Bilgi güvenliğine yönelik olası tehditler. Bilgi güvenliği tehdidi türleri. Bilgi güvenliği ve veri erişim ihlallerine özel örnekler
Modern toplumda Bilişim Teknolojileri ve depolama için elektronik medya bilgi ve türlerin büyük veritabanları güvenlik sorunları bilgi tehditleri tembellikten yoksun değil. Bilginin sahibine veya kullanıcısına zarar verebilecek doğal veya yapay kaynaklı tesadüfi ve kasıtlı eylemler bu makalenin konusudur.
Bilgi alanında güvenliği sağlama ilkeleri
Bilgi güvenliğinin ana ilkeleri, güvenliğini ve bütünlüğünü sağlamaya yönelik sistem şunlardır:
- Bilgi verilerinin bütünlüğü. Bu ilke, bilginin iletilmesi ve saklanması sırasında içeriğini ve yapısını koruduğunu ima eder. Veri oluşturma, değiştirme veya yok etme hakkı yalnızca uygun erişim statüsüne sahip kullanıcılar için saklıdır.
- Veri gizliliği. Veri dizisine erişimin, bu sistemde yetkilendirilen açıkça sınırlı bir kullanıcı çevresine sahip olduğu, dolayısıyla bilgiye yetkisiz erişime karşı koruma sağladığı anlaşılmaktadır.
- Veri dizisinin kullanılabilirliği. Bu ilkeye uygun olarak, yetkili kullanıcılar ona zamanında ve engelsiz erişim sağlar.
- Bilginin güvenilirliği. Bu ilke, bilginin kesinlikle yalnızca alındığı ve kaynağı olan konuya ait olması gerçeğiyle ifade edilir.
Güvenlik Görevleri
Bir bilgisayar sistemindeki arıza ve hatalar ciddi sonuçlara yol açabiliyorsa bilgi güvenliği konuları gündeme gelmektedir. Ve bilgi güvenliği sisteminin görevleri altında, çok yönlü ve kapsamlı önlemler anlamına gelir. Bilgilerin kötüye kullanılmasının, zarar görmesinin, bozulmasının, kopyalanmasının ve engellenmesinin önlenmesini içerir. Bu, uygun düzeyde yetkilendirmeye sahip olmayan kişilerin yetkisiz erişiminin izlenmesini ve önlenmesini, bilgi sızıntısının ve bütünlüğüne ve gizliliğine yönelik olası tüm tehditlerin önlenmesini içerir. -de modern gelişme veritabanları, güvenlik konuları sadece küçük ve özel kullanıcılar için değil, finansal kuruluşlar için de önem kazanıyor, büyük şirketler.
Bilgi güvenliği tehdidi türlerinin sınıflandırılması
Bu bağlamda "tehdit" ile kastedilen potansiyel olarak olası eylemler, işletim sistemi veya içinde depolanan bilgiler üzerinde istenmeyen sonuçlara veya etkilere yol açabilecek olgular ve süreçler. İÇİNDE modern dünya türleri kriterlerden birine göre sınıflandırılan oldukça fazla sayıda bu tür bilgi tehdidi bilinmektedir.
Dolayısıyla, oluşumun doğasına göre şunları ayırt ederler:
- doğal tehditler Bunlar, fiziksel etkiler veya doğal olayların bir sonucu olarak ortaya çıkanlardır.
- yapay tehditler İLE bu tür bilgi tehditleri, insan eylemleriyle ilişkili her şeyi içerir.
Kasıtlılık derecesine göre, tehditler kazara ve kasıtlı olarak ikiye ayrılır.
Bilgi güvenliğine yönelik tehdidin kaynağına bağlı olarak doğal (örneğin doğa olayları), insan (bilginin ifşa edilerek gizliliğinin ihlali), yazılım ve donanım olabilir. İkinci tür, sırayla, yetkili (işletim sistemlerinin çalışmasındaki hatalar) ve yetkisiz (web sitesi korsanlığı ve virüs bulaşması) tehditlere ayrılabilir.
Kaynak mesafesine göre sınıflandırma
Kaynağın konumuna bağlı olarak 3 ana bilgi tehdidi türü vardır:
- Bilgisayarın dışındaki bir kaynaktan gelen tehditler işletim sistemi. Örneğin, iletişim kanalları aracılığıyla iletildiği sırada bilginin ele geçirilmesi.
- Kaynağı kontrol edilen işletim sisteminde bulunan tehditler. Örneğin, veri hırsızlığı veya bilgi sızıntısı.
- Sistemin kendi içinde ortaya çıkan tehditler. Örneğin, bir kaynağın yanlış aktarımı veya kopyalanması.
Diğer sınıflandırmalar
Kaynağın uzaklığına bakılmaksızın, bilgi tehdidinin türü pasif (etki veri yapısında değişiklik gerektirmez) ve aktif (etki veri yapısını, bilgisayar sisteminin içeriğini değiştirir) olabilir.
Ayrıca, bilgi tehditleri bilgisayara erişim aşamalarında ortaya çıkabilir ve yetkili erişimden sonra (örneğin verilerin izinsiz kullanımı) tespit edilebilir.
Tehditlerdeki konumuna göre 3 tür olabilir: üzerinde bulunan bilgilere erişim aşamasında ortaya çıkanlar. harici cihazlar bellek, içinde rasgele erişim belleği ve iletişim hatlarında dolaşanlarda.
Bazı tehditler (örneğin, bilgi hırsızlığı) sistem etkinliğine bağlı değildir, diğerleri (virüsler) yalnızca veri işleme sırasında algılanır.
Kasıtsız (doğal) tehditler
Bu tür bilgi tehditlerini uygulama mekanizmaları ve bunları önleme yöntemleri oldukça iyi incelenmiştir.
için özel tehlike bilgisayar sistemleri kazaları ve doğal (doğal) olayları temsil eder. Böyle bir etki sonucunda bilgiye (tamamen veya kısmen) erişilemez hale gelir, bozulabilir veya tamamen yok edilebilir. Bilgi güvenliği sistemi bu tür tehditleri tamamen ortadan kaldıramaz veya engelleyemez.
Diğer bir tehlike ise bilgisayar sisteminin geliştirilmesinde yapılan hatalardır. Örneğin yanlış çalışma algoritmaları, yanlış yazılımlar. Saldırganlar tarafından sıklıkla kullanılan bu hatalardır.
Bilgi güvenliğine yönelik bir başka kasıtsız ancak önemli tehdit türü, kullanıcıların beceriksizliği, ihmali veya dikkatsizliğidir. Sistemlerin bilgi güvenliğini zayıflatma vakalarının% 65'inde, bilgilerin kaybına, gizliliğinin ve bütünlüğünün ihlal edilmesine yol açan, kullanıcılar tarafından işlevsel görevlerin ihlal edilmesiydi.
Kasıtlı bilgi tehditleri
Bu tür bir tehdit, dinamik bir doğa ve ihlal edenlerin amaçlı eylemlerinin yeni türleri ve yöntemleriyle sürekli olarak yenilenmesi ile karakterize edilir.
Saldırganlar bu alanda özel programlar kullanır:
- Virüsler, kendi kendilerine kopyalayıp sisteme yayılan küçük programlardır.
- Solucanlar, bilgisayarınızı her başlattığınızda etkinleşen yardımcı programlardır. Virüsler gibi sistemde kendi kendilerine kopyalayıp yayılıyorlar, bu da aşırı yüklenmesine ve çalışmasının engellenmesine yol açıyor.
- Yararlı uygulamalar altında gizlenen Truva atları kötü amaçlı yazılım. Bir saldırgana bilgi dosyaları gönderebilen ve sistem yazılımını yok edebilen onlardır.
Ancak kasıtlı izinsiz girişin tek yolu kötü amaçlı yazılım değildir. Çok sayıda casusluk yöntemi de kullanılır - telefon dinleme, programların ve koruma özelliklerinin çalınması, bilgisayar korsanlığı ve belgelerin çalınması. Parola müdahalesi çoğunlukla kullanılarak yapılır. özel programlar.
endüstriyel casusluk
FBI ve Bilgisayar Koruma Enstitüsü'nden (ABD) alınan istatistikler, izinsiz girişlerin %50'sinin şirket çalışanları veya işletmelerin kendileri tarafından gerçekleştirildiğini gösteriyor. Bunlara ek olarak, şirketler-rakipler, alacaklılar, şirketler-alıcılar ve şirketler-satıcılar ile suç unsurları da bu tür bilgi tehditlerine maruz kalmaktadır.
Bilgisayar korsanları ve teknoratlar özellikle endişe vericidir. Bunlar, siteleri hackleyen nitelikli kullanıcılar ve programcılardır. bilgisayar ağları Kâr amacıyla veya sportif ilgi için.
Bilgi nasıl korunur?
Çeşitli bilgi tehditlerinin sürekli büyümesine ve dinamik gelişimine rağmen, hala koruma yöntemleri vardır.
- Fiziksel koruma Bu, bilgi güvenliğinin ilk aşamasıdır. Bu, yetkisiz kullanıcılara erişimin kısıtlanmasını ve özellikle sunucu bölümüne erişim için bir geçiş sistemini içerir.
- Temel bilgi koruma düzeyi, engelleyen programlardır. bilgisayar virüsleri Ve antivirüs programları, şüpheli nitelikteki yazışmaları filtrelemek için sistemler.
- Geliştiriciler tarafından sunulan DDoS koruması yazılım.
- yaratılış yedekler diğer harici ortamlarda veya sözde "bulutta" depolanır.
- Felaket ve veri kurtarma planı. Bu yöntem için önemli büyük şirketler Bir arıza durumunda kendilerini korumak ve arıza süresini azaltmak isteyenler.
- Verilerin elektronik ortam kullanılarak iletilmesi sırasında şifrelenmesi.
Bilgi güvenliği entegre bir yaklaşım gerektirir. Ve ne kadar çok yöntem kullanılırsa, yetkisiz erişime, verilere zarar verme veya veriye zarar verme tehditlerine ve bunların çalınmasına karşı koruma o kadar etkili olacaktır.
Sizi düşündüren birkaç gerçek
2016 yılında bankaların %26'sında DDoS saldırıları kaydedildi.
En büyük kişisel veri sızıntılarından biri Temmuz 2017'de Equifax kredi bürosunda (ABD) gerçekleşti. 143 milyon kişinin verileri ve 209 bin kredi kartı numarası yanlış ellere geçti.
"Bilginin sahibi kim - dünyanın sahibi." Bu ifade alaka düzeyini kaybetmedi, özellikle Konuşuyoruz rekabet hakkında. Yani 2010 yılında kesintiye uğradı. iPhone sunumu 4 çalışanlardan birinin prototip bir akıllı telefonu bir bara bırakması ve bulan öğrencinin prototipi gazetecilere satması nedeniyle. Bunun bir sonucu olarak, akıllı telefonun özel bir incelemesi, resmi sunumundan birkaç ay önce medyaya yayınlandı.
CS'deki tüm potansiyel bilgi güvenliği tehditleri 2 ana sınıfa ayrılabilir (Şekil 1).
Şekil 1
Saldırganların kasıtlı eylemleriyle ilgili olmayan ve rastgele zamanlarda gerçekleşen tehditlere tehdit denir. rastgele veya kasıtsız. Rastgele tehditlerin bir bütün olarak uygulama mekanizması oldukça iyi çalışılmıştır, bu tehditlere karşı koyma konusunda önemli deneyimler birikmiştir.
Doğal afetler ve kazalar CS için en yıkıcı sonuçlarla doludur, çünkü ikincisi fiziksel yıkıma maruz kalır, bilgi kaybolur veya ona erişim imkansız hale gelir.
Çökmeler ve başarısızlıklar karmaşık sistemler kaçınılmazdır. Arızalar ve başarısızlıklar sonucunda performans bozulur. teknik araçlar, veriler ve programlar yok edilir ve bozulur, cihazın çalışma algoritması ihlal edilir.
CS, algoritmik ve yazılım geliştirmedeki hatalar hatalar, arızaların ve teknik araçların arızalarının sonuçlarına benzer sonuçlara yol açar. Ek olarak, bu tür hatalar saldırganlar tarafından CS kaynaklarını etkilemek için kullanılabilir.
Sonuç olarak kullanıcı ve bakım personeli hataları Güvenlik ihlali vakaların %65'inde meydana gelir. Çalışanlar tarafından işlevsel görevlerin beceriksiz, ihmalkar veya dikkatsiz bir şekilde yerine getirilmesi, bilgilerin bütünlüğünün ve gizliliğinin yok olmasına, ihlaline yol açar.
Kasıtlı Tehditler suçlunun kasıtlı eylemleri ile ilgili. Bu tehdit sınıfı yeterince incelenmemiştir, çok dinamiktir ve sürekli olarak yeni tehditlerle güncellenir.
Casusluk ve sabotaj yöntemleri ve araçları çoğunlukla hırsızlık ve imha için olduğu kadar COP'a girmek için koruma sistemi hakkında bilgi almak için kullanılır bilgi kaynakları. Bu tür yöntemler arasında gizli dinleme, görsel gözetim, belgelerin ve makine ortamının çalınması, programların ve güvenlik sisteminin özniteliklerinin çalınması, makine ortamı atıklarının toplanması ve analizi ve kundakçılık yer alır.
Bilgiye yetkisiz erişim (UAS) genellikle, bilgi kaynaklarına kullanıcı veya süreç erişimini sınırlamak için belirlenmiş kuralların ihlal edilmesinin bir sonucu olarak, CS'nin standart donanım ve yazılımının kullanılmasıyla ortaya çıkar. Erişim kontrol kuralları, kişilerin veya süreçlerin bilgi birimlerine erişim haklarını düzenleyen bir dizi hüküm olarak anlaşılır. En yaygın ihlaller şunlardır:
Parolaların ele geçirilmesi - özel olarak tasarlanmış
programlar;
-- "maskeli balo" - bir kullanıcı tarafından bir başkası adına herhangi bir eylemin gerçekleştirilmesi;
Ayrıcalıkların yasa dışı kullanımı - meşru kullanıcıların ayrıcalıklarının bir davetsiz misafir tarafından ele geçirilmesi.
CS'nin teknik araçlarıyla bilgi işleme ve iletme sürecine, çevredeki alana elektromanyetik radyasyon ve iletişim hatlarında elektrik sinyallerinin indüksiyonu eşlik eder. isimleri var sahte elektromanyetik radyasyon ve girişim (PEMIN). Özel ekipman yardımı ile sinyaller alınır, ayrılır, yükseltilir ve görüntülenebilir veya depolama cihazlarına (hafıza) kaydedilebilir. Elektromanyetik radyasyon saldırganlar tarafından sadece bilgi elde etmek için değil, aynı zamanda onu yok etmek için de kullanılır.
CS'deki bilgilerin güvenliğine yönelik büyük bir tehdit, sistemin algoritmik, yazılımsal ve teknik yapılarının izinsiz olarak değiştirilmesi , buna "yer imi" denir. Kural olarak, "yer imleri" özel sistemlere eklenir ve CS üzerinde doğrudan zararlı etkiler için veya sisteme kontrolsüz giriş sağlamak için kullanılır.
Güvenlik tehditlerinin ana kaynaklarından biri, yaygın olarak bilinen özel programların kullanılmasıdır. "kötü amaçlı programlar" . Bu programlar şunları içerir:
- "bilgisayar virüsleri" - bir bilgisayara girdikten sonra kopyalarını oluşturarak bağımsız olarak yayılan ve belirli koşullar altında CS üzerinde olumsuz etkisi olan küçük programlar;
-- "Solucanlar" - CS'ye veya ağa geçme ve kopyaları kendi kendini yeniden üretme yeteneği ile sistem her başlatıldığında yürütülen programlar. Programların çığ gibi çoğaltılması, iletişim kanallarının, belleğin aşırı yüklenmesine ve ardından sistemin bloke edilmesine yol açar;
-- "Truva atları" - benzeyen programlar faydalı uygulama, ancak aslında zararlı işlevler gerçekleştirir (yazılımın yok edilmesi, gizli bilgiler içeren dosyaların kopyalanması ve bir saldırgana gönderilmesi, vb.).
Yukarıda belirtilen güvenlik tehditlerine ek olarak, her geçen yıl önemi artan bir güvenlik sorunu haline gelen bilgi sızıntısı tehdidi de bulunmaktadır. Sızıntılarla etkili bir şekilde başa çıkmak için nasıl meydana geldiklerini bilmeniz gerekir (Şekil 2) .
İncir. 2
Dört ana sızıntı türü, olayların büyük çoğunluğundan (%84) sorumludur ve bu payın yarısı (%40) en popüler tehdit olan medya hırsızlığıdır. %15 içeride. Bu kategori, bilgilere yasal erişimi olan çalışanların eylemlerinden kaynaklanan olayları içerir. Örneğin, bir çalışanın bilgilere erişme hakkı yoktu, ancak güvenlik sistemlerini atlamayı başardı. Ya da içeriden birinin bilgiye erişimi vardı ve onu organizasyondan çıkardı. Açık bilgisayar korsanı saldırısı ayrıca tehditlerin %15'ini oluşturur. Bu geniş olay grubu, bir dış müdahalenin sonucu olarak meydana gelen tüm sızıntıları içerir. Bilgisayar korsanı izinsiz girişlerinin düşük payı, izinsiz girişlerin kendilerinin daha az fark edilir hale gelmesiyle açıklanır. %14'ü bir web sızıntısıydı. Bu kategori, gizli bilgilerin kamuya açık yerlerde yayınlanmasıyla ilgili tüm sızıntıları içerir, örneğin: küresel ağlar. %9 kağıt sızıntısıdır. Tanım olarak, kağıt sızıntısı, gizli bilgilerin kağıda yazdırılması sonucunda meydana gelen herhangi bir sızıntıdır. %7 diğer olası tehditlerdir. Bu kategori, kesin nedeni belirlenemeyen olayları ve kişisel bilgilerin yasa dışı amaçlarla kullanılmasından sonra olaydan sonra ortaya çıkan sızıntıları içerir.
Ayrıca, şu anda aktif olarak gelişmekte olan e-dolandırıcılık - Erişim şifreleri, kredi kartı numaraları, banka hesapları ve diğer kişisel bilgiler gibi kişisel gizli verilerin çalınmasını içeren İnternet dolandırıcılığı teknolojisi. Kimlik avı (İngilizce'den. Balık tutma - balık tutma), parola avcılığı anlamına gelir ve COP'un teknik eksikliklerini değil, İnternet kullanıcılarının saflığını kullanır. Bir saldırgan internete bir yem atar ve "tüm balıkları yakalar" - buna kanacak kullanıcılar.
Belirli tehdit türlerinin özelliklerinden bağımsız olarak, bilgi güvenliği bütünlüğü, gizliliği ve kullanılabilirliği korumalıdır. Bütünlüğe, gizliliğe ve kullanılabilirliğe yönelik tehditler önceliklidir. Bütünlüğün ihlali, CS'de depolanan veya bir sistemden diğerine aktarılan bilgilerin kasıtlı olarak değiştirilmesini içerir. Gizliliğin ihlali, bilgilerin bilgiye erişme yetkisi olmayan biri tarafından bilindiği bir duruma yol açabilir. Bilgiye erişememe tehdidi, diğer kullanıcıların veya davetsiz misafirlerin kasıtlı eylemlerinin bir sonucu olarak bazı CS kaynaklarına erişim engellendiğinde ortaya çıkar.
Diğer bir bilgi güvenliği tehdidi türü, CS parametrelerinin ifşa edilmesi tehdididir. Uygulanmasının bir sonucu olarak, CS'de işlenen bilgilere herhangi bir zarar verilmez, ancak aynı zamanda birincil tehditlerin ortaya çıkma olasılıkları önemli ölçüde artar.
Tehditler, çatışan ekonomik çıkarlardan kaynaklanır çeşitli unsurlar bilgi alanı da dahil olmak üzere sosyo-ekonomik sistemin hem içinde hem de dışında etkileşimde bulunmak. Genel ve bilgi güvenliğini sağlamaya yönelik faaliyetlerin içeriğini ve yönünü belirlerler. Ekonomik güvenlik sorunlarının analizinin, tehditlerin uygulanmasına yol açabilecek ekonomik çelişkiler, tehditler ve kayıplar arasındaki ilişkiyi dikkate alarak yapılması gerektiğine dikkat edilmelidir. Bu analiz aşağıdaki zincire yol açar:
< источник угрозы (внешняя и/или внутренняя среда предприятия)>
<зона риска (сфера экономической деятельности предприятия, способы её реализации, материальные и информационные ресурсы)>
<фактор (степень уязвимости данных, информации, программного обеспечения, компьютерных и телекоммуникационных устройств, материальных и финансовых ресурсов, персонала)>
< угроза (вид, величина, направление)>
<возможность её реализации (предпосылки, объект , способ действия, скорость и временной интервал действия)>
<последствия (материальный ущерб , моральный вред, размер ущерба и вреда, возможность компенсации)>.
Tehdit genellikle ya maddi nesneler üzerindeki istikrarsızlaştırıcı etkinin doğası (türü, yöntemi) ile, yazılım veya bilgi veya bu etkinin sonuçları (sonuçları) ile.
Hukuki açıdan tehdit kavramı, Rusya Federasyonu Medeni Kanunu'nun (Bölüm I, Madde 15) "bir sonucu olarak öznenin maruz kaldığı gerçek maliyetler" olarak tanımladığı yasal zarar kategorisiyle sıkı sıkıya bağlantılıdır. haklarının ihlali (örneğin, ihlal eden tarafından gizli bilgilerin çalınması, ifşa edilmesi veya kullanılması), mülkün kaybı veya zarar görmesi ve ayrıca ihlal edilen hakkı ve zarar gören veya kaybolan değerini geri yüklemek için yapması gereken masraflar mülk.
Tehditlerin ortaya çıkışının ve uygulanmasının olumsuz sonuçlarının analizi, olası tehdit kaynaklarının, bunların ortaya çıkmasına katkıda bulunan güvenlik açıklarının ve uygulama yöntemlerinin zorunlu olarak tanımlanmasını gerektirir. Bu bağlamda, ekonomik ve bilgi güvenliğine yönelik tehditler, belirtilen tanımlamayı en eksiksiz ve yeterli şekilde gerçekleştirmek için sınıflandırılmalıdır: tehdidin kaynağına göre, meydana gelme doğasına göre, uygulama olasılığına göre, insan faaliyetinin türü, tecavüz nesnesine göre, sonuçlara göre, tahmin yeteneklerine göre.
Tehditler birkaç kritere göre sınıflandırılabilir:
- bilgi güvenliğinin en önemli bileşenlerine (kullanılabilirlik, bütünlük, gizlilik) yönelik tehditler ilk etapta yönlendirilir;
- doğrudan tehditler tarafından hedeflenen bilgi sistemleri ve teknolojilerinin bileşenleri (veri, yazılım ve donanım sistemleri, ağlar, destekleyici altyapı) tarafından;
- uygulama yöntemine göre (kazara veya kasıtlı eylemler, insan yapımı veya doğal olaylar);
- tehditlerin kaynağını yerelleştirerek (bilgi teknolojisi veya sisteminin dışında veya içinde).
Muhtemel tehdit sınıflandırma modellerinden biri Şekil 1'de gösterilmektedir. 2.1 [Vikhorev, S., Kobtsev R., 2002].
Pirinç. 2.1.
Analiz sırasında, olası tehdit ve güvenlik açıklarının çoğunun belirlendiğinden ve birbirleriyle karşılaştırıldığından emin olunması ve belirlenen tüm tehdit ve güvenlik açıklarının, bunları etkisiz hale getirme ve ortadan kaldırma yöntemleriyle karşılaştırıldığından emin olunması gerekir.
Bu sınıflandırma, belirli bir tehdidin alaka düzeyini değerlendirmek için bir metodoloji geliştirmek için temel oluşturabilir ve en çok gerçek tehditler bunları önlemek veya etkisiz hale getirmek için yöntemler ve araçlar seçmek için önlemler alınabilir.
Gerçek tehditler belirlendiğinde, uzman analitik yöntemi, belirli bir tehdide maruz kalan koruma nesnelerini, bu tehditlerin karakteristik kaynaklarını ve tehditlerin uygulanmasına katkıda bulunan güvenlik açıklarını belirler.
Analize dayanarak, tehditlerin (saldırıların) uygulanmasının olası sonuçlarının belirlendiği ve bu saldırıların önem katsayısının (tehlike derecesi) hesaplandığı tehdit kaynakları ve güvenlik açıkları arasındaki ilişkinin bir matrisi derlenir. ilgili tehditlerin ve daha önce tanımlanan tehdit kaynaklarının tehlike katsayılarının ürünü.
Böyle bir analiz için kolayca biçimlendirilebilen ve algoritmik hale getirilebilen olası algoritmalardan biri Şekil 1'de gösterilmektedir. 2.2.
Pirinç. 2.2.
Bu yaklaşım sayesinde mümkündür:
- ilişkiler konusu için güvenlik hedefleri için öncelikler belirlemek;
- ilgili tehdit kaynaklarının listesini belirlemek;
- mevcut güvenlik açıklarının listesini belirleyin;
- güvenlik açıkları ilişkisini, tehdit kaynaklarını, bunların uygulanma olasılıklarını değerlendirmek;
- nesneye yönelik olası saldırıların listesini belirleyin;
- olası saldırı senaryoları geliştirmek;
- tehditlerin uygulanmasının olası sonuçlarını açıklamak;
- işletmenin ekonomik ve bilgi güvenliğini yönetmek için bir dizi koruyucu önlem ve bir sistem geliştirmek.
Yukarıda en sık ve en tehlikeli (hasar miktarı açısından) düzenli kullanıcıların, operatörlerin kasıtsız hataları olduğu belirtilmiştir. sistem yöneticileri ve hizmet veren diğer kişiler Bilgi sistemi. Bazen bu tür hatalar aslında tehdittir (yanlış girilen veriler veya programda sistemin çökmesine neden olan bir hata), bazen saldırganların yararlanabileceği güvenlik açıkları oluşturur (genellikle yönetimsel hatalar böyledir). Bazı raporlara göre, kayıpların %65'e varan bir oranı dikkatsizlik, ihmal veya personelin yetersiz eğitimi nedeniyle yapılan kasıtsız hatalardan kaynaklanmaktadır.
Tipik olarak, kullanıcılar aşağıdaki tehditlerin kaynağı olabilir:
- kasıtlı (sonunda yazılım çekirdeğini veya uygulamaları yok edecek bir mantık bombası yerleştirme) veya kasıtsız veri ve bilgi kaybı veya bozulması, yönetim sisteminin "hacklenmesi", veri ve parolaların çalınması, bunların yetkisiz kişilere aktarılması vb.;
- kullanıcının bilgi sistemiyle çalışma konusundaki isteksizliği (çoğunlukla yeni özelliklerde uzmanlaşmak gerektiğinde veya kullanıcı istekleri ile gerçek yetenekler arasında bir tutarsızlık olduğunda ortaya çıkar ve teknik özellikler) ve yazılım ve donanım cihazlarının kasıtlı olarak arızalanması;
- uygun eğitim eksikliği nedeniyle sistemle çalışamama (genel bilgisayar okuryazarlığı eksikliği, teşhis mesajlarını yorumlayamama, belgelerle çalışamama vb.).
açık ki etkili yöntem kasıtsız hatalarla mücadele - maksimum otomasyon ve standardizasyon, bilgi süreçleri, Fool Proof Device cihazlarının kullanımı, kullanıcı eylemlerinin düzenlenmesi ve sıkı kontrolü. Ayrıca, bir çalışan ayrıldığında bilgi kaynaklarına erişim haklarının (mantıksal ve fiziksel) iptal edilmesini sağlamak gerekir.
Dahili sistem arızalarının ana kaynakları şunlardır:
- teknik destek eksikliği nedeniyle sistemle çalışamama (eksik dokümantasyon, referans bilgilerinin eksikliği vb.);
- yerleşik çalışma kurallarından sapma (kazara veya kasıtlı);
- kullanıcıların veya bakım personelinin kazara veya kasıtlı eylemleri nedeniyle sistemin normal çalışmasından çıkması (tahmini talep sayısının aşılması, aşırı miktarda bilginin işlenmesi vb.);
- sistem yapılandırma hataları;
- yazılım ve donanım arızaları;
- veri imhası;
- ekipmanın tahrip olması veya hasar görmesi.
Destekleyici altyapı ile ilgili olarak, aşağıdaki tehditlerin dikkate alınması önerilir:
- iletişim sistemlerinin, güç kaynağının, su ve/veya ısı kaynağının, klimanın kesintiye uğraması (kazara veya kasıtlı);
- tesislerin imhası veya hasar görmesi;
- hizmet personelinin ve/veya kullanıcıların görevlerini yerine getirmelerinin imkansızlığı veya isteksizliği (halk karışıklığı, trafik kazaları, terör eylemi veya tehdidi, grev vb.).
Tabii ki tehlikeli doğal afetler(sel, deprem, kasırga) ve insan kaynaklı felaketlerden (yangın, patlama, bina çökmesi vb.) kaynaklanan olaylar. İstatistiklere göre, üretim bilgi sistemleri ve kaynaklarında meydana gelen kayıpların %13-15'ini ateş, su ve benzeri "davetsiz misafirlerin" (en tehlikelisi elektrik kesintisi olan) payı oluşturmaktadır.
Değerlendirme ve analizin sonuçları, tehditleri savuşturmak için uygun optimal yöntemleri seçmek ve ayrıca nesnenin bilgi güvenliğinin gerçek durumunu denetlemek için kullanılabilir.
oluşturmak için optimum sistem Bir işletmenin bilgi güvenliği, durumu doğru bir şekilde değerlendirmek, olası riskleri belirlemek, bir sistem modelinin oluşturulduğu ve uygun uygulama ve işleyiş mekanizmalarının geliştirildiği bir konsept ve güvenlik politikası geliştirmek için gereklidir.
Bölüm 2 Bilgi tehditleri kavramı ve türleri
2.1 Bilgi tehditleri
80'lerin sonundan, 90'ların başından beri, bilgilerin korunmasıyla ilgili sorunlar, bu alandaki her iki uzmanı da ilgilendirmektedir. bilgisayar Güvenliği ve çok sayıda sıradan kullanıcı kişisel bilgisayarlar. Bu, bilgisayar teknolojisinin hayatımıza getirdiği derin değişikliklerden kaynaklanmaktadır.
Ekonomideki modern otomatik bilgi sistemleri (AIS), birbirine bağlı ve veri alışverişi yapan, değişen derecelerde özerkliğe sahip çok sayıda bileşenden oluşan karmaşık mekanizmalardır. Hemen hemen her biri başarısız olabilir veya dış etkilere maruz kalabilir.
Uygulanmakta olan maliyetli yöntemlere rağmen, bilgisayar bilgi sistemlerinin işleyişi, bilginin korunmasında zafiyetlerin varlığını ortaya çıkarmıştır. Kaçınılmaz sonuç, sürekli artan maliyetler ve bilgiyi koruma çabalarıydı. Ancak alınan önlemlerin etkili olabilmesi için bilgi güvenliğine yönelik tehdidin ne olduğunun belirlenmesi, olası bilgi sızıntısı kanallarının ve korunan verilere yetkisiz erişim yollarının belirlenmesi gerekmektedir.
Bilgi güvenliği tehdidi altında (bilgi tehdidi) saklanan, iletilen ve işlenen bilgiler ile yazılım ve donanım dahil olmak üzere bilgi kaynaklarının yok olmasına, bozulmasına veya yetkisiz kullanımına yol açabilecek bir eylem veya olayı ifade eder. Bilginin değeri, saklanması ve/veya dağıtılması sırasında kaybolursa, o zaman ihlal tehdidi bilgilerin gizliliği. Bilgi, değerini kaybederek değiştirilir veya yok edilirse, o zaman bilgi bütünlüğü tehdidi. Bilginin yasal kullanıcıya zamanında ulaşmaması durumunda değeri azalır ve zamanla tamamen değer kaybeder, bu da bilginin kullanım etkinliğini veya erişilebilirliğini tehdit eder.
Bu nedenle, bilgi güvenliği tehditlerinin uygulanması, bilginin gizliliğini, bütünlüğünü ve kullanılabilirliğini ihlal etmeyi içerir. Saldırgan, gizli bilgilerle tanışabilir, bunları değiştirebilir ve hatta yok edebilir ve meşru bir kullanıcının bilgilere erişimini kısıtlayabilir veya engelleyebilir. Bu durumda, saldırgan hem kuruluşun bir çalışanı hem de dışarıdan biri olabilir. Ancak bunun yanı sıra, personelin tesadüfi, kasıtsız hataları ve bazen doğanın sunduğu sürprizler nedeniyle bilginin değeri azalabilir.
Bilgi tehditlerine şunlar neden olabilir:
doğal faktörler (doğal afetler - yangın, sel, kasırga, yıldırım ve diğer nedenler);
insan faktörleri. İkincisi, sırayla, ayrılır:
- Tesadüfi, kasıtsız nitelikteki tehditler. Bunlar, bilgilerin (bilimsel ve teknik, ticari, parasal ve finansal belgeler) hazırlanması, işlenmesi ve iletilmesi sürecindeki hatalarla ilişkili tehditlerdir; hedeflenmemiş "beyin göçü", bilgi, bilgi (örneğin, nüfusun göçü, başka ülkelere seyahat, aile birleşimi vb. ile bağlantılı olarak) Bunlar tasarım, geliştirme ve üretim hatalarıyla ilişkili tehditlerdir. düşük kaliteli üretim nedeniyle ekipmanın çalışmasında hatalar olan sistemler ve bileşenleri (binalar, yapılar, binalar, bilgisayarlar, iletişim, işletim sistemleri, uygulama programları vb.); bilgi hazırlama ve işleme sürecindeki hatalarla (yetersiz nitelikler ve düşük hizmet kalitesi nedeniyle programcıların ve kullanıcıların hataları, verilerin hazırlanmasında, girilmesinde ve çıkarılmasında, bilgilerin düzeltilmesinde ve işlenmesinde operatör hataları);
- insanların kasıtlı, kasıtlı eylemlerinden kaynaklanan tehditler. Bunlar, bilimsel keşiflerin, üretim sırlarının icatlarının, bencil ve diğer anti-sosyal amaçlar için yeni teknolojilerin (belgeleme, çizimler, keşiflerin ve icatların açıklamaları ve diğer materyallerin) aktarılması, çarpıtılması ve yok edilmesiyle ilgili tehditlerdir; resmi ve diğer bilimsel, teknik ve ticari konuşmaların dinlenmesi ve iletilmesi; amaçlı bir "beyin göçü", bilgi bilgisi ile (örneğin, paralı askerlik saikleriyle başka bir vatandaşlık edinme ile bağlantılı olarak). Bunlar, otomatik bir bilgi sisteminin kaynaklarına yetkisiz erişimle ilişkili tehditlerdir (araçlardaki teknik değişiklikler bilgisayar Bilimi ve iletişim araçları, bilgisayar donanımına ve iletişim kanallarına bağlantı, bilgi ortamının çalınması: disketler, açıklamalar, çıktılar vb.).
Kasıtlı tehditler, AIS kullanıcılarına zarar vermeyi amaçlar ve buna karşılık olarak aktif ve pasif olarak ayrılır.
Pasif Tehditler, kural olarak, bilgi kaynaklarının işleyişini etkilemeden yetkisiz kullanımına yöneliktir. Pasif bir tehdit, örneğin, iletişim kanallarında dolaşan bilgileri dinleyerek elde etme girişimidir.
Aktif Tehditler donanım, yazılım ve bilgi kaynakları üzerinde hedeflenen bir etki yoluyla sistemin normal işleyişini bozmayı amaçlar. Aktif tehditler, örneğin, iletişim hatlarının tahrip edilmesi veya elektronik olarak karışması, bir PC'nin veya işletim sisteminin devre dışı bırakılması, veritabanlarındaki bilgilerin veya sistem bilgilerinin bozulması vb.'yi içerir. Etkin tehditlerin kaynakları davetsiz misafirlerin, yazılım virüslerinin vb. doğrudan eylemleri olabilir.
Kasıtlı tehditler ikiye ayrılır: yerel yönetilen varlık içinde ortaya çıkan ve harici .
İç tehditler çoğunlukla sosyal gerilim ve zor bir ahlaki iklim tarafından belirlenir.
Dış tehditler, rakiplerin kötü niyetli eylemleri, ekonomik koşullar ve diğer nedenlere (örneğin doğal afetler) göre belirlenebilir. Yabancı kaynaklara göre yaygın olarak kullanılmaktadır. endüstriyel casusluk - ticari sır sahibine zarar verecek nitelikte olanlar, ticari sır niteliğindeki bilgilerin, sahibi tarafından yetkilendirilmemiş kişilerce hukuka aykırı olarak toplanması, iktisap edilmesi ve aktarılması.
Ana güvenlik tehditleri şunları içerir:
gizli bilgilerin ifşası;
bilgi uzlaşması;
bilgi kaynaklarının yetkisiz kullanımı;
kaynakların hatalı kullanımı; yetkisiz bilgi alışverişi;
bilgi reddi;
hizmet reddi.
Tehdidi uygulama araçları gizli bilgilerin ifşası veritabanlarına yetkisiz erişim, kanalların dinlenmesi vb. olabilir. Her halükarda, belirli bir kişinin (kişiler grubunun) mülkiyetinde olan bilgilerin elde edilmesi, bilginin değerinin azalmasına ve hatta kaybolmasına neden olur.
Tehditlerin uygulanması, aşağıdaki eylem ve olaylardan birinin sonucudur: açıklamalar gizli bilgiler, gizli bilgilerin sızması ve Yetkisiz Erişim korunan bilgilere (106). Açıklandığında veya sızdırıldığında, bilgilerin gizliliği ihlal edilir. Sınırlı erişim(İncir. 2).
Pirinç. 2 Bilgi güvenliğini ihlal eden eylem ve olaylar
Gizli bilgilerin sızması - bu, gizli bilgilerin IP dışında veya hizmette emanet edildiği veya iş sırasında öğrenildiği kişilerin çevresi dışında kontrolsüz bir şekilde serbest bırakılmasıdır. Bu sızıntının nedeni şunlar olabilir:
gizli bilgilerin ifşası;
başta teknik olmak üzere çeşitli kanallardan bilgi çekilmesi;
çeşitli yollarla gizli bilgilere yetkisiz erişim.
Bilgi İfşası sahibi veya sahibi, hizmet veya işte ilgili bilgilerin usulüne uygun olarak emanet edildiği yetkililerin ve kullanıcıların kasıtlı veya dikkatsiz eylemleridir ve bu, bu bilgilere kabul edilmeyen kişilerin bu bilgilere aşina olmasına yol açar.
Mevcut gizli bilgilerin kontrolsüz bakımı görsel-optik, akustik, elektromanyetik ve diğer kanallar aracılığıyla.
Fiziksel doğası gereği, aşağıdaki bilgi aktarım araçları mümkündür:
Işık ışınları.
Ses dalgaları.
Elektromanyetik dalgalar.
Malzemeler ve maddeler.
Bilgi sızıntısı kanalı altında, gizli bilgi kaynağından saldırgana giden ve korunan bilgilerin sızmasının veya yetkisiz olarak alınmasının mümkün olduğu fiziksel yolu kastediyoruz. Bir bilgi sızıntısı kanalının ortaya çıkması (oluşması, kurulması) için, belirli mekansal, enerjisel ve zamansal koşulların yanı sıra, saldırgan tarafında bilgileri algılamak ve sabitlemek için uygun araçlar gereklidir.
Uygulama ile ilgili olarak, eğitimin fiziksel doğası dikkate alındığında, bilgi sızıntısı kanalları aşağıdaki gruplara ayrılabilir:
görsel-optik;
akustik (akustik dönüştürme dahil);
elektromanyetik (manyetik ve elektrik dahil);
somut (kağıt, fotoğraf, manyetik ortam, endüstriyel atık farklı tür katı, sıvı, gaz).
Görsel-optik kanallar- bu, kural olarak, doğrudan veya uzaktan (televizyon dahil) gözlemdir. Bilgi taşıyıcı, gizli bilgi kaynakları tarafından yayılan veya görünür, kızılötesi ve ultraviyole aralıklarında ondan yansıyan ışıktır.
akustik kanallarİnsanlar için işitme, görmeden sonra en bilgilendirici ikinci şeydir. Bu nedenle, oldukça yaygın bilgi sızıntısı kanallarından biri akustik kanaldır. Akustik kanalda, bilgi taşıyıcısı, ultra (20.000 Hz'den fazla), işitilebilir ve infrasonik aralıklar bandında yatan sestir. Bir kişinin duyabileceği ses frekansları aralığı 16 ila 20.000 Hz arasındadır ve insan konuşmasında bulunur - 100 ila 6.000 Hz.
Serbest hava alanında, kapılar, pencereler ve menfezlerin açık olması durumunda müzakereler sırasında odalarda akustik kanallar oluşturulur. Ek olarak, bu tür kanallar, tesislerin havalandırma sistemi tarafından oluşturulur. Bu durumda kanalların oluşumu önemli ölçüde hava kanallarının geometrik boyutlarına ve şekline, vanaların, hava dağıtıcılarının ve benzeri elemanların şekillendirilmiş elemanlarının akustik özelliklerine bağlıdır.
elektromanyetik kanallar. Bilgi taşıyıcı, 10.000 m dalga boyuna sahip ultra uzun (30 Hz'den düşük frekanslar) ile 1 - 0,1 mm dalga boyuna sahip süblimasyon aralığındaki elektromanyetik dalgalardır. (300 ila 3000 GHz arası frekanslar). Bu türlerin her biri elektromanyetik dalgalar hem menzilde hem de uzayda belirli yayılma özelliklerine sahiptir. Uzun dalgalar, örneğin, çok uzun mesafelerde yayılır, milimetre dalgaları ise, aksine, birimler ve onlarca kilometre içinde yalnızca görüş hattı mesafesine kadar yayılır. Ek olarak, çeşitli telefon ve diğer teller ve iletişim kabloları kendi etraflarında manyetik ve elektrik alanlar oluştururlar; bu alanlar, bulundukları yerin yakınındaki diğer teller ve ekipman elemanları üzerindeki alımlar nedeniyle bilgi sızıntısı unsuru olarak da işlev görür.
malzeme kanalları bilgi sızıntıları, katı, sıvı ve gaz halindeki veya parçacık (radyoaktif elementler) formundaki çeşitli malzemelerdir. Çoğu zaman bunlar çeşitli üretim atıkları, kusurlu ürünler, taslak malzemeler vb.
Her gizli bilgi kaynağının, bir dereceye kadar, bir dizi bilgi sızıntısı kanalına sahip olabileceği açıktır. Sızıntının nedenleri genellikle bilgi koruma standartlarının kusurlu olmasının yanı sıra bu standartların ihlali (kusurlu olanlar dahil), ilgili belgeleri, teknik araçları, ürün numunelerini ve gizli bilgiler içeren diğer materyalleri işleme kurallarından sapma ile ilişkilidir.
Sızıntı faktörleri, örneğin şunları içerebilir:
işletme çalışanlarının bilgi koruma kuralları hakkında yetersiz bilgisi ve bunlara dikkatle uyulması gereğinin yanlış anlaşılması (veya yanlış anlaşılması);
yasal, organizasyonel ve mühendislik önlemleriyle bilgi koruma kurallarına uyum konusunda zayıf kontrol.
Yetkisiz erişim (UAS)
Bu, bir kullanıcının kuruluş tarafından benimsenen güvenlik politikasına uygun olarak iznine sahip olmadığı bir nesneye erişim elde etmesi durumunda en yaygın görülen bilgi tehdidi türüdür. Genellikle asıl sorun, kimin hangi veri kümelerine erişimi olması ve kimin olmaması gerektiğini belirlemektir. Diğer bir deyişle, "yetkisiz" teriminin tanımlanması gerekmektedir.
Doğası gereği, NSD'nin etkisi, sistem hatalarını kullanan aktif bir etkidir. UA genellikle gerekli veri setine doğrudan atıfta bulunur veya UA'yı yasallaştırmak için yetkili erişim hakkındaki bilgilere göre hareket eder. Sistemin herhangi bir nesnesi UA'ya konu olabilir. NSD hem standart hem de özel olarak tasarlanmış olarak gerçekleştirilebilir yazılım araçları nesnelere.
Yetkisiz erişimin oldukça ilkel yolları da vardır:
bilgi taşıyıcılarının ve belge atıklarının çalınması;
inisiyatif işbirliği;
hırsız tarafında işbirliği yapmaya teşvik;
gasp;
kulak misafiri olmak;
gözlem ve diğer yollar.
Gizli bilgilerin sızdırılmasına yönelik her türlü yöntem, hem İD'nin faaliyet gösterdiği kuruma hem de kullanıcılarına önemli maddi ve manevi zararlar verebilir.
Yöneticiler, önkoşulları ve gizli bilgilerin kötüye kullanılması olasılığını yaratan neden ve koşulların oldukça büyük bir kısmının, kuruluş başkanlarının ve çalışanlarının temel eksikliklerinden kaynaklandığını hatırlamalıdır. Örneğin, ticari sırların sızması için ön koşulları oluşturan nedenler ve koşullar şunları içerebilir:
kuruluş çalışanlarının gizli bilgileri koruma kuralları hakkında yetersiz bilgisi ve bunlara dikkatle uyulması gereğinin anlaşılmaması;
gizli bilgileri işlemek için sertifikasız teknik araçların kullanılması;
yasal organizasyonel ve mühendislik önlemleri vb. ile bilgi koruma kurallarına uyum konusunda zayıf kontrol.
Örnek 1 (M. Nakamoto ";Japonya sızıntılarla savaşır";, ";Pazartesi"; tarih 03/02/2004)
Endüstriyel casuslukla ilgili skandallarda ve çatışmalarda, Japon şirketleri uzun süredir sanık olmuştur - bunun en ünlü örneklerinden biri, Hitachi çalışanlarının IBM'den fikri mülkiyeti çalmakla suçlandığı 1982'deki davadır. Ancak şimdi, geleneksel olarak Japonların hakim olduğu bölgelerde uluslararası rekabet yoğunlaştıkça, onlar da giderek artan bir şekilde endüstriyel casusların kurbanı oluyorlar.
Kendi teknolojik gelişmelerini dikkatle koruyan Sharp Corporation, ultra modern likit kristal panel fabrikasını Kameyama kasabasında, uzak bir dağlık bölgede, meraklı gözlerden uzakta kurdu. Ancak elektronik endüstrisinin devi burada da kendini evinde hissetmiyor. tam güvenlik: Belirli bir zamandan itibaren, Sharp çalışanlarının alarmı, yaklaşık ayda bir şirketin gizli tesisinin etrafında dönen gizemli bir arabadan kaynaklanmaya başlandı. Sharp'ın temsilcilerine göre şüpheli araba, başka birinin bilgi birikiminin önemli ayrıntılarını bulmayı uman rakip bir şirketin bir temsilcisine ait olabilir.
Ekonomi, Ticaret ve Sanayi Bakanlığı'na (METI) bağlı Fikri Mülkiyet Koruma Dairesi başkanı Yoshinori Komiya, “Japonya'dan teknoloji sızıntısı ülkenin rekabet gücünü azaltır ve istihdamda azalmaya yol açar” dedi. Bazı teknolojilerin yurt dışına transfer edilebileceğinin farkındayız; ancak genellikle şirket yöneticilerinin sır olarak saklamaya istekli oldukları transfer edilen teknolojiler vardır.”
Bu sorun, yükselen güneşin ülkesinin komşuları yüksek teknoloji pazarında ciddi başarılar elde ettiğinde, Japon hükümeti için özellikle acı verici hale geldi. Japon şirketlerinin pazarındaki en büyük ve en güçlüleri bile artık savunma pozisyonu almak ve fikri mülkiyetlerini dikkatli bir şekilde korumak zorunda.
METI'ye göre, endüstriyel casusluğun kurbanı olan birçok şirket, bir skandala yol açmamaya çalışıyor, çünkü hırsızlıktan dışarıdan ajanlar değil, kendi çalışanları suçlu. Matsushita'nın başkan yardımcısı Yokio Sotoku'nun da kabul ettiği gibi, rakip firmalarda hafta sonları çalışan çalışanlar gibi, Japon iş dünyasında hala çok sayıda "beşinci kol" istismarı var.
METI araştırmaları, ticari bilgilerin sızdırıldığı kanallardan birinin de diğer Asya ülkelerinde işe giren ve eski işverenlerinin bilgi birikimini yanlarında götüren Japon şirketlerinin eski çalışanları olduğunu gösteriyor. METI, gizli bilgilerin Japon şirketlerinin rakiplerine sızdığı başlıca yolları belirledi; buna mesai saatleri dışında çalışanların verileri kopyalaması dahildir; rakip şirketlerde yarı zamanlı çalışanların çalışması (örneğin, hafta sonları); Yeterince geliştirilmemiş bir bilgi güvenliği politikasına sahip yabancı bir şirketle ortak girişimin oluşturulması; gizlilik sözleşmesinin ekipmanının ortak-tedarikçi tarafından ihlali vb.
METI, know-how sızdırma riskini zamanında fark etmeyen birçok şirketin bu nedenle önemli kayıplara uğradığını, ancak bu tür davalarda ihmal ve dikkatsizlikten bahsettiğimiz için mahkemelerin onlara sempati duymadan davrandığını belirtiyor. Japon şirketlerinin fikri mülkiyet hırsızlığından kaynaklanan zararlar için tazminat talep ettiği 48 davadan sadece 16 dava haklı bulundu.
Örnek No. 2 (B. Gossage ";Chatterbox bir rakip için bir nimettir"; ";Pazartesi"; 02/16/2004 tarihli)
Amerikan BT danışmanlık şirketi Everynetwork'ün kurucusu ve CEO'su Phil Sipowicz, kendisini hiçbir zaman konuşkan veya tedbirsiz bir konuşmacı olarak görmedi. Rakiplerinden biriyle olası bir ortaklığı müzakere eden Sipovich, kartlarını göstermemeye çalıştı, yalnızca anlaşmayı ilerletmek için gerçekten gerekli gördüğü şeyler hakkında konuştu.
Müzakerelerden sonra iyimser bir Sipovich, avukatıyla birlikte bir gizlilik anlaşması hazırladı ve bunu ortağına faksladı. Cevap sadece birkaç hafta sonra geldi ve beklenmedik olduğu ortaya çıktı - ortak, ne birleşme, ne ittifak, ne de başka bir şeyle ilgilenmediğini söyledi ... Ve bir ay sonra, Sipovich'in müşterilerinden biri aradı ve dedi başka bir danışmanın önerisiyle kendisine yaklaşıldığını. Anlaşıldığı üzere, aynı başarısız ortak! Ancak o zaman Sipovich, müzakereler sırasında yanlışlıkla üç önemli müşterisinden bahsettiğini hatırladı. Şüpheleri haklı çıktı: Kısa süre sonra diğer iki müşteri de alternatif bir danışmandan teklif aldı. Sipovich, "Büyük ölçekli bir pazarlama kampanyası değildi, yalnızca benim bahsettiğim müşterilere bir yaklaşım arıyorlardı" diyor.
İfşa ve sızıntı, gizli bilgilere hukuka aykırı olarak aşina olunmasına yol açar. minimum maliyet Saldırganın çabası. Bu, Şekil 3'te sunulan, şirket çalışanlarının en iyi kişisel ve profesyonel özellikleri ve eylemleri olmayan bazılarıyla kolaylaştırılmıştır.
Pirinç. 3 Bilgi güvenliği tehditlerinin uygulanmasına katkıda bulunan çalışanların kişisel ve mesleki özellikleri ve eylemleri
Ve çalışan saldırgan olmasa bile yorgunluk, hastalık vb. nedenlerle istemeden hata yapabilir.
Bilgi kaynaklarının hatalı kullanımı Ancak yaptırıma tabi tutulmak yıkıma, ifşaya yol açabilir. veya söz konusu kaynakların uzlaşması. Bu tehdit çoğunlukla AIS yazılımındaki hataların sonucudur.
Bilgisayar bilgilerinin imhası- bu, onu bilgisayar belleğinden silmek, fiziksel ortamdan silmek ve ayrıca onu oluşturan verilerde içeriği kökten değiştiren yetkisiz değişikliklerdir (örneğin, yanlış bilgilerin girilmesi, kayıtların eklenmesi, değiştirilmesi, silinmesi). Bilginin başka bir makine ortamına eşzamanlı olarak aktarılması, yalnızca bu eylemlerin bir sonucu olarak meşru kullanıcıların bilgiye erişimi önemli ölçüde engellenmemiş veya hariç tutulmamışsa, ceza hukuku bağlamında bilgisayar bilgilerinin imhası olarak kabul edilmez. .
Kullanıcının, yazılım araçlarını kullanarak yok edilen bilgileri kurtarabilmesi veya bu bilgileri başka bir kullanıcıdan temin edebilmesi, faili sorumluluktan kurtarmaz.
Bilgilerin yok edilmesi, dosyanın bulunduğu yerde yeniden adlandırılması değil, aynı zamanda otomatik “silme”; dosyaların eski sürümleri zaman açısından en son sürümlerdir.
Bilgisayar bilgilerini engelleme- bu, kullanıcıların bilgisayar bilgilerine erişiminde, yok edilmesiyle ilgili olmayan yapay bir zorluktur. Başka bir deyişle, bu, bilginin kendisinin tam güvenliği ile amaçlanan amaç için elde edilmesinin veya kullanılmasının imkansızlığı olan bilgi içeren eylemlerin gerçekleştirilmesidir.
Bilgi uzlaşması, kural olarak, veritabanında yetkisiz değişiklikler yapılarak uygulanır ve bunun sonucunda tüketicisi ya onu terk etmeye ya da değişiklikleri tespit etmek ve gerçek bilgileri geri yüklemek için ek çaba sarf etmeye zorlanır. Güvenliği ihlal edilmiş bilgilerin kullanılması durumunda, tüketici, ortaya çıkan tüm sonuçlarla birlikte yanlış kararlar verme tehlikesiyle karşı karşıyadır.
Bilginin reddedilmesi, özellikle bir işlemin (bir bankada işlem) tanınmaması, alıcı veya gönderen tarafından alındığı veya gönderildiği gerçeklerin tanınmamasından oluşur. Pazarlama faaliyetleri bağlamında bu, özellikle taraflardan birinin akdedilen mali sözleşmeleri ";teknik olarak"; resmi olarak onlardan vazgeçmeden ve böylece karşı tarafa önemli zararlar vermeden.
Bilgisayar bilgilerinin değiştirilmesi- bu, bir bilgisayar programının veya veri tabanının uyarlanmasıyla ilgili olanlar dışında, herhangi bir değişikliğin tanıtımıdır. Bir bilgisayar programının veya veri tabanının uyarlanması, “yalnızca bir bilgisayar programının veya veri tabanının belirli bir kullanıcı donanımı üzerinde veya belirli kullanıcı programlarının kontrolü altında çalışmasını sağlamak amacıyla gerçekleştirilen değişikliklerin getirilmesidir” (Anayasa'nın 1. maddesinin 1. kısmı). 23 Eylül 1992 tarihli Rusya Federasyonu Kanunu ";Elektronik bilgisayarlar ve veritabanları için programların yasal olarak korunması hakkında";). Başka bir deyişle, bu, orijinal olarak (eylemden önce) mal sahibinin veya yasal kullanıcının tasarrufunda olan bilgilere kıyasla içeriğinde bir değişiklik anlamına gelir.
Bilgisayar bilgilerini kopyalama- veri tabanının ikinci ve müteakip kopyalarının, herhangi bir materyal biçimindeki dosyaların üretimi ve sürdürülebilir baskısı ve bunların bir makine ortamına, bilgisayar belleğine kaydedilmesi.
Hizmet Reddi kaynağı AIS'nin kendisi olan çok önemli ve yaygın bir tehdidi temsil ediyor. Böyle bir başarısızlık, özellikle aboneye kaynak sağlamadaki bir gecikmenin kendisi için ciddi sonuçlara yol açabileceği durumlarda tehlikelidir. Bu nedenle, karar vermek için gerekli olan kullanıcı verilerinin, bu kararın hala etkin bir şekilde uygulanabileceği dönemde bulunmaması, irrasyonel eylemlere neden olabilir.
Bilgiye yetkisiz erişimin başlıca tipik yolları şunlardır:
belge... bilgilendirmegüvenlik. 8.2.9. Genel Gereksinimler emin olmak için bilgilendirmegüvenlik bankacılık bilgi teknolojik süreçler 8.2.9.1. sistem emin olmak bilgilendirmegüvenlik bankacılık bilgilendirme ... -ekonomik ...
Bilgi Güvenliği
ÖğreticiEmin olmak için bilgilendirmegüvenlik RF; yetersiz ekonomik devletin gücü; verimlilikte düşüş sistemler eğitim ve yetiştirme...
Girişimcilik faaliyeti eğitim ve metodolojik kompleksinin bilgi güvenliği
Eğitim ve metodoloji kompleksiMatematik, bilgisayar bilimi, ekonomik teori, istatistik, ... bilgilendirmegüvenlik. B. Kriptografik güvenlik yöntemleri bilgilendirmegüvenlik. B. Teminat gereklilikleri bilgilendirmegüvenlik Kurumsal bilgilendirmesistemler ...
elektronik radyasyonun kesilmesi;
Bilgi sistemlerinin güvenliğine yönelik başlıca tehdit türleri şunlardır:
İhlal edenlerin ve izinsiz girenlerin kasıtlı eylemleri (personel, suçlular, casuslar, sabotajcılar vb. arasından gücenmiş kişiler).
Güvenlik tehditleri çeşitli kriterlere göre sınıflandırılabilir:
1. Promosyonun sonuçlarına göre:
1) sızıntı tehdidi;
2) değişiklik tehdidi;
3) kaybetme tehdidi.
2. Şuna göre:
· Kasıtsız;
· kasıtlı.
Rastgele (kasıtsız) tehditler,:
Doğal afetler ve kazalar (sel, kasırga, deprem, yangın vb.);
AITU ekipmanının (teknik araçlar) arızası ve arızası;
AIS bileşenlerinin (donanım, bilgi işleme teknolojisi, programlar, veri yapıları vb.) tasarımı ve geliştirilmesindeki hataların sonuçları;
Operasyonel hatalar (kullanıcılar, operatörler ve diğer personel).
Ana sebepler kasıtsız, insan yapımı tehditler AIS:
· Dikkatsizlik;
Yönetmeliklerin ihlali ve sistemde oluşturulan kısıtlamaların dikkate alınmaması;
· Beceriksizlik;
· İhmal.
Tehdit örnekleri:
1) kasıtsız eylemler sistemin kısmen veya tamamen arızalanmasına veya sistemin donanımının, yazılımının, bilgi kaynaklarının tahrip olmasına (ekipmanın kasıtsız olarak hasar görmesi, dosyaların silinmesi, bozulması) yol açması önemli bilgi veya sistem programları vb. dahil olmak üzere programlar);
2) ekipmanın yanlış aktivasyonu veya cihazların ve programların çalışma modlarının değiştirilmesi;
3) ortamın kasıtsız olarak imha edilmesi bilgi;
4) yasa dışı giriş ve kayıt dışı programların kullanımı (oyun, eğitim, teknoloji vb.)., ihlal edenin resmi görevlerini yerine getirmesi için gerekli olmayan) müteakip makul olmayan kaynak harcaması (işlemci yükü, RAM'in ele geçirilmesi ve harici ortamdaki bellek);
6) bilgisayar enfeksiyonu virüsler;
7) yol açan dikkatsiz eylemler gizli bilgilerin ifşası veya kamuya açık hale getirmek;
8) açıklama, aktarma veya erişim kontrolü özniteliklerinin kaybı (n parolalar, şifreleme anahtarları, kimlik kartları, geçişler vb.);
9) örgütsel kısıtlamaları göz ardı etmek(yerleşik kurallar) sistemdeki sıralamada;
10) güvenliği atlayarak giriş yap(harici bir işletim sisteminin çıkarılabilir manyetik ortamdan yüklenmesi vb.);
11) beceriksiz kullanım, ayar veya yasa dışı kapatma koruma aracı güvenlik personeli;
12) verileri abonenin (cihazın) hatalı bir adresine iletmek;
13) hatalı veri girişi;
14) iletişim kanallarına kasıtsız zarar vermek.
kasıtlı tehditler - bunlar, insanların (davetsiz misafirlerin) bencil özlemleriyle ilişkili, insan faaliyetlerinden kaynaklanan AIS tehditleridir.
Bilgi sistemiyle ilgili tehdit kaynakları harici veya dahili olabilir.
Ne yazık ki, her iki tehdidin uygulanmasının sonucu aynı sonuçlardır: bilgi kaybı, gizliliğinin ihlali, değiştirilmesi.
Ana kasıtlı kasıtlı tehditler genellikle hedeflenen:
Sistemin kasıtlı olarak bozulması ve arızalanması,
· Sisteme sızma ve bilgilere yetkisiz erişim ve kişisel kazanç amacıyla kullanılması amacıyla.
Kasıtlı tehditler ise şu şekilde ayrılabilir:
1. Aktif ve pasif .
Pasif Tehditler - esas olarak, bilgilerin zarar görmesine ve yok edilmesine yol açmayan bilgi kaynaklarının yetkisiz kullanımına yöneliktir.
Bunun için çeşitli yöntemler kullanılır :
A) dinleme cihazlarının kullanımı, uzaktan fotoğraf ve video çekimi, medya hırsızlığı vb.;
b) bilgi ortamının çalınması (manyetik diskler, teypler, bellek yongaları, depolama aygıtları ve kişisel bilgisayarlar);
c) değişim protokollerini, iletişim girme kurallarını ve kullanıcının yetkilendirmesini ve ardından sisteme sızmak için bunları taklit etme girişimlerini bulmak için iletişim kanalları üzerinden iletilen verilerin ele geçirilmesi ve bunların analizi;
G) kalan bilgilerin RAM'den ve harici depolama aygıtlarından (yazıcı bellek arabelleği) okunması;
e) bilgileri okumak RAM alanları işletim sistemi tarafından kullanılan (koruma alt sistemi dahil);
e) şifrelerin yasa dışı elde edilmesi ve erişim kontrolü için diğer gereksinimler (aracılar tarafından, kullanıcıların ihmalini kullanarak, seçerek, sistem arayüzünü taklit ederek vb., ardından kayıtlı bir kullanıcı kılığına girerek (“maskeli balo”);
Etkin Tehditler - ihlal normal işleyen bileşenlerini hedefleyerek sistem.
Uygulama yöntemleri:
A) PC veya işletim sisteminin arızası;
B) iletişim kanallarının bozulması;
C) güvenlik sistemini hacklemek;
D) yazılım virüslerinin kullanımı vb.
2. İç ve dış tehditler .
içerdekiler aşağıdaki personel kategorilerinden kişiler olabilir:
§ sistemin destek ve bakım personeli (operatörler, elektrikçiler, teknisyenler);
§ yazılım geliştirme ve bakım departmanlarının çalışanları (uygulama ve sistem programcıları);
§ AITU güvenlik hizmeti çalışanları;
§ iş hiyerarşisinin çeşitli düzeylerindeki yöneticiler.
BIS'te yapılan araştırmaya göre ihlallerin %80'den fazlası banka çalışanları tarafından gerçekleştiriliyor.
olabilecek yabancılar dış ihlalciler .
§ müşteriler (kuruluşların temsilcileri, vatandaşlar);
§ ziyaretçiler (herhangi bir vesileyle davet edilir);
§ kuruluşun yaşamını sağlama konularında (enerji, su, ısı temini, vb.) etkileşimde bulunan kuruluşların temsilcileri;
rakip kuruluşların (yabancı özel hizmetler) temsilcileri veya onların talimatlarına göre hareket eden kişiler;
2.Yöntemler ve koruma araçları
Koruma sistemi - yasal (yasama) (idari nitelikte, örgütsel önlemler, fiziksel ve teknik (yazılım ve donanım) koruma araçlarının yanı sıra bilgi güvenliğini, bilgi teknolojilerini sağlamak için tasarlanmış özel personelin bir dizi (karmaşık) özel önlemidir Ve otomatik sistem genel olarak.
Uluslararası ve Rus uygulamalarında, bilgisayar sistemlerinin güvenlik düzeyini değerlendirmek için standartlar kullanılır. ABD'de bu standartları içeren belgeye Turuncu Kitap denir. (1985). Aşağıdaki sistem güvenliği düzeylerini sağlar:
En yüksek sınıf - A;
Orta sınıf -B;
Düşük seviye - C;
· -D testini geçemeyen sistemlerin sınıfı.
Rusya uygulamasında, Rusya Federasyonu Başkanı altındaki Devlet Teknik Komisyonu, yetkisiz erişime karşı 7 CVT güvenlik sınıfı oluşturulmasını sağlayan bir kılavuz belge geliştirmiştir. Aynı zamanda, koruyucu önlemler aşağıdaki alt sistemleri kapsar:
· Giriş kontrolu;
· Kayıt ve muhasebe;
· Kriptografik;
· Bütünlüğün sağlanması;
· Yasal önlemler;
fiziksel önlemler.
Bilgi güvenliğini sağlama yöntemleri ve araçları Şekil 2'de gösterilmektedir. Koruma mekanizmalarının temelini oluşturan sunulan bilgi koruma yöntemlerinin ana içeriğini göz önünde bulundurun.
