Реферат: Отражение изменений и т п

мероприятия, осуществляемые при кадровых изменениях в составе персонала
системы;

мероприятия, осуществляемые при ремонте и модификациях оборудования и
программного обеспечения (строгое санкционирование, рассмотрение и утверждение
всех изменений, проверка их на удовлетворение требованиям защиты, документальное
отражение изменений и т.п.);

- мероприятия по подбору и расстановке кадров (проверка принимаемых на работу,
обучение правилам работы с информацией, ознакомление с мерами ответственности за
нарушение правил защиты, обучение, создание условий, при которых персоналу было бы
невыгодно нарушать свои обязанности и т.д.).

^ 4. Постоянно проводимые мероприятия Постоянно проводимые мероприятия включают:

мероприятия по обеспечению достаточного уровня физической защиты всех
компонентов АС (противопожарная охрана, охрана помещений, пропускной режим,
обеспечение сохранности и физической целостности СВТ, носителей информации и т.п.).

мероприятия по непрерывной поддержке функционирования и управлению
используемыми средствами защиты;

- явный и скрытый контроль за работой персонала системы;

- контроль за реализацией выбранных мер защиты в процессе проектирования,
разработки, ввода в строй и функционирования АС;

- постоянно (силами отдела (службы) безопасности) и периодически (с
привлечением сторонних специалистов) осуществляемый анализ состояния и оценка
эффективности мер и применяемых средств защиты.

1 ^ Угрозы информационной безопасности

При смене способа хранения информации с бумажного вида на цифровой, появился главный вопрос - как эту информацию защитить, ведь очень большое количество факторов влияет на сохранность конфиденциальных данных. Для того чтобы организовать безопасное хранение данных, первым делом нужно провести анализ угроз, для правильного проектирование схем информационной безопасности.

Угрозы информационной безопасности делятся на два основных типа - это естественные и искусственные угрозы. Остановимся на естественных угрозах и попытаемся выделить основные из них. К естественным угрозам относятся пожары, наводнения, ураганы, удары молний и другие стихийные бедствия и явления, которые не зависят от человека. Наиболее частыми среди этих угроз являются пожары. Для обеспечения безопасности информации, необходимым условием является оборудование помещений, в которых находятся элементы системы (носители цифровых данных, серверы, архивы и пр.), противопожарными датчиками, назначение ответственных за противопожарную безопасность и наличие средств пожаротушения. Соблюдение всех этих правил позволит свести к минимуму угрозу потери информации от пожара.

Если помещения с носителями ценной информации располагаются в непосредственной близости от водоемов, то они подвержены угрозе потери информации вследствие наводнения. Единственное что можно предпринять в данной ситуации - это исключить хранение носителей информации на первых этажах здания, которые подвержены затоплению.

Еще одной естественной угрозой являются молнии. Очень часто при ударах

молнии выходят из строя сетевые карты, электрические подстанции и другие устройства. Особенно ощутимые потери, при выходе сетевого оборудования из строя, несут крупные организации и предприятия, такие как банки. Во избежание подобных проблем необходимо соединительные сетевые кабели были экранированы (экранированный сетевой кабель устойчив к электромагнитным помехам), а экран кабеля следует заземлить. Для предотвращения попадания молнии в электрические подстанции, следует устанавливать заземленный громоотвод, а компьютеры и серверы комплектовать источниками бесперебойного питания.

И так, мы разобрали естественные угрозы информационной безопасности. Следующим видом угроз являются искусственные угрозы, которые в свою очередь, делятся на непреднамеренные и преднамеренные угрозы. Непреднамеренные угрозы -это действия, которые совершают люди по неосторожности, незнанию, невнимательности или из любопытства. К такому типу угроз относят установку программных продуктов, которые не входят в список необходимых для работы, и в последствии могут стать причиной нестабильной работы системы и потери информации. Сюда же можно отнести и другие «эксперименты», которые не являлись злым умыслом, а люди, совершавшие их, не осознавали последствий. К сожалению, этот вид угроз очень трудно поддается контролю, мало того, чтобы персонал был квалифицирован, необходимо чтобы каждый человек осознавал риск, который возникает при его несанкционированных действиях.

Преднамеренные угрозы - угрозы, связанные со злым умыслом преднамеренного физического разрушения, впоследствии выхода из строя системы. К преднамеренным угрозам относятся внутренние и внешние атаки. Вопреки распространенному мнению, крупные компании несут многомиллионные потери зачастую не от хакерских атак, а по вине своих же собственных сотрудников. Современная история знает массу примеров преднамеренных внутренних угроз информации - это проделки конкурирующих организаций, которые внедряют или вербуют агентов для последующей дезорганизации конкурента, месть сотрудников, которые недовольны заработной платой или статусом в фирме и прочее. Для того чтобы риск таких случаев был минимален, необходимо, чтобы каждый сотрудник организации соответствовал, так называемому, «статусу благонадежности».

К внешним преднамеренным угрозам можно отнести угрозы хакерских атак. Если информационная система связана с глобальной сетью интернет, то для предотвращения хакерских атак необходимо использовать межсетевой экран (так называемый firewall), который может быть, как встроен в оборудование, так и реализован программно.

Если соблюдать все меры предосторожности от угроз, которые перечислены выше, то ваша информация будет надежно защищена.

^ 2 Как определить источники угроз

Очевиден тот факт, что защита информации должна носить комплексный характер. Однако организация обеспечения безопасности информации должна еще и основываться на глубоком анализе возможных негативных последствий. Важно не упустить какие-либо существенные аспекты. Уходит в прошлое нагромождение различных средств защиты как реакция на первую волну страха перед компьютерными преступлениями. Приступая к созданию системы информационной безопасности, необходимо оценить, какие угрозы наиболее актуальны.

Предприятия больше не хотят выбрасывать деньги на ветер; они хотят покупать только то, что действительно необходимо для построения надежной системы защиты информации и при этом с минимальными расходами. А чтобы не стрелять из пушки по воробьям и не бросаться с пистолетом на танк, необходимо знать о характере возможных опасностей. Еще Виссарион Белинский отмечал, что «найти причину зла — почти то же, что найти против него лекарство».

С другой стороны, не мешало бы поговорить о том, как изучать опасности. Можно, например, с криком «Ура» броситься на все грабли сразу, и затем каждую новую «шишку» «заклеивать» новыми сканерами, межсетевыми экранами и виртуальными частными сетями. В результате, конечно, можно построить надежную, проверенную защиту, с которой ваш бизнес может спать спокойно — если, конечно, после всего этого у вас останутся средства на продолжение экономической деятельности. Можно учиться на чужих ошибках. Но лучше сначала представить себе все возможные варианты, а затем отобрать наиболее применимые к конкретному случаю.

Здесь опять-таки приходится выбирать, либо полагаясь на накопленный банк данных уже случившихся вариантов проявлений угроз (не будучи до конца уверенным, что все варианты уже проверены), либо пытаясь создать методологический инструмент формирования поля возможных проявлений угроз, основанный на изучении всех факторов и позволяющий рассмотреть даже самые маловероятные варианты. Например, в США только после событий 11 сентября в гражданских самолетах стали ставить бронированные двери в кабины пилотов, в то время как в СССР такую угрозу предвидели еще на заре гражданской авиации.

Однако не будем лукавить, утверждая, что в природе нет методик проведения анализа рисков. Однако все имеющиеся на сегодняшний день методики (к сожалению, преимущественно иностранные) позволяют получить только лишь качественную оценку. Это, например, такие методики, как Guide to BS 7799 risk assessment and risk management — DISC, PD 3002 и Guide to BS 7799 auditing.o — DISC, PD 3004 (на основе стандартов BS 7799 и ISO/IEC 17799-00). В данных методиках оценка безопасности информации проводится по десяти ключевым контрольным точкам, которые либо представляют собой обязательные требования (требования действующего законодательства), либо считаются основными структурными элементами информационной безопасности (допустим, обучение правилам безопасности). Эти контрольные точки применимы ко всем организациям. К ним относятся:

документ о политике информационной безопасности;

распределение обязанностей по обеспечению информационной безопасности;

обучение и подготовка персонала к поддержанию режима информационной
безопасности;

уведомление о случаях нарушения защиты;

средства защиты от вирусов;

планирование бесперебойной работы организации;

контроль копирования программного обеспечения, защищенного законом об
авторском праве;

защита документации организации;

защита данных;

контроль соответствия политике безопасности

Процедура аудита безопасности информационной системы включает в себя проверку наличия перечисленных ключевых точек, оценку полноты и правильности их

реализации, а также анализ их адекватности существующим рискам. Такой подход может дать ответ только на уровне «это хорошо, а это плохо». Вопросы же «насколько плохо или хорошо», «до какой степени критично или некритично» остаются без ответа. Поэтому актуальным является создание такой методики, которая выдавала бы руководителю количественный итог, полную картину ситуации, цифрами подтверждая рекомендации специалистов, отвечающих за обеспечение безопасности информации в компании. Рассмотрим, что легло в основу такой методики.

Деятельность по обеспечению информационной безопасности направлена на то,
чтобы не допустить убытков от потери конфиденциальной информации. Соответственно,
уже предполагается наличие ценной информации, из-за потери которой предприятие
может понести убытки. Благодаря нехитрым логическим измышлениям получаем
следующую цепочку: источник угрозы — фактор (уязвимость) — угроза (действие) —
последствия (атака)

Угрозу отождествляют обычно либо с характером (видом, способом) дестабилизирующего воздействия на информацию, либо с последствиями (результатами) такого воздействия. Однако такого рода термины могут иметь много трактовок. Возможен и иной подход к определению угрозы безопасности информации, базирующийся на понятии «угроза». В соответствии с ожеговским «Словарем русского языка», «угроза» — это намерение нанести физический, материальный или иной вред общественным или личным интересам, возможная опасность. Иначе говоря, понятие угроза жестко связано с юридической категорией «ущерб», которую Гражданский Кодекс определяет как «фактические расходы, понесенные субъектом в результате нарушения его прав (например, разглашения или использования нарушителем конфиденциальной информации), утраты или повреждения имущества, а также расходы, которые он должен будет произвести для восстановления нарушенного права и стоимости поврежденного или утраченного имущества» (ГК РФ, часть I, ст. 15). Анализ негативных последствий реализации угроз предполагает обязательную идентификацию возможных источников угроз, уязвимостей, способствующих их проявлению и методов реализации. И тогда цепочка вырастает в схему, представленную на рис. 1.





Рис. 1.

В ходе анализа необходимо убедиться, что все возможные источники угроз и уязвимости идентифицированы и сопоставлены друг с другом, а всем идентифицированным источникам угроз и уязвимостям сопоставлены методы реализации. При этом важно иметь возможность, при необходимости, не меняя самого методического инструментария, вводить новые виды источников угроз, методов

реализации, уязвимостей, которые станут известны в результате развития знаний в этой области.

Угрозы классифицируются по возможности нанесения ущерба субъекту отношений при нарушении целей безопасности. Ущерб может быть причинен каким-либо субъектом (преступление, вина или небрежность), а также стать следствием, не зависящим от субъекта проявлений. Угроз не так уж и много. При обеспечении конфиденциальности информации это может быть хищение (копирование) информации и средств ее обработки, а также ее утрата (неумышленная потеря, утечка). При обеспечении целостности информации список угроз таков: модификация (искажение) информации; отрицание подлинности информации; навязывание ложной информации. При обеспечении доступности информации возможно ее блокирование, либо уничтожение самой информации и средств ее обработки.



^ Рис. 2. Структура классификаций: а) «Источники угроз»; б) «Уязвимости»; в) «Методы реализации»

Все источники угроз можно разделить на классы, обусловленные типом носителя, а классы на группы по местоположению (рис. 2а). Уязвимости также можно разделить на классы по принадлежности к источнику уязвимостей, а классы на группы и подгруппы по проявлениям (рис. 26). Методы реализации можно разделить на группы по способам реализации (рис. 2в). При этом необходимо учитывать, что само понятие «метод», применимо только при рассмотрении реализации угроз антропогенными источниками. Для техногенных и стихийных источников это понятие трансформируется в понятие «предпосылка».

Классификация возможностей реализации угроз (атак), представляет собой совокупность возможных вариантов действий источника угроз определенными методами реализации с использованием уязвимостей, которые приводят к реализации целей атаки. Цель атаки может не совпадать с целью реализации угроз и может быть направлена на получение промежуточного результата, необходимого для достижения в дальнейшем реализации угрозы. В случае такого несовпадения атака рассматривается как этап подготовки к совершению действий, направленных на реализацию угрозы, т.е. как «подготовка к совершению» противоправного действия. Результатом атаки являются последствия, которые являются реализацией угрозы и/или способствуют такой реализации.

Сам подход к анализу и оценке состояния безопасности информации основывается на вычислении весовых коэффициентов опасности для источников угроз и уязвимостей, сравнения этих коэффициентов с заранее заданным критерием и последовательном

сокращении (исключении) полного перечня возможных источников угроз и уязвимостей до минимально актуального для конкретного объекта.

Исходными данными для проведения оценки и анализа (рис. 3) служат результаты анкетирования субъектов отношений, направленные на уяснение направленности их деятельности, предполагаемых приоритетов целей безопасности, задач, решаемых автоматизированной системой и условий расположения и эксплуатации объекта.

Благодаря такому подходу возможно:

установить приоритеты целей безопасности для субъекта отношений;

определить перечень актуальных источников угроз;

определить перечень актуальных уязвимостей;

оценить взаимосвязь угроз, источников угроз и уязвимостей;

определить перечень возможных атак на объект;

описать возможные последствия реализации угроз.

Результаты проведения оценки и анализа могут быть использованы при выборе адекватных оптимальных методов парирования угрозам, а также при аудите реального состояния информационной безопасности объекта для целей его страхования.

При определении актуальных угроз, экспертно-аналитическим методом определяются объекты защиты, подверженные воздействию той или иной угрозы, характерные источники этих угроз и уязвимости, способствующие реализации угроз.

На основании анализа составляется матрица взаимосвязи источников угроз и уязвимостей из которой определяются возможные последствия реализации угроз (атаки) и вычисляется коэффициент опасности этих атак как произведение коэффициентов опасности соответствующих угроз и источников угроз, определенных ранее.

Предложенная классификация может служить основой для выработки методики оценки актуальности той или иной угрозы, а уже по выявлению наиболее актуальных угроз могут приниматься меры по выбору методов и средств противостояния им.

Сальватор Дали отмечал: «Не бойся совершенства, тебе его не достичь». Сказанное выше не является панацеей при построении системы безопасности информации. Однако системный подход к решению вопросов информационной безопасности позволяет заложить комплекс мероприятий по парированию угроз безопасности информации уже на стадии проектирования, тем самым избавив себя от излишних затрат в дальнейшем.

^ 3 Классификация каналов утечки информации

Под утечкой информации понимается бесконтрольный и неправомерный выход секретной или конфиденциальной информации за пределы организации или круга лиц, которым эта информация была доверена.

Несанкционированный доступ к информации, обрабатываемой в автоматизированных системах, может быть косвенным (без физического доступа к элементам системы) и прямым (с физическим доступом), а также активным (с изменением элементов системы или информации) и пассивным (без изменения).

Под контролируемой зоной понимают места, в пределах которых исключается бесконтрольное пребывание посторонних лиц. В связи с этим понятием принято различать угрозы, источник которых расположен вне контролируемой зоны, и угрозы, источник которых расположен в пределах контролируемой зоны.

К угрозам, источник которых расположен вне контролируемой зоны, можно отнести, например, такие:

- перехват побочных электромагнитных, акустических и других излучений
устройств и линий связи, а также наводок активных излучений на вспомогательные
технические средства, непосредственно не участвующие в обработке информации
(телефонные линии, сети питания, отопления и т. п.);

перехват данных, передаваемых по каналам связи, и их анализ с целью выяснения
протоколов обмена, правил вхождения в связь и авторизации пользователя и
последующих попыток их имитации для проникновения в систему;

дистанционная фото - и видеосъемка.

Примеры угроз, источник которых расположен в пределах контролируемой зоны:

хищение учтенных материальных носителей информации;

хищение производственных отходов (распечаток, записей, списанных носителей
информации и т.п.);

несанкционированное копирование информации;

- отключение или вывод из строя подсистем обеспечения функционирования
вычислительных систем (электропитания, охлаждения, линий связи и т.д.);

- применение подслушивающих устройств.

^ По физическим принципам способы несанкционированного доступа к информации принято подразделять на следующие группы:

акустические (акустический контроль помещений, транспорта, непосредственно
человека, контроль и прослушивание телефонных каналов связи);

визуально-оптические (наблюдение, фотографирование, видеозапись);

электромагнитные (перехват побочных электромагнитных излучений и наводок
на соседние линии, цепи питания и заземления);




документально-предметные (хищение или несанкционированное копирование
носителей информации);

аналитические (исследование открытых публикаций, разговоров, процессов
деятельности, полезного продукта и отходов производства);

- криптоаналитические (перехват и дешифрование засекреченных сообщений);

- перехват компьютерной информации (перехват радиоизлучений компьютера,
несанкционированное внедрение в базы данных);