Bilgi güvenliğine yönelik olası tehditler. Bilgi güvenliği tehditlerinin türleri. Bilgi güvenliği ve veri erişimi ihlallerine ilişkin spesifik örnekler
Modern toplumda Bilişim Teknolojileri ve depolama elektronik medya devasa veritabanları, bilgi ve türlerin güvenliğini sağlama sorunları bilgi tehditleri aylaklıktan yoksun değiller. Bilginin sahibine veya kullanıcısına zarar verebilecek doğal veya yapay kökenli tesadüfi ve kasıtlı eylemler bu makalenin konusunu oluşturmaktadır.
Bilgi alanında güvenliği sağlama ilkeleri
Bilgi güvenliğinin temel ilkeleri, güvenliğini ve bütünlüğünü sağlamaya yönelik sistem şunlardır:
- Bilgi verilerinin bütünlüğü. Bu ilke, bilginin aktarılırken ve saklanırken içeriğini ve yapısını koruduğunu ima eder. Veri oluşturma, değiştirme veya yok etme hakkı yalnızca uygun erişim durumuna sahip kullanıcılara aittir.
- Veri gizliliği. Veri dizisine erişimin, bu sistemde açıkça sınırlı sayıda yetkili kullanıcı grubuna sahip olduğu, dolayısıyla bilgilere yetkisiz erişime karşı koruma sağladığı anlaşılmaktadır.
- Veri setinin kullanılabilirliği. Bu prensibe uygun olarak, yetkili kullanıcılar siteye zamanında ve engelsiz erişim hakkına sahiptir.
- Bilginin güvenilirliği. Bu ilke, bilginin kesinlikle yalnızca alındığı kişiye ve kaynağına ait olduğu gerçeğiyle ifade edilir.
Güvenlik Zorlukları
Bir bilgisayar sistemindeki aksaklıkların ve hataların ciddi sonuçlara yol açabileceği durumlarda bilgi güvenliği sorunları gündeme gelir. Bilgi güvenliği sisteminin görevleri ise çok yönlü ve kapsamlı önlemler anlamına gelir. Bunlar arasında bilgilerin kötüye kullanılmasının, zarar görmesinin, bozulmasının, kopyalanmasının ve engellenmesinin önlenmesi yer alır. Bu, uygun düzeyde yetkilendirmeye sahip olmayan kişilerin izinsiz erişimlerini izlemeyi ve önlemeyi, bilgi sızıntısını ve bütünlüğüne ve gizliliğine yönelik tüm olası tehditleri önlemeyi içerir. Şu tarihte: modern gelişme Veritabanı güvenliği sorunları sadece küçük ve özel kullanıcılar için değil aynı zamanda finansal kurumlar için de önem kazanmaktadır. büyük şirketler.
Bilgi güvenliği tehdit türlerinin sınıflandırılması
Bu bağlamda “tehdit” derken potansiyel olarak kast ettiğimiz olası eylemler işletim sistemi veya içinde depolanan bilgiler üzerinde istenmeyen sonuçlara veya etkilere yol açabilecek olaylar ve süreçler. İÇİNDE modern dünya Türleri kriterlerden birine göre sınıflandırılan oldukça fazla sayıda bu tür bilgi tehdidi vardır.
Dolayısıyla, olayın doğasına göre, şunları ayırt ederler:
- Doğal tehditler. Bunlar fiziksel etkilerin veya doğal olayların bir sonucu olarak ortaya çıkanlardır.
- İnsan yapımı tehditler. İLE bu tür Bilgi tehditleri insan eylemleriyle ilişkili her şeyi içerir.
Kasıtlılık derecesine göre tehditler tesadüfi ve kasıtlı olarak ikiye ayrılır.
Bilgi güvenliğine yönelik tehdidin doğrudan kaynağına bağlı olarak doğal (örneğin doğa olayları), insani (bilginin ifşa edilerek gizliliğinin ihlali), yazılım ve donanım olabilir. İkinci tür ise yetkili (işletim sistemlerinin işleyişindeki hatalar) ve yetkisiz (web sitesi korsanlığı ve virüs enfeksiyonu) tehditler olarak ikiye ayrılabilir.
Kaynak mesafesine göre sınıflandırma
Kaynağın konumuna bağlı olarak 3 ana bilgi tehdidi türü vardır:
- Bilgisayar dışındaki bir kaynaktan gelen tehditler işletim sistemi. Örneğin, bilginin iletişim kanalları aracılığıyla iletildiği sırada ele geçirilmesi.
- Kaynağı kontrollü işletim sistemi içinde olan tehditler. Örneğin veri hırsızlığı veya bilgi sızıntısı.
- Sistemin kendi içinde ortaya çıkan tehditler. Örneğin, bir kaynağın yanlış aktarılması veya kopyalanması.
Diğer sınıflandırmalar
Kaynağın uzaklığına bakılmaksızın, bilgi tehdidinin türü pasif (etki, veri yapısında değişiklik gerektirmez) ve aktif (etki, verinin yapısını, bilgisayar sisteminin içeriğini değiştirir) olabilir.
Ayrıca bilgi tehditleri bir bilgisayara erişim aşamalarında ortaya çıkabilir ve yetkili erişim sonrasında tespit edilebilir (örneğin, verilerin izinsiz kullanılması).
Konumlarına bağlı olarak tehditler 3 türde olabilir: harici cihazlar hafıza, içinde rasgele erişim belleği ve iletişim hatları boyunca dolaşanda.
Bazı tehditler (örneğin bilgi hırsızlığı) sistem etkinliğine bağlı değildir, diğerleri (virüsler) yalnızca veri işleme sırasında tespit edilir.
Kasıtsız (doğal) tehditler
Bu tür bilgi tehdidini uygulamaya yönelik mekanizmalar ve bunları önlemeye yönelik yöntemler oldukça iyi incelenmiştir.
için özel tehlike bilgisayar sistemleri kazaları ve doğal (doğal) olayları temsil eder. Bu tür bir etki sonucunda bilgi (tamamen veya kısmen) erişilemez hale gelir, bozulabilir veya tamamen yok edilebilir. Bir bilgi güvenliği sistemi bu tür tehditleri tamamen ortadan kaldıramaz veya önleyemez.
Bir diğer tehlike ise bilgisayar sistemi geliştirilirken yapılan hatalardır. Örneğin yanlış işletim algoritmaları, yanlış yazılımlar. Bunlar saldırganlar tarafından sıklıkla kullanılan hata türleridir.
Kasıtsız ancak önemli bilgi güvenliği tehditlerinin bir diğer türü ise kullanıcıların beceriksizliği, ihmali veya dikkatsizliğidir. Sistemlerin bilgi güvenliğinin zayıfladığı vakaların% 65'inde, kayıplara, bilgilerin gizliliğinin ve bütünlüğünün ihlaline yol açan, kullanıcıların işlevsel sorumluluklarının ihlaliydi.
Kasıtlı bilgi tehditleri
Bu tür bir tehdit, dinamik bir doğayla ve ihlalciler tarafından sürekli olarak yeni tür ve hedefli eylem yöntemlerinin eklenmesiyle karakterize edilir.
Saldırganlar bu alanda özel programlar kullanıyor:
- Virüsler, bağımsız olarak kopyalayıp sisteme yayılan küçük programlardır.
- Solucanlar, bilgisayar her başlatıldığında etkinleştirilen yardımcı programlardır. Virüsler gibi, sistemde kopyalanır ve bağımsız olarak yayılırlar, bu da sistemin aşırı yüklenmesine ve işin engellenmesine yol açar.
- Truva atları - yararlı uygulamalar altında gizlenir kötü amaçlı yazılım. Saldırganın bilgi dosyalarını göndererek sistem yazılımını yok edebilirler.
Ancak kötü amaçlı yazılım, kasıtlı olarak izinsiz giriş yapan tek araç değildir. Çok sayıda casusluk yöntemi de kullanılıyor - telefon dinleme, programların ve güvenlik özelliklerinin çalınması, bilgisayar korsanlığı ve belgelerin çalınması. Şifre ele geçirme çoğunlukla kullanılarak yapılır özel programlar.
Endüstriyel casusluk
FBI ve Bilgisayar Güvenliği Enstitüsü'nün (ABD) istatistikleri, izinsiz girişlerin %50'sinin şirket çalışanları veya işletmelerin kendileri tarafından gerçekleştirildiğini gösteriyor. Bunlara ek olarak rakip şirketler, alacaklılar, alım-satım şirketleri ve suç unsurları da bu tür bilgi tehditlerinin konuları arasında yer almaktadır.
Bilgisayar korsanları ve tekno fareler özellikle endişe vericidir. Bunlar web sitelerini hackleyen nitelikli kullanıcılar ve programcılardır. bilgisayar ağları kâr amaçlı veya spor amaçlı.
Bilgi nasıl korunur?
Çeşitli bilgi tehdidi türlerinin sürekli büyümesine ve dinamik gelişimine rağmen, hala koruma yöntemleri bulunmaktadır.
- Fiziksel koruma- Bilgi güvenliğinin ilk aşamasıdır. Bu, yetkisiz kullanıcılar için erişimin kısıtlanmasını ve özellikle sunucu bölümüne erişim için bir erişim sistemini içerir.
- Bilgi korumasının temel düzeyi, erişimi engelleyen programlardır. bilgisayar virüsleri Ve antivirüs programları, şüpheli nitelikteki yazışmaları filtrelemek için sistemler.
- Geliştiriciler tarafından sunulan DDoS saldırılarına karşı koruma yazılım.
- Yaratılış yedek kopyalar, diğer harici ortamlarda veya sözde "bulutta" saklanır.
- Felaket ve veri kurtarma planı. Bu yöntem şu amaçlar için önemlidir: büyük şirketler Bir arıza durumunda kendilerini korumak ve arıza süresini azaltmak isteyenler.
- Verilerin elektronik ortam aracılığıyla iletildiğinde şifrelenmesi.
Bilgi koruması entegre bir yaklaşım gerektirir. Ve ne kadar çok yöntem kullanılırsa, yetkisiz erişime, imha tehditlerine veya verilere zarar verilmesine ve hırsızlığa karşı koruma o kadar etkili olacaktır.
Düşünmenizi sağlayacak birkaç gerçek
2016 yılında bankaların %26'sı DDoS saldırılarına maruz kaldı.
En büyük kişisel veri sızıntılarından biri Temmuz 2017'de Equifax kredi geçmişi bürosunda (ABD) meydana geldi. 143 milyon kişinin ve 209 bin kredi kartı numarasının verileri saldırganların eline geçti.
"Bilgiye sahip olan, dünyanın sahibidir." Bu ifade, özellikle şu durumlarda geçerliliğini kaybetmedi: Hakkında konuşuyoruz rekabet hakkında. Yani 2010'da kesintiye uğradı iPhone sunumu 4 çalışandan birinin akıllı telefon prototipini bir barda unutması, bulan öğrencinin ise prototipi gazetecilere satması nedeniyle. Sonuç olarak, akıllı telefonun özel bir incelemesi, resmi sunumundan birkaç ay önce medyada yayınlandı.
Bir bilgisayar sistemindeki bilgi güvenliğine yönelik potansiyel tehditlerin tamamı 2 ana sınıfa ayrılabilir (Şekil 1).
Şekil 1
Saldırganların kasıtlı eylemleriyle ilişkili olmayan ve rastgele zamanlarda uygulanan tehditlere denir. rastgele veya kasıtsız. Rastgele tehditlerin uygulanmasına yönelik mekanizma genellikle oldukça iyi araştırılmıştır ve bu tehditlere karşı koyma konusunda önemli deneyimler birikmiştir.
Doğal afetler ve kazalar CS için en yıkıcı sonuçlarla doludur, çünkü ikincisi fiziksel yıkıma tabidir, bilgi kaybolur veya ona erişim imkansız hale gelir.
Başarısızlıklar ve başarısızlıklar karmaşık sistemler kaçınılmazdır. Başarısızlıklar ve başarısızlıklar sonucunda performans bozulur teknik araçlar, veriler ve programlar yok edilir ve bozulur, cihazların çalışma algoritması bozulur.
CS, algoritmik ve yazılım geliştirmedeki hatalar hatalar, teknik ekipmandaki arıza ve arızaların sonuçlarına benzer sonuçlara yol açar. Ayrıca bu tür hatalar, saldırganlar tarafından CS kaynaklarını etkilemek için kullanılabilir.
Sonuç olarak kullanıcılar ve bakım personeli tarafından yapılan hatalar Vakaların %65'inde güvenlik ihlali meydana gelir. Çalışanların fonksiyonel görevlerin beceriksiz, dikkatsiz veya dikkatsiz bir şekilde yerine getirilmesi, bilginin bütünlüğünün ve gizliliğinin tahrip edilmesine, ihlaline yol açmaktadır.
Kasıtlı tehditler suçlunun hedeflenen eylemleriyle ilişkilidir. Bu tehdit sınıfı yeterince araştırılmamıştır, oldukça dinamiktir ve yeni tehditlerle sürekli olarak güncellenmektedir.
Casusluk ve sabotaj yöntem ve araçları çoğunlukla CS'ye sızmanın yanı sıra hırsızlık ve imha amacıyla güvenlik sistemi hakkında bilgi edinmek için kullanılır bilgi kaynakları. Bu tür yöntemler arasında gizlice dinleme, görsel gözetim, belgelerin ve bilgisayar depolama ortamının çalınması, programların ve güvenlik sistemi özelliklerinin çalınması, bilgisayar depolama ortamı atıklarının toplanması ve analizi ve kundakçılık yer alır.
Bilgilere yetkisiz erişim (UAI) genellikle bilgisayar sisteminin standart donanım ve yazılımının kullanılmasıyla ortaya çıkar ve bunun sonucunda kullanıcıların veya süreçlerin bilgi kaynaklarına erişimini sınırlamak için belirlenen kurallar ihlal edilir. Erişim kontrol kuralları, kişilerin veya süreçlerin bilgi birimlerine erişim haklarını düzenleyen bir dizi hüküm olarak anlaşılmaktadır. En yaygın ihlaller şunlardır:
Şifre ele geçirme özel olarak tasarlanmış
programlar;
-- "maskeli balo" - bir kullanıcının başka bir kullanıcı adına herhangi bir eylem gerçekleştirmesi;
Ayrıcalıkların yasa dışı kullanımı, meşru kullanıcıların ayrıcalıklarının bir davetsiz misafir tarafından ele geçirilmesidir.
Bilginin bir bilgisayar sisteminin teknik araçlarıyla işlenmesi ve iletilmesi sürecine, çevredeki alana elektromanyetik radyasyon ve iletişim hatlarında elektrik sinyallerinin indüksiyonu eşlik eder. İsimleri var sahte elektromanyetik radyasyon ve girişim (PEMIN). Özel ekipmanların yardımıyla sinyaller alınır, izole edilir, güçlendirilir ve depolama cihazlarında (bellek cihazları) görüntülenebilir veya kaydedilebilir. Elektromanyetik radyasyon Saldırganlar tarafından yalnızca bilgi edinmek için değil, aynı zamanda onu yok etmek için de kullanılıyor.
CS'de bilgi güvenliğine yönelik büyük bir tehdit sistemin algoritmik, yazılım ve teknik yapılarında izinsiz değişiklik yapılması buna "yer imi" denir. Kural olarak, "yer imleri" özel sistemlere yerleştirilmiştir ve bilgisayar sistemi üzerinde doğrudan zararlı etkiler sağlamak veya sisteme kontrolsüz giriş sağlamak için kullanılır.
Güvenlik tehditlerinin ana kaynaklarından biri, toplu olarak adı verilen özel programların kullanılmasıdır. “Programları sabote etmek” . Bu tür programlar şunları içerir:
-- “bilgisayar virüsleri” - bilgisayara yerleştirildikten sonra kendi kopyalarını oluşturarak bağımsız olarak yayılan ve belirli koşulların karşılanması durumunda bilgisayar sistemi üzerinde olumsuz etkisi olan küçük programlar;
-- "solucanlar", sistem her başlatıldığında çalıştırılan, bir bilgisayar sistemine veya ağa geçme ve kendi kendine kopya oluşturma becerisine sahip programlardır. Programların çığ gibi çoğalması, iletişim kanallarının, belleğin aşırı yüklenmesine ve ardından sistemin bloke olmasına yol açar;
-- "Truva atları" - şuna benzeyen programlar faydalı uygulama, ancak aslında zararlı işlevler gerçekleştirir (yazılımın imha edilmesi, gizli bilgiler içeren dosyaların kopyalanması ve bir saldırgana gönderilmesi vb.).
Yukarıda belirtilen güvenlik tehditlerinin yanı sıra, her geçen yıl önemi giderek artan bir güvenlik sorunu haline gelen bilgi sızıntısı tehdidi de bulunmaktadır. Sızıntılarla etkili bir şekilde başa çıkmak için bunların nasıl oluştuğunu bilmeniz gerekir (Şekil 2).
İncir. 2
Olayların büyük çoğunluğunu (%84) dört ana sızıntı türü oluşturuyor; bu payın yarısı (%40) en popüler tehdit olan medya hırsızlığını oluşturuyor. %15'i içeriden bilgidir. Bu kategori, bilgiye yasal erişimi olan çalışanların eylemlerinden kaynaklanan olayları içerir. Örneğin, bir çalışanın bilgiye erişim hakkı yoktu ancak güvenlik sistemlerini atlatmayı başardı. Veya içeriden birinin bilgiye erişimi vardı ve onu organizasyonun dışına çıkardı. Açık hacker saldırısı aynı zamanda tehditlerin %15'ini oluşturur. Bu geniş olay grubu, dışarıdan müdahale sonucu meydana gelen tüm sızıntıları içerir. Bilgisayar korsanlarının izinsiz girişlerinin çok yüksek olmayan oranı, izinsiz girişlerin daha az fark edilir hale gelmesiyle açıklanmaktadır. %14'ü web sızıntılarından oluştu. Bu kategori, gizli bilgilerin kamuya açık yerlerde yayınlanmasıyla ilgili tüm sızıntıları içerir; Küresel ağlar. %9'u kağıt sızıntısıdır. Tanım olarak kağıt sızıntısı, gizli bilgilerin kağıda yazdırılması sonucunda meydana gelen herhangi bir sızıntıdır. %7'si diğer olası tehditlerdir. Bu kategori, nedeni kesin olarak tespit edilemeyen olayların yanı sıra, kişisel bilgilerin yasa dışı amaçlarla kullanılması sonrasında ortaya çıkan sızıntıları da içermektedir.
Ayrıca şu anda aktif olarak geliştirilmektedir. e-dolandırıcılık - Erişim şifreleri, kredi kartı numaraları, banka hesapları ve diğer kişisel bilgiler gibi kişisel gizli verilerin çalınmasını içeren İnternet dolandırıcılığı teknolojisi. Kimlik avı (İngiliz Balıkçılık - balıkçılık kelimesinden gelir) şifre avcılığı anlamına gelir ve bilgisayar sisteminin teknik eksikliklerini değil, İnternet kullanıcılarının saflığını kullanır. Saldırgan internete yem atar ve "tüm balıkları yakalar" - buna kanan kullanıcılar.
Belirli tehdit türlerinin özellikleri ne olursa olsun, bilgi güvenliği bütünlüğü, gizliliği ve kullanılabilirliği korumalıdır. Bütünlüğe, gizliliğe ve kullanılabilirliğe yönelik tehditler önceliklidir. Bütünlüğün ihlali, bir bilgisayar sisteminde saklanan veya bir sistemden diğerine aktarılan bilgilerin kasıtlı olarak değiştirilmesini içerir. Gizliliğin ihlali, bilginin ona erişme yetkisi olmayan bir kişi tarafından öğrenilmesi gibi bir durumla sonuçlanabilir. Bilgiye erişilemezlik tehdidi, diğer kullanıcıların veya saldırganların kasıtlı eylemleri sonucunda bazı CS kaynaklarına erişimin engellendiği durumlarda ortaya çıkar.
Başka bir bilgi güvenliği tehdidi türü, CS parametrelerinin ifşa edilmesi tehdididir. Uygulanmasının bir sonucu olarak, CS'de işlenen bilgilere herhangi bir zarar gelmez, ancak aynı zamanda birincil tehditlerin ortaya çıkma olasılıkları da önemli ölçüde artar.
Tehditler çatışan ekonomik çıkarlardan kaynaklanıyor çeşitli unsurlar bilgi alanı da dahil olmak üzere sosyo-ekonomik sistemin hem içinde hem de dışında etkileşimde bulunmak. Genel ve bilgi güvenliğinin sağlanmasına yönelik faaliyetlerin içeriğini ve yönlerini belirlerler. Ekonomik güvenlik sorunlarının analizinin, tehditlerin uygulanmasının yol açabileceği ekonomik çelişkiler, tehditler ve kayıpların karşılıklı ilişkileri dikkate alınarak yapılması gerektiği unutulmamalıdır. Bu analiz aşağıdaki zincire yol açar:
< источник угрозы (внешняя и/или внутренняя среда предприятия)>
<зона риска (сфера экономической деятельности предприятия, способы её реализации, материальные и информационные ресурсы)>
<фактор (степень уязвимости данных, информации, программного обеспечения, компьютерных и телекоммуникационных устройств, материальных и финансовых ресурсов, персонала)>
< угроза (вид, величина, направление)>
<возможность её реализации (предпосылки, объект , способ действия, скорость и временной интервал действия)>
<последствия (материальный ущерб , моральный вред, размер ущерба и вреда, возможность компенсации)>.
Bir tehdit genellikle maddi nesneler üzerindeki istikrarsızlaştırıcı etkinin doğası (türü, yöntemi) ile tanımlanır. yazılım veya bilgi veya bu tür bir etkinin sonuçları (sonuçları) ile.
Yasal açıdan bakıldığında, tehdit kavramı, Rusya Federasyonu Medeni Kanunu'nun (Bölüm I, Madde 15) “ihlal sonucu öznenin maruz kaldığı fiili masraflar” olarak tanımladığı yasal hasar kategorisiyle sıkı bir şekilde ilgilidir. haklarının (örneğin, ihlal eden kişi tarafından gizli bilgilerin çalınması, ifşa edilmesi veya kullanılması), mülkün kaybedilmesi veya zarar görmesinin yanı sıra ihlal edilen hakkı ve zarar gören veya kaybolanların değerini geri almak için yapması gereken masraflar mülk."
Tehditlerin ortaya çıkmasının ve uygulanmasının olumsuz sonuçlarının analizi, olası tehdit kaynaklarının, bunların tezahürüne katkıda bulunan güvenlik açıklarının ve uygulama yöntemlerinin zorunlu olarak tanımlanmasını gerektirir. Bu bağlamda, ekonomik ve bilgi güvenliğine yönelik tehditler, bu tanımlamanın en eksiksiz ve yeterli şekilde gerçekleştirilebilmesi için şu şekilde sınıflandırılmalıdır: tehdidin kaynağına göre, ortaya çıkma niteliğine göre, uygulama olasılığına göre, türüne göre Saldırının amacına, sonuçlarına ve tahmin yeteneklerine göre insan faaliyetinin değerlendirilmesi.
Tehditler çeşitli kriterlere göre sınıflandırılabilir:
- Tehditlerin öncelikli olarak yönlendirildiği bilgi güvenliğinin en önemli bileşenleri (kullanılabilirlik, bütünlük, gizlilik) hakkında;
- tehditlerin doğrudan hedef aldığı bilgi sistemi ve teknolojileri bileşenleri (veri, donanım ve yazılım sistemleri, ağlar, destekleyici altyapı);
- uygulama yöntemiyle (kazara veya kasıtlı eylemler, insan yapımı veya doğal ölçekteki olaylar);
- Tehditlerin kaynağını yerelleştirerek (bilgi teknolojisi veya sisteminin dışında veya içinde).
Olası tehdit sınıflandırma modellerinden biri Şekil 1'de gösterilmektedir. 2.1 [Vikhorev, S., Kobtsev R., 2002].
Pirinç. 2.1.
Analiz sırasında, olası tehdit ve güvenlik açıklarının çoğunluğunun belirlenip birbirleriyle karşılaştırılmasının ve belirlenen tüm tehdit ve güvenlik açıklarının kaynaklarının etkisiz hale getirilmesi ve ortadan kaldırılmasına yönelik yöntemlerle karşılaştırılmasının sağlanması gerekir.
Bu sınıflandırma, belirli bir tehdidin alaka düzeyinin değerlendirilmesine yönelik bir metodolojinin geliştirilmesine temel oluşturabilir ve en mevcut tehditler Bunları önlemek veya etkisiz hale getirmek için yöntem ve araçların seçilmesine yönelik önlemler alınabilir.
Mevcut tehditleri belirlerken uzman-analitik yöntem, belirli bir tehdide maruz kalan koruma nesnelerini, bu tehditlerin karakteristik kaynaklarını ve tehditlerin uygulanmasına katkıda bulunan güvenlik açıklarını belirler.
Analize dayanarak, tehditlerin (saldırıların) uygulanmasının olası sonuçlarının belirlendiği ve bu saldırıların önem katsayısının (tehlike derecesi) ürün olarak hesaplandığı, tehdit kaynakları ve güvenlik açıkları arasındaki ilişkilerin bir matrisi derlenir. İlgili tehditlerin tehlike katsayıları ve daha önce belirlenen tehdit kaynakları.
Böyle bir analizi gerçekleştirmek için kolayca resmileştirilebilen ve algoritmik hale getirilebilen olası algoritmalardan biri, Şekil 1'de gösterilmektedir. 2.2.
Pirinç. 2.2.
Bu yaklaşım sayesinde şunları yapmak mümkündür:
- ilişkinin konusuna ilişkin güvenlik hedeflerine yönelik öncelikleri belirlemek;
- mevcut tehdit kaynaklarının bir listesini belirlemek;
- mevcut güvenlik açıklarının bir listesini belirlemek;
- güvenlik açıkları, tehdit kaynakları ve bunların uygulanma olasılığı arasındaki ilişkiyi değerlendirmek;
- tesise yapılacak olası saldırıların bir listesini belirlemek;
- olası saldırılara yönelik senaryolar geliştirmek;
- tehditlerin uygulanmasının olası sonuçlarını açıklamak;
- işletmenin ekonomik ve bilgi güvenliği için bir dizi koruyucu önlem ve bir yönetim sistemi geliştirmek.
Yukarıda, en sık görülen ve en tehlikeli olanın (hasar miktarı açısından) düzenli kullanıcıların, operatörlerin, sistem yöneticileri ve hizmet veren diğer kişiler Bilgi sistemi. Bazen bu tür hatalar aslında tehdit niteliğindedir (yanlış girilen veriler veya sistem çökmesine neden olan bir program hatası), bazen de saldırganların yararlanabileceği güvenlik açıkları oluştururlar (bunlar genellikle yönetimsel hatalardır). Bazı tahminlere göre kayıpların %65'e varan oranı dikkatsizlik, ihmal veya personelin yetersiz eğitimi nedeniyle oluşan kasıtsız hatalardan kaynaklanmaktadır.
Tipik olarak kullanıcılar aşağıdaki tehditlerin kaynağı olabilir:
- kasıtlı (sonunda yazılım çekirdeğini veya uygulamaları yok edecek bir mantık bombası yerleştirmek) veya kasıtsız veri ve bilgi kaybı veya bozulması, yönetim sisteminin "hacklenmesi", veri ve şifrelerin çalınması, bunların yetkisiz kişilere aktarılması vb.;
- Kullanıcının bilgi sistemiyle çalışma konusundaki isteksizliği (çoğunlukla yeni yeteneklere hakim olmak gerektiğinde veya kullanıcı istekleri ile gerçek yetenekler arasında bir tutarsızlık olduğunda ortaya çıkar ve teknik özellikler) ve donanım ve yazılım cihazlarının kasıtlı olarak devre dışı bırakılması;
- uygun eğitim eksikliği nedeniyle sistemle çalışamama (genel bilgisayar okuryazarlığı eksikliği, teşhis mesajlarını yorumlayamama, dokümantasyonla çalışamama vb.).
Açıkça görülüyor ki etkili yöntem kasıtsız hatalarla mücadele - maksimum otomasyon ve standardizasyon, bilgi süreçleri, Fool Proof Cihazların kullanımı, kullanıcı eylemlerinin düzenlenmesi ve sıkı kontrolü. Ayrıca bir çalışanın işten ayrılması durumunda bilgi kaynaklarına erişim haklarının (mantıksal ve fiziksel) iptal edilmesinin sağlanması da gereklidir.
Dahili sistem arızalarının ana kaynakları şunlardır:
- eksikliği nedeniyle sistemle çalışamama teknik Destek(eksik belgeler, referans bilgilerinin eksikliği, vb.);
- sapma (kazara veya kasıtlı) belirlenmiş kurallar operasyon;
- kullanıcıların veya bakım personelinin kazara veya kasıtlı eylemleri nedeniyle sistemin normal çalışma modundan çıkması (tahmini talep sayısının aşılması, aşırı miktarda işlenmiş bilgi vb.);
- sistem yapılandırma hataları;
- yazılım ve donanım arızaları;
- veri imhası;
- ekipmanın tahrip olması veya hasar görmesi.
Destekleyici altyapıyla ilgili olarak aşağıdaki tehditlerin dikkate alınması önerilir:
- iletişim sistemlerinin, güç kaynağının, su ve/veya ısı kaynağının, klimanın kesintiye uğraması (kazara veya kasıtlı);
- tesislerin imhası veya hasar görmesi;
- hizmet personelinin ve/veya kullanıcıların görevlerini yerine getirmedeki yetersizliği veya isteksizliği (sivil huzursuzluk, ulaşım kazaları, terör saldırısı veya tehdidi, grev vb.).
Tehlikeli elbette doğal afetler(sel, deprem, kasırga) ve insan kaynaklı felaketlerden (yangın, patlama, bina çökmesi vb.) kaynaklanan olaylar. İstatistiklere göre yangın, su ve benzeri “saldırganlar” (bunlardan en tehlikelisi elektrik kesintisidir) üretim bilgi sistemleri ve kaynaklarında meydana gelen kayıpların %13-15'ini oluşturmaktadır.
Değerlendirme ve analizin sonuçları, tehditleri savuşturmak için yeterli optimal yöntemleri seçerken ve ayrıca bir nesnenin bilgi güvenliğinin gerçek durumunu denetlerken kullanılabilir.
Oluşturmak için optimal sistem Bir işletmenin bilgi güvenliği, durumu yetkin bir şekilde değerlendirmek, olası riskleri belirlemek, bir sistem modelinin oluşturulduğu ve uygun uygulama ve işletme mekanizmalarının geliştirildiği bir konsept ve güvenlik politikası geliştirmek gerekir.
Bölüm 2 Bilgi tehditleri kavramı ve türleri
2.1 Bilgi tehditleri
80'li yılların sonu ve 90'lı yılların başından bu yana bilgi güvenliği ile ilgili sorunlar her iki alanda da uzman kişileri endişelendirmektedir. bilgisayar Güvenliği ve çok sayıda sıradan kullanıcının yanı sıra kişisel bilgisayarlar. Bunun nedeni bilgisayar teknolojisinin hayatımıza getirdiği derin değişikliklerdir.
Ekonomideki modern otomatik bilgi sistemleri (AIS), değişen derecelerde özerkliğe sahip, birbirine bağlı ve veri alışverişi yapan çok sayıda bileşenden oluşan karmaşık mekanizmalardır. Hemen hemen her biri başarısız olabilir veya dış etkilere maruz kalabilir.
Kullanılan pahalı yöntemlere rağmen bilgisayar bilgi sistemlerinin işleyişi bilgi güvenliği konusunda zafiyetlerin varlığını ortaya çıkarmıştır. Kaçınılmaz sonuç ise sürekli artan maliyetler ve bilgiyi korumaya yönelik çabalar oldu. Ancak alınan önlemlerin etkili olabilmesi için bilgi güvenliğine yönelik tehdidin ne olduğunun belirlenmesi, olası bilgi sızıntısı kanallarının ve korunan verilere yetkisiz erişim yollarının belirlenmesi gerekmektedir.
Bilgi güvenliği tehdidi altında (bilgi tehdidi) saklanan, iletilen ve işlenen bilgiler ile yazılım ve donanım da dahil olmak üzere bilgi kaynaklarının imhasına, bozulmasına veya yetkisiz kullanımına yol açabilecek bir eylem veya olay anlamına gelir. Bilginin değeri, depolanması ve/veya dağıtımı sırasında kaybolursa, bu durumda ihlal tehdidi bilgilerin gizliliği. Bilginin değeri kaybolacak şekilde değiştirilmesi veya yok edilmesi durumunda bu gerçekleşir. Bilgi bütünlüğüne yönelik tehdit. Bilginin yasal kullanıcıya zamanında ulaşmaması durumunda değeri azalır ve zamanla tamamen değer kaybeder, bu da bilginin kullanım verimliliğini veya kullanılabilirliğini tehdit eder.
Dolayısıyla bilgi güvenliğine yönelik tehditlerin uygulanması, bilginin gizliliğinin, bütünlüğünün ve kullanılabilirliğinin ihlal edilmesinden ibarettir. Saldırgan, gizli bilgileri görüntüleyebilir, değiştirebilir ve hatta yok edebilir, ayrıca meşru bir kullanıcının bilgiye erişimini sınırlayabilir veya engelleyebilir. Bu durumda saldırgan, kuruluşun bir çalışanı veya dışarıdan biri olabilir. Ancak bunun yanı sıra personelin tesadüfi, kasıtsız hataları ve bazen doğanın sunduğu sürprizler nedeniyle bilginin değeri azalabilir.
Bilgi tehditlerine şunlar neden olabilir:
doğal faktörler (doğal afetler - yangın, sel, kasırga, yıldırım ve diğer nedenler);
insan faktörleri. İkincisi sırasıyla aşağıdakilere ayrılmıştır:
– doğası gereği rastgele ve kasıtsız olan tehditler. Bunlar, bilgilerin (bilimsel, teknik, ticari, parasal ve mali belgeler) hazırlanması, işlenmesi ve iletilmesi sürecindeki hatalarla ilişkili tehditlerdir; hedeflenmemiş “beyin göçü” ile bilgi, enformasyon (örneğin nüfus göçü, başka ülkelere seyahat, aileyle yeniden bir araya gelme vb. ile bağlantılı olarak) Bunlar sistem ve sistemlerin tasarım, geliştirme ve üretim sürecindeki hatalarla ilişkili tehditlerdir. düşük kaliteli üretim nedeniyle ekipmanın çalışmasında hatalar bulunan bileşenleri (binalar, yapılar, tesisler, bilgisayarlar, iletişim ekipmanları, işletim sistemleri, uygulama programları vb.); bilgilerin hazırlanması ve işlenmesi sürecindeki hatalarla (yetersiz nitelikler ve düşük kaliteli hizmet nedeniyle programcıların ve kullanıcıların hataları, verilerin hazırlanmasında, girilmesinde ve çıkışında, bilgilerin düzeltilmesinde ve işlenmesinde operatör hataları);
– insanların kasıtlı, kasıtlı eylemlerinden kaynaklanan tehditler. Bunlar, bilimsel keşiflerin, üretim sırlarının icatlarının, bencil ve diğer antisosyal nedenlerle (belgeler, çizimler, keşif ve icatların açıklamaları ve diğer materyaller) aktarımı, çarpıtılması ve yok edilmesiyle ilgili tehditlerdir; resmi ve diğer bilimsel, teknik ve ticari konuşmaların dinlenmesi ve iletilmesi; hedeflenen bir “beyin göçü” ile bilgi ve enformasyon (örneğin, bencil nedenlerle başka bir vatandaşlık almayla bağlantılı olarak). Bunlar, otomatik bir bilgi sisteminin kaynaklarına yetkisiz erişim (araçlarda teknik değişiklikler yapılması) ile ilişkili tehditlerdir. bilgisayar Teknolojisi ve iletişim, bilgisayar ekipmanına ve iletişim kanallarına bağlantı, bilgi ortamının çalınması: disketler, açıklamalar, çıktılar vb.).
Kasıtlı tehditler AIS kullanıcılarına zarar vermeyi amaçlamaktadır ve sırasıyla aktif ve pasif olarak ikiye ayrılmaktadır.
Pasif tehditler kural olarak, bilgi kaynaklarının işleyişini etkilemeden yetkisiz kullanımını amaçlamaktadır. Pasif tehdit, örneğin iletişim kanallarında dolaşan bilgileri dinleyerek elde etme girişimidir.
Aktif tehditler donanım, yazılım ve bilgi kaynakları üzerinde hedeflenen etki yoluyla sistemin normal işleyişini bozma amacı taşır. Aktif tehditler arasında örneğin iletişim hatlarının tahrip edilmesi veya elektronik olarak engellenmesi, bir bilgisayarın veya işletim sisteminin devre dışı bırakılması, veritabanlarındaki veya sistem bilgilerindeki bilgilerin bozulması vb. yer alır. Aktif tehditlerin kaynakları saldırganların, yazılım virüslerinin vb. doğrudan eylemleri olabilir.
Kasıtlı tehditler ikiye ayrılır dahili Yönetilen organizasyon içerisinde ortaya çıkan ve harici .
İç tehditler çoğunlukla sosyal gerilim ve zorlu ahlaki iklim tarafından belirlenir.
Dış tehditler, rakiplerin kötü niyetli eylemleri, ekonomik koşullar ve diğer nedenlerle (örneğin doğal afetler) belirlenebilir. Yabancı kaynaklara göre yaygınlaştı endüstriyel casusluk - Ticari sır oluşturan bilgilerin, sahibi tarafından yetkilendirilmemiş bir kişi tarafından, ticari sır sahibine zarar verecek şekilde yasadışı olarak toplanması, tahsis edilmesi ve aktarılmasıdır.
Başlıca güvenlik tehditleri şunları içerir:
gizli bilgilerin ifşa edilmesi;
bilgi uzlaşması;
bilgi kaynaklarının izinsiz kullanımı;
kaynakların kötüye kullanılması; izinsiz bilgi alışverişi;
bilginin reddedilmesi;
hizmetin reddedilmesi.
Tehdit uygulama yolları gizli bilgilerin ifşa edilmesi Veritabanlarına yetkisiz erişim, kanalların dinlenmesi vb. olabilir. Her durumda, belirli bir kişinin (kişi grubunun) mülkiyetinde olan bilgilerin elde edilmesi, bilginin değerinin azalmasına ve hatta kaybolmasına neden olur.
Tehditlerin uygulanması aşağıdaki eylem ve olaylardan birinin sonucudur: açıklamalar Gizli bilgilerin sızması, gizli bilgilerin sızması ve Yetkisiz Erişim korunan bilgilere (106). İfşa edildiğinde veya sızdırıldığında sınırlı erişime sahip bilgilerin gizliliği ihlal edilmektedir (Şekil 2).
Pirinç. 2 Bilgi güvenliğini ihlal eden eylem ve olaylar
Gizli bilgilerin sızması - bu, gizli bilgilerin IP sınırlarının veya hizmet yoluyla kendisine emanet edildiği veya çalışma sırasında tanındığı kişilerin çevresinin ötesine kontrolsüz bir şekilde serbest bırakılmasıdır. Bu sızıntının nedeni şunlar olabilir:
gizli bilgilerin ifşa edilmesi;
başta teknik olmak üzere çeşitli kanallar aracılığıyla bilgi akışı;
gizli bilgilere çeşitli yollarla yetkisiz erişim.
Bilgilerin Açıklanması sahibi veya zilyedi, hizmetleri veya işleri aracılığıyla ilgili bilgilerin öngörülen şekilde emanet edildiği yetkililerin ve kullanıcıların, bu bilgilere erişmesine izin verilmeyen kişilerin bu bilgilere aşina olmasına yol açan kasıtlı veya dikkatsiz eylemleridir. .
Mevcut gizli bilgilerin kontrolsüz olarak kaldırılması görsel-optik, akustik, elektromanyetik ve diğer kanallar aracılığıyla.
Fiziksel doğaları nedeniyle aşağıdaki bilgi aktarım araçları mümkündür:
Işık ışınları.
Ses dalgaları.
Elektromanyetik dalgalar.
Malzemeler ve maddeler.
Bilgi sızıntısı kanalıyla, gizli bilgi kaynağından saldırgana giden, korunan bilginin sızmasının veya izinsiz alınmasının mümkün olduğu fiziksel yolu kastediyoruz. Bir bilgi sızıntısı kanalının ortaya çıkması (oluşumu, kurulması) için belirli mekansal, enerjisel ve zamansal koşulların yanı sıra saldırgan tarafında bilginin uygun şekilde algılanması ve kaydedilmesi gerekmektedir.
Uygulamayla ilgili olarak, eğitimin fiziksel yapısı dikkate alınarak bilgi sızıntısı kanalları aşağıdaki gruplara ayrılabilir:
görsel-optik;
akustik (akustik dönüştürme dahil);
elektromanyetik (manyetik ve elektrik dahil);
somut (kağıt, fotoğraf, manyetik ortam, endüstriyel atık) çeşitli türler– katı, sıvı, gaz halinde).
Görsel optik kanallar– bu, kural olarak, doğrudan veya uzaktan (televizyon dahil) gözlemdir. Bilgi taşıyıcısı, gizli bilgi kaynakları tarafından yayılan veya görünür, kızılötesi ve morötesi aralıklarda ondan yansıyan ışıktır.
Akustik kanallar. Bir kişi için işitme, görmeden sonra en bilgilendirici ikinci şeydir. Bu nedenle bilgi sızıntısının oldukça yaygın kanallarından biri akustik kanaldır. Akustik kanalda bilgi taşıyıcısı, ultra (20.000 Hz'den fazla), işitilebilir ve infrasound aralıklarında yer alan sestir. Menzil ses frekanslarıİnsanlar tarafından duyulan frekans 16 ila 20.000 Hz arasında değişir ve insan konuşmasında yer alan 100 ila 6.000 Hz arasındadır.
Serbest hava sahasında kapı, pencere ve havalandırmaların açık olması durumunda müzakereler sırasında odalarda akustik kanallar oluşur. Ayrıca bu tür kanallar tesisin havalandırma sistemi tarafından oluşturulmaktadır. Bu durumda kanalların oluşumu, hava kanallarının geometrik boyutlarına ve şekline, vanaların şekilli elemanlarının, hava dağıtıcılarının ve benzeri elemanların akustik özelliklerine önemli ölçüde bağlıdır.
Elektromanyetik kanallar. Bilginin taşıyıcısı, 10.000 m dalga boyuna sahip ultra uzun dalga boyundan (30 Hz'den düşük frekanslar) 1 - 0,1 mm dalga boyuna sahip süblime edilmiş elektromanyetik dalgalardır. (300 ila 3000 GHz arası frekanslar). Bu türlerin her biri elektromanyetik dalgalar hem menzilde hem de uzayda belirli yayılma özelliklerine sahiptir. Örneğin uzun dalgalar çok uzun mesafelere yayılırken, milimetrelik dalgalar ise tam tersine yalnızca birkaç veya onlarca kilometrelik görüş hattına kadar uzanır. Ek olarak, çeşitli telefon ve diğer teller ve iletişim kabloları, kendi çevrelerinde manyetik ve elektrik alanları oluşturur ve bunlar aynı zamanda bulundukları yerin yakın bölgesindeki diğer kablolar ve ekipman elemanlarıyla girişim nedeniyle bilgi sızıntısı unsurları olarak da işlev görür.
Malzeme ve malzeme kanalları Bilgi sızıntıları katı, sıvı, gaz veya parçacık (radyoaktif elementler) formundaki çeşitli malzemeleri içerir. Çoğu zaman bunlar çeşitli üretim atıkları, kusurlu ürünler, kaba malzemeler vb.'dir.
Açıkçası, her gizli bilgi kaynağı, bir dereceye kadar bir dizi bilgi sızıntısı kanalına sahip olabilir. Sızıntının nedenleri genellikle bilgilerin depolanmasına ilişkin kusurlu standartların yanı sıra bu standartların ihlalleri (kusurlu olanlar dahil), ilgili belgelerin işlenmesine ilişkin kurallardan sapmalar, teknik araçlar, ürün numuneleri ve gizli bilgi içeren diğer materyallerle ilişkilidir.
Sızıntı faktörleri örneğin şunları içerebilir:
kurumsal çalışanların bilgi güvenliği kuralları konusunda yetersiz bilgisi ve bunların dikkatli bir şekilde uygulanmasının gerekliliği konusunda anlayış eksikliği (veya anlayış eksikliği);
Yasal, organizasyonel ve mühendislik tedbirleriyle bilgi koruma kurallarına uyum konusunda zayıf kontrol.
Yetkisiz erişim (UNA)
Bu en yaygın bilgi tehdidi türü, bir kullanıcının, kuruluşun güvenlik politikasına uygun olarak izninin olmadığı bir nesneye erişim elde etmesini içerir. En büyük zorluk genellikle kimin hangi veri setlerine erişebileceğini ve kimin erişemeyeceğini belirlemektir. Başka bir deyişle “yetkisiz” kavramının tanımlanması gerekmektedir.
Doğası gereği NSD'nin etkisi, sistem hatalarını kullanan aktif bir etkidir. NSD genellikle doğrudan gerekli veri kümesine atıfta bulunur veya NSD'yi yasallaştırmak için yetkili erişim hakkındaki bilgileri etkiler. Herhangi bir sistem nesnesi NSD'ye tabi olabilir. NSD hem standart hem de özel olarak tasarlanmış cihazlar kullanılarak gerçekleştirilebilir. yazılım nesnelere.
Yetkisiz erişimin oldukça ilkel yolları da vardır:
depolama ortamının ve belge atıklarının çalınması;
proaktif işbirliği;
hırsızın işbirliğine teşvik edilmesi;
araştırma;
kulak misafiri olmak;
gözlem ve diğer yollar.
Gizli bilgilerin sızdırılmasına yönelik her türlü yöntem, hem bilgi sisteminin faaliyet gösterdiği kuruluş hem de kullanıcıları açısından ciddi maddi ve manevi zararlara yol açabilmektedir.
Yöneticiler, gizli bilgilerin hukuka aykırı olarak elde edilmesinin önkoşullarını ve olasılığını yaratan neden ve koşulların büyük bir kısmının, organizasyon liderlerinin ve çalışanlarının temel eksikliklerinden kaynaklandığını unutmamalıdır. Örneğin ticari sırların sızdırılmasının ön koşullarını oluşturan nedenler ve koşullar şunları içerebilir:
kuruluşun çalışanlarının gizli bilgilerin korunmasına ilişkin kurallar konusunda yetersiz bilgisi ve bunlara dikkatli bir şekilde uyma ihtiyacının anlaşılmaması;
gizli bilgilerin işlenmesi için sertifikasız teknik araçların kullanılması;
Yasal organizasyonel ve mühendislik önlemleri vb. ile bilgi koruma kurallarına uyum konusunda zayıf kontrol.
Örnek No. 1 (M. Nakamoto “Japonya sızıntılarla mücadele ediyor”, “Pazartesi”, 03/02/2004 tarihli)
Japon şirketleri uzun zamandır endüstriyel casusluk skandallarının ve anlaşmazlıklarının sanıkları olmuştur; bunun en ünlü örneklerinden biri, 1982 yılında IBM'den fikri mülkiyet haklarını çalmakla suçlanan Hitachi çalışanlarının davasıdır. Ancak şimdi, Japonların geleneksel olarak egemen olduğu bölgelerde uluslararası rekabet yoğunlaştıkça, Japonlar da giderek daha fazla endüstriyel casusların kurbanı oluyor.
Kendi teknolojik gelişmelerini dikkatle koruyan Sharp Corporation, sıvı kristal panellerin üretimi için ultra modern tesisini Kameyama kasabasında, meraklı gözlerden uzak, uzak bir dağlık bölgede kurdu. Ancak elektronik sektörünün devi burada da rahat hissetmiyor. tam güvenlik: Belirli bir süre için Sharp çalışanları, yaklaşık ayda bir şirketin gizli tesisinin etrafında dolaşan gizemli bir arabadan korkmaya başladı. Sharp temsilcilerine göre şüpheli araba, başka birinin teknik bilgisinin önemli ayrıntılarını bulmayı ümit eden rakip bir şirketin temsilcisine ait olabilir.
Ekonomi, Ticaret ve Sanayi Bakanlığı (METI) Fikri Mülkiyet Koruma Dairesi müdürü Yoshinori Komiya, "Japonya'dan gelen teknoloji sızıntısı ülkenin rekabet gücünü azaltıyor ve istihdamın azalmasına yol açıyor" dedi. Bazı teknolojilerin yurtdışı transferine tabi olduğunun bilincindeyiz; ancak artık teknolojiler sıklıkla şirket liderlerinin sır olarak saklamaya çalıştığı şekilde aktarılıyor.”
Yükselen güneş ülkesinin komşularının yüksek teknoloji pazarında ciddi başarılar elde etmesiyle bu sorun Japon hükümeti için özellikle acı verici hale geldi. En büyük ve en güçlü Japon şirketleri bile artık savunmacı bir duruş sergilemek ve fikri mülkiyetlerini dikkatle korumak zorunda.
METI'ye göre, endüstriyel casusluğun kurbanı olan birçok şirket, hırsızlıklardan suçlu olan dış ajanlar değil, kendi çalışanları olduğundan, bir skandala yol açmamaya çalışıyor. Matsushita'nın başkan yardımcısı Yokio Sotoku'nun da itiraf ettiği gibi, rakip firmalarda hafta sonları çalışan çalışanlar gibi beşinci köşe yazarlarının yaptığı ihlaller Japon iş dünyasında hala yaygın.
METP araştırması aynı zamanda ticari bilgilerin sızma kanallarından birinin, diğer Asya ülkelerinde iş alan ve eski işverenlerinin teknik bilgilerini de yanlarında götüren Japon şirketlerinin eski çalışanları olduğunu gösteriyor. METP, verilerin mesai saatleri dışında çalışanlar tarafından kopyalanması da dahil olmak üzere, Japon şirketlerinin rakiplerine gizli bilgilerin sızmasının ana yollarını belirledi; çalışanlar rakip şirketlerde yarı zamanlı çalışıyor (örneğin hafta sonları); yeterince gelişmemiş bir bilgi güvenliği politikasına sahip yabancı bir şirketle ortak girişim oluşturmak; bir ortak ekipman tedarikçisi tarafından bir gizlilik sözleşmesinin ihlali vb.
METI, teknik bilgi sızıntısı riskini zamanında fark edemeyen birçok şirketin bu nedenle önemli kayıplar yaşadığını ancak bu tür durumlarda mahkemelerin ihmal ve dikkatsizlikten bahsettiğimiz için onlara anlayışsız davrandığını belirtiyor. Japon şirketlerinin fikri mülkiyet hırsızlığı nedeniyle tazminat talep ettiği 48 davadan yalnızca 16 davanın haklı olduğu görüldü.
Örnek No. 2 (B. Gossage “Chatterbox - bir rakip için bir nimettir”; 16.02.2004 tarihli “Pazartesi”)
Amerikan BT danışmanlık şirketi Everynetwork'ün kurucusu ve başkanı Phil Sipowicz, kendisini hiçbir zaman konuşkan veya düşüncesiz açıklamalara yatkın olarak görmedi. Sipovich, rakiplerinden biriyle olası bir ortaklık için pazarlık yaparken kartlarını açıklamamaya çalıştı ve yalnızca anlaşmayı ilerletmek için gerçekten gerekli olduğunu düşündüğü şeyleri söyledi.
Müzakerelerin ardından iyimser Sipovich, avukatıyla birlikte bir gizlilik anlaşması taslağı hazırladı ve bunu ortağına faksladı. Cevap yalnızca birkaç hafta sonra geldi ve beklenmedikti; ortak, birleşmeyle, ittifakla ya da başka bir şeyle ilgilenmediğini söyledi... Ve bir ay sonra Sipovich'in müşterilerinden biri aradı ve kendisiyle temasa geçildiğini söyledi. başka bir danışmanın teklifiyle. Anlaşıldığı üzere, aynı başarısız ortak! Ancak o zaman Sipovich, müzakereler sırasında yanlışlıkla üç önemli müşterisinden bahsettiğini hatırladı. Şüpheleri haklı çıktı: Kısa süre sonra iki müşteri daha alternatif bir danışmandan teklif aldı. Sipovich, "Bu büyük ölçekli bir pazarlama kampanyası değildi, yalnızca benim bahsettiğim müşterilere yönelik bir yaklaşım arıyorlardı" diyor ve ekliyor: "Fasulyeyi döktüğüm için hiçbir şey yapamadım."
İfşa ve sızıntı, gizli bilgilere yetkisiz erişime yol açar. minimum maliyetler Saldırganın çabaları. Bu, Şekil 3'te sunulan, şirket çalışanlarının en iyi olmayan kişisel ve mesleki özellikleri ve eylemleriyle kolaylaştırılmıştır.
Pirinç. 3 Bilgi güvenliği tehditlerinin uygulanmasına katkıda bulunan çalışanların kişisel ve mesleki özellikleri ve eylemleri
Ve çalışan saldırgan olmasa bile yorgunluk, hastalık vb. nedenlerle istemeden hata yapabilir.
Bilgi kaynaklarının hatalı kullanımı Ancak yaptırıma tabi tutulması yıkıma ve ifşaya yol açabilir. veya belirtilen kaynakların tehlikeye atılması. Bu tehdit çoğunlukla AIS yazılımındaki hataların bir sonucudur.
Bilgisayar bilgilerinin imhası- bu, onu bilgisayar belleğinden silmek, fiziksel ortamdan silmek ve ayrıca kurucu verilerinde yetkisiz değişiklikler yapmak, içeriği kökten değiştirmek (örneğin, yanlış bilgi eklemek, kayıt eklemek, değiştirmek, silmek). Bilginin başka bir bilgisayar ortamına eş zamanlı olarak aktarılması, ceza hukuku bağlamında, yalnızca bu eylemlerin sonucunda yasal kullanıcıların bilgiye erişiminin önemli ölçüde engellenmemesi veya engellenmemesi durumunda, bilgisayar bilgilerinin imhası olarak değerlendirilmez.
Kullanıcı, yazılımı kullanarak yok edilen bilgileri geri yükleme veya elde etme olanağına sahiptir. bu bilgi başka bir kullanıcıdan gelmesi suçluyu sorumluluktan kurtarmaz.
Bilgilerin yok edilmesi, dosyanın bulunduğu yerin yeniden adlandırılması anlamına gelmediği gibi, onu otomatik olarak "çıkarmak" anlamına da gelmez. Dosyaların eski sürümleri güncel.
Bilgisayar bilgilerini engelleme– bu, kullanıcıların bilgisayar bilgilerine erişmesinde, bilgisayar bilgilerinin yok edilmesiyle ilgili olmayan yapay bir zorluktur. Başka bir deyişle, bu, bilginin tam güvenliği ile, sonucu elde edilmesinin veya amaçlanan amaç için kullanılmasının imkansız olduğu bilgi içeren eylemlerin gerçekleştirilmesidir.
Bilgilerin uzlaşması Kural olarak, veritabanlarında yetkisiz değişiklikler yapılarak uygulanır ve bunun sonucunda tüketicisi ya onu terk etmeye zorlanır ya da değişiklikleri belirlemek ve gerçek bilgileri geri yüklemek için ek çaba sarf etmek zorunda kalır. Ele geçirilen bilgilerin kullanılması durumunda tüketici, tüm sonuçlarıyla birlikte yanlış kararlar verme riskine maruz kalır.
Bilginin reddedilmesi, özellikle bir işlemin tanınmaması (banka işlemi), alıcının veya gönderenin, alındığı veya gönderildiğine ilişkin gerçekleri tanımamasından oluşur. Pazarlama faaliyetleri bağlamında bu, özellikle taraflardan birinin imzalanan mali anlaşmaları "teknik olarak" feshetmesine olanak tanır; resmi olarak bunlardan vazgeçmeden ve böylece diğer tarafa ciddi zarar vermeden.
Bilgisayar bilgilerinin değiştirilmesi- bu, bir bilgisayar programının veya veri tabanının uyarlanmasıyla ilgili olanlar dışında, üzerinde herhangi bir değişikliğin yapılmasıdır. Bir bilgisayar programının veya veri tabanının uyarlanması, “yalnızca bir bilgisayar programının veya veri tabanının kullanıcının belirli teknik araçları üzerinde veya belirli kullanıcı programlarının kontrolü altında çalışmasını sağlamak amacıyla gerçekleştirilen değişikliklerin getirilmesidir” (Madde 1 Bölüm). 23 Eylül 1992 tarihli Rusya Federasyonu Kanununun 1'i "Elektronik bilgisayarlar ve veritabanlarına yönelik programların yasal olarak korunması hakkında";). Başka bir ifadeyle bu, başlangıçta (fiil işlenmeden önce) sahibinin veya yasal kullanıcının tasarrufunda olan bilgilere kıyasla içeriğinin değişmesi anlamına gelir.
Bilgisayar bilgilerini kopyalama- veri tabanının ikinci ve sonraki kopyalarının, herhangi bir maddi biçimdeki dosyaların üretilmesi ve kalıcı olarak kaydedilmesi ve bunların bilgisayar ortamına, bilgisayar belleğine kaydedilmesi.
Hizmet reddi Kaynağı AIS'in kendisi olan çok önemli ve yaygın bir tehdidi temsil ediyor. Böyle bir ret, özellikle aboneye kaynak sağlamadaki gecikmenin kendisi için korkunç sonuçlara yol açabileceği durumlarda tehlikelidir. Dolayısıyla kullanıcının, bu kararın etkin bir şekilde uygulanabileceği dönemde karar vermek için gerekli verilere sahip olmaması, onun irrasyonel davranmasına neden olabilir.
Bilgiye yetkisiz erişimin başlıca tipik yolları şunlardır:
Belge... bilgilendiricigüvenlik. 8.2.9. Genel teminat gereklilikleri bilgilendiricigüvenlik bankacılık bilgi teknolojik süreçler 8.2.9.1. Sistem karşılık bilgilendiricigüvenlik bankacılık bilgilendirici ... -ekonomik ...
Bilgi Güvenliği
öğreticiKarşılık olarak bilgilendiricigüvenlik RF; yetersiz ekonomik devletin gücü; verimliliğin azalması sistemler eğitim ve yetişme...
Girişimci faaliyet eğitim ve metodolojik kompleksinin bilgi güvenliği
Eğitim ve metodoloji kompleksiMatematik, bilgisayar bilimi, ekonomik teori, istatistik, ... bilgilendiricigüvenlik. B. Kriptografik güvence yöntemleri bilgilendiricigüvenlik. B. Teminat gereklilikleri bilgilendiricigüvenlik Kurumsal bilgilendiricisistemler ...
elektronik radyasyonun durdurulması;
Bilgi sistemlerinin güvenliğine yönelik başlıca tehdit türleri şunlardır:
İhlalcilerin ve saldırganların kasıtlı eylemleri (saldırgan personel, suçlular, casuslar, sabotajcılar vb.).
Güvenlik tehditleri çeşitli kriterlere göre sınıflandırılabilir:
1. Eylemin sonuçlarına göre:
1) sızıntı tehdidi;
2) değişiklik tehdidi;
3) kayıp tehdidi.
2. Temel:
· Kasıtsız;
· Kasten, kasıtlı, planlı.
Rastgele (kasıtsız) tehditler ortaya çıkabilir:
Doğal afetler ve kazalar (sel, kasırga, deprem, yangın vb.);
AITU'nun ekipmanının (teknik araçlar) arızası ve arızası;
AIS bileşenlerinin (donanım, bilgi işleme teknolojisi, programlar, veri yapıları vb.) tasarımı ve geliştirilmesindeki hataların sonuçları;
Operasyonel hatalar (kullanıcılar, operatörler ve diğer personel tarafından).
Ana sebepler kasıtsız, insan yapımı tehditler AIS:
· Dikkatsizlik;
· Düzenlemelerin ihlali ve sistemde belirlenen kısıtlamaların göz ardı edilmesi;
· Beceriksizlik;
· İhmal.
Tehdit örnekleri:
1) kasıtsız eylemler, sistemin kısmen veya tamamen arızalanmasına veya sistemin donanım, yazılım, bilgi kaynaklarının tahrip olmasına yol açan (ekipmanlara kasıtsız zarar verilmesi, dosyaların silinmesi, bozulması) önemli bilgi veya sistem programları vb. dahil programlar);
2) ekipmanın yasa dışı açılması veya Cihazların ve programların çalışma modlarını değiştirme;
3) medyaya kasıtsız zarar verilmesi bilgi;
4) yasa dışı tanıtım ve hesaplanmayan programların kullanımı (oyunlar, eğitimsel, teknolojik vb.)., suçlunun resmi görevlerini yerine getirmesi gerekli değildir) ve daha sonra makul olmayan kaynak tüketimi (işlemci yükü, RAM ve harici ortamda bellek yakalama);
6) bilgisayar enfeksiyonu virüsler;
7) dikkatsiz eylemler gizli bilgilerin ifşa edilmesi veya kamuya açık hale getirmek;
8) açıklama, aktarma veya erişim kontrolü özelliklerinin kaybı (pşifreler, şifreleme anahtarları, kimlik kartları, geçiş kartları vb.);
9) organizasyonel kısıtlamaları göz ardı etmek(yerleşik kurallar) sistemdeki sıralaması ile;
10) Güvenlik tedbirlerini aşarak sisteme giriş yapmak(çıkarılabilir manyetik ortamdan yabancı bir işletim sisteminin yüklenmesi vb.);
11) beceriksiz kullanım, ayarlama veya yetkisiz kapatma Koruyucu ekipman güvenlik personeli;
12) abonenin (cihazın) yanlış adresine veri göndermek;
13) hatalı verilerin girilmesi;
14) iletişim kanallarına kasıtsız zarar verilmesi.
kasıtlı tehditler - Bunlar, insan faaliyetlerinden kaynaklanan ve insanların (saldırganların) bencil arzularıyla ilişkili AIS tehditleridir.
Yönelik tehdit kaynakları bilgi sistemi harici veya dahili olabilir.
Ne yazık ki, her iki tehdidin de uygulanması aynı sonuçlara yol açmaktadır: bilgi kaybı, gizliliğinin ihlali, değiştirilmesi.
Temel kasıtlı kasıtlı tehditler genellikle şunları hedefler:
· Sistemin işleyişinin kasıtlı olarak bozulması ve başarısızlığı,
· Sisteme sızmak ve bilgilere yetkisiz erişim sağlamak ve bunları kişisel kazanç amacıyla kullanmak amacıyla.
Kasıtlı tehditler ise şu şekilde ayrılabilir:
1. Aktif ve pasif .
Pasif tehditler - esas olarak bilgi kaynaklarının, bilgilerin zarar görmesini veya yok edilmesini gerektirmeyen izinsiz kullanımını amaçlamaktadır.
Bunun için çeşitli uygulama yöntemleri kullanılmaktadır. :
A) dinleme cihazlarının kullanımı, uzaktan fotoğraf ve video çekimi, medya hırsızlığı vb.;
b) depolama ortamının çalınması (manyetik diskler, bantlar, bellek yongaları, depolama aygıtları ve kişisel bilgisayarlar);
c) değişim protokollerini, iletişime girme kurallarını ve kullanıcı yetkilendirmesini ve bunları sisteme sızmak için taklit etmeye yönelik müteakip girişimleri belirlemek amacıyla iletişim kanalları aracılığıyla iletilen verilere müdahale edilmesi ve bunların analizi;
G) RAM ve harici depolama aygıtlarından (yazıcı bellek arabelleği) kalan bilgilerin okunması;
d) bilgileri okumak RAM alanları işletim sistemi tarafından kullanılan (güvenlik alt sistemi dahil);
e) şifrelerin yasa dışı elde edilmesi ve diğer erişim kontrolü ayrıntıları (istihbarat yoluyla, kullanıcıların ihmalinden yararlanılarak, seçim yoluyla, sistem arayüzünün taklit edilmesi vb. yoluyla, ardından kayıtlı kullanıcı olarak gizlenme ("maskeli balo");
Aktif tehditler - ihlal normal işleyiş bileşenleri üzerinde hedeflenen etki yoluyla sistem.
Uygulama yöntemleri:
A) PC veya işletim sisteminin arızası;
B) iletişim kanallarının kesintiye uğraması;
C) güvenlik sistemini hacklemek;
D) yazılım virüslerinin vb. kullanılması.
2. İç ve dış tehditler .
İç ihlalciler aşağıdaki personel kategorilerinden kişiler olabilir:
§ sistemin destek ve bakım personeli (operatörler, elektrikçiler, teknisyenler);
§ yazılım geliştirme ve bakım departmanlarının çalışanları (uygulama ve sistem programcıları);
§ AITU güvenlik görevlileri;
§ Resmi hiyerarşinin çeşitli seviyelerindeki yöneticiler.
BIS'te yapılan araştırmaya göre ihlallerin yüzde 80'inden fazlası banka çalışanları tarafından gerçekleştiriliyor
Dışarıdan gelebilecek kişiler dış ihlalciler .
§ müşteriler (kuruluşların temsilcileri, vatandaşlar);
§ ziyaretçiler (herhangi bir nedenle davet edilenler);
§ kuruluşun yaşamının sağlanmasıyla ilgili konularda (enerji, su, ısı temini vb.) etkileşimde bulunan kuruluşların temsilcileri;
rakip kuruluşların temsilcileri (yabancı istihbarat servisleri) veya onların talimatları doğrultusunda hareket eden kişiler;
2.Korunma yöntemleri ve araçları
Koruma sistemi - Bu, yasal (yasama) (idari nitelikte, organizasyonel önlemler, fiziksel ve teknik (donanım ve yazılım) koruma araçlarının yanı sıra bilgi, bilgi teknolojisi güvenliğini sağlamak için tasarlanmış özel personelin bir dizi özel önlemidir (karmaşık). ve bir bütün olarak otomatik sistem.
Uluslararası ve Rusya uygulamalarında, bilgisayar sistemlerinin güvenlik düzeyini değerlendirmek için standartlar kullanılmaktadır. ABD'de bu standartları içeren belgeye Turuncu Kitap adı verilmektedir. (1985). Aşağıdaki sistem güvenliği düzeylerini sağlar:
· En yüksek sınıf - A;
· Orta sınıf –B;
· Düşük seviye – C;
· Testi geçemeyen sistem sınıfı – D.
Rusya uygulamasında, Rusya Federasyonu Başkanı'na bağlı Devlet Teknik Komisyonu, elektronik ekipmanın yetkisiz erişime karşı 7 güvenlik sınıfının oluşturulmasını sağlayan bir kılavuz belge geliştirdi. Bu durumda koruyucu önlemler aşağıdaki alt sistemleri kapsar:
· Giriş kontrolu;
· Kayıt ve muhasebe;
· Kriptografik;
· Bütünlüğün sağlanması;
· Yasal tedbirler;
· Fiziksel önlemler.
Bilgi güvenliğini sağlamanın yöntem ve araçları Şekil 2'de gösterilmektedir. Güvenlik mekanizmalarının temelini oluşturan sunulan bilgi güvenliği yöntemlerinin ana içeriğini ele alalım.
