Источниками внутренних угроз являются:
1. Сотрудники организации.
2. Программное обеспечение.
3. Аппаратные средства.
Внутренние угрозы могут проявляться в следующих формах:
Ошибки пользователей и системных администраторов;
Нарушения сотрудниками фирмы установленных регламентов сбора, обработки, передачи и уничтожения информации;
Ошибки в работе программного обеспечения;
Отказы и сбои в работе компьютерного оборудования.
К внешним источникам угроз относятся:
1. Компьютерные вирусы и вредоносные программы.
2. Организации и отдельные лица.
3. Стихийные бедствия.
Формами проявления внешних угроз являются:
Заражение компьютеров вирусами или вредоносными программами;
Несанкционированный доступ (НСД) к корпоративной информации;
Информационный мониторинг со стороны конкурирующих структур, разведывательных и специальных служб;
Действия государственных структур и служб, сопровождающиеся сбором, модификацией, изъятием и уничтожением информации;
Аварии, пожары, техногенные катастрофы, стихийные бедствия.
Все перечисленные выше виды угроз (формы проявления) можно разделить на умышленные и неумышленные . По данным Института защиты компьютеров (CSI), свыше 50% вторжений - дело рук собственных сотрудников компаний. Что касается частоты вторжений, то 21% опрошенных указали, что они испытали рецидивы «нападений». Несанкционированное изменение данных было наиболее частой формой нападения и в основном применялось против медицинских и финансовых учреждений. Свыше 50% респондентов рассматривают конкурентов как вероятный источник «нападений». Наибольшее значение респонденты придают фактам подслушивания, проникновения в информационные системы и «нападениям», в которых «злоумышленники» фальсифицируют обратный адрес, чтобы перенацелить поиски на непричастных лиц. Такими злоумышленниками наиболее часто являются обиженные служащие и конкуренты.
По способам воздействия на объекты информационной безопасности угрозы подлежат следующей классификации: информационные, программные, физические, радиоэлектронные и организационно-правовые.
К информационным угрозам относятся:
Несанкционированный доступ к информационным ресурсам;
Незаконное копирование данных в информационных системах;
Хищение информации из библиотек, архивов, банков и баз данных;
Нарушение технологии обработки информации;
Противозаконный сбор и использование информации;
Использование информационного оружия.
К программным угрозам относятся:
Использование ошибок и «дыр» в программном обеспечении;
Компьютерные вирусы и вредоносные программы;
Установка «закладных» устройств.
К физическим угрозам относятся:
Уничтожение или разрушение средств обработки информации и связи;
Хищение носителей информации;
Хищение программных или аппаратных ключей и средств криптографической защиты данных;
Воздействие на персонал.
К радиоэлектронным угрозам относятся:
Внедрение электронных устройств перехвата информации в технические средства и помещения;
Перехват, расшифровка, подмена и уничтожение информации в каналах связи.
К организационно-правовым угрозам относятся:
Нарушение требований законодательства и задержка в принятии необходимых нормативно-правовых решений в информационной сфере;
Закупки несовершенных или устаревших информационных технологий и средств информатизации.
Для защиты интересов субъектов информационных отношений необходимо сочетать меры следующих уровней:
1) законодательный уровень (законы, нормативные акты, стандарты и т.п.). Законодательный уровень является важнейшим для обеспечения информационной безопасности. К мерам этого уровня относится регламентация законом и нормативными актами действий с информацией и оборудованием, и наступление ответственности нарушение правильности таких действий. Подробнее этот вопрос рассматривается в других главах.
2) административный уровень (действия общего характера, предпринимаемые руководством организации). Главная цель мер административного уровня- сформировать программу работ в области информационной безопасности и обеспечить ее выполнение, выделяя необходимые ресурсы и контролируя состояние дел. Основой программы является политика безопасности, отражающая подход организации к защите своих информационных активов. Руководство каждой организации должно осознать необходимость поддержания режима безопасности и выделения на эти цели значительных ресурсов.
3) процедурный уровень (конкретные меры безопасности, ориентированные на людей).
Меры данного уровня включают в себя:
Мероприятия, осуществляемые при проектировании, строительстве и оборудовании вычислительных центров и других объектов систем обработки данных;
Мероприятия по разработке правил доступа пользователей к ресурсам системы (разработка политики безопасности);
Мероприятия, осуществляемые при подборе и подготовке персонала, обслуживающего систему;
Организацию охраны и режима допуска к системе;
Организацию учета, хранения, использования и уничтожения документов и носителей информации;
Распределение реквизитов разграничения доступа;
Организацию явного и скрытого контроля за работой пользователей;
Мероприятия, осуществляемые при проектировании, разработке, ремонте и модификациях оборудования и программного обеспечения.
4) программно-технический уровень (технические меры).
Меры защиты этого уровня основаны на использовании специальных программ и аппаратуры и выполняющих (самостоятельно или в комплексе с другими средствами) функции защиты:
Идентификацию и аутентификацию пользователей;
Разграничение доступа к ресурсам;
Регистрацию событий;
Криптографические преобразования;
Проверку целостности системы;
Проверку отсутствия вредоносных программ;
Программную защиту передаваемой информации и каналов связи;
Защиту системы от наличия и появления нежелательной информации;
Создание физических препятствий на путях проникновения нарушителей;
Мониторинг и сигнализацию соблюдения правильности работы системы;
Создание резервных копий ценной информации.
Под угрозой безопасности информации (информационной угрозой) понимается действие или событие, которое может привести к разрушению, искажению или несанкционированному использованию информационных ресурсов, включая хранимую, передаваемую и обрабатываемую информацию, а также программные и аппаратные средства. Если ценность информации теряется при ее хранении и/или распространении, то реализуется угроза нарушения конфиденциальности информации. Если информация изменяется или уничтожается с потерей ее ценности, то реализуется угроза целостности информации. Если информация вовремя не поступает легальному пользователю, то ценность ее уменьшается и со временем полностью обесценивается, тем самым угроза оперативности использования или доступности информации .
Итак, реализация угроз информационной безопасности заключается в нарушении конфиденциальности, целостности и доступности информации. Злоумышленник может ознакомиться с конфиденциальной информацией, модифицировать ее, или даже уничтожить, а также ограничить или блокировать доступ легального пользователя к информации. При этом злоумышленником может быть как сотрудник организации, так и постороннее лицо.
Информационные угрозы могут быть обусловлены: :
- - естественными факторами (стихийные бедствия - пожар, наводнение, ураган, молния и другие причины);
- - человеческими факторами. Последние, в свою очередь, подразделяются на:
- а) угрозы, носящие случайный, неумышленный характер. Это угрозы, связанные с ошибками процесса подготовки, обработки и передачи информации (научно-техническая, коммерческая, валютно-финансовая документация);
- б) с нецеленаправленной «утечкой умов», знаний, информации. Это угрозы, связанные с ошибками процесса проектирования, разработки и изготовления систем и их компонент (здания, сооружения, помещения, компьютеры, средства связи, операционные системы, прикладные программы и др.) с ошибками в работе аппаратуры из-за некачественного ее изготовления;
- в) с ошибками процесса подготовки и обработки информации (ошибки программистов и пользователей из-за недостаточной квалификации и некачественного обслуживания, ошибки операторов при подготовке, вводе и выводе данных, корректировке и обработке информации);
- г) угрозы, обусловленные умышленными, преднамеренными действиями людей. Это угрозы, связанные с передачей, искажением и уничтожением данных по корыстным и другим антиобщественным мотивам (документация, чертежи, описания открытий и изобретений и другие материалы);
- д) подслушиванием и передачей служебных и других научно-технических и коммерческих разговоров; с целенаправленной «утечкой умов». Это угрозы, связанные с несанкционированным доступом к ресурсам автоматизированной информационной системы.
Утечка конфиденциальной информации - это бесконтрольный выход конфиденциальной информации за пределы ИС или круга лиц, которым она была доверена по службе или стала известна в процессе работы. Эта утечка может быть следствием:
- - разглашения конфиденциальной информации;
- - ухода информации по различным, главным образом техническим, каналам;
- - несанкционированного доступа к конфиденциальной информации различными способами .
Возможен бесконтрольный уход конфиденциальной информации по визуально-оптическим, акустическим, электромагнитным и другим каналам.
Виды угроз конфиденциальных документов в документопотоках организации можно разделить на несколько групп :
- 1. Несанкционированный доступ постороннего лица к документам, делам, базам данных за счет его любопытства или обманных, провоцирующих действий, а так же случайных или умышленных ошибок персонала фирмы;
- 2. Утрата документа или его отдельных частей (листов, приложений, схем, копий, экземпляров, фотографий и др.), носителя чернового варианта документа или рабочих записей за счет кражи, утери, уничтожения;
- 3. Утрата информацией конфиденциальности за счет ее разглашения персоналом или утечки по техническим каналам, считывания данных в чужих массивах, использования остаточной информации на копировальной ленте, бумаге, дисках и дискетах, ошибочных действий персонала;
- 4. Подмена документов, носителей и их отдельных частей с целью фальсификации, а также сокрытия факта утери, хищения;
- 5. Случайное или умышленное уничтожение ценных документов и баз данных, несанкционированная модификация и искажение текста, реквизитов, фальсификация документов;
- 6. Гибель документов в условиях экстремальных ситуаций.
Для электронных документов угрозы особенно реальны, так как факт кражи информации практически трудно обнаружить. В отношении конфиденциальной информации, обрабатываемой и хранящейся в компьютерах, условия возникновения угроз, по мнению ряда специалистов, классифицируется по степени риска следующим образом:
- * Непреднамеренные ошибки пользователей, операторов, референтов, управляющих делами, системных администраторов и других лиц, обслуживающих информационные системы;
- * Кражи и подлоги информации;
- * Стихийные ситуации внешней среды;
- * Заражение вирусами.
В соответствии с характером указанных выше угроз формируется задачи обеспечения защиты информации в документопотоках, направленные на предотвращение или ослабление этих угроз.
Главным направлением защиты документированной информации от возможных опасностей является формирование защищенного документооборота и использование в обработке и хранении документов специализированной технологической системы, обеспечивающей безопасность информации на любом типе носителя .
Таким образом, безопасность - это не только защита от преступных посягательств, но и обеспечение сохранности (особенно электронных) документов и информации, а также меры по защите важнейших документов, и обеспечению непрерывности и/или восстановлению деятельности в случае катастроф.
Организационные мероприятия играют существенную роль в создании надежного механизма защиты информации, так как возможности несанкционированного использования конфиденциальных сведений в значительной мере обусловливаются не техническими аспектами, а злоумышленными действиями, нерадивостью, небрежностью и халатностью пользователей или персонала защиты. Влияния этих аспектов практически невозможно избежать с помощью технических средств. Для этого необходима совокупность организационно-правовых и организационно- технических мероприятий, которые исключали бы (или, по крайней мере, сводили бы к минимуму) возможность возникновения опасности конфиденциальной информации. Организация работы по проведению систематического контроля за работой персонала с конфиденциальной информацией, порядком учета, хранения и уничтожения документов и технических носителей. Должна быть разработана инструкция, регламентирующая порядок доступа сотрудников к конфиденциальной информации, порядок создания, учета, хранения и уничтожения конфиденциальной документов организации.
Одной из главных особенностей проблемы защиты информации является требование полноты определения угроз информации, потенциально возможных в современных информационных системах. Даже один неучтенный (невыявленный, не принятый во внимание) дестабилизирующий фактор может в значительной степени снизить (и даже свести на нет) эффективность защиты.
- это потенциально существующая возможность случайного или преднамеренного действия или бездействия, в результате которого может быть нарушена безопасность информации (данных).
Угроза безопасности информации - совокупность условий и факторов, создающих потенциальную или реально существующую опасность, связанную с утечкой информации, и/или несанкционированными и/или непреднамеренными воздействиями на нее.
Угроза - это человек, вещь, событие или идея, которая представляет некоторую опасность для ценностей, нуждающихся в защите.
Угроза - это потенциальная возможность определенным образом нарушить информационную безопасность.
Попытка реализации угрозы называется атакой, а тот, кто предпринимает такую попытку, - злоумышленником. Потенциальные злоумышленники называются источниками угрозы.
Чаще всего угроза является следствием наличия уязвимых мест в системе защиты информации. Промежуток времени от момента, когда появляется возможность использовать уязвимое место, и до момента, когда в систему защиты вносятся изменения, ликвидирующие данную уязвимость, называется окном опасности, ассоциированным (связанным) с данным уязвимым местом.
Причины уязвимости системы:
- Особенностями технических средств, используемых в системе электронной обработки данных.
Например, если информация записывается на дискету, то ее целостность может быть легко нарушена вследствие механических повреждений, воздействия температуры и влажности, электромагнитных полей и других факторов.
- Особенностями используемого программного обеспечения .
Например, пароли для доступа в Интернет могут сохраняться в некотором файле на диске. Следовательно, существует угроза, что злоумышленник найдет этот файл и воспользуется чужим паролем для доступа в Интернет.
- Особенностями поведения персонала, работающего с системой электронной обработки данных.
Например, некоторые пользователи записывают свои пароли для доступа к различным ресурсам на отдельных листочках и хранят эти записи прямо на рабочем месте. Естественно, существует угроза, что злоумышленник может найти такой листочек и воспользоваться чужим паролем.
Многие уязвимые места не могут быть ликвидированы и являются постоянной причиной существования угрозы. Что же касается особенностей программного обеспечения, то, как правило, уязвимые места выявляются в процессе эксплуатации и устраняются путем выпуска новых версий и «пакетов обновлений» программ. Именно для таких уязвимых мест чаще всего используется понятие «окно опасности». Оно «открывается» с появлением средств использования данного пробела в защите и ликвидируется при ликвидации данного уязвимого места.
Для большинства уязвимых мест окно опасности существует сравнительно долго, поскольку за это время должны произойти следующие события:
Должно стать известно о средствах использования данного пробела в защите
Должны быть найдены способы ликвидации данного пробела
Должны быть реализованы способы ликвидации данного пробела, то есть внесены соответствующие изменения в программу
Эти изменения должны быть осуществлены у всех пользователей, использующих данную программу
Угрозы безопасности информации в современных информационных системах обусловлены:
Случайными и преднамеренными разрушающими и искажающими воздействиями внешней среды;
Степенью надежности функционирования средств обработки информации;
Преднамеренными корыстными воздействиями несанкционированных пользователей, целью которых является хищение, разглашение, уничтожение, разрушение, несанкционированная модификация и использование обрабатываемой информации;
Непреднамеренными, случайными действиями обслуживающего персонала и др.
Классификация информационных угроз
Угрозы информации можно классифицировать по нескольким критериям :
Классификация по аспекту информационной безопасности, против которого в первую очередь направлена угроза.
Угрозы целостности связаны со следующими возможностями:
Физическое уничтожение или порча носителей информации.
Например, злоумышленник может сломать дискету, на которую Вы записали свой реферат.
Уничтожение определенной информации.
Например, злоумышленник может удалить Ваш файл с отчетом по лабораторной работе
Изменение информации, вследствие которого информация перестает отражать реальное положение дел либо становится противоречивой.
Например, злоумышленник может увеличить данные о сумме денег на своем счете.
Угрозы доступности связаны со следующими возможностями:
Прекращение функционирования системы электронной обработки данных вследствие разрушения обеспечивающей инфраструктуры.
Например, система может прекратить функционирование вследствие отключения электричества, прорыва водопровода, поломки системы кондиционирования и повышения вследствие этого температуры до недопустимых значений.
Прекращение функционирования системы вследствие поломки оборудования (компьютеров, коммуникационного оборудования и т.д.)
Например, если в железнодорожной кассе сломается компьютер, подключений к системе автоматизированной продажи билетов, то пассажиры не смогут купить билеты (получить информационную услугу по оформлению билетов) в данной кассе.
Неправильное функционирование системы в результате ошибок в программном обеспечении либо несоответствия между реальной работой и документацией на систему.
Например, если пользователь осуществляет поиск в какой-то информационной системе, то в справочной информации может быть написано, что для поиска слова достаточно только ввести его начало, и будет найдены все слова, начинающиеся с заданной комбинации символов. Пользователь вводит символы «информ» в надежде, что будут найдены все слова «информатика», «информация», «информационные технологии» и так далее. Однако оказывается, что на самом деле программа работает не совсем так, как написано в справочной информации, и ищет именно то слово, которое задано. А чтобы найти слова, начинающие с заданной комбинации символов, надо в конце поставить «*». Т.е. для поиска слов «информация» и подобных надо было ввести символы «информ *». Но ведь пользователь не мог знать об этом, и в результате он не получает желаемой информационной услуги, а информация, хранящиеся в системе, оказывается для него недоступной.
Ошибки персонала системы, которые могут быть вызваны как отсутствием необходимых навыков работы с конкретной системой, так и общим недостатком образования или квалификации.
Например, соискатель обращается в службу занятости с просьбой найти работу уборщицы с 17 до 19 часов. Сотрудница службы занятости не знает, что имеющиеся информационная система позволяет осуществлять поиск по параметрам рабочего времени (потому что для такого поиска надо перейти на дополнительную вкладку и нажать специальную кнопку, а сотруднице об этой никто не рассказывал), и предлагает клиенту просмотреть все имеющиеся вакансии уборщиц. В результате клиент не получает информационную услугу должного качества. В другом случае соискатель обращается к сотруднице службы занятости с просьбой найти вакансии программиста, и получает ответ, что таких вакансий не имеется. Однако на самом деле такие вакансии есть, просто сотрудница из-за своей безграмотности ввела в окне поиска вакансию «програмист». В результате клиент получил ложную информацию.
Целенаправленные атаки с целью вызвать отказ в обслуживании (DOS - атаки ). При таких атаках в систему электронной обработки данных одновременно направляется множество запросов на обслуживание, в результате чего система оказывается перегруженной и не может нормально функционировать. Такие атаки характерны для служб Интернета, когда злоумышленники пытаются нарушить функционирование отдельных серверов или сети в целом.
Целью таких атак может являться:
Причинение ущерба какой-либо фирме путем временного нарушения ее функционирования. Например, если будет нарушено функционирование сервера туристической фирмы, то люди не смогут узнать в это время об услугах этой фирмы и заказать путевки, и фирма потеряет клиентов
Нарушение нормального функционирования системы защиты с целью попытки получить доступ к конфиденциальной информации
Попытка проанализировать систему защиты и найти в ней уязвимые места в процессе мер по восстановлению работоспособности системы и отражения атаки.
Угрозы конфиденциальности связаны со следующими возможностями:
Потеря технических средств идентификации (ключей, чипов)
Прочтение информации с экрана монитора либо в процессе набора на клавиатуре посторонним человеком
Небрежность пользователей, записывающих пароли и оставляющих эти записи в доступных местах
Небрежное хранение копий и черновиков конфиденциальных документов, а также использованных при их печати копировальной и обычной бумаги
Оставление без присмотра рабочих мест, с которых осуществлен доступ к конфиденциальной информации
Использование «неправильных», то есть легко подбираемых паролей
Использование специальных технических и программных средств для взлома системной защиты
Поскольку все аспекты информационной безопасности тесно связанны между собой, то и конкретная угроза оказывается направленной сразу против нескольких аспектов безопасности.
Например, при отключении электричества не только нарушается доступность информации в течение того времени, пока система не работает, но и может произойти разрушение или нарушение целостности информации вследствие прекращения работы системы в момент выполнения какой-либо критической операции.
Классификация по компонентам системы, на которую нацелена угроза (атака)
- угроза данным может быть связана с возможностью хищения или порчей носителей данных, несанкционированного удаления или изменения данных, а также с возможностью того, что данные станут доступны лицам, которым они не должны быть доступны
- угроза программам может быть связана с внедрением вредоносного программного обеспечения, в первую очередь компьютерных вирусов
- угроза техническим средствам может быть связаны с возможностью выхода из строя техники в связи со случайными или преднамеренными воздействиями естественного или искусственного характера
- угроза персоналу может быть связанна с возможностью создания условий, вынуждающих отдельных сотрудников выполнять действия, связанные с нарушением защиты информации (шантаж, подкуп и так далее)
В современном мире информация становится стратегическим ресурсом, одним из основных богатств экономически развитого государства. Быстрое совершенствование информатизации в России, проникновение ее во все сферы жизненно важных интересов личности, общества и государства вызвали помимо несомненных преимуществ и появление ряда существенных проблем.
Одной из них стала необходимость защиты информации .
Учитывая, что в настоящее время экономический потенциал все в большей степени определяется уровнем развития информационной структуры, пропорционально растет потенциальная уязвимость экономики от информационных воздействий.
По мере развития технологий электронных платежей, "безбумажного" документооборота и других, серьезный сбой локальных сетей может просто парализовать работу целых корпораций и банков, что приводит к ощутимым материальным потерям. Не случайно, что защита данных в компьютерных сетях становится одной из самых острых проблем на сегодняшний день.
Под угрозой безопасности информации понимаются события или действия, которые могут привести к искажению, несанкционированному использованию или даже к разрушению информационных ресурсов управляемой системы, а также программных и аппаратных средств.
Информационные угрозы могут быть обусловлены:
Естественными факторами (стихийные бедствия – пожар, наводнение, ураган, молния и другие причины);
Человеческими факторами.
Последние, в свою очередь, подразделяются на:
1) Угрозы, носящие случайный, неумышленный характер . Это угрозы, связанные с ошибками процесса подготовки, обработки и передачи информации (научно-техническая, коммерческая, валютно-финансовая документация); с нецеленаправленной «утечкой умов», знаний, информации (например, в связи с миграцией населения, выездом в другие страны, для воссоединения с семьей и т.п.). Это угрозы, связанные с ошибками процесса проектирования, разработки и изготовления систем и их компонент (здания, сооружения, помещения, компьютеры, средства связи, операционные системы, прикладные программы и др.), с ошибками в работе аппаратуры из-за некачественного ее изготовления; с ошибками процесса подготовки и обработки информации (ошибки программистов и пользователей из-за недостаточной квалификации и некачественного обслуживания, ошибки операторов при подготовке, вводе и выводе данных, корректировке и обработке информации).
2) Угрозы, обусловленные умышленными, преднамеренными действиями людей . Это угрозы, связанные с передачей, искажением и уничтожением научных открытий, изобретений секретов производства, новых технологий по корыстным и другим антиобщественным мотивам (документация, чертежи, описания открытий и изобретений и другие материалы); подслушиванием и передачей служебных и других научно-технических и коммерческих разговоров; с целенаправленной "утечкой умов", знаний информации (например, в связи с получением другого гражданства по корыстным мотивам). Это угрозы, связанные с несанкционированным доступом к ресурсам АИС (внесение технических изменений в средства ВТ и средства связи, подключение к средствам ВТ и каналам связи, хищение носителей информации: дисков, описаний, распечаток и др.).
Умышленные угрозы преследуют цель нанесения ущерба пользователям АИС и, в свою очередь, подразделяются на активные и пассивные.
Пассивные угрозы , как правило, направлены на несанкционированное использование информационных ресурсов, не оказывая при этом влияния на их функционирование. Пассивной угрозой является, например, попытка получения информации, циркулирующей в каналах связи, посредством их прослушивания.
Активные угрозы имеют целью нарушение нормального процесса функционирования системы посредством целенаправленного воздействия на аппаратные, программные и информационные ресурсы. К активным угрозам относятся, например, разрушение или радиоэлектронное подавление линий связи, вывод из строя ПК или ее операционной системы, искажение сведений в базах данных либо в системной информации и т.д. Источниками активных угроз могут быть непосредственные действия злоумышленников, программные вирусы и т.п.
Умышленные угрозы подразделяются на внутренние, возникающие внутри управляемой организации, и внешние.
Внутренние угрозы чаще всего определяются социальной напряженностью и тяжелым моральным климатом в коллективе фирмы.
Внешние угрозы могут определяться злонамеренными действиями конкурентов, экономическими условиями и другими причинами (например, стихийными бедствиями). По данным зарубежных источников, получил широкое распространение промышленный шпионаж – это наносящие ущерб владельцу коммерческой тайны, незаконный сбор, присвоение и передача сведений, составляющих коммерческую тайну, лицом, не уполномоченным на это ее владельцем.
К основным угрозам безопасности относят:
· раскрытие конфиденциальной информации;
· компрометация информации;
· несанкционированное использование информационных ресурсов;
· ошибочное использование ресурсов; несанкционированный обмен информацией;
· отказ от информации;
· отказ от обслуживания.
Реализация этих угроз является следствием одного из следующих действий и событий (рисунок 1):
Разглашения конфиденциальной информации,
Утечки конфиденциальной информации и
Несанкционированный доступ к защищаемой информации.
Рисунок 1. Действия и события, нарушающие информационную безопасность
Способы воздействия угроз на информационные объекты подразделяются на:
– информационные;
– программно-математические;
– физические;
– радиоэлектронные;
– организационно-правовые.
К информационным способам относятся:
– нарушение адресности и своевременности информационного обмена, противозаконный сбор и использование информации;
– несанкционированный доступ к информационным ресурсам;
– манипулирование информацией (дезинформация, сокрытие или сжатие информации);
– нарушение технологии обработки информации.
Программно-математические способы включают:
– внедрение компьютерных вирусов;
– установка программных и аппаратных закладных устройств;
– уничтожение или модификацию данных в АИС.
Физические способы включают:
– уничтожение или разрушение средств обработки информации и связи;
– уничтожение, разрушение или хищение машинных или других носителей информации;
– хищение программных или аппаратных ключей и средств криптографической защиты информации;
– воздействие на персонал;
Радиоэлектронными способами являются:
– перехват информации в технических каналах ее возможной утечки;
– внедрение электронных устройств перехвата информации в технические средства и помещения;
– перехват, дешифровка и навязывание ложной информации в сетях передачи данных и линиях связи;
– воздействие на парольно-ключевые системы;
– радиоэлектронное подавление линий связи и систем управления.
Организационно-правовые способы включают:
– невыполнение требований законодательства о задержке в принятии необходимых нормативно-правовых положений в информационной сфере;
– неправомерное ограничение доступа к документам, содержащим важную для граждан и организаций информацию.
Суть подобных угроз сводится, как правило, к нанесению того или иного ущерба предприятию.
Проявления возможного ущерба могут быть самыми различными:
· моральный и материальный ущерб деловой репутации организации;
· моральный, физический или материальный ущерб, связанный с разглашением персональных данных отдельных лиц;
· материальный (финансовый) ущерб от разглашения защищаемой (конфиденциальной) информации;
· материальный (финансовый) ущерб от необходимости восстановления нарушенных защищаемых информационных ресурсов;
· материальный ущерб (потери) от невозможности выполнения взятых на себя обязательств перед третьей стороной;
· моральный и материальный ущерб от дезорганизации в работе всего предприятия.
Рассмотренный выше широкий спектр угроз и последствий их воздействия показывает сложность решения задачи обеспечения информационной безопасности, обуславливает необходимость научного подхода к построению системы информационной безопасности АИС экономического объекта.
Развитие новых информационных технологий и всеобщая компьютеризация привели к тому, что информационная безопасность не только становится обязательной, она еще и одна из характеристик ИС. Существует довольно обширный класс систем обработки информации, при разработке которых фактор безопасности играет первостепенную роль (например, банковские информационные системы).
Под безопасностью ИС понимается защищенность системы от случайного или преднамеренного вмешательства в нормальный процесс ее функционирования, от попыток хищения (несанкционированного получения) информации, модификации или физического разрушения ее компонентов. Иначе говоря, это способность противодействовать различным возмущающим воздействиям на ИС.
Под угрозой безопасности информации понимаются события или действия, которые могут привести к искажению, несанкционированному использованию или даже к разрушению информационных ресурсов управляемой системы, а также программных и аппаратных средств.
Угрозы информационной безопасности делятся на два основных типа - это естественные и искусственные угрозы . Остановимся на естественных угрозах и попытаемся выделить основные из них. К естественным угрозам относятся пожары, наводнения, ураганы, удары молний и другие стихийные бедствия и явления, которые не зависят от человека. Наиболее частыми среди этих угроз являются пожары. Для обеспечения безопасности информации, необходимым условием является оборудование помещений, в которых находятся элементы системы (носители цифровых данных, серверы, архивы и пр.), противопожарными датчиками, назначение ответственных за противопожарную безопасность и наличие средств пожаротушения. Соблюдение всех этих правил позволит свести к минимуму угрозу потери информации от пожара.
Если помещения с носителями ценной информации располагаются в непосредственной близости от водоемов, то они подвержены угрозе потери информации вследствие наводнения. Единственное что можно предпринять в данной ситуации - это исключить хранение носителей информации на первых этажах здания, которые подвержены затоплению.
Еще одной естественной угрозой являются молнии. Очень часто при ударах молнии выходят из строя сетевые карты, электрические подстанции и другие устройства. Особенно ощутимые потери, при выходе сетевого оборудования из строя, несут крупные организации и предприятия, такие как банки. Во избежание подобных проблем необходимо соединительные сетевые кабели были экранированы (экранированный сетевой кабель устойчив к электромагнитным помехам), а экран кабеля следует заземлить. Для предотвращения попадания молнии в электрические подстанции, следует устанавливать заземленный громоотвод, а компьютеры и серверы комплектовать источниками бесперебойного питания.
Следующим видом угроз являются искусственные угрозы , которые в свою очередь, делятся на непреднамеренные и преднамеренные угрозы. Непреднамеренные угрозы - это действия, которые совершают люди по неосторожности, незнанию, невнимательности или из любопытства. К такому типу угроз относят установку программных продуктов, которые не входят в список необходимых для работы, и в последствии могут стать причиной нестабильной работы системы и потеря информации. Сюда же можно отнести и другие «эксперименты», которые не являлись злым умыслом, а люди, совершавшие их, не осознавали последствий. К сожалению, этот вид угроз очень трудно поддается контролю, мало того, чтобы персонал был квалифицирован, необходимо чтобы каждый человек осознавал риск, который возникает при его несанкционированных действиях.
Преднамеренные угрозы - угрозы, связанные со злым умыслом преднамеренного физического разрушения, впоследствии выхода из строя системы. К преднамеренным угрозам относятся внутренние и внешние атаки. Вопреки распространенному мнению, крупные компании несут многомиллионные потери зачастую не от хакерских атак, а по вине своих же собственных сотрудников. Современная история знает массу примеров преднамеренных внутренних угроз информации - это проделки конкурирующих организаций, которые внедряют или вербуют агентов для последующей дезорганизации конкурента, месть сотрудников, которые недовольны заработной платой или статусом в фирме и прочее. Для того чтобы риск таких случаев был минимален, необходимо, чтобы каждый сотрудник организации соответствовал, так называемому, «статусу благонадежности».
К внешним преднамеренным угрозам можно отнести угрозы хакерских атак. Если информационная система связана с глобальной сетью интернет, то для предотвращения хакерских атак необходимо использовать межсетевой экран (так называемый firewall), который может быть, как встроен в оборудование, так и реализован программно.
Человека, пытающегося нарушить работу информационной системы или получить несанкционированный доступ к информации, обычно называют взломщиком, а иногда «компьютерным пиратом» (хакером).
В своих противоправных действиях, направленных на овладение чужими секретами, взломщики стремятся найти такие источники конфиденциальной информации, которые бы давали им наиболее достоверную информацию в максимальных объемах с минимальными затратами на ее получение. С помощью различного рода уловок и множества приемов и средств подбираются пути и подходы к таким источникам. В данном случае под источником информации подразумевается материальный объект, обладающий определенными сведениями, представляющими конкретный интерес для злоумышленников или конкурентов.
К основным угрозам безопасности информации и нормального функционирования ИС относятся:
Утечка конфиденциальной информации;
Компрометация информации;
Несанкционированное использование информационных ресурсов;
Ошибочное использование информационных ресурсов;
Несанкционированный обмен информацией между абонентами;
Отказ от информации;
Нарушение информационного обслуживания;
Незаконное использование привилегий.
Утечка конфиденциальной информации - это бесконтрольный выход конфиденциальной информации за пределы ИС или круга лиц, которым она была доверена по службе или стала известна в процессе работы. Эта утечка может быть следствием:
Разглашения конфиденциальной информации;
Ухода информации по различным, главным образом техническим, каналам;
Несанкционированного доступа к конфиденциальной информации различными способами.
Разглашение информации ее владельцем или обладателем есть умышленные или неосторожные действия должностных лиц и пользователей, которым соответствующие сведения в установленном порядке были доверены по службе или по работе, приведшие к ознакомлению с ним лиц, не допущенных к этим сведениям.
Возможен бесконтрольный уход конфиденциальной информации по визуально-оптическим, акустическим, электромагнитным и другим каналам.
Несанкционированный доступ - это противоправное преднамеренное овладение конфиденциальной информацией лицом, не имеющим права доступа к охраняемым сведениям.
Наиболее распространенными путями несанкционированного доступа к информации являются:
Перехват электронных излучений;
Применение подслушивающих устройств (закладок);
Дистанционное фотографирование;
Перехват акустических излучений и восстановление текста принтера;
Копирование носителей информации с преодолением мер защиты
Маскировка под зарегистрированного пользователя;
Маскировка под запросы системы;
Использование программных ловушек;
Использование недостатков языков программирования и операционных систем;
Незаконное подключение к аппаратуре и линиям связи специально разработанных аппаратных средств, обеспечивающих доступ информации;
Злоумышленный вывод из строя механизмов защиты;
Расшифровка специальными программами зашифрованной: информации;
Информационные инфекции.
Перечисленные пути несанкционированного доступа требуют достаточно больших технических знаний и соответствующих аппаратных или программных разработок со стороны взломщика. Например, используются технические каналы утечки - это физические пути от источника конфиденциальной информации к злоумышленнику, посредством которых возможно получение охраняемых сведений. Причиной возникновения каналов утечки являются конструктивные и технологические несовершенства схемных решений либо эксплуатационный износ элементов. Все это позволяет взломщикам создавать действующие на определенных физических принципах преобразователи, образующие присущий этим принципам канал передачи информации - канал утечки.
Однако есть и достаточно примитивные пути несанкционированного доступа:
Хищение носителей информации и документальных отходов;
Инициативное сотрудничество;
Склонение к сотрудничеству со стороны взломщика;
Выпытывание;
Подслушивание;
Наблюдение и другие пути.
Любые способы утечки конфиденциальной информации могут привести к значительному материальному и моральному ущербу как для организации, где функционирует ИС, так и для ее пользователей.
Существует и постоянно разрабатывается огромное множество вредоносных программ, цель которых - порча информации в БД и ПО компьютеров. Большое число разновидностей этих программ не позволяет разработать постоянных и надежных средств защиты против них.