Главная | Обратная связь | Поможем написать вашу работу!
 МегаЛекции

Термины и определения системы защиты информации




 

Утечка конфиденциальной информации – это проблема информационной безопасности, неподконтрольная владельцу, которая предполагает, что политика информационной безопасности допускает выход данных за пределы информационных систем или лиц, которые по долгу службы имеют доступ к данной информации.

Утечка информации может быть следствем разглашения конфиденциальной информации (защита информации от утечки путем жесткой политики информационной безопасности и правовой защиты информации по отношению к персоналу), уходом данных по техническим каналам (проблемы информационной безопасности решаются с помощью политики информационной безопасности, направленной на повышение уровня компьютерной безопасности, а также защита информации от утечки обеспечивается здесь аппаратной защитой информации и технической защитой информации, обеспечивающие безопасное надежное взаимодействие баз данных и компьютерных сетей), несанкционированного доступа к комплексной системе защиты информации и конфиденциальным данным.

Несанкционированный доступ – это противоправное осознанное приобретение секретными данными лицами, не имеющими права доступа к данным. В этом случае обеспечение защиты информации (курсовая работа) лежит на плечах закона о защите информации.

 

Первый уровень правовой основы защиты информации

Первый уровень правовой охраны информации и защиты состоит из международных договоров о защите информации и государственной тайны, к которым присоединилась и Российская Федерация с целью обеспечения надежной информационной безопасности РФ. Кроме того, существует доктрина информационной безопасности РФ, поддерживающая правовое обеспечение информационной безопасности нашей страны.

Правовое обеспечение информационной безопасности РФ:

· Международные конвенции об охране информационной собственности, промышленной собственности и авторском праве защиты информации в интернете;

· Конституция РФ (ст. 23 определяет право граждан на тайну переписки, телефонных, телеграфных и иных сообщений);

· Гражданский кодекс РФ (в ст. 139 устанавливается право на возмещение убытков от утечки с помощью незаконных методов информации, относящейся к служебной и коммерческой тайне);

· Уголовный кодекс РФ (ст. 272 устанавливает ответственность за неправомерный доступ к компьютерной информации, ст. 273 — за создание, использование и распространение вредоносных программ для ЭВМ, ст. 274 — за нарушение правил эксплуатации ЭВМ, систем и сетей);

· Федеральный закон «Об информации, информатизации и защите информации» от 20.02.95 № 24-ФЗ (ст. 10 устанавливает разнесение информационных ресурсов по категориям доступа: открытая информация, государственная тайна, конфиденциальная информация, ст. 21 определяет порядок защиты информации);

· Федеральный закон «О государственной тайне» от 21.07.93 № 5485-1 (ст. 5 устанавливает перечень сведений, составляющих государственную тайну; ст. 8 — степени секретности сведений и грифы секретности их носителей: «особой важности», «совершенно секретно» и «секретно»; ст. 20 — органы по защите государственной тайны, межведомственную комиссию по защите государственной тайны для координации деятельности этих органов; ст. 28 — порядок сертификации средств защиты информации, от носящейся к государственной тайне); Защита информации курсовая работа.

· Федеральные законы «О лицензировании отдельных видов деятельности» от 08.08.2001 № 128-ФЗ, «О связи» от 16.02.95 № 15-ФЗ, «Об электронной цифровой подписи» от 10.01.02 № 1-ФЗ, «Об авторском праве и смежных правах» от 09.07.93 № 5351-1, «О право вой охране программ для электронных вычислительных машин и баз данных» от 23.09.92 № 3523-1 (ст. 4 определяет условие при знания авторского права — знак © с указанием правообладателя и года первого выпуска продукта в свет; ст. 18 — защиту прав на программы для ЭВМ и базы данных путем выплаты компенсации в размере от 5000 до 50 000 минимальных размеров оплаты труда при нарушении этих прав с целью извлечения прибыли или путем возмещения причиненных убытков, в сумму которых включаются полученные нарушителем доходы).

Как видите, правовое обеспечение информационной безопасности весьма на высоком уровне, и многие компании могут рассчитывать на полную экономическую информационную безопасность и правовую охрану информации и защиту, благодаря ФЗ о защите информации.

Второй уровень правовой защиты информации

На втором уровне правовой охраны информации и защиты (ФЗ о защите информации) – это подзаконные акты: указы Президента РФ и постановления Правительства, письма Высшего Арбитражного Суда и постановления пленумов ВС РФ.

Третий уровень правового обеспечения системы защиты экономической информации

К данному уровню обеспечения правовой защиты информации (реферат) относятся ГОСТы безопасности информационных технологий и обеспечения безопасности информационных систем.

Также на третьем уровне безопасности информационных технологий присутствуют руководящие документы, нормы, методы информационной безопасности и классификаторы, разрабатывающиеся государственными органами.

Четвертый уровень стандарта информационной безопасности

Четвертый уровень стандарта информационной безопасности защиты конфиденциальной информации образуют локальные нормативные акты, инструкции, положения и методы информационной безопасности и документация по комплексной правовой защите информации рефераты по которым часто пишут студенты, изучающие технологии защиты информации, компьютерную безопасность и правовую защиту информации.

 

67. Угрозы информационным системам и их виды. Программы-шпионы. Методы защиты информации

Событие, которое может вызвать нарушение функционирования автоматизированной информационной системы (АИС), включая, искажение, уничтожение или несанкционированное использование обрабатываемой в ней информации, называется угрозой. Возможность реализации угроз зависит от наличия в АИС уязвимых мест, количество и специфика которых определяется видом решаемых задач, характером обрабатываемой информации, аппаратно-программными особенностями системы, наличием средств защиты и их характеристиками.

Основываясь на анализе результатов научных исследований [1, 2, 3, 4] и практических разработок [5, 6, 7, 8, 9, 10, II, 12, 13, 14 и др.], следует выделить два типа угроз:

  • непреднамеренные или случайные действия, выражающиеся в неадекватной поддержке механизмов защиты и ошибками в управлении;
  • преднамеренные угрозы — несанкционированное получение информации и несанкционированная манипуляция данными, ресурсами и самими системами.

Выделение двух типов угроз является недостаточным и требует детализации.

Множество непреднамеренных угроз, связанных с внешними (по отношению к АИС) факторами, обусловлено влиянием воздействий, неподдающихся предсказанию. К ним относят угрозы, связанные со стихийными бедствиями, техногенными, политическими, экономическими, социальными факторами, развитием информационных и коммуникационных технологий, другими внешними воздействиями.

К внутренним непреднамеренным относят угрозы, связанные с отказами вычислительной и коммуникационной техники, ошибками программного обеспечения, персонала, другими внутренними непреднамеренными воздействиями, которые могут быть источниками угроз нормальной работе ЛИС.

К распространенным 029преднамеренным информационным нарушениям относят [15, 16, 17 и др.]:

  • несанкционированный доступ к информации, хранящейся в памяти компьютера и системы, с целью несанкционированного использования;
  • разработку специального программного обеспечения, используемого для осуществления несанкционированных доступа или других действий;
  • отрицание действий, связанных с манипулированием информацией и другие несанкционированные действия;
  • ввод в программные продукты и проекты "логических бомб", которые срабатывают при выполнении определенных условий или по истечении определенного периода времени, частично или полностью выводят из строя компьютерную систему;
  • разработку и распространение компьютерных вирусов;
  • небрежность в разработке, поддержке и эксплуатации программного обеспечения, приводящие к краху компьютерной системы',
  • изменение компьютерной информации и подделку электронных подписей;
  • хищение информации с последующей маскировкой (например, использование идентификатора, не принадлежащего пользователю, для получения доступа к ресурсам системы);
  • манипуляцию данными (например, несанкционированная модификация, приводящая к нарушению целостности данных);
  • перехват (например, нарушение конфиденциальности данных II сообщений);
  • отрицание действий или услуги (отрицание существования утерянной информации);
  • отказ в предоставлении услуги (комплекс нарушений, вызванных системными ошибками, несовместимостью компонент и ошибками в управлении).

Заслуживает внимания подход автора [18], который разделяет преднамеренные угрозы безопасности на:
  • физические, к которым относят хищения, разбойные нападения, уничтожение собственности, террористические акции, другие чрезвычайные обстоятельства;
  • технические, к которым относят перехват информации, радиоразведку связи и управления, искажение, уничтожение и ввод ложной информации;
  • интеллектуальные — уклонение от обязательств, мошеннические операции, агентурная разведка, скрытое наблюдение, психологическое воздействие.

Для получения доступа к ресурсам АИС злоумышленнику необходимо реализовать следующие действия:

  • отключение или видоизменение защитных механизмов;
  • использование недоработок системы защиты для входа в систему;
  • вход в систему под именем и с полномочиями реального пользователя.

В первом случае злоумышленник должен видоизменить защитные механизмы (например, отключить программу запроса паролей пользователей), во втором — исследовать систему безопасности информации на предмет наличия недокументированных возможностей или недоработанных 'механизмов защиты и в третьем — выяснить или с помощью набора действий подделать идентификатор реального пользователя (например, подсмотреть пароль, вводимый с клавиатуры).

Анализируя источники угроз, следует отметить классификацию нарушителей, приведенную в [19]:

первая группа — так называемые хакеры;

вторая группа — преступники, преследующие цели обогащения путем непосредственного внедрения в финансовые системы или получения коммерческой и другой информации для организации действий уголовного характера;

третья группа — террористы и другие экстремистские группы, использующие внедрение в, информационные системы для совершения устрашающих действий, шантажа. Следует особо отметить, что с развитием компьютерных, сетей Internet создается дополнительное киберпространство, где могут производиться различные несанкционированные действия, которые могут о статься нераскрытыми;

четвертая группа — различные коммерческие: организации и структуры, стремящиеся вести пр омышленный шпионаж и борьбу с конкурентами путем добычи или искажения конфиденциальной, финансовой, технологической, проектной, рекламной и другой информации.

Таким образом можно отметить, что рыночные отношения стимулируют совершенствование методов скрытого проникновения в информационные системы конкурирующих фирм.

Рассматривая комплекс угроз, которые получили распространение на сегодняшний день и исследованы в различных публикациях, следует отметить, что в отечественной и зарубежной литературе, посвященной проблеме безопасности АИС, преднамеренные воздействия рассматриваются с различных точек зрения и используются различные категории3.

С. Мафтик при рассмотрении механизмов защиты в сетях ЭВМ выделяет только программы 'типа "троянский конь" [20]. В свою очередь, С.Недков, использует термин "программы проникновения в вычислительные системы" [21].

С появлением компьютерных вирусов получила распространение новая классификация компьютерных злоупотреблений. Н.Н. Безруков в 3 [22,23 и др.] рассматривает предшественников компьютерных вирусов — программы вандалы и троянские кони, с выделением в составе последних логических мин (logic bomb), мин с часовым механизмом (time bomb) и программных люков (trap doors).

:С. И. Расторгуев использует термин "средства скрытого информационного воздействия (ССИВ)", понимая под ними вирусы и программные закладки [24]. B [25] предложен термин "разрушающие программные средства" (РПС), под которыми понимаются программно-реализуемые средства нарушения целостности обработки и хранения информации в компьютерных системах. При этом выделяются три класса: компьютерные вирусы; средства несанкционированного доступа; программные закладки.

Авторы [7], описывая комплекс защиты для АИС с использованием баз данных, в качестве средств несанкционированного доступа выделяют специально разработанное программное обеспечение — программы- шпионы. В данной работе используется термин "программные злоупотребление", который наиболее полно с содержательной и функциональной точки зрения отражает природу подобного вида угроз [5].

Интересным является подход к классификации угроз безопасности АИС, представленный в [25]. Автор классифицирует угрозы следующим образом:

а) по признаку области поражения: угрозы для информационной среды, ее подсистем и элементов; угрозы для предметных областей информационного обеспечения — субъектов и объектов пользования; угрозы для всей социальной системы, исходящие от информационной среды;

6) по признаку их связи с информационной средой определенной социальной системы: внешние; внутренние — идущие от социальной системы и ее элементов; внутрисистемные — исходящие от самой информационной среды;

в) по силе воздействия на область поражения выделяются: разрушительные; дестабилизирующие; парализующие и стимулирующие угрозы;

г) по организационной форме выражения и степени социальной опасности: коллизии, конфликты, проступки, преступления, аварии и катастрофы.

Рассмотренная система классификации угроз реализована с точки зрения информационной безопасности общества и информационных процессов, происходящих в нем. Следует отметить ее функциональную наполненность и емкость.

Наиболее полная классификация угроз безопасности АИС представлена в [17]. Авторы монографии предлагают классификацию угроз по:

цели реализации угрозы: нарушение конфиденциальности, нарушение целостности, нарушение доступности;

принципу воздействия: с использованием доступа, с использованием скрытых каналов;

характеру воздействия: активные, пассивные;

причине появления используемой ошибки защиты: неадекватность политики безопасности, ошибкой управления системой защиты, ошибки проектирования системы защиты) ошибки кодирования;

способу воздействия на объект атаки: непосредственное воздействие на объект атаки, воздействие на систему разрешений, опосредованное воздействие;

способу воздействия: в интерактивном и пакетном режимах;

объекту атаки: на АИС в целом, на объекты АИС, на субъекты АИС, на каналы передачи данных;

используемым средствам атаки: с использованием штатного программного обеспечения, с использованием разработанного программного обеспечения;

состоянию объекта атаки: при хранении объекта, при передаче объекта, при обработке объекта.

Таким образом, в настоящее время отсутствует единый подход к классификации программных злоупотреблений (ПЗ), поскольку они лишь недавно стали объектом пристального внимания и исследования. Кроме того, многообразие форм проявлений, различия во внутренней организации, жизненный цикл и среда обитания — все это существенно усложняет создание единого классификатора.

Особую опасность представляют мониторинговые программные продукты и аппаратные устройства, которые могут быть скрытно и несанкционированно (как правило, дистанционно) установлены без ведома владельца (администратора безопасности) автоматизированной системы или без ведома владельца конкретного персонального компьютера. Данная категория мониторинговых продуктов далее в статье будет именоваться как «программы-шпионы» или «продукты-шпионы».

Санкционированные же мониторинговые программные продукты используются администратором (службой информационной безопасности предприятия или организации) для контроля безопасности локальной сети. Они позволяют фиксировать действия пользователей и процессы, использование пассивных объектов, а также однозначно идентифицировать пользователей и процессы, которые причастны к определенным событиям, для того чтобы предотвратить нарушения безопасности или обеспечить неизбежность ответственности за определенные действия. Именно это свойство (в зависимости от степени его реализации) позволяет в той или иной мере контролировать соблюдение сотрудниками предприятия установленных правил безопасной работы на компьютерах и политики безопасности.
Поделиться:





Воспользуйтесь поиском по сайту:



©2015 - 2024 megalektsii.ru Все авторские права принадлежат авторам лекционных материалов. Обратная связь с нами...