Информационная безопасность

При анализе проблематики, связанной с информационной безопасностью, необходимо учитывать специфику  данного аспекта безопасности, состоящую  в том, что информационная безопасность есть составная часть информационных технологий – области, развивающейся  беспрецедентно высокими темпами. Здесь  важны не столько отдельные решения (законы, учебные курсы, программно-технические  изделия), находящиеся на современном  уровне, сколько механизмы генерации  новых решений, позволяющие жить в темпе технического прогресса.

К сожалению, современная  технология программирования не позволяет  создавать безошибочные программы, что не способствует быстрому развитию средств обеспечения ИБ. Следует  исходить из того, что необходимо конструировать надежные системы (информационной безопасности) с привлечением ненадежных компонентов (программ). В принципе, это возможно, но требует соблюдения определенных архитектурных принципов и контроля состояния защищенности на всем протяжении жизненного цикла ИС.

 

1.4 Основные определения и критерии классификации угроз

 

Угроза - это потенциальная  возможность определенным образом  нарушить информационную безопасность. Попытка реализации угрозы называется атакой, а тот, кто предпринимает  такую попытку, - злоумышленником. Потенциальные  злоумышленники называются источниками  угрозы. Чаще всего угроза является следствием наличия уязвимых мест в  защите информационных систем (таких, например, как возможность доступа  посторонних лиц к критически важному оборудованию или ошибки в программном обеспечении). Промежуток времени от момента, когда появляется возможность использовать слабое место, и до момента, когда пробел ликвидируется, называется окном опасности, ассоциированным  с данным уязвимым местом. Пока существует окно опасности, возможны успешные атаки  на ИС. Если речь идет об ошибках в ПО, то окно опасности "открывается" с появлением средств использования ошибки и ликвидируется при наложении заплат, ее исправляющих.

Для большинства уязвимых мест окно опасности существует сравнительно долго (несколько дней, иногда - недель), поскольку за это время должны произойти следующие события:

1) должно стать известно о средствах использования пробела в защите;

2) должны быть выпущены соответствующие заплаты;

3) заплаты должны быть установлены в защищаемой ИС.

Новые уязвимые места и  средства их использования появляются постоянно; это значит, во-первых, что  почти всегда существуют окна опасности  и, во-вторых, что отслеживание таких  окон должно производиться постоянно, а выпуск и наложение заплат - как можно более оперативно.

Некоторые угрозы нельзя считать  следствием каких-то ошибок или просчетов; они существуют в силу самой природы  современных ИС. Например, угроза отключения электричества или выхода его  параметров за допустимые границы существует в силу зависимости аппаратного  обеспечения ИС от качественного  электропитания.

Наиболее распространенные угрозы, которым подвержены современные  информационные системы. Иметь представление  о возможных угрозах, а также  об уязвимых местах, которые эти  угрозы обычно эксплуатируют, необходимо для того, чтобы выбирать наиболее экономичные средства обеспечения  безопасности. Слишком много мифов  существует в сфере информационных технологий, поэтому незнание в данном случае ведет к перерасходу средств  и, что еще хуже, к концентрации ресурсов там, где они не особенно нужны, за счет ослабления действительно  уязвимых направлений.

Само понятие "угроза" в разных ситуациях зачастую трактуется по-разному. Например, для подчеркнуто  открытой организации угроз конфиденциальности может просто не существовать - вся  информация считается общедоступной; однако в большинстве случаев  нелегальный доступ представляется серьезной опасностью. Иными словами, угрозы, как и все в ИБ, зависят  от интересов субъектов информационных отношений (и от того, какой ущерб  является для них неприемлемым). Попытаемся взглянуть на предмет  с точки зрения типичной организации. Впрочем, многие угрозы (например, пожар) опасны для всех.

Угрозы можно классифицировать по нескольким критериям:

1) по аспекту информационной безопасности (доступность, целостность, конфиденциальность), против которого угрозы направлены в первую очередь;

2) по компонентам информационных систем, на которые угрозы нацелены (данные, программы, аппаратура, поддерживающая инфраструктура);

3) по способу осуществления (случайные/преднамеренные действия природного/техногенного характера);

4) по расположению источника угроз (внутри/вне рассматриваемой ИС).

 

 

 

 

 

ГЛАВА 2. ИСТОЧНИКИ УГРОЗ  ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ. ОСНОВНЫЕ ЗАДАЧИ ОБЕСПЕЧЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

 

2.1 Наиболее распространенные угрозы доступности

 

Самыми частыми и самыми опасными (с точки зрения размера  ущерба) являются непреднамеренные ошибки штатных пользователей, операторов, системных администраторов и  других лиц, обслуживающих информационные системы.

Иногда такие ошибки и  являются собственно угрозами (неправильно  введенные данные или ошибка в  программе, вызвавшая крах системы), иногда они создают уязвимые места, которыми могут воспользоваться  злоумышленники (таковы обычно ошибки администрирования). По некоторым данным, до 65% потерь - следствие непреднамеренных ошибок. Пожары и наводнения не приносят столько бед, сколько безграмотность и небрежность в работе. Очевидно, самый радикальный способ борьбы с непреднамеренными ошибками - максимальная автоматизация и строгий контроль. Другие угрозы доступности классифицируем по компонентам ИС, на которые нацелены угрозы:

1) отказ пользователей;

2) внутренний отказ информационной системы;

3) отказ поддерживающей инфраструктуры.

Обычно применительно  к пользователям рассматриваются  следующие угрозы:

1) нежелание работать с информационной системой (чаще всего проявляется при необходимости осваивать новые возможности и при расхождении между запросами пользователей и фактическими возможностями и техническими характеристиками);

2) невозможность работать с системой в силу отсутствия соответствующей подготовки (недостаток общей компьютерной грамотности, неумение интерпретировать диагностические сообщения, неумение работать с документацией и т.п.);

3) невозможность работать с системой в силу отсутствия технической поддержки (неполнота документации, недостаток справочной информации и т.п.).

Основными источниками внутренних отказов являются:

1) отступление (случайное или умышленное) от установленных правил эксплуатации;

2) выход системы из штатного режима эксплуатации в силу случайных или преднамеренных действий пользователей или обслуживающего персонала (превышение расчетного числа запросов, чрезмерный объем обрабатываемой информации и т.п.);

3) ошибки при (пере) конфигурировании системы;

4) отказы программного и аппаратного обеспечения;

5) разрушение данных;

6) разрушение или повреждение аппаратуры.

По отношению к поддерживающей инфраструктуре рекомендуется рассматривать  следующие угрозы:

1) нарушение работы (случайное или умышленное) систем связи, электропитания, водо- и/или теплоснабжения, кондиционирования;

2) разрушение или повреждение помещений;

3) невозможность или нежелание обслуживающего персонала и/или пользователей выполнять свои обязанности (гражданские беспорядки, аварии на транспорте, террористический акт или его угроза, забастовка и т.п.).

Весьма опасны так называемые "обиженные" сотрудники - нынешние и бывшие. Как правило, они стремятся  нанести вред организации - "обидчику", например:

1) испортить оборудование;

2) встроить логическую бомбу, которая со временем разрушит программы и/или данные;

3) удалить данные.

Опасны стихийные бедствия и события, воспринимаемые как стихийные  бедствия,- пожары, наводнения, землетрясения, ураганы. По статистике, на долю огня, воды и тому подобных "злоумышленников" (среди которых самый опасный - перебой электропитания) приходится 13% потерь, нанесенных информационным системам.

 

2.2 Нормативные документы в области информационной безопасности

 

В Российской Федерации к  нормативно-правовым актам в области  информационной безопасности относятся:

- Акты федерального законодательства:

- Международные договоры РФ;

- Конституция РФ;

- Законы федерального уровня (включая федеральные конституционные законы, кодексы);

- Указы Президента РФ;

- Постановления правительства РФ;

- Нормативные правовые акты федеральных министерств и ведомств;

- Нормативные правовые акты субъектов РФ, органов местного самоуправления и т. д.

 

К нормативно-методическим документам можно отнести:

- Методические документы государственных органов России:

- Доктрина информационной безопасности РФ;

- Руководящие документы ФСТЭК (Гостехкомиссии России);

- Приказы ФСБ;

- Стандарты информационной безопасности, из которых выделяют:

- Международные стандарты;

- Государственные (национальные) стандарты РФ;

- Рекомендации по стандартизации;

- Методические указания.

 

2.3 Органы, обеспечивающие информационную безопасность

 

В зависимости от приложения деятельности в области защиты информации (в рамках государственных органов  власти или коммерческих организаций), сама деятельность организуется специальными государственными органами (подразделениями), либо отделами (службами) предприятия.

Государственные органы РФ, контролирующие деятельность в области  защиты информации:

- Комитет Государственной думы по безопасности;

- Совет безопасности России;

- Федеральная служба по техническому и экспортному контролю (ФСТЭК);

- Федеральная служба безопасности Российской Федерации (ФСБ России);

- Министерство внутренних дел Российской Федерации (МВД России);

- Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор);

- Службы, организующие защиту информации на уровне предприятия;

- Служба экономической безопасности;

- Служба безопасности персонала (Режимный отдел);

- Отдел кадров;

- Служба информационной безопасности.

 

2.4 Программно-технические способы и средства обеспечения информационной безопасности

 

В литературе предлагается следующая классификация средств  защиты информации.

Средства защиты от несанкционированного доступа (НСД):

Средства авторизации;

Мандатное управление доступом;

Избирательное управление доступом;

Управление доступом на основе ролей;

Журналирование (так же называется Аудит).

Системы анализа и моделирования  информационных потоков (CASE-системы).

Системы мониторинга сетей:

Системы обнаружения и  предотвращения вторжений (IDS/IPS).

Системы предотвращения утечек конфиденциальной информации (DLP-системы).

Анализаторы протоколов.

Антивирусные средства.

Межсетевые экраны.

Криптографические средства:

Шифрование;

Цифровая подпись.

Системы резервного копирования.

Системы бесперебойного питания:

Источники бесперебойного питания;

Резервирование нагрузки;

Генераторы напряжения.

Системы аутентификации:

Пароль;

Сертификат;

Биометрия.

Средства предотвращения взлома корпусов и краж оборудования.

Средства контроля доступа  в помещения.

Инструментальные средства анализа систем защиты:

Мониторинговый программный продукт.

 

2.5 Законодательные акты по защите компьютерной информации

 

Компьютерное право и  защита интеллектуальной собственности  в России. - Представленные материалы  по защите интеллектуальной собственности  в области информационных технологий, несомненно, заинтересуют многих разработчиков  программного обеспечения. Подборка материалов включает в себя рубрики по информационным технологиям и праву, интеллектуальной собственности в России, преступлениям  в сфере компьютерной информации, законы Российской Федерации, международные  законодательные акты, источники  правовой информации в Интернете и, в частности:

- Международно-правовые  акты, регулирующие защиту авторских  прав

- Информационное общество  и государство 

- Информационные технологии  и право

- Интернет и право

- Интернет и правовое  регулирование

- Преступления в сфере  компьютерной информации - Преступления  в области компьютерной информации  впервые включены в УК РФ, вступивший  в действие 1 января 1997 года. По этому  на сервере определены основные  понятия используемые в данном разделе.