Исследование процессов защиты информации на предприятии ОАО «Мобильные ТелеСистемы»

В процессе функционирования на предприятии коммерческая информация может быть ранжирована по степени ее важности для предприятия с тем, чтобы регулировать ее распространение среди работающих на предприятии, указывать пользователей этой информации, уровень ее защиты и т.д. Для обозначения степени важности коммерческой информации для предприятия предлагаются разные системы обозначения степени ее конфиденциальности (грифы конфиденциальности):

Например:

• коммерческая тайна — строго конфиденциально (КТ — СК);
• коммерческая тайна — конфиденциально (КТ — К);
• коммерческая тайна (КТ).

Предлагаются также  двухуровневые системы ранжирования коммерческой информации по степени  важности: «Коммерческая тайна» и «Для служебного пользования» («ДСП»).

По функциональному признаку можно  выделить семь групп сведений, составляющих коммерческую тайну и подлежащих защите:

• Деловая информация: сведения о котрагентах, контрактах, переговорах, конкурентах, потребителях и т.д.
• Научно-техническая информация: содержание и планы научно-исследовательских работ, планы внедрения новых технологий и т.д.
• Производственная информация: планы выпуска продукции или оказания услуг, секреты технологии и технологических циклов, объемы резервов и планы инвестиционной деятельности и т.д.
• Административная информация: структура управления предприятием, методы организации управления; системы организации труда и автоматизации трудовых процессов и т.д.
• Маркетинговая информация: стратегия формирования рынков сбыта; рекламные планы и концепции, маркетинговые исследования конкурентоспособности продукции и услуг и т.д.
• Финансовая информация: планирование прибыли и себестоимости, политика и алгоритм ценообразования, источники финансирования, информация о дебеторской задолженности и т.д.
• Программное обеспечение компании

 

 

1.4 Возможные угрозы и их анализ.

 

Угроза безопасности – потенциальное  нарушение безопасности, любое обстоятельство или событие, которое может явиться  причиной нанесения ущерба  предприятию в целом.

Все множество  потенциальных угроз по природе  их возникновения разделяется на два класса: естественные (объективные) и искусственные (субъективные).

Естественные  угрозы -  это угрозы, вызванные  воздействиями на предприятие объективных физических процессов или стихийных природных явлений, независящих от человека.

Искусственные угрозы -  это угрозы предприятию, вызванные деятельностью человека. Среди них, исходя из мотивации действий, можно выделить:

• непреднамеренные (неумышленные, случайные) угрозы, вызванные ошибками в проектировании, ошибками в программном обеспечении, ошибками в действиях персонала и т.п.;
• преднамеренные (умышленные) угрозы, связанные с корыстными, идейными или иными устремлениями людей (злоумышленников).

Источники угроз по отношению к предприятию могут быть внешними или внутренними (составляющие самой организации - её аппаратура, программы, персонал, конечные пользователи).

Основные  непреднамеренные искусственные угрозы предприятию (действия, совершаемые людьми случайно, по незнанию, невнимательности или халатности, из любопытства, но без злого умысла):

1) неумышленные  действия, приводящие к частичному  или полному отказу системы  или разрушению аппаратных, программных,  информационных ресурсов системы  (неумышленная порча оборудования, удаление, искажение файлов с  важной информацией или программ, в том числе системных и  т.п.);

2) неправомерное  отключение оборудования или  изменение режимов работы устройств  и программ;

3) неумышленная  порча носителей информации;

4) запуск  технологических программ, способных  при некомпетентном использовании  вызывать потерю работоспособности  системы (зависания или зацикливания) или осуществляющих необратимые  изменения в системе (форматирование  или реструктуризацию носителей  информации, удаление данных и  т.п.);

5) нелегальное  внедрение и использование неучтенных  программ (игровых, обучающих, технологических  и др., не являющихся необходимыми  для выполнения нарушителем своих  служебных обязанностей) с последующим  необоснованным расходованием ресурсов (загрузка процессора, захват оперативной  памяти и памяти на внешних  носителях);

6) заражение  компьютера вирусами;

7) неосторожные действия, приводящие к разглашению конфиденциальной информации, или делающие ее общедоступной;

8) разглашение,  передача или утрата атрибутов  разграничения доступа (паролей,  ключей шифрования, идентификационных  карточек, пропусков и т.п.);

9) проектирование  архитектуры системы, технологии  обработки данных, разработка прикладных  программ, с возможностями, представляющими  опасность для работоспособности  системы и безопасности информации;

10) игнорирование  организационных ограничений (установленных  правил) при работе в системе; 

11) вход  в систему в обход средств  защиты (загрузка посторонней операционной  системы со сменных магнитных  носителей и т.п.);

12) некомпетентное  использование, настройка или  неправомерное отключение средств  защиты персоналом службы безопасности;

13) пересылка  данных по ошибочному адресу  абонента (устройства);

14) ввод  ошибочных данных;

15) неумышленное  повреждение каналов связи.

 

Основные  возможные пути умышленной дезорганизации работы, вывода системы из строя, проникновения  в систему и несанкционированного доступа к информации:

1) физическое  разрушение системы (путем взрыва, поджога и т.п.) или вывод из  строя всех или отдельных наиболее  важных компонентов компьютерной  системы (устройств, носителей  важной системной информации, лиц  из числа персонала и т.п.);

2) отключение  или вывод из строя подсистем  обеспечения функционирования вычислительных  систем (электропитания, охлаждения  и вентиляции, линий связи и  т.п.);

3) действия  по дезорганизации функционирования  системы (изменение режимов работы  устройств или программ, забастовка, саботаж персонала, постановка мощных активных радиопомех на частотах работы устройств системы и т.п.);

4) внедрение  агентов в число персонала  системы (в том числе, возможно, и в административную группу, отвечающую за безопасность);

5) вербовка (путем подкупа, шантажа и т.п.) персонала или отдельных пользователей,  имеющих определенные полномочия;

6) применение  подслушивающих устройств, дистанционная  фото- и видео-съемка и т.п.;

7) перехват  побочных электромагнитных, акустических  и других излучений устройств  и линий связи, а также наводок  активных излучений на вспомогательные  технические средства, непосредственно  не участвующие в обработке  информации (телефонные линии, сели  питания, отопления и т.п.);

8) перехват  данных, передаваемых по каналам  связи, и их анализ с целью  выяснения протоколов обмена, правил  вхождения в связь и авторизации  пользователя и последующих попыток  их имитации для проникновения  в систему; 

9) хищение  носителей информации (магнитных  дисков, лент, микросхем памяти, запоминающих  устройств и целых ПЭВМ);

10) несанкционированное  копирование носителей информации;

11) хищение  производственных отходов (распечаток, записей, списанных носителей  информации и т.п.);

12) чтение  остаточной информации из оперативной  памяти и с внешних запоминающих устройств;

13) чтение  информации из областей оперативной  памяти, используемых операционной  системой (в том числе подсистемой  зашиты) или другими пользователями, в асинхронном режиме используя  недостатки мультизадачных операционных систем и систем программирования;

14) незаконное  получение паролей и других  реквизитов разграничения доступа  (агентурным путем, используя  халатность пользователей, путем  подбора, путем имитации интерфейса  системы и т.д.) с последующей  маскировкой под зарегистрированного  пользователя ("маскарад");

15) несанкционированное  использование терминалов пользователей,  имеющих уникальные физические  характеристики, такие как номер  рабочей станции в сети, физический  адрес, адрес в системе связи,  аппаратный блок кодирования  и т.п.;

16) вскрытие  шифров криптозащиты информации;

17) внедрение  аппаратных "спецвложений", программных  "закладок" и "вирусов" ("троянских  коней" и "жучков"), то есть  таких участков программ, которые  не нужны для осуществления  заявленных функций, но позволяющих преодолевать систему защиты, скрытно и незаконно осуществлять доступ к системным ресурсам с целью регистрации и передачи критической информации или дезорганизации функционирования системы;

18) незаконное  подключение к линиям связи  с целью работы "между строк", с использованием пауз в действиях  законного пользователя от его  имени с последующим вводом  ложных сообщений или модификацией  передаваемых сообщений; 

19) незаконное  подключение к линиям связи  с целью прямой подмены законного  пользователя путем его физического  отключения после входа в систему  и успешной аутентификации с  последующим вводом дезинформации  и навязыванием ложных сообщений. 

 Следует  заметить, что чаще всего для  достижения поставленной цели  злоумышленник использует не  один, а некоторую совокупность  из перечисленных выше путей.

 

 

1.5 Неформальная модель нарушителя.

 

Исследования  проблемы обеспечения безопасности организаций ведутся в направлении раскрытия природы явлений, заключающихся в нарушении целостности и конфиденциальности информации, дезорганизации работы компьютерных систем. Серьезно изучается статистика нарушений, вызывающие их причины, личности нарушителей, суть применяемых нарушителями приемов и средств, используемые при этом недостатки систем и средств их защиты, обстоятельства, при которых было выявлено нарушение, и другие вопросы, которые могут быть использованы при построении моделей потенциальных нарушителей.

Неформальная  модель нарушителя отражает его практические и теоретические возможности, априорные  знания, время и место действия и т.п. Для достижения своих целей  нарушитель должен приложить некоторые  усилия, затратить определенные ресурсы. Исследовав причины нарушений, можно  либо повлиять на сами эти причины (конечно  если это возможно), либо точнее определить требования к системе защиты от данного  вида нарушений или преступлении.

Нарушитель  – это лицо, предпринявшее попытку выполнения запрещенных операций (действий) по ошибке, незнанию или осознанно со злым умыслом (из корыстных интересов) или без такового (ради игры или удовольствия, с целью самоутверждения и т.п.) и использующее для этого различные возможности, методы и средства

Злоумышленником  будем называть нарушителя, намеренно  идущего на нарушение из корыстных  побуждений.

При разработке модели нарушителя определяются:

• предположения о категориях лиц, к которым может принадлежать нарушитель;
• предположения о мотивах действий нарушителя (преследуемых нарушителем целях);
• предположения о квалификации нарушителя и его технической оснащенности (об используемых для совершения нарушения методах и средствах);
• ограничения и предположения о характере возможных действий нарушителей.

 

По отношению  к предприятию нарушители могут быть внутренними (из числа персонала и пользователей системы) или внешними (посторонними лицами). Внутренним нарушителем может быть лицо из следующих категорий сотрудников:

• конечные пользователи (операторы) системы;
• персонал, обслуживающий технические средства (инженеры, техники);
• сотрудники отделов разработки и сопровождения ПО (прикладные и системные программисты);
• сотрудники службы безопасности автоматизированной системы;
• руководители различных уровней.