Нарушение информационной безопасности вычислительной системы. Модель нарушителя информационной безопасности. · выход в Интернет для пользователей

Нарушения ИБ. Интернет и безопасность корпоративного информационного пространства

Результаты опроса

М.С.Савельев
Заместитель директора по маркетингу
Компании "Информзащита"

Эффективная стратегия защиты корпоративной информационной среды (ИС) требует не только стремления к обеспечению всесторонней безопасности сети компании, но и анализа настоящего положения дел в этой области и оценки предпринимаемых действий для анализа существующих рисков и предупреждения нарушений. Результаты исследования, проведенного журналом "Information Security/Информационная безопасность", могут оказаться полезными для изучения проблем информационной безопасности (ИБ) компании.

Результаты данного опроса красноречиво свидетельствуют о том, что основная угроза безопасности корпоративного информационного пространства исходит именно изнутри компании.

"Гигиена" информационной системы компании

Практически никто из опрошенных не сталкивался со значительными нарушениями ИБ компании со стороны внешних злоумышленников (рис. 1). Половина респондентов утверждает, что на их памяти не случалось попыток проникновения в корпоративную ИС извне. Правда, для абсолютно точного заключения было бы интересно учитывать и еще один факт: имеют ли компании, участвующие в опросе, средства для обнаружения и предотвращения внешних атак, но такой вопрос не был задан.

В повседневной практике довольно часто приходится сталкиваться с тем, что, невзирая на наличие в своем арсенале средств защиты, отделы ИБ компаний и организаций не в состоянии успешно их эксплуатировать. Косвенным подтверждением тому служит картина ответов на вопрос "Насколько развито управление системой обеспечения ИБ?" (рис. 2): неэффективно используется даже такое "гигиеническое" средство защиты, как антивирус. В компаниях почти пятой части респондентов не осуществляется настройка опций автоматического обновления антивирусных баз – этот вопрос отдается на откуп пользователям. Отсюда совершенно очевидно следующее: руководство и IT-специалисты компаний-респондентов могут просто не подозревать о том, какие события происходят в их системах. К слову, современные угрозы, такие, как, например, бот-вирусы, можно обнаружить лишь по едва уловимым признакам, а точнее – только путем анализа тщательно настроенных средств защиты.

Самый опасный нарушитель – пользователь

Вопреки весьма расхожим в 2006 г. утверждениям об огромной опасности, исходящей от инсайдерских угроз, опрос журнала показал, что большая часть инцидентов в реальном опыте специалистов по ИБ – это неумышленные, непреднамеренные действия пользователей (рис. 3). Фактически пользователи нарушают установленные в организации правила использования корпоративной ИС, незлонамеренно совершив то или иное действие (рис. 4). Причем характерно, что правила поведения в области ИБ для сотрудников компаний предусмотрительно описаны (рис. 2) и в политике по информационной безопасности, и в обязанностях сотрудников, и в прочих документах. Несмотря на засвидетельствованное участниками анкетирования наличие в их компаниях специальных инструкций и документов по ИБ, имеет место множество нарушений безопасности из-за неосведомленности пользователей.

Не происходит ли это потому, что требования документов по ИБ до сотрудников не доводятся? Вответе на вопрос " Как сотрудники Вашей компаний узнают о своих обязанностях в области соблюдения ИБ?" (рис. 5), 15% респондентов заявили, что подобные требования существуют лишь на бумаге, и сотрудников организаций о них никак не информируют. Регулярные тренинги в области защиты информации проводятся лишь в пятой части опрошенных компаний. В подавляющем же большинстве случаев специалисты по ИБ несколько самонадеянно полагают, что сотрудники каким-то образом самостоятельно должны овладеть содержимым нормативных документов по безопасности. Смею утверждать, что даже ознакомление "под роспись" не дает никакого эффекта: мы все привыкли формально подписываться под инструкциями по технике безопасности, не вникая в их суть. Нередко и вовсе обходится без такового.

В погоне за тремя зайцами

Чем же для нас чреваты 10% выявленных нарушений? Судя по равномерному распределению ответов на вопрос "Охарактеризуйте важность корпоративной информации" (рис. 6), немногие из специалистов по ИБ действительно разбираются в сущности защищаемого бизнеса. Конечно, и сам вопрос задан несколько прямолинейно, но в практике довольно часто приходится сталкиваться с тем, что в погоне за тремя зайцами (целостностью, конфиденциальностью и доступностью) многие готовы ловить не то, что критично, а то, "кого легче поймать". Порой такие попытки начинают терять связь со здравым смыслом: в какой-то момент все силы службы безопасности затрачиваются на ограничение возможности использовать USB-носители, и при этом никак не контролируются электронная почта, факсы, принтеры и другие средства, позволяющие отправить информацию за пределы организации. Проблемы восстановления информации и работоспособности системы в случае сбоя вообще остаются без внимания. А между прочим это одна из главных угроз, если доверять результатам ответов на вопрос: "Укажите типы пользования информационными ресурсами компании сотрудниками с нарушением установленных режимов в прошлом году?" (рис. 4).

Не таким ли непониманием объясняется выявленное опросом противоречие: несмотря на огромное значение, которое руководство компаний придает вопросам безопасности (рис. 7), увеличить финансирование на обеспечение ИБ и совершенствовать системы защиты TOP-менеджеры не спешат (рис. 8).

Специалисты по безопасности "в собственном соку"

Из исследования совершенно очевидно, что многие специалисты по безопасности "варятся в собственном соку": отвечая на вопрос "К каким мерам по управлению и экспертизе ИБ обращалась Ваша компания за прошедший год?" (рис. 9), только 12,5% опрошенных заявили о том, что пользуются услугами и консультациями профессиональных консультантов по безопасности. Еще чуть более 6% обращаются к мировым стандартам и практикам. Остальные предпочитают сверять действительность лишь с собственным опытом и опытом своих коллег. Следует особо отметить тот факт, что значительная часть опрошенных уверена: количество инцидентов, связанных с ИБ, в будущем будет только расти, и выявлять их станет сложнее (рис. 10). Однако большинство респондентов надеются на некоторую панацею, на палочку-выручалочку в виде какого-то высокотехнологичного решения, которое спасет их от надвигающейся опасности. Отрадно констатировать, что основные надежды связываются именно с правильным выстраиванием и управлением процессами защиты. И это подтверждает наблюдаемый сегодня рост интереса к принимаемым международным стандартам по безопасности. Современные специалисты осознанно стремятся использовать рекомендации стандартов в повседневной деятельности.

Последствия нарушения информационной безопасности. Характеристика системы взлома сети. "Троянские кони" в пиратском программном обеспечении. Безопасность информационной системы предприятия: особенности процесса обеспечения и анализ причин нарушения.

Отправить свою хорошую работу в базу знаний просто. Используйте форму, расположенную ниже

Студенты, аспиранты, молодые ученые, использующие базу знаний в своей учебе и работе, будут вам очень благодарны.

Размещено на http://www.allbest.ru/

Курсовая работа

Анализ причины нарушения информационной безопасности на участке канала связи (система обеспечения обмена данными через среду) в современных государственных информационно-коммуникационных системах.

Содержание

• Введение
• Система взлома сети
• Причины нарушения
• Безответственность

Введение

Что такое информационная безопасность? Специалисты говорят, что информационная безопасность - это защищенность информации от случайных или преднамеренных негативных воздействий. В обязанности тех, кто несет ответственность за информационную безопасность, входит прогнозирование и предотвращение атак на информацию, а также сведение ущерба от них к минимуму.

На сегодняшний день компьютер играет существенную роль во всех сферах деятельности человека. С внедрением информационных технологий в нашу жизнь возрос и объем информации в электронном виде. Информацию стало проще хранить, но заботиться о ее безопасности стало труднее. Документ можно запереть в сейф, и даже если сейф взломан, на то, чтобы переписать текст, нужно значительное время. Информацию с электронного носителя можно украсть почти мгновенно. За несколько секунд злоумышленники могут скопировать или уничтожить результаты многолетней деятельности. Появление компьютерных сетей еще в большей степени облегчило задачу похитителям информации. Физический доступ к носителю информации перестал быть обязательным условием.

Каковы последствия нарушения информационной безопасности?

Кража, подмена или уничтожение информации ведут к серьезным экономическим потерям. Украденные сведения могут попасть в руки конкурентов, ценная информация может быть уничтожена или подменена, что повлечет материальные убытки и подрыв репутации фирмы.

Кроме экономического, компьютерные атаки наносят и моральный ущерб. В результате действий взломщиков личная переписка может стать достоянием общественности. Различные вредоносные программы нарушают работу компьютеров, создают дискомфорт их пользователям.

Каковы же самые распространенные причины нарушения информационной безопасности. Даже в век хакерского беспредела главным вредителем остается сам пользователь. Более половины случаев повреждения информации происходи по вине "чайника", который может по глупости или по неосторожности уничтожить информацию. На втором месте - повреждения в результате пожаров (примерно 15% случаев). Отказ техники становится причиной нарушения информационной безопасности также в пятнадцати процентах случаев. На долю повреждений от воды и от компьютерных атак приходятся незначительные по сравнению со всем вышеперечисленным десять процентов. Однако роль компьютерных взломщиков неуклонно растет, и с ними не могут не считаться службы безопасности.

Система взлома сети

Cети используются ежедневно в корпорациях и различных организациях. Повсюду происходит совместное использование данных и ресурсов. Несомненно, проблемы безопасности должны быть решены при планировании сетей, дабы избежать возможных последующих затрат. Обычно сети организованы по принципу "клиент-сервер". Пользователи используют рабочие станции для доступа к серверу, где содержится основная часть информации и который с точки зрения взлома представляет больший интерес. В какой бы компании ни была сеть - банк, министерство, аптека или что-либо еще - взлом приносит ущерб. И хотя часто взлом происходит изнутри, то есть его осуществляет человек, имеющий часть прав доступа, интересно посмотреть на взлом снаружи.

Статистика показывает, что обычно взломом сетей занимаются мужчины в возрасте от 16 до 25 лет. Причиной этого зачастую является желание проявить себя, увеличить свое мастерство в этой области или желание использовать в своих целях ресурсы сетей.

Кого интересно ломать? Провайдеров - чтобы иметь бесплатный Интернет; мелкие коммерческие компании - чтобы поиздеваться; банки - потому что очень круто, а зачастую физически невозможно (нет реального кабеля наружу, например); многих других. Часто взломщики используют программы-сканеры для определения машин, которые могут быть взломаны, а затем их ломают. Взломщики, заранее намечающие цель, должны быть гораздо более опытными. Такие действия будут продиктованы скорее не интересом, а конкретным заданием, возможно, связанным с большими деньгами. Обычно для этого вначале собирается огромный объем информации о машине (и не только через сеть), но все же вероятнее всего первое - ломают просто так и то, что легче.

Обычно в компаниях есть выход в Интернет:

· WWW-сервер;

· почта;

· выход в Интернет для пользователей.

Обычно почта и WWW держатся на отдельном сервере, а остальные компьютеры сети отделены от мира программой firewall, которая обычно ставится на шлюзе. Несомненно, хороший администратор старается предотвратить взлом как снаружи, так и изнутри. В дальнейшем будем считать, что взломщик хочет получить доступ к сети. Web-серверы обычно не взламываются, если, конечно, фильтрация пакетов является правильной. Почтовый сервер практичнее с точки зрения взлома, поскольку почта должна распространяться дальше и почтовая программа тем самым имеет некоторый доступ к сети. Кроме почты, есть еще несколько программ, которые могут интересовать взломщика:

ftp (21), ssh (22), telnet (23), smtp (25), named (53),

pop3 (110), imap (143), rsh (514), rlogin (513), lpd (515).

Пакеты для SMTP, named и portmapper могут быть легко отфильтрованы, уменьшая риск взлома. Иногда, правда, задача взлома облегчается тем, что фильтрация пакетов организована неправильно. Это может возникнуть при сегментации, неправильной таблице роутинга пакетов по портам, организации нескольких имен у одной машины, модемном доступе. Лишние проблемы может создать наличие DNS в сети. Гораздо безопаснее использовать численные адреса внутри компании. Другим "узким" местом является программа finger. С ее помощью довольно легко узнать тип операционной системы, например, просматривая пользователей root@host, bin@host или daemon@host.

Также следует иметь в виду, что адреса, указанные в файлах hosts. equiv. rhosts или. shosts, имеют больший приоритет при общении с машиной, поэтому возможно, что взлом с этих адресов будет проще. Этот факт обычно используется взломщиками. Чтобы обезопасить сеть, желательно быть уверенным, что доверительные адреса имеют такую же защиту.

Другой опасностью является установка пиратского программного обеспечения пользователями на своих машинах. Такие программы могут содержать внутри себя "троянских коней" разного вида, замаскированных под заставку, дополнение к чему-либо или что-то еще. Обычно это происходит на машинах с Windows, где установить программы может каждый. "Троянские кони" выполняют простые задачи, уничтожая затем сами себя. Они могут послать адреса, содержимое системных файлов сервера, доступ к которым необходим для входа в сеть, например passwd.

Понятно, что взломщики должны обезопасить сами себя. Для этого, во-первых, нужно скрыть свои IP-адреса. Есть несколько простых путей это сделать:

· использовать промежуточный адрес посредством telnet или rsh;

· использовать Windows и Wingate;

· использовать неправильно сконфигурированный proxy-сервер.

Прежде чем ломать, взломщик будет собирать информацию о сети. Он будет пытаться узнать адреса машин в сети, имена пользователей, тип операционной системы. Часть этого можно узнать вполне законно, рассматривая файлы на Web-сервере, ftp-сервере, запуская программу finger или просто пытаясь войти на сервер. После этого он составит представление о сети, о связи компьютеров, о наличии пригодных для взлома портов и о многом другом.

Далее будет предпринята попытка распознать машины, которые используются как наиболее доверительные. Возможно, что часть информации хранится отдельно, и доступ к ней осуществляется через nfsd или mountd. Например, так может храниться конфигурация /etc и исполняемые системные файлы /usr/bin.

После получения такого рода информации взломщик будет сканировать сеть на предмет наличия "дыр" в защите. Для этого существуют программы типа ADMhack, mscan, nmap под Linux. Для их работы необходим быстрый канал, желательно оптоволокно. Программа ADMhack требует прав root для запуска; другие могут запускаться и без этого. Взломщик может и не быть администратором машины, на которой запущен сканер, - он мог встроить его как "троянского коня" в любую другую программу.

Программы ADMhack и mscan делают примерно следующее:

· TCP-сканирование портов;

· получение информации о RPC сервисах, запущенных через portmapper;

· получение списка экспортированных каталогов через nfsd;

· получение информации о наличии samba или netbios;

· запуск finger для сбора информации о пользователях;

· проверка скриптов CGI;

· проверка на возможность взлома демонов Sendmail, IMAP, POP3, RPC status и RPC mountd.

Если собранная информация позволяет пойти в обход через доверительные адреса, то возможность обычно используется. Если же такого пути нет, то применяется почтовый сервер для более глубокого проникновения в сеть. Параллельно производятся попытки программно удаленно взломать Sendmail-, IMAP-, POP3 - и RPC-сервисы, такие как statd, mountd и pcnfsd. Иногда для этого используются уже взломанные машины, так как зачастую необходимо иметь программу, скомпилированную на той же платформе.

После того как хоть один из приемов прошел и получить доступ удалось, взломщик будет тщательно заметать следы, чистить записи в файлах и устанавливать программы, чтобы впоследствии его присутствие не было обнаружено.

Обычно при этом устанавливаются исправленные версии программ, изменяются даты и права доступа к файлам. Для загрузки новых программ может использоваться даже ftp. Возможно, что вместо аккуратного удаления информации о себе будут установлены новые версии программ ps и netstat, которые будут скрывать информацию о взломе. Некоторые взломщики могут поместить файл. rhosts в директорию /usr/bin, чтобы дать возможность удаленного входа пользователя bin посредством rsh или csh.

Чистка записей о себе необходима. Простым дублированием здесь себя не обезопасить. Красивым приемом является посылка регистрационных записей на принтер. Это делает фактически невозможным их редактирование. В любом случае взломщик пойдет дальше только после того, как чистка записей будет проделана. Будет ли он взламывать саму сеть или только основные серверы, - скорее всего, дело вкуса, но если все предыдущее прошло более-менее гладко, искоренение взломщика будет уже довольно трудоемким делом.

Если целью взлома было получение информации из сети, то можно признать, что она наполовину достигнута, так как, взломав что-то типа почтового сервера, получить доступ к сети гораздо легче. Скорее всего, дальнейшая защита будет не лучше, а ее взлом уже отрепетирован. Тем не менее, еще есть что делать - собирать пароли, качать информацию с защищенных машин и тому подобное. Эти приемы у взломщика тоже, несомненно, отработаны.

Наиболее эффективным способом сбора имен и паролей является установка программ "ethernet sniffer". Эта программа "висит" на сетевой карточке, "нюхая" все, что пробегает по сети, отбирая пакеты с именами и паролями. Наиболее эффективно использовать компьютеры из той же подсети, где хочется взломать машину. Ясно, что установить sniffer под Windows гораздо легче. Если же ее придется ставить на UNIX-машину, то скорее всего установлена эта программа будет в /usr/bin или /dev каталог с датой и временем, таким же как у других файлов.

Обычно вся работа программы записывается в файл на этой же самой машине, так что лишней посылки данных не происходит. Поскольку обычно заранее устанавливается измененная программа ps, то процесс не виден. Для работы наиболее эффективно, когда сетевой интерфейс находится в режиме "promiscuous". Ясно, что прослушиваются все данные, проходящие по сети, а не только адресованные данной машине.

После установки прослушивания взломщик возвращается к машине где-то через неделю, чтобы скачать файлы. Разумеется, что он старается как можно тщательнее скрыть присутствие программы, но обнаружить ее можно, например, просматривая файловые системы на предмет изменения файлов. Для таких целей может служить программа Tripwire. Другая программа - cpm - отслеживает изменения в сетевых интерфейсах.

Следующим и наиболее вредным этапом взлома является уничтожение серверов, управляющих работой сети. Это нужно как для заметания следов, так и для того, чтобы заставить сеть работать "под себя". Не всегда, но довольно часто это происходит посредством команды "rm - rf / &". Восстановление целиком зависит от наличия резервных копий. Другой способ - изменить роутинг пакетов.

Итак, все вышеописанное представляет схему взлома стандартной сети. Как же можно себя обезопасить? Для начала нужно правильно и корректно установить систему. Аккуратно настроить роутинг и убрать все лишнее. Если вы взялись администрировать сеть, взгляните на исправления к системе, о чем обычно говорится на сайте разработчика, особенно, если речь идет о защите. Дальше нужно проверить простые вещи: пользователи bin, system, daemon и т.д. не должны уметь входить в систему, что должно быть отражено в файле passwd. Все пользователи должны иметь пароли и регулярно их менять. Можно запретить держать файлы типа. rhosts, чтобы туда не попадало все подряд. Но это довольно банально. Менее банальный хотя уже весьма распространенный шаг - поставить Secure Shell. Вещь хорошая и надежная. Если кто не в курсе - поясню. Если вы делаете telnet, то пароль передается как есть, что выгодно для sniffer, а с Secure Shell, который должен быть на обеих соединяемых машинах, пароль идет в шифрованном виде. Просто, но приятно, особенно если учесть, что этот самый shell бесплатный. Также нужно смотреть log-файлы на предмет входа со странных адресов, попытки входа под чьим-либо именем много раз, и многое другое. Не помешает иногда сверять важные системные файлы с резервной копией, скажем, с установочного диска. Плюс к этому желательно контролировать работу всей сети. Нужно побольше знать об установленных программах, допускать поменьше свободы пользователей, в общем, следить за своим хозяйством. Очень полезная вещь - делать backup, скажем, раз в день. Наверняка уже эти простые советы могут помочь. Но можно пойти и дальше - например, проверять состояние файловой системы, печатать на принтер регистрационные файлы.

Причины нарушения

Процесс обеспечения информационной безопасности относится к оперативным процессам и входит в блок процессов поддержки ИТ сервисов. Нарушение безопасности информационной системы предприятия может привести к ряду негативных последствий, влияющих на качество предоставления ИТ сервисов:

· снижение уровня доступности услуг вследствие отсутствия доступа или низкой скорости доступа к данным, приложениям или службам;

· полная или частичная потеря данных;

· несанкционированная модификация данных;

· получение доступа посторонними пользователями к конфиденциальной информации.

Анализ причин нарушения информационной безопасности показывает, что основными являются следующие:

· ошибки конфигурирования программных и аппаратных средств ИС;

· случайные или умышленные действия конечных пользователей и сотрудников ИТ службы;

· сбои в работе программного и аппаратного обеспечения ИС;

· злоумышленные действия посторонних по отношению к информационной системе лиц.

Программные средства обеспечения информационной безопасности предприятий можно разделить на три большие группы: средства антивирусной защиты, брандмауэры и средства обнаружения атак. Обычно эти средства применяются в комплексе, поэтому нередко говорят не о конкретных продуктах, а о платформах безопасности, объединяющих в себе сразу несколько решений. Однако само по себе программное обеспечение может оказаться совершенно бесполезным при отсутствии надлежащей политики безопасности, определяющей правила использования ПК, сети и данных, а также процедуры предотвращения нарушения этих правил и схемы реакции на подобные нарушения, если таковые возникнут. Отметим также, что при выработке подобной политики требуется оценка рисков, связанных с той или иной деятельностью, а также рассмотрение экономической целесообразности выбора платформы безопасности.

При построении ИТ инфраструктуры клиентов, компания "ESC" отдельное внимание уделяет обеспечению информационной безопасности. Данные и сервисы клиентов защищаются согласно последним стандартам в данной области. Основные усилия наших специалистов направлены на гарантирование конфиденциальности, целостности и доступности данных. Настроенные политики аудита доступа позволяют иметь полный контроль над тем, кто и когда получает доступ к конфиденциальной информации. В качестве инструментов, позволяющих обеспечить наших клиентов необходимым уровнем защиты выступают общепринятые надёжные системы и механизмы.

Среди них:

· контроль привилегий пользователей и организация политик безопасности в Active Directory

· использование HTTPS и других шифрованных протоколов передачи данных

· защита доступа в корпоративную сеть посредством использования серверов VPN

· ограничение и контроль за доступом в сеть извне средствами программных и аппаратно - программных решений (предоставляются услуги по настройке аппаратных роутеров любого производителя, а также услуги по настройке программных средств, таких как Kerio WinRoute Firewall, Outpost, WinGate, IPFW, IPTables и др.)

· защита от вирусных атак с помощью установки и настройки коммерческого и свободно распространяемого антивирусного программного обеспечения как на клиентских ПК так и на серверах, с использованием специальных модулей (анти-спам, почтовые, для шлюзов и т.п.)

· ограничение и контроль доступа в интернет с помощью proxy-серверов

· использование средств защиты от сканирования портов и ARP-spoofing-а и ряда других сетевых угроз.

Дополнительно к мерам по защите информации, компания "ESC" обеспечивает своих клиентов надёжными механизмами сохранности данных. Организация резервного копирования данных, выработка процедур восстановления и правил хранения позволяет нашим клиентам не беспокоиться о том, что данные могут быть утеряны в результате физического или программного повреждения систем или оборудования отвечающих за их хранение.

Три основные причины нарушений

На сегодня выделено три основных причины нарушений информационной безопасности:

· неопытность

· безответственность (самоутверждение)

· корыстный интерес.

Неопытность

Данный мотив является наиболее безвредным, и, вместе с тем, широко распространенным среди новых пользователей систем.

Характерными чертами неопытности являются:

· непреднамеренные ошибки, совершаемые пользователями при вводе данных. Указанный тип нарушений легко блокируется введением в интерфейс программного комплекса, с которым работает пользователь, внутренних правил проверки заполняемых форм и системы уведомления пользователя о совершенных ошибках;

· непонимание пользователями правил работы в сети, и, как следствие, невыполнение этих требований. Борьба с указанным типом нарушителей заключается в проведении подробного инструктажа пользователя и разъяснения ему целей и политики компании.

· непонимание пользователями требований безопасности при работе с данными, и, как следствие, передача другим пользователям или посторонним лицам, своих паролей для входа в систему.

Маловероятно, чтобы разработчики системы защиты могли предусмотреть все такие ситуации. Более того, во многих случаях система в принципе не может предотвратить подобные нарушения (например, случайное уничтожение своего собственного набора данных).

Безответственность

При нарушениях, вызванных безответственностью, пользователь целенаправленно производит какие-либо разрушающие действия, не связанные, тем не менее, со злым умыслом. Некоторые пользователи считают получение доступа к системным наборам данных крупным успехом, затевая своего рода игру "пользователь - против системы" ради самоутверждения либо в собственных глазах, либо в глазах коллег. Хотя намерения могут быть и безвредными, эксплуатация ресурсов автоматизированной системы считается нарушением политики безопасности. Пользователи с более серьезными намерениями могут найти конфиденциальные данные, попытаться испортить или уничтожить их при этом. Большинство систем имеет ряд средств противодействия подобным "шалостям". В случае необходимости администратор защиты использует их временно или постоянно. Такой вид нарушения называется зондированием системы .

Корыстный интерес

Это наиболее опасный вид нарушений. Борьба с указанным видом нарушителей заключается в проведении методических проверок сотрудников объекта различными службами безопасности.

Жизнь свидетельствует о том, что полностью защитить объект от проникновения практически невозможно.

Практика показывает, что ущерб от каждого вида нарушений обратно пропорционален его частоте: нарушения, вызванные неопытностью, встречаются чаще всего, но ущерб от них, как правило, незначителен и легко восполняется. Например, случайно уничтоженный набор данных можно восстановить, если сразу заметить ошибку. Если информация важна, то необходимо хранить регулярно обновляемую резервную копию, тогда ущерб практически незаметен.

Ущерб от зондирования системы может быть гораздо больше, но и вероятность его во много раз ниже. Для таких действий необходима достаточно высокая квалификация, отличное знание системы защиты и определенные психологические особенности. Наиболее характерным результатом зондирования системы является блокировка: пользователь, в конце концов, вводит систему в состояние неразрешимого противоречия. После этого операторы и системные программисты должны тратить много времени для восстановления работоспособности системы.

Наиболее редкий, но и наиболее опасный вид нарушений - проникновение. Отличительной чертой проникновений является определенная цель: доступ (чтение, модификация, уничтожение) к определенной информации, влияние на работоспособность системы, слежение за действиями других пользователей и др. Для выполнения подобных действий нарушитель должен обладать теми же качествами, что и для зондирования системы, но в превосходной степени, а также иметь точно сформулированную цель. В силу этих обстоятельств ущерб от проникновений может оказаться в принципе невосполнимым. Например, для банков это может быть полная или частичная модификация счетов с уничтожением журнала транзакций.

Таким образом, при организации системы защиты информации необходима некая дифференциация мер защиты: для защиты от нарушений, вызванных халатностью нужна минимальная защита, для защиты от зондирования системы - более жесткая, и самая жесткая (вместе с постоянным контролем) - от проникновений. Целью такой дифференциации должно быть рациональное распределение средств защиты информации и вычислительных ресурсов системы.

В отношении к возможным нарушениям следует придерживаться принципа разумной достаточности, а иногда и "золотой середины”. Так, например, существует вероятность ядерного инцидента, но очень мало людей стремятся обезопасить себя, строя бомбоубежища, запасаясь продуктами и водой, так как эта вероятность слишком мала. В то же время, каждый человек стремится обезопасить свою квартиру, машину, сбережения ¬вероятность реализации угрозы значительна, да и ущерб может быть ощутимым.

Причины, побудившие пользователя совершить нарушение или даже преступление, могут быть различными. Около 50% нарушений составляют неумышленные ошибки, вызванные небрежностью, недостаточной компетентностью. Но гораздо более серьезным может быть ущерб, нанесенный в результате умышленного воздействия из-за обиды, неудовлетворенности своим служебным или материальным положением или по указанию других лиц. Причем ущерб этот будет тем больше, чем выше положение пользователя в служебной иерархии. Это только некоторые из возможных причин, побуждающих пользователей идти на нарушение правил работы с системой.

Ответчики по мотивации компьютерных преступлений вписываются в три категории:

· пираты - главным образом нарушают авторское право, создавая незаконные версии программ и данных;

· хакеры (от англ. hack - рубить, кромсать, разбивать) - получают неправомочный доступ к компьютерам других пользователей и файлам в них. Однако они, как правило, не повреждают и не копируют файлы, удовлетворяясь сознанием своей власти над системами;

· кракеры (от англ. crack - раскалывать, взламывать) - наиболее серьезные нарушители, которые позволяют себе все.

Способы предотвращения нарушений вытекают из природы самих побудительных мотивов. Это, прежде всего, соответствующая подготовка пользователей, а также поддержание здорового социально-психологического климата в коллективе, подбор персонала, своевременное обнаружение потенциальных злоумышленников и принятие соответствующих мер. Первая из них - задача администрации системы, вторая - психолога и всего коллектива в целом. Только в случае сочетания этих мер имеется возможность не исправлять нарушения и не расследовать преступления, а предотвращать саму их причину.

информационная безопасность сеть взлом

Классификация угроз информационной безопасности

Размещено на Allbest.ru

Подобные документы

Сущность информации, ее классификации и виды. Анализ информационной безопасности в эпоху постиндустриального общества. Исследование проблем и угроз обеспечения информационной безопасности современного предприятия. Задачи обеспечения защиты от вирусов.

курсовая работа , добавлен 24.04.2015


Сущность информации, ее классификация. Основные проблемы обеспечения и угрозы информационной безопасности предприятия. Анализ рисков и принципы информационной безопасности предприятия. Разработка комплекса мер по обеспечению информационной безопасности.

курсовая работа , добавлен 17.05.2016


Анализ рисков информационной безопасности. Оценка существующих и планируемых средств защиты. Комплекс организационных мер обеспечения информационной безопасности и защиты информации предприятия. Контрольный пример реализации проекта и его описание.

дипломная работа , добавлен 19.12.2012


Понятие информации и информатизации. Современная концепция безопасности и характеристика средств обеспечения информационной безопасности. Особенности обеспечения информационной безопасности в образовательных учреждениях в зависимости от их вида.

дипломная работа , добавлен 26.01.2013


Анализ инфраструктуры ООО магазин "Стиль". Создание системы информационной безопасности отдела бухгалтерии предприятия на основе ее предпроектного обследования. Разработка концепции, политики информационной безопасности и выбор решений по ее обеспечению.

курсовая работа , добавлен 17.09.2010


Категории действий, способных нанести вред информационной безопасности, методы её обеспечения. Сфера деятельности фирмы и анализ финансовых показателей. Система информационной безопасности фирмы и разработка комплекса мероприятий по её модернизации.

дипломная работа , добавлен 15.09.2012


Процесс создания комплексной системы информационной безопасности, предназначенной для обеспечения безопасности всех важных данных сети аптек "Таблэтка". Исследования практики функционирования систем обработки данных и вычислительных систем. Оценка риска.

курсовая работа , добавлен 17.06.2013


Сущность и основное предназначение Доктрины информационной безопасности Российской Федерации (РФ). Виды и источники угроз информационной безопасности РФ. Основные положения государственной политики обеспечения информационной безопасности России.

статья , добавлен 24.09.2010


• Изучение профессиональных и должностных обязанностей специалистов отдела информационной безопасности. Характеристика процесса внедрения новой информационной системы предприятия. Создание плановых, диспозитивных и исполнительных информационных систем.

В данной статье делается попытка рассмотреть реальные угрозы информационной безопасности, которые могут возникнуть в современных условиях. Следует отметить, что статья не претендует на статус «учебника по информационной безопасности», и все изложенное в ней – исключительно мнение автора.

Традиционной ошибкой многих руководителей российских компаний является недооценка либо переоценка угроз информационной безопасности предприятия. Зачастую ИТ безопасность воспринимается ими в лучшем случае как одно из вспомогательных мероприятий по обеспечению безопасности в целом, иногда же ей вообще не отводится хоть сколько-нибудь значимой роли – мол, это все забота системных администраторов. Подобный вариант характерен прежде всего для небольших и частично – для средних компаний. Вторая крайность – переоценка значения ИТ безопасности – встречается в основном среди крупных компаний и характеризуется возведением комплекса мероприятий по обеспечению ИТ безопасности в ранг «гиперстратегии», относительно которой строится основная стратегия деятельности.

Ни для кого не секрет, что в современном мире бизнес в той или иной степени зависим от информационных технологий. Преимущества от применения ИТ для бизнеса очевидны: скорость и простота порождения, распространения, манипуляций и поиска разнородной информации, упорядочивание ее по различным критериям, простота хранения, возможность доступа практически из любой точки мира… Все эти преимущества требуют хорошо отлаженной поддержки и сопровождения, которая, в свою очередь, предъявляет определенные требования к базовой ИТ инфраструктуре. С другой стороны, в информационных системах, часто находится информация, разглашение которой является крайне нежелательным (например, конфиденциальная информация, либо информация, составляющая коммерческую тайну). Нарушение режима нормального функционирования инфраструктуры либо получение доступа к информации, которая расположена в ИС, являются угрозами информационной безопасности.

Таким образом, угрозы информационной безопасности предприятия можно условно разделить на несколько классов:

• Угрозы нарушения доступности
• Угрозы нарушения целостности
• Угрозы нарушения конфиденциальности

Угрозы нарушения доступности – это угрозы, связанные с увеличением времени получения той или иной информации или информационной услуги. Нарушение доступности представляет собой создание таких условий, при которых доступ к услуге или информации будет либо заблокирован, либо возможен за время, которое не обеспечит выполнение тех или иных бизнес-целей. Рассмотрим пример: в случае выхода из строя сервера, на котором расположена требуемая для принятия стратегического решения информация, нарушается свойство доступности информации. Аналогичный пример: в случае изоляции по какой-либо причине (выход из строя сервера, отказ каналов связи и т.д.) почтового сервера можно говорить о нарушении доступности ИТ услуги «электронная почта». Особо следует отметить тот факт, что причина нарушения доступности информации или информационной услуги не обязательно должна находиться в зоне ответственности владельца услуги или информации. Например, в рассмотренном выше примере с нарушением доступности почтового сервера причина (отказ каналов связи) может лежать вне зоны ответственности администраторов сервера (например, отказ магистральных каналов связи). Также следует отметить, что понятие «доступность» субъективно в каждый момент времени для каждого из субъектов, потребляющих услугу или информацию в данный момент времени. В частности, нарушение доступности почтового сервера для одного сотрудника может означать срыв индивидуальных планов и потерю контракта, а для другого сотрудника той же организации – невозможность получить выпуск свежих новостей.

Угрозы нарушения целостности – это угрозы, связанные с вероятностью модификации той или иной информации, хранящейся в ИС. Нарушение целостности может быть вызвано различными факторами – от умышленных действий персонала до выхода из строя оборудования. Нарушение целостности может быть как умышленным, так и неумышленным (причиной неумышленного нарушения целостности может выступать, например, неисправно работающее оборудование).

Угрозы нарушения конфиденциальности – это угрозы, связанные с доступом к информации вне привилегий доступа, имеющегося для данного конкретного субъекта. Подобные угрозы могут возникать вследствие «человеческого фактора» (например, случайное делегировании тому или иному пользователю привилегий другого пользователя), сбоев работе программных и аппаратных средств.

Реализация каждой из указанных угроз в отдельности или их совокупности приводит к нарушению информационной безопасности предприятия.

Собственно говоря, все мероприятия по обеспечению информационной безопасности должны строиться по принципу миниманизации указанных угроз.

Все мероприятия по обеспечению ИБ условно можно рассматривать на двух основных уровнях: на уровне физического доступа к данным и на уровне логического доступа к данным, которые являются следствием административных решений (политик).

На уровне физического доступа к данным рассматриваются механизмы защиты данных от несанкционированного доступа и механизмы защиты от повреждения физических носителей данных. Защита от несанкционированного доступа предполагает размещения серверного оборудования с данными в отдельном помещении, доступ к которому имеет лишь персонал с соответствующими полномочиями. На этом же уровне в качестве средств защиты возможно создание географически распределенной системы серверов. Уровень защиты от физического повреждения предполагает организацию различного рода специализированных систем, предотвращающих подобные процессы. К их числу относят: серверные кластера и back-up (резервного копирования) сервера. При работе в кластере (например, двух серверов) в случае физического отказа одного из них второй будет продолжать работу, таким образом работоспособность вычислительной системы и данных не будет нарушена. При дополнительной организации резервного копирования (back-up сервера) возможно быстрое восстановление вычислительной системы и данных даже в случае выхода из строя второго сервера в кластере.

Уровень защиты от логического доступа к данным предполагает защиту от несанкционированного доступа в систему (здесь и далее по тексту под системой понимается ИТ система, предназначенная для порождения, хранения и обработки данных любого класса – от простых учетных систем до решений класса ERP) как на уровне баз данных, так и на уровне ядра системы и пользовательских форм. Защита на этом уровне предполагает принятие мер по предотвращению доступа к базе данных как из Интернет, так и из локальной сети организации (на последний аспект обеспечения безопасности традиционно обращается мало внимания, хотя этот аспект напрямую связан с таким явлением, как промышленный шпионаж). Защита ядра системы предполагает, наряду с обозначенными выше мерами, вычисление контрольных сумм критических частей исполнимого кода и периодический аудит этих контрольных сумм. Подобный подход позволяет повысить общую степень защищенности системы. (Следует отметить, что указанное мероприятие не является единственным; оно приводится как удачный пример). Обеспечение безопасности на уровне пользовательских форм декларирует обязательное шифрование трафика, передающегося по локальной сети (или через Интернет) между клиентом (пользовательской формой) и приложением (ядром системы). Также безопасность на этом уровне может обеспечиваться вычислением контрольных сумм этих форм, с последующей их проверкой, принятием идеологии «разделения данных и кода». Например, система, построенная по технологии «тонкого клиента» с позиций обеспечения безопасности на данном уровне имеет преимущество перед системой, построенной по технологии «толстого клиента», поскольку на уровне пользовательских форм не предоставляет доступа к коду бизнес-логики (например, путем дизассемблирования исполняемого файла). К этому же уровню защиты относится механизм сертификации, когда в обмене между пользовательской формой и сервером, а также подлинность самой пользовательской формы подтверждается третьим участником обмена – центром сертификации.

Аналогично, на уровне защиты от логического доступа на уровне баз данных доступа целесообразно вычислять контрольные суммы критически важных таблиц, и вести журнал учета доступа объектов к базе данных. В идеальном случае («тонкий клиент») доступ к базе данных имеет лишь серверное приложение (сервер бизнес-логики), а все остальные (сторонние) запросы к БД блокируются. Подобный подход позволит исключить несколько типов атак и сконцентрировать политику защиты БД на обеспечении безопасности «по критическим точкам».

К защите на уровне административных решений относят административные меры, направленные на создание четкой и понятной политики в отношении ИТ, ИС, информационной безопасности и т.д. Можно сказать, что данный уровень является по отношению к пользователю первичным – поскольку именно защита на уровне административных решений способна предотвратить большинство критических ситуаций, связанных с информационной безопасностью.

Следует рассмотреть еще два важных вопроса, связанных с безопасностью – методы и средства аутентификации пользователей и протоколирование событий, происходящих в ИС.

Аутентификация пользователей относится к логическому уровню обеспечения информационной безопасности. Цель этой процедуры состоит в том, чтобы во-первых, сообщить ИС, какой именно пользователь работает с ним, для предоставления ему соответствующих прав и интерфейсов; во-вторых, подтвердить права данного конкретного пользователя по отношению к ИС. Традиционно процедура аутентификации сводится к вводу пользователем имени пользователя (логина) и пароля.

Довольно часто, в критически важных приложениях, форма ввода имени пользователя/пароля представляет собой работающее в защищенном программном (реже – аппаратном) тоннеле приложение, безусловно шифрующее всю передающуюся по сети информацию. К сожалению, наиболее частой является ситуация, когда имя пользователя и пароль передаются по сети в открытом виде (например, по этому принципу работают большинство известных бесплатных почтовых систем в сети Интернет). Кроме программных (ввод комбинации имя пользователя/пароль) существуют и программно-аппаратные и аппаратные решения для аутентификации пользователей. К ним относятся дискеты и USB-носители с ключевым файлом (довольно часто – в комбинации с вводом обычного имени/пароля, для подтверждения полномочий на критичные действия), защищенным от копирования; однократно записываемые USB-носители с ключевым файлом; сканеры радужной оболочки глаза; сканеры отпечатков пальцев; системы антропологии. Одним из вариантов повышения степени защиты ИС является ограничение времени действия пароля и ограничение времени бездействия пользователя в ИС. Ограничение времени действия пароля представляет собой выдачу пароля, который действует лишь определенное число дней – 30, 60 и т.д. Соответственно, с периодической сменой паролей повышается степень защищенности ИС в целом. Ограничение времени бездействия пользователя предполагает автоматическое закрытия сеанса пользователя в случае, если в этом сеансе не была зафиксирована пользовательская активность в течении определенного периода времени.

Протоколирование всех событий, происходящих в ИС, необходимо для получения четкой картины о попытках несанкционированного доступа, либо по неквалифицированным действиям персонала по отношению к ИС. Частой ситуацией является введение в ИС специализированных модулей, анализирующих системные события, и предотвращающих деструктивные действия по отношению к ИС. Подобные модули могут работать, исходя из двух предпосылок: обнаружения вторжений и предотвращение превышения доступности. В первом случае модули статистически анализируют типичное поведение пользователя, и выдают «тревогу» в случае заметных отклонений (например, работа оператора в 22-30 первый раз за два года является безусловно подозрительной); во втором случае на основе анализа текущего сеанса работы пользователя пытаются предотвратить потенциально деструктивные действия (например, попытку удаления какой-либо информации).

Примечание:

ИБ – информационная безопасность

ИТ – информационные технологии

ИС – информационные системы или информационная система (по контексту)

Классификация источников угроз

Классификация угроз информационной безопасности

Тема 2 - Угрозы информационной безопасности

Понятия угрозы безопасности объекта и уязвимости объекта были введены ранее. Для полного представления взаимодействия угрозы и объекта защиты введем понятия источника угрозы и атаки.

Угроза безопасности объекта - возможное воздействие на объект, которое прямо или косвенно может нанести ущерб его безопасности.

Источник угрозы - это потенциальные антропогенные , техногенные или стихийные носители угрозы безопасности.

Уязвимость объекта - это присущие объекту причины, приводящие к нарушению безопасности информации на объекте.

Атака - это возможные последствия реализации угрозы при взаимодействии источника угрозы через имеющиеся уязвимости. Атака - это всегда пара «источник - уязвимость», реализующая угрозу и приводящая к ущербу.

Рисунок 2.1

Предположим , студент ходит на учебу каждый день и при этом пересекает проезжую часть в неположенном месте. И однажды он попадает под машину, что причиняет ему ущерб, при котором он теряет трудоспособность и не может посещать занятия. Проанализируем данную ситуацию. Последствия в данном случае - это убытки, которые студент понес в результате несчастного случая. Угрозой у нас выступает автомобиль, который сбил студента. Уязвимостью явилось то, что студент пересекал проезжую часть в неустановленном месте. А источником угрозы в данной ситуации явилась та некая сила, которая не дала возможности водителю избежать наезда на студента.

С информацией не намного сложнее . Угроз безопасности информации не так уж и много. Угроза, как следует из определения, - это опасность причинения ущерба, то есть в этом определении проявляется жесткая связь технических проблем с юридической категорией, каковой является «ущерб».

Проявления возможного ущерба могут быть различны:

Моральный и материальный ущерб деловой репутации организации;

Моральный, физический или материальный ущерб, связанный с разглашением персональных данных отдельных лиц;

Материальный (финансовый) ущерб от разглашения защищаемой (конфиденциальной) информации;

Материальный (финансовый) ущерб от необходимости восстановления нарушенных защищаемых информационных ресурсов;

Материальный ущерб (потери) от невозможности выполнения взятых на себя обязательств перед третьей стороной;

Моральный и материальный ущерб от дезорганизации деятельности организации;

Материальный и моральный ущерб от нарушения международных отношений.

Угрозами безопасности информации являются нарушения при обеспечении:

2. Доступности;

3. Целостности.

Конфиденциальность информации - это свойство информации быть известной только аутентифицированным законным ее владельцам или пользователям.

Нарушения при обеспечении конфиденциальности:

Хищение (копирование) информации и средств ее обработки;

Утрата (неумышленная потеря, утечка) информации и средств ее обработки.

Доступность информации - это свойство информации быть доступной для аутентифицированных законных ее владельцев или пользователей.

Нарушения при обеспечении доступности:

Блокирование информации;

Уничтожение информации и средств ее обработки.

Целостность информации - это свойство информации быть неизменной в семантическом смысле при воздействии на нее случайных или преднамеренных искажений или разрушающих воздействий.

Нарушения при обеспечении целостности:

Модификация (искажение) информации;

Отрицание подлинности информации;

Навязывание ложной информации.

Носителями угроз безопасности информации являются источники угроз. В качестве источников угроз могут выступать как субъекты (личность), так и объективные проявления. Причем, источники угроз могут находиться как внутри защищаемой организации - внутренние источники, так и вне ее - внешние ис-точники.

Все источники угроз безопасности информации можно разделить на три основные группы:

1 Обусловленные действиями субъекта (антропогенные источники угроз).

2 Обусловленные техническими средствами (техногенные источники угрозы).

3 Обусловленные стихийными источниками.

Антропогенными источниками угроз безопасности информации выступают субъекты, действия которых могут быть квалифицированы как умышленные или случайные преступления. Только в этом случае можно говорит о причинении ущерба. Эта группа наиболее обширна и представляет наибольший интерес с точки зрения организации защиты, так как действия субъекта всегда можно оценить, спрогнозировать и принять адекватные меры. Методы противодействия в этом случае управляемы и напрямую зависят от воли организаторов защиты информации.

В качестве антропогенного источника угроз можно рассматривать субъекта, имеющего доступ (санкционированный или несанкционированный) к работе со штатными средствами защищаемого объекта. Субъекты (источники), действия которых могут привести к нарушению безопасности информации, могут быть как внешние, так и внутренние. Внешние источники могут быть случайными или пред-намеренными и иметь разный уровень квалификации.

Внутренние субъекты (источники), как правило, представляют собой высококвалифицированных специалистов в области разработки и эксплуатации программного обеспечения и технических средств, знакомы со спецификой решаемых задач, структурой и основными функциями и принципами работы программно-аппаратных средств защиты информации, имеют возможность использования штатного оборудования и технических средств сети.

Необходимо учитывать также, что особую группу внутренних антропогенных источников составляют лица с нарушенной психикой и специально внедренные и завербованные агенты, которые могут быть из числа основного, вспомогательного и технического персонала, а также представителей службы защиты информации. Данная группа рассматривается в составе перечисленных выше источников угроз, но методы парирования угрозам для этой группы могут иметь свои отличия.

Вторая группа содержит источники угроз, определяемые технократической деятельностью человека и развитием цивилизации. Однако последствия, вызванные такой деятельностью, вышли из-под контроля человека и существуют сами но себе. Данный класс источников угроз безопасности информации особенно актуален в современных условиях, так как в сложившихся условиях эксперты ожидают резкого роста числа техногенных катастроф, вызванных физическим и моральным устареванием используемого оборудования, а также отсутствием материальных средств на его обновление. Технические средства, являющиеся источниками потенциальных угроз безопасности информации, также могут быть внешними и внутренними.

Третья группа источников угроз объединяет обстоятельства, составляющие непреодолимую силу, то есть такие обстоятельства, которые носят объективный и абсолютный характер, распространяющийся на всех. К непреодолимой силе в законодательстве и договорной практике относят стихийные бедствия или иные обстоятельства, которые невозможно предусмотреть или предотвратить или возможно предусмотреть, но невозможно предотвратить при современном уровне че-ловеческого знания и возможностей. Такие источники угроз совершенно не поддаются прогнозированию, и поэтому меры защиты от них должны применяться всегда.

Стихийные источники потенциальных угроз информационной безопасности, как правило, являются внешними по отношению к защищаемому объекту и под ними понимаются, прежде всего, природные катаклизмы.

Классификация и перечень источников угроз приведены в таблице 2.1.

Таблица 2.1 - Классификация и перечень источников угроз информационной безопасности

Все источники угроз имеют разную степень опасности К опуг, которую можно количественно оценить, проведя их ранжирование. При этом оценка степени опасности проводится по косвенным показателям.

В качестве критериев сравнения (показателей) можно выбрать:

Возможность возникновения источника K 1 - определяет степень доступности к возможности использовать уязвимость для антропогенных источников, удаленность от уязвимости для техногенных источников или особенности обстановки для случайных источников;

Готовность источника К 2 - определяет степень квалификации и привлекательность совершения деяний со стороны источника угрозы для антропогенных источников или наличие необходимых условий для техногенных и стихийных источников;

Фатальность К 3 - определяет степень неустранимости последствий реализации угрозы.

Каждый показатель оценивается экспертно-аналитическим методом по пятибалльной системе. Причем, 1 соответствует самой минимальной степени влияния оцениваемого показателя на опасность использования источника, а 5 - максимальной.

К опуг для отдельного источника можно определить как отношение произведения вышеприведенных показателей к максимальному значению (125):

Угрозы , как возможные опасности совершения какого-либо действия, направленного против объекта защиты, проявляются не сами по себе, а через уязвимости, приводящие к нарушению безопасности информации на конкретном объекте информатизации.

Уязвимости присущи объекту информатизации, неотделимы от него и обусловливаются недостатками процесса функционирования, свойствами архитектуры автоматизированных систем, протоколами обмена и интерфейсами, применяемыми программным обеспечением и аппаратной платформой, условиями эксплуатации и расположения.

Источники угроз могут использовать уязвимости для нарушения безопасности информации, получения незаконной выгоды (нанесения ущерба собственнику, владельцу, пользователю информации). Кроме того, возможны не злонамеренные действия источников угроз по активизации тех или иных уязвимостей, наносящих вред.

Каждой угрозе могут быть сопоставлены различные уязвимости. Устранение или существенное ослабление уязвимостей влияет на возможность реализации угроз безопасности информации.

Уязвимости безопасности информации могут быть:

Объективными;

Субъективными;

Случайными.

Объективные уязвимости зависят от особенностей построения и технических характеристик оборудования, применяемого на защищаемом объекте. Полное устранение этих уязвимостей невозможно, но они могут существенно ослабляться техническими и инженерно-техническими методами парирования угроз безопасности информации.

Субъективные уязвимости зависят от действий сотрудников и, в основном устраняются организационными и программно-аппаратными методами.

Случайные уязвимости зависят от особенностей окружающей защищаемый объект среды и непредвиденных обстоятельств. Эти факторы, как правило, мало предсказуемы и их устранение возможно только при проведении комплекса организационных и инженерно-технических мероприятий по противодействию, угрозам информационной безопасности.

Классификация и перечень уязвимостей информационной безопасности приведены в таблице 2.2.

Таблица 2.2 - Классификация и перечень уязвимостей информационной безопасности

Все уязвимости имеют разную степень опасности K опуяз, которую можно количественно оценить, проведя их ранжирование.

При этом в качестве критериев сравнения можно выбрать:

Фатальность K 4 - определяет степень влияния уязвимости на неустранимость последствий реализации угрозы;

Доступность K 5 - определяет возможность использования уязвимости источником угроз;

Количество K 6 - определяет количество элементов объекта, которым характерен та или иная уязвимость.

K опуяз для отдельной уязвимости можно определить как отношение произведения вышеприведенных показателей к максимальному значению (125):

Модель нарушителя информационной безопасности - это набор предположений об одном или нескольких возможных нарушителях информационной безопасности, их квалификации, их технических и материальных средствах и т. д.

Правильно разработанная модель нарушителя является гарантией построения адекватной системы обеспечения информационной безопасности. Опираясь на построенную модель, уже можно строить адекватную систему информационной защиты.

Чаще всего строится неформальная модель нарушителя, отражающая причины и мотивы действий, его возможности, априорные знания, преследуемые цели, их приоритетность для нарушителя, основные пути достижения поставленных целей: способы реализации исходящих от него угроз, место и характер действия, возможная тактика и т. п. Для достижения поставленных целей нарушитель должен приложить определенные усилия и затратить некоторые ресурсы.

Определив основные причины нарушений, представляется возможным оказать на них влияние или необходимым образом скорректировать требования к системе защиты от данного типа угроз. При анализе нарушений защиты необходимо уделять внимание субъекту (личности) нарушителя. Устранение причин или мотивов, побудивших к нарушению, в дальнейшем может помочь избежать повторения подобного случая.

Модель может быть не одна, целесообразно построить несколько отличающихся моделей разных типов нарушителей информационной безопасности объекта защиты.

Для построения модели нарушителя используется информация, полученная от служб безопасности и аналитических групп, данные о существующих средствах доступа к информации и ее обработки, о возможных способах перехвата данных на стадиях их передачи, обработки и хранении, об обстановке в коллективе и на объекте защиты, сведения о конкурентах и ситуации на рынке, об имевших место свершившихся случаях нарушения информационной безопасности и т. п.

Кроме этого оцениваются реальные оперативные технические возможности злоумышленника для воздействия на систему защиты или на защищаемый объект. Под техническими возможностями подразумевается перечень различных технических средств, которыми может располагать нарушитель в процессе совершения действий, направленных против системы информационной защиты.

Нарушители бывают внутренними и внешними.

Среди внутренних нарушителей в первую очередь можно выделить:

Непосредственных пользователей и операторов информационной системы, в том числе руководителей различных уровней;

Администраторов вычислительных сетей и информационной безопасности;

Прикладных и системных программистов;

Сотрудников службы безопасности;

Технический персонал по обслуживанию зданий и вычислительной техники, от уборщицы до сервисного инженера;

Вспомогательный персонал и временных работников.

Среди причин, побуждающих сотрудников к неправомерным действиям, можно указать следующие:

Безответственность;

Ошибки пользователей и администраторов;

Демонстрацию своего превосходства (самоутверждение);

- «борьбу с системой»;

Корыстные интересы пользователей системы;

Недостатки используемых информационных технологий.

Группу внешних нарушителей могут составлять:

Клиенты;

Приглашенные посетители;

Представители конкурирующих организаций;

Сотрудники органов ведомственного надзора и управления;

Нарушители пропускного режима;

Наблюдатели за пределами охраняемой территории.

Помимо этого классификацию можно проводить по следующим параметрам.

Используемые методы и средства:

Сбор информации и данных;

Пассивные средства перехвата;

Использование средств, входящих в информационную систему или систему ее защиты, и их недостатков;

Активное отслеживание модификаций существующих средств обработки информации, подключение новых средств, использование специализированных утилит, внедрение программных закладок и «черных ходов» в систему, подключение к каналам передачи данных.

Уровень знаний нарушителя относительно организации информационной структуры:

Типовые знания о методах построения вычислительных систем, сетевых протоколов, использование стандартного набора программ;

Высокий уровень знаний сетевых технологий, опыт работы со специализированными программными продуктами и утилитами;

Высокие знания в области программирования, системного проектирования и эксплуатации вычислительных систем;

Обладание сведениями о средствах и механизмах защиты атакуемой системы;

Нарушитель являлся разработчиком или принимал участие в реализации системы обеспечения информационной безопасности.

Время информационного воздействия:

В момент обработки информации;

В момент передачи данных;

В процессе хранения данных (учитывая рабочее и нерабочее состояния системы).

По месту осуществления воздействия:

Удаленно с использованием перехвата информации, передающейся по каналам передачи данных, или без ее использования;

Доступ на охраняемую территорию;

Непосредственный физический контакт с вычислительной техникой, при этом можно выделить: доступ к рабочим станциям, доступ к серверам предприятия, доступ к системам администрирования, контроля и управления информационной системой, доступ к программам управления системы обеспечения информационной безопасности.

В таблице 2.3 приведены примеры моделей нарушителей информационной безопасности и их сравнительная характеристика.

Таблица 2.3 - Сравнительная характеристика нескольких моделей нарушителя