Обеспечение достоверности и сохранности информации в системах обработки данных

Контроль методом следствия является выборочным контролем. Процедуры выборочного контроля могут включать описанные методы контроля. Оценка результатов такого контроля часто задерживается во времени и требует хранения необходимой информации в системе для проведения проверок.

Метод контрольных испытаний заключается по существу в проверке работы программ по искусственно созданной информации. Если программа работает верно, то причина возникновения ошибок в информации, поступающей в процессе функционирования системы. По существу этот метод контроля представляет собой способ дополнительной отладки программ.

Метод контрольных программ состоит в использовании специальных программ, с помощью которых осуществляется контроль выходных данных системы обработки данных.

Комбинированные методы контроля предполагают использование нужной комбинации описанных выше методов для контроля входной, выходной и хранящейся в системе информации, а также правильности выполнения процедур ее обработки.

Большинство перечисленных методов контроля имеют следующие недостатки:

- требуют определенной «платы» за достоверность, которая проявляется в первую очередь в снижении производительности системы и в необходимости иметь дополнительные ресурсы вычислительной системы такие, например, как память;

- не позволяют обнаружить ошибки, причиной которых являются устойчивые сбои вычислительной системы;

- не могут немедленно зафиксировать ошибки, причиной которых являются случайные сбои или ошибки персонала. Результаты случайных сбоев и неправильных действий выявляются лишь со временем, по окончании некоторого этапа обработки16.

Таким образом, основной метод обеспечения достоверности информации – это контроль (проведение комплексных мероприятий с целью оценки соответствия фактического состояния объекта контроля требованиям, предъявляемым к нему путем выявления и исправления ошибок в обрабатываемых данных).

Методами контроля обеспечения достоверности информации являются: смысловой контроль, использование в первичных документах контрольных сумм, метод шаблонов, метод избыточных цифр и т.д.

2.2. Обеспечение сохранности информации в системах обработки баз данных

Информационная безопасность предприятия - это защищенность информации, которой располагает предприятие (производит, передает или получает) от несанкционированного доступа, разрушения, модификации, раскрытия и задержек при поступлении. Информационная безопасность включает в себя меры по защите процессов создания данных, их ввода, обработки и вывода. Целью комплексной информационной безопасности является сохранение информационной системы предприятия в целости и сохранности, защита и гарантирование полноты и точности выдаваемой ею информации, минимизация разрушений и модификация информации, если таковые случаются17.

Управление безопасностью имеет много аспектов и только при комплексном подходе к решению этой задачи может быть создана действительно безопасная среда для функционирования информационной системы и всего предприятия. В число этих аспектов входит: обеспечение целостности, конфиденциальности и аутентичности информации; разграничение прав пользователей по доступу к ресурсам автоматизированной системы; защита автоматизированной системы и ее элементов от несанкционированного доступа; обеспечение юридической значимости электронных документов.

Под обеспечением сохранности информации понимается совокупность методов и средств, предназначенных для предотвращения искажения, уничтожения или несанкционированного использования данных. Обеспечение сохранности информации осуществляется через ее защиту. Основным понятием при организации защиты является угроза защищаемой информации

Общая классификация угроз автоматизированной информационной системе объекта выглядит следующим образом:

1. Угрозы конфиденциальности данных  и программ. Реализуются при несанкционированном доступе к данным (например, к сведениям о состоянии счетов клиентов банка), программам или каналам связи. Информация, обрабатываемая на компьютерах или передаваемая по локальным сетям передачи данных, может быть снята через технические каналы утечки. При этом используется аппаратура, осуществляющая анализ электромагнитных излучений, возникающих при работе компьютера. Такой съем информации представляет собой сложную техническую задачу и требует привлечения квалифицированных специалистов. С помощью приемного устройства, выполненного на базе стандартного телевизора, можно перехватывать информацию, выводимую на экраны дисплеев компьютеров с расстояния в тысячу и более метров. Определенные сведения о работе компьютерной системы извлекаются даже в том случае, когда ведется наблюдение за процессом обмена сообщениями без доступа к их содержанию.

2. Угрозы целостности данных, программ, аппаратуры. Целостность данных и программ нарушается при несанкционированном уничтожении, добавлении лишних элементов и модификации записей о состоянии счетов, изменении порядка расположения данных, формировании фальсифицированных платежных документов в ответ на законные запросы, при активной ретрансляции сообщений с их задержкой. Несанкционированная модификация информации о безопасности системы может привести к несанкционированным действиям (неверной маршрутизации или утрате передаваемых данных) или искажению смысла передаваемых сообщений. Целостность аппаратуры нарушается при ее повреждении, похищении или незаконном изменении алгоритмов работы.

3. Угрозы доступности данных. Возникают  в том случае, когда объект (пользователь  или процесс) не получает доступа  к законно выделенным ему службам или ресурсам. Эта угроза реализуется захватом всех ресурсов, блокированием линий связи несанкционированным объектом в результате передачи по ним своей информации или исключением необходимой системной информации. Эта угроза может привести к ненадежности или плохому качеству обслуживания в системе и, следовательно, потенциально будет влиять на достоверность и своевременность доставки платежных документов.

4. Угрозы отказа от выполнения  трансакций. Возникают в том случае, когда легальный пользователь  передает или принимает платежные  документы, а потом отрицает это, чтобы снять с себя ответственность. Оценка уязвимости автоматизированной информационной системы и построение модели воздействий предполагают изучение всех вариантов реализации перечисленных выше угроз и выявление последствий, к которым они приводят18.

Существуют угрозы нанесения ущерба системам обработки данных, вызываемые физическими воздействиями стихийных природных явлений, не зависящие от человека.

Однако более широк и опасен круг искусственных угроз, вызванных человеческой деятельностью, среди которых, исходя из мотивов, можно выделить:

 - неумышленные (непреднамеренные) угрозы, вызываемые ошибками в проектировании, подготовке, обработке и передаче информации (научно-технической, коммерческой, валютно-финансовой и др.); ошибками в действиях обслуживающего персонала, программного обеспечения, случайными сбоями в работе средств вычислительной техники и линий связи, энергоснабжения, ошибками пользователей, воздействием на аппаратуру физических нолей и т.д. Это угрозы, связанные с ошибками процесса; с нецеленаправленной «утечкой умов», знаний, информации (например, в связи с миграцией населения, выездом в другие страны и т. п.);

- умышленные (преднамеренные) угрозы, обусловленные несанкционированными действиями обслуживающего персонала и несанкционированным доступом к информации посторонних лиц19.

Прежде чем предлагать какие-либо решения по системе информационной безопасности, предстоит разработать политику безопасности. Организационная политика безопасности описывает порядок предоставления и использования прав доступа пользователей, а также требования отчетности пользователей за свои действия в вопросах безопасности. Система информационной безопасности окажется эффективной, если она будет надежно поддерживать выполнение правил политики безопасности, и наоборот. Этапы построения организационной политики безопасности это внесение в описание объекта автоматизации структуры ценности и проведение анализа риска, и определение правил для любого процесса пользования данным видом доступа к ресурсам объекта автоматизации, имеющим данную степень ценности.

В соответствии со ст. 20 Федерального закона «Об информации, информатизации и защите информации» целями защиты информации являются в том числе:

- предотвращение утечки, хищения, утраты, искажения, подделки информации;

- предотвращение несанкционированных действий по уничтожению, модификации, искажению, копированию, блокированию информации;

- предотвращение других форм незаконного вмешательства в информационные ресурсы и информационные системы.

Главная цель любой системы информационной безопасности заключается в обеспечении устойчивого функционирования объекта: предотвращении угроз его безопасности, защите законных интересов владельца информации от противоправных посягательств, в том числе уголовно наказуемых деяний в рассматриваемой сфере отношений, предусмотренных Уголовным кодексом РФ, обеспечении нормальной производственной деятельности всех подразделений объекта.

При выполнении работ можно использовать следующую модель построения корпоративной системы защиты информации (рис 1), основанную на адаптации Общих Критериев (ISO 15408) и проведении анализа риска (ISO 17799). Эта модель соответствует специальным нормативным документам по обеспечению информационной безопасности, принятым в Российской Федерации, международному стандарту ISO/IEC 15408 «Информационная технология методы защиты критерии оценки информационной безопасности», стандарту ISO/IEC 17799 «Управление информационной безопасностью» и учитывает тенденции развития отечественной нормативной базы по вопросам защиты информации.

Рис. 1. Модель построения корпоративной системы защиты информации

 

Представленная модель защиты информации это совокупность объективных внешних и внутренних факторов и их влияние на состояние информационной безопасности на объекте и на сохранность материальных или информационных ресурсов. Рассматриваются следующие объективные факторы:

- угрозы информационной безопасности, характеризующиеся вероятностью возникновения и вероятностью реализации;

- уязвимости информационной системы или системы контрмер (системы информационной безопасности), влияющие на вероятность реализации угрозы;

- риск - фактор, отражающий возможный ущерб организации в результате реализации угрозы информационной безопасности: утечки информации и ее неправомерного использования (риск в конечном итоге отражает вероятные финансовые потери прямые или косвенные)20.

Физически сохранить документ недостаточно, необходимо сохранить его таким образом, чтобы всегда иметь возможность доказать его целостность и аутентичность, сохраняя таким образом его юридическую и доказательную силу. Под аутентичностью понимается возможность доказать авторство документа, время его создания и подлинность содержания. Целостность означает полноту и неизменность документа с течением времени.

К настоящему времени отработаны две основные стратегии обеспечения целостности и аутентичности при длительном хранении:

• Использование носителей однократной записи. При сравнительно небольшом объеме электронных документов такой метод очень удобен, поскольку, как только информация записана на носитель, носителем можно управлять точно так же, как и архивным делом. Практика такой работы регламентирована в ряде национальных и международных стандартов.

К сожалению, когда количество, размер и сложность электронных документов возрастают, такой способ сохранения уже не соответствует деловым потребностям организаций. Кроме того, обостряются вопросы миграции и частичного уничтожения информации на носителе.

• В последнее время много усилий было направлено на отработку хорошей деловой практики в отношении сохранения юридически-значимых электронных документов «он-лайн» на жёстких дисках. Ключевую роль здесь играют системы электронного документооборота и «электронные архивы», поскольку встроенные в них средства защиты информации, сбора метаданных, аудита, управления доступом позволяют, - при условии грамотного и документированного использования соответствующих систем, - доказывать аутентичность и целостность хранящихся в них документов даже спустя длительное время после их создания21.

2.3. Методы и средства обеспечения информационной безопасности организации

 

Методами обеспечения защиты информации являются следующие: препятствие; управление доступом; маскировка; регламентация; принуждение; побуждение22.

Препятствие - метод физического преграждения пути злоумышленнику к защищаемой информации (к аппаратуре, носителям информации и т. п.).

Управление доступом - метод защиты информации регулированием использования всех ресурсов автоматизированной информационной системы организации. Управление доступом включает следующие функции защиты:

- идентификацию пользователей, персонала и ресурсов информационной системы (присвоение каждому объекту персонального идентификатора);

- аутентификацию (установление подлинности) объекта или субъекта по предъявленному им идентификатору;

- проверку полномочий (проверка соответствия дня недели, времени суток, запрашиваемых ресурсов и процедур установленному регламенту);

- разрешение и создание условий работы в пределах установленного регламента;

- регистрацию (протоколирование) обращений к защищаемым ресурсам;

- реагирование (сигнализация, отключение, задержка работ, отказ в запросе) при попытках несанкционированных действий.