vohunjenje - je nezakonito zbiranje, prisvajanje in posredovanje podatkov, ki so poslovna skrivnost, s strani osebe brez pooblastila njenega imetnika, ki škoduje imetniku poslovne skrivnosti.

Glavne varnostne grožnje vključujejo:

razkritje zaupnih informacij;

ogrožanje informacij;

nepooblaščena uporaba informacijskih virov;

zloraba sredstev; nepooblaščena izmenjava informacij;

zavračanje informacij;

zavrnitev storitve.

Sredstva za izvajanje groženj razkritje zaupnih podatkov Lahko pride do nepooblaščenega dostopa do baz podatkov, prisluškovanja kanalom itd. Vsekakor pridobivanje informacij, ki so last določene osebe (skupine oseb), kar vodi do zmanjšanja in celo izgube vrednosti informacije.

Realizacija groženj je posledica enega od naslednjih dejanj in dogodkov: razkritja zaupnih informacij, uhajanja zaupnih informacij ter nepooblaščen dostop do varovanih informacij (106). Pri razkritju ali uhajanju je kršena zaupnost informacij z omejenim dostopom (slika 2).

riž. 2 Dejanja in dogodki, ki kršijo informacijsko varnost

Uhajanje zaupnih informacij - gre za nenadzorovano sproščanje zaupnih informacij izven meja IP ali kroga oseb, ki jim je bila zaupana s storitvijo ali je postala znana pri delu. To puščanje je lahko posledica:

razkritje zaupnih informacij;

pretok informacij po različnih, predvsem tehničnih kanalih;

nepooblaščen dostop do zaupnih podatkov na različne načine.

Razkritje informacij njihov lastnik ali posestnik je namerno ali malomarno ravnanje uradnih oseb in uporabnikov, ki so jim bile zadevne informacije s svojo službo ali delom zaupane na predpisan način, zaradi česar so se z njimi seznanile osebe, ki jim te informacije niso bile omogočene. .

Na voljo nenadzorovano odstranjevanje zaupnih podatkov preko vizualno-optičnih, akustičnih, elektromagnetnih in drugih kanalov.

Zaradi njihove fizične narave so možni naslednji načini prenosa informacij:

Svetlobni žarki.

Zvočni valovi.

Elektromagnetni valovi.

Materiali in snovi.

Pod kanalom uhajanja informacij razumemo fizično pot od vira zaupnih informacij do napadalca, po kateri je možno uhajanje ali nepooblaščen sprejem varovanih informacij. Za nastanek (formiranje, vzpostavitev) kanala uhajanja informacij so potrebni določeni prostorski, energijski in časovni pogoji ter ustrezni načini zaznavanja in beleženja informacij na strani napadalca.

Glede na prakso, ob upoštevanju fizične narave izobraževanja, lahko kanale uhajanja informacij razdelimo v naslednje skupine:

vizualno-optični;

akustični (vključno z akustično transformacijo);

elektromagnetni (vključno z magnetnimi in električnimi);

materialni (papir, fotografije, magnetni mediji, industrijski odpadki različne vrste– trdno, tekoče, plinasto).

Vizualni optični kanali– to je praviloma neposredno ali daljinsko (tudi televizijsko) opazovanje. Nosilec informacij je svetloba, ki jo oddajajo viri zaupnih informacij ali se od njih odbijajo v vidnem, infrardečem in ultravijoličnem območju.

Akustični kanali. Za osebo je sluh drugi najbolj informativen po vidu. Zato je eden od precej pogostih kanalov uhajanja informacij akustični kanal. V akustičnem kanalu je nosilec informacije zvok, ki leži v ultra (več kot 20.000 Hz), zvočnem in infrazvočnem območju. Razpon zvočne frekvence ljudje slišijo v razponu od 16 do 20.000 Hz, in v človeškem govoru - od 100 do 6.000 Hz.

V prostem zračnem prostoru se med pogajanji v prostorih oblikujejo zvočni kanali v primeru odprtih vrat, oken in zračnikov. Poleg tega so takšni kanali oblikovani z zračnim prezračevalnim sistemom prostorov. V tem primeru je oblikovanje kanalov bistveno odvisno od geometrijskih dimenzij in oblike zračnih kanalov, akustičnih lastnosti oblikovanih elementov ventilov, razdelilnikov zraka in podobnih elementov.

Elektromagnetni kanali. Nosilec informacije so elektromagnetni valovi v razponu od ultra dolgih z valovno dolžino 10.000 m (frekvence manj kot 30 Hz) do sublimiranih z valovno dolžino 1 - 0,1 mm. (frekvence od 300 do 3000 GHz). Vsaka od teh vrst elektromagnetni valovi ima posebne značilnosti širjenja, tako v območju kot v prostoru. Dolgi valovi se na primer širijo na zelo velike razdalje, medtem ko milimetrski valovi, nasprotno, segajo le do vidne črte znotraj nekaj ali deset kilometrov. Poleg tega različne telefonske in druge žice ter komunikacijski kabli ustvarjajo okoli sebe magnetna in električna polja, ki prav tako delujejo kot elementi uhajanja informacij zaradi motenj drugih žic in elementov opreme v bližini njihove lokacije.

Material in materialni kanali Uhajanje informacij vključuje različne materiale v trdni, tekoči, plinasti ali korpuskularni (radioaktivni elementi) obliki. Zelo pogosto so to razni proizvodni odpadki, izdelki z napako, surovi materiali itd.

Očitno ima lahko vsak vir zaupnih informacij v eni ali drugi meri nabor kanalov za uhajanje informacij. Vzroki za uhajanje so običajno povezani z nepopolnimi standardi za shranjevanje informacij, pa tudi s kršitvami teh standardov (vključno z nepopolnimi), odstopanji od pravil za ravnanje z ustreznimi dokumenti, tehničnimi sredstvi, vzorci izdelkov in drugim gradivom, ki vsebuje zaupne informacije.

Dejavniki uhajanja lahko vključujejo na primer:

nezadostno poznavanje pravil informacijske varnosti s strani zaposlenih v podjetju in nerazumevanje (ali nerazumevanje) potrebe po njihovem skrbnem upoštevanju;

šibek nadzor nad spoštovanjem pravil o varstvu informacij s pravnimi, organizacijskimi in inženirskimi ukrepi.

Nepooblaščen dostop (UNA)

Ta najpogostejša vrsta informacijske grožnje vključuje dostop uporabnika do objekta, za katerega nima dovoljenja v skladu z varnostno politiko organizacije. Največji izziv je običajno določiti, kdo naj ima dostop do katerih nizov podatkov in kdo ne. Z drugimi besedami, opredeliti je treba izraz "nepooblaščeno".

Po naravi je vpliv NSD aktiven vpliv, ki uporablja sistemske napake. NSD običajno neposredno dostopa do zahtevanega nabora podatkov ali vpliva na informacije o pooblaščenem dostopu, da bi legaliziral NSD. Vsak sistemski objekt je lahko predmet NSD. NSD se lahko izvede tako s standardnimi kot s posebej zasnovanimi programsko opremo na predmete.

Obstajajo tudi precej primitivni načini nepooblaščenega dostopa:

kraja pomnilniških medijev in dokumentarnih odpadkov;

proaktivno sodelovanje;

napeljevanje vlomilca k sodelovanju;

sondiranje;

prisluškovanje;

opazovanje in druge načine.

Kakršni koli načini odtekanja zaupnih informacij lahko privedejo do velike materialne in moralne škode tako za organizacijo, kjer deluje informacijski sistem, kot za njegove uporabnike.

Vodstvo se mora zavedati, da precejšen del razlogov in pogojev, ki ustvarjajo predpogoje in možnosti za nezakonito pridobivanje zaupnih informacij, nastane zaradi elementarnih pomanjkljivosti vodij organizacij in njihovih zaposlenih. Na primer, razlogi in pogoji, ki ustvarjajo predpogoje za uhajanje poslovnih skrivnosti, lahko vključujejo:

zaposleni v organizaciji ne poznajo dovolj pravil za zaščito zaupnih informacij in ne razumejo potrebe po njihovem skrbnem upoštevanju;

uporaba necertificiranih tehničnih sredstev za obdelavo zaupnih informacij;

šibek nadzor nad spoštovanjem pravil o varstvu informacij s pravnimi organizacijskimi in inženirskimi ukrepi itd.

Primer št. 1 (M. Nakamoto “Japonska se bori proti uhajanju informacij”, “ponedeljek” z dne 3. februarja 2004)

Japonska podjetja so že dolgo obtožena v škandalih in sporih glede industrijskega vohunjenja, pri čemer je eden najbolj znanih primerov primer zaposlenih Hitachija iz leta 1982, obtoženih kraje intelektualne lastnine IBM-u. Zdaj pa, ko se mednarodna konkurenca krepi na območjih, kjer so Japonci tradicionalno prevladovali, postajajo sami vse pogosteje žrtve industrijskih vohunov.

Korporacija Sharp, ki skrbno varuje lasten tehnološki razvoj, je svojo ultramoderno tovarno za proizvodnjo plošč s tekočimi kristali postavila v mestu Kameyama - v odmaknjenem goratem območju, daleč od radovednih oči. A tudi tu se velikan elektronske industrije ne počuti dobro. popolna varnost: nekaj časa je zaposlene v Sharpu začel vznemirjati skrivnostni avto, ki se približno enkrat na mesec vozi po tajnem objektu korporacije. Po mnenju predstavnikov Sharpa bi lahko sumljiv avto pripadal agentu konkurenčnega podjetja, ki upa, da bo izvedel pomembne podrobnosti o znanju nekoga drugega.

"Uhajanje tehnologije z Japonske zmanjšuje konkurenčnost države in vodi v upad zaposlovanja," je dejal Yoshinori Komiya, direktor Agencije za zaščito intelektualne lastnine pri Ministrstvu za gospodarstvo, trgovino in industrijo (METI). Zavedamo se, da so nekatere tehnologije predmet prenosa v tujino; zdaj pa se pogosto prenašajo tehnologije, ki jih vodje podjetij želijo ohraniti skrivnost.«

Ta problem je postal še posebej boleč za japonsko vlado zdaj, ko so sosedje dežele vzhajajočega sonca dosegle resen uspeh na trgu visoke tehnologije. Tudi največja in najmočnejša japonska podjetja morajo zdaj zavzeti obrambno držo in skrbno varovati svojo intelektualno lastnino.

Po podatkih METI se številna podjetja, ki postanejo žrtve industrijskega vohunjenja, trudijo, da ne bi zanetila škandala, saj so za kraje krivi njihovi zaposleni in ne zunanji agenti. Kot priznava Yokio Sotoku, podpredsednik Matsushite, so kršitve s strani petokolonašev, kot so zaposleni, ki ob koncih tedna delajo v konkurenčnih podjetjih, še vedno pogoste v japonskem poslovanju.

Raziskava METP tudi kaže, da so eden od kanalov za uhajanje komercialnih informacij nekdanji zaposleni v japonskih podjetjih, ki se zaposlijo v drugih azijskih državah in s seboj odnesejo znanje svojih nekdanjih delodajalcev. METP je identificiral glavne načine, na katere zaupne informacije odtekajo do konkurentov japonskih podjetij, vključno s kopiranjem podatkov s strani zaposlenih v prostem času; zaposleni delajo s krajšim delovnim časom v konkurenčnih podjetjih (na primer ob vikendih); ustanovitev skupnega podjetja s tujim podjetjem z nezadostno razvito politiko informacijske varnosti; kršitev pogodbe o zaupnosti s strani partnerja – dobavitelja opreme itd.

V METI ugotavljajo, da mnoga podjetja, ki se niso pravočasno zavedala tveganja, povezanega z uhajanjem znanja, zaradi tega utrpijo velike izgube, vendar jih sodišča v takih primerih obravnavajo brez sočutja, saj govorimo o malomarnosti in malomarnosti. Od 48 sodnih primerov, v katerih so japonska podjetja zahtevala odškodnino za škodo zaradi kraje intelektualne lastnine, je bilo samo 16 primerov utemeljenih.

Primer št. 2 (B. Gossage "Chetterbox - božji dar za tekmovalca"; "Ponedeljek" z dne 16.02.2004)

Phil Sipowicz, ustanovitelj in vodja ameriškega IT-svetovalnega podjetja Everynetwork, se nikoli ni imel za zgovornega ali nagnjenega k indiskretnim izjavam. Ko se je pogajal o morebitnem partnerstvu z enim od svojih konkurentov, je Sipovich poskušal ne razkriti svojih kart in je povedal le tisto, kar se mu je zdelo resnično potrebno za napredek posla.

Po pogajanjih je optimistični Sipovič skupaj z odvetnikom sestavil pogodbo o nerazkrivanju podatkov in jo po faksu poslal partnerju. Odgovor je prišel šele čez nekaj tednov in je bil nepričakovan – partner je dejal, da ga ne zanima združitev, zavezništvo ali karkoli drugega ... In mesec dni pozneje je ena od Sipovičevih strank poklicala in povedala, da so ga kontaktirali. na predlog drugega svetovalca. Kot se je izkazalo, ta isti propadli partner! Šele takrat se je Sipovič spomnil, da je med pogajanji pomotoma omenil tri svoje ključne stranke. Njegovi sumi so bili upravičeni: kmalu sta ponudbi alternativnega svetovalca prejeli še dve stranki. "To ni bila obsežna marketinška akcija, iskali so pristop samo do tistih strank, ki sem jih sam omenil," pravi Sipovich, "nič nisem mogel narediti, saj sem prelil čašo."

Razkritje in uhajanje vodi do nepooblaščenega dostopa do zaupnih informacij, ko minimalni stroški prizadevanja napadalca. K temu prispevajo nekatere ne najboljše osebne in poklicne lastnosti ter dejanja zaposlenih v podjetju, predstavljene na sliki 3.

riž. 3 Osebne in poklicne lastnosti ter dejanja zaposlenih, ki prispevajo k uresničevanju groženj informacijski varnosti

In tudi če zaposleni ni napadalec, lahko dela napake nenamerno zaradi utrujenosti, bolezni ipd.

Napačna uporaba informacijskih virov, sankcioniranje pa lahko vodi v uničenje in razkritje. ali ogrožanje določenih virov. Ta grožnja je največkrat posledica napak v programski opremi AIS.

Uničenje računalniških informacij- to je brisanje v pomnilniku računalnika, brisanje s fizičnega medija, pa tudi nepooblaščene spremembe njegovih sestavnih podatkov, korenito spreminjanje vsebine (na primer vnos lažnih podatkov, dodajanje, spreminjanje, brisanje zapisov). Sočasni prenos podatkov na drug računalniški medij se kazenskopravno ne šteje za uničenje računalniških podatkov le, če zaradi teh dejanj zakonitim uporabnikom ni bil bistveno oviran ali izključen dostop do podatkov.

Uporabnik ima možnost obnoviti uničene podatke s programsko opremo ali pridobiti te informacije od drugega uporabnika ne odvezuje krivca odgovornosti.

Uničenje informacij ne pomeni preimenovanja datoteke, kjer so vsebovane, niti je ne "izloči" samodejno. starejše različice datotek so posodobljene.

Blokiranje informacij o računalniku– to je umetna težava pri dostopu do računalniških informacij za uporabnike, ki ni povezana z njihovim uničenjem. Z drugimi besedami, to je izvajanje dejanj z informacijami, katerih posledica je nemožnost pridobitve ali uporabe za predvideni namen, s popolno varnostjo samih informacij.

Kompromis informacij, se praviloma izvaja z nepooblaščenimi spremembami podatkovnih baz, zaradi česar jih je potrošnik prisiljen bodisi opustiti bodisi si dodatno prizadevati za prepoznavanje sprememb in obnovitev resničnih informacij. V primeru uporabe ogroženih informacij je potrošnik izpostavljen tveganju napačne odločitve z vsemi posledicami.

Zavrnitev informacij, zlasti nepriznavanje transakcije (bančne operacije), pomeni, da prejemnik ali pošiljatelj informacij ne priznava dejstev o njihovem prejemu ali pošiljanju. V okviru marketinških dejavnosti to zlasti omogoča eni od strank, da »tehnično« prekine sklenjene finančne pogodbe; način, ne da bi se jim formalno odpovedali in s tem povzročili bistveno škodo drugi stranki.

Spreminjanje računalniških informacij- to je vnos kakršnih koli sprememb vanj, razen tistih, ki se nanašajo na prilagoditev računalniškega programa ali baze podatkov. Prilagoditev računalniškega programa ali baze podatkov je »uvedba sprememb, ki se izvajajo izključno zaradi zagotavljanja delovanja računalniškega programa ali baze podatkov na določenih tehničnih sredstvih uporabnika ali pod nadzorom določenih uporabniških programov« (1. 1 zakona Ruske federacije z dne 23. septembra 1992 "O pravnem varstvu programov za elektronske računalnike in baz podatkov";). Z drugimi besedami, to pomeni spremembo njegove vsebine v primerjavi s podatki, s katerimi je prvotno (pred storitvijo dejanja) razpolagal lastnik oziroma zakoniti uporabnik.

Kopiranje računalniških informacij– izdelava in trajni zapis druge in naslednjih kopij baze podatkov, datotek v kakršni koli materialni obliki ter njihov zapis na računalniške medije, v računalniški pomnilnik.

Zavrnitev storitve predstavlja zelo pomembno in razširjeno grožnjo, katere vir je AIS sam. Takšna zavrnitev je še posebej nevarna v situacijah, ko lahko zamuda pri zagotavljanju sredstev naročniku povzroči hude posledice zanj. Tako lahko uporabnikovo pomanjkanje podatkov, potrebnih za odločitev v obdobju, ko je to odločitev še mogoče učinkovito izvesti, povzroči neracionalno ravnanje.

Glavni tipični načini nepooblaščenega dostopa do informacij so:

prestrezanje elektronskega sevanja;

• 
  Dokument

  ... informativnivarnost. 8.2.9. Splošne zahteve glede zavarovanja informativnivarnost bančništvo informacije tehnološki procesi 8.2.9.1. Sistem zagotavljanje informativnivarnost bančništvo informativni ... -gospodarskih ...

• Varnost informacij

  Vadnica

  Po določbi informativnivarnost RF; nezadostna gospodarskih moč države; zmanjšana učinkovitost sistemi izobraževanje in vzgoja...

• Informacijska varnost izobraževalnega in metodološkega kompleksa podjetniške dejavnosti

  Kompleks usposabljanja in metodologije

  Matematika, računalništvo, gospodarskih teorija, statistika, ... informativnivarnost. B. Kriptografske metode zagotavljanja informativnivarnost. B. Zahteve glede zavarovanja informativnivarnost podjetja informativnisistemi ...

Glavne vrste groženj varnosti informacijskih sistemov so:

Namerna dejanja kršiteljev in napadalcev (užaljeno osebje, kriminalci, vohuni, saboterji itd.).

Varnostne grožnje lahko razvrstimo po različnih kriterijih:

1. Na podlagi rezultatov ukrepa:

1) nevarnost uhajanja;

2) grožnja spremembe;

3) nevarnost izgube.

2. Na podlagi:

· Nenamerno;

· Namerno.

Naključne (nenamerne) grožnje lahko nastanejo kot posledica:

Naravne nesreče in nesreče (poplava, orkan, potres, požar itd.);

Okvara in okvara opreme (tehnična sredstva) AITU;

Posledice napak pri načrtovanju in razvoju komponent AIS (strojna oprema, tehnologija za obdelavo informacij, programi, podatkovne strukture itd.);

Operativne napake (s strani uporabnikov, operaterjev in drugega osebja).

Glavni razlogi nenamerne grožnje, ki jih povzroči človek AIS:

· Nepazljivost;

· kršenje predpisov in neupoštevanje omejitev, vzpostavljenih v sistemu;

· Nesposobnost;

· Malomarnost.

Primeri groženj:

1) nenamerna dejanja, povzroči delno ali popolno odpoved sistema ali uničenje strojne, programske opreme, informacijskih virov sistema (nenamerna poškodba opreme, brisanje, izkrivljanje datotek z pomembna informacija ali programi, vključno s sistemskimi itd.);

2) nezakonit vklop opreme oz spreminjanje načinov delovanja naprav in programov;

3) nenamerno poškodovanje medijev informacije;

4) nezakonit vnos in uporaba neobjavljenih programov (iger, izobraževalnih, tehnoloških itd.)., ki storilcu ni nujno potrebno za opravljanje službenih nalog) s poznejšo nerazumno porabo virov (obremenitev procesorja, zajem RAM-a in pomnilnika na zunanjem mediju);

6) okužba računalnika virusi;

7) neprevidna dejanja, ki vodijo do razkritje zaupnih podatkov ali dajanje na voljo javnosti;

8) razkritje, prenos ali izguba atributov za nadzor dostopa (str gesla, šifrirni ključi, identifikacijske kartice, prepustnice itd.);

9) ignoriranje organizacijskih omejitev(vzpostavljena pravila) z uvrstitvijo v sistem;

10) prijava v sistem mimo varnostnih ukrepov(nalaganje tujega operacijskega sistema z izmenljivega magnetnega medija itd.);

11) nesposobna uporaba, nastavitev ali nepooblaščen izklop zaščitna oprema varnostno osebje;

12) pošiljanje podatkov na napačen naslov naročnika (naprave);

13) vnašanje napačnih podatkov;

14) nenamerno poškodovanje komunikacijskih kanalov.

namerne grožnje - Gre za grožnje AIS, ki jih povzroča človekova dejavnost in so povezane s sebičnimi težnjami ljudi (napadalci).

Viri groženj proti informacijski sistem lahko zunanji ali notranji.

Na žalost ima izvajanje obeh groženj enake posledice: izgubo podatkov, kršitev njihove zaupnosti, njihovo spreminjanje.

Osnovno namerne namerne grožnje običajno namenjeno:

· namerna dezorganizacija delovanja sistema in njegov izpad,

· z namenom vdora v sistem in nepooblaščenega dostopa do informacij ter njihove uporabe v osebno korist.

Namerne grožnje pa lahko razdelimo na:

1. Aktivno in pasivno .

Pasivne grožnje - so usmerjeni predvsem v nepooblaščeno uporabo informacijskih virov, ki ne povzroči poškodbe ali uničenja informacij.

Za to se uporabljajo različne izvedbene metode. :

A) uporaba prisluškovalnih naprav, fotografiranje in video snemanje na daljavo, kraja medijev itd.;

b) kraja pomnilniških medijev (magnetnih diskov, trakov, pomnilniških čipov, pomnilniških naprav in osebnih računalnikov);

c) prestrezanje podatkov, ki se prenašajo po komunikacijskih kanalih, in njihova analiza z namenom določitve protokolov izmenjave, pravil za vstop v komunikacijo in avtorizacije uporabnikov ter kasnejši poskusi njihovega posnemanja za prodor v sistem;

G) branje preostalih informacij iz RAM-a in zunanjih pomnilniških naprav (pomnilniški medpomnilnik tiskalnika);

d) branje informacij iz območja RAM, ki jih uporablja operacijski sistem (vključno z varnostnim podsistemom);

e) nezakonito pridobivanje gesel in druge podrobnosti nadzora dostopa (z obveščanjem, z malomarnostjo uporabnikov, z izbiro, imitacijo sistemskega vmesnika ipd., čemur sledi preobleka v registriranega uporabnika (»maskarada«);

Aktivne grožnje - kršitev normalno delovanje sistem z usmerjenim vplivom na njegove komponente.

Metode izvedbe:

A) okvara osebnega računalnika ali operacijskega sistema;

B) motnje komunikacijskih kanalov;

C) vdor v varnostni sistem;

D) uporaba programskih virusov itd.

2. Notranje in zunanje grožnje .

Notranji kršitelji so lahko osebe iz naslednjih kategorij osebja:

§ osebje za podporo in vzdrževanje (operaterji, električarji, tehniki) sistema;

§ zaposleni v oddelkih za razvoj in vzdrževanje programske opreme (programerji aplikacij in sistemov);

§ varnostniki AITU;

§ vodje na različnih ravneh uradne hierarhije.

Po raziskavah, opravljenih v BIS, več kot 80 % kršitev storijo bančni uslužbenci

Tujci, ki so morda zunanji kršitelji .

§ stranke (predstavniki organizacij, državljani);

§ obiskovalci (vabljeni iz katerega koli razloga);

§ predstavniki organizacij, ki sodelujejo pri vprašanjih zagotavljanja življenjske dobe organizacije (oskrba z energijo, vodo, toploto itd.);

predstavniki konkurenčnih organizacij (tuje obveščevalne službe) ali osebe, ki delujejo po njihovih navodilih;

2.Metode in sredstva zaščite

Zaščitni sistem - To je sklop (kompleks) posebnih ukrepov pravne (zakonodajne) (upravne narave, organizacijski ukrepi, fizična in tehnična (strojna in programska) sredstva zaščite, pa tudi posebno osebje, namenjeno zagotavljanju varnosti informacij, informacijske tehnologije in avtomatiziranega sistema kot celote.

V mednarodni in ruski praksi se standardi uporabljajo za oceno stopnje varnosti računalniških sistemov. V ZDA se dokument, ki vsebuje te standarde, imenuje oranžna knjiga. (1985). Zagotavlja naslednje stopnje varnosti sistema:

· Najvišji razred - A;

· Vmesni razred –B;

· Nizka stopnja – C;

· Razred sistemov, ki niso opravili preizkusa – D.

V ruski praksi je Državna tehnična komisija pri predsedniku Ruske federacije razvila smernice, ki določajo vzpostavitev 7 razredov zaščite elektronske opreme pred nepooblaščenim dostopom. V tem primeru zaščitni ukrepi zajemajo naslednje podsisteme:

· Nadzor dostopa;

· Registracija in računovodstvo;

· Kriptografski;

· Zagotavljanje integritete;

· Zakonodajni ukrepi;

· Fizični ukrepi.

Metode in sredstva za zagotavljanje informacijske varnosti so prikazane na sliki 2. Razmislimo o glavni vsebini predstavljenih metod varovanja informacij, ki so osnova varnostnih mehanizmov.