Тема 7 Систем защиты информации в компьютерных системах

date image 2015-04-23
views image 2105
Поделись с друзьями: 

Раздел 3. Построение и организация функционирования комплексных

Систем защиты информации в компьютерных системах.

Тема 7.

Угрозы информационной безопасности

и способы их устранения.

Содержание:

1. Что такое информационная безопасность?

2. Классификация возможных угроз безопасности.

3. Существующие способы устранения угроз.

3.1. Совершенствование системы аутентификации пользователей ЭИС.

3.2. Защита информации внутри ЭИС при хранении.

3.3. Разработка эффективной системы защиты от внутренних угроз.

3.4. Концепция управления экономической безопасностью предприятия для ИС.

3.4.1. Назначение и область применения.

3.4.2. Содержание задач управления экономической безопасностью.

1. Что такое информационная безопасность?

Обеспечение информационной безопасности – обязательное условие функционирования любой информационной системы масштаба предприятия, ведь любое нарушение ее защиты может повлечь за собой потерю времени и финансов, повреждение или разрушение данных, утрату доверия клиентов и пр.

Под информационной безопасностью (в широком смысле) понимается такое свойство процесса информатизации и всей жизнедеятельности общества, которое гарантирует устранение всех негативных последствий информатизации, либо сводит их до такого минимума, который обеспечивает выживание и дальнейшее развитие человечества, его превращение в развитую, гуманную информационную цивилизацию [1, 2].

Проблема информационной безопасности в своем системно-обобщенном плане в настоящее время только начинает разрабатываться в рамках нового научного направления, именуемого социальной информатикой и претендующего на изучение закономерностей взаимодействия общества и информатики, прежде всего, процесса информатизации общества и становления информационной цивилизации.

Информационная безопасность (в узком смысле) (Information security) – это совокупность свойств информации, связанная с обеспечением запрещения неавторизованного доступа (получения, ознакомления с содержанием, передачи, хранения и обработки), модификации или уничтожения, а также любых других несанкционированных действий с личной, конфиденциальной или секретной информацией, представленной в любом физическом виде [2].

По своему содержанию информационная безопасность включает:

- компьютерную безопасность;

- безопасность информационных систем и процессов в обществе (в том числе и еще не охваченных процессом информатизации);

- создание необходимой социальной среды для гуманистической ориентации информационных процессов.

Таким образом, информационная безопасность не сводится только к компьютерной безопасности, так же как информатизация не тождественна компьютеризации общества. Поэтому понятие информационной безопасности, включая в себя компьютерную безопасность в качестве неотъемлемой составной части, должно распространяться на все информационные процессы в обществе и другие социальные процессы, в той или иной степени влияющие на информацию и средства информатики.

Компьютерная безопасность (Computer security) – раздел информационной безопасности, связанный с ее обеспечением при создании и эксплуатации различных систем электронной обработки данных и автоматизированных сетей связи, в первую очередь, вычислительных (компьютерных) систем [3].

Она определяется степенью защищенности (охраны) информации, технических и программных средств вычислительной техники от нанесения им ущерба в результате сознательных либо случайных противоправных действий или стихийных бедствий.

Безопасность вычислительных (информационных, компьютерных) систем (Security of Information (Computer) Systems) – совокупность свойств, связанная с достижением компьютерной безопасности при эксплуатации вычислительных (информационных, компьютерных) систем.

Безопасность данных (Data security) – совокупность свойств данных, связанная с достижением информационной безопасности и определяемая защищенностью данных от случайного или преднамеренного доступа к ним лиц, не имеющих на это право, от неавторизованной модификации данных или от их уничтожения.

Защита (Protection; Lock out) информации при эксплуатации вычислительных (компьютерных) систем – система мер, направленных на ограничение доступа ко всей или части информации, а также недопущения ее несанкционированного использования при эксплуатации вычислительных (компьютерных) систем.

Источник: Основные термины и определения из руководящих документов Гостехкомиссии России.

По мере стремительного развития и усложнения ИТ-инфраструктуры проблема защиты информации приобретает все большее значение. Дело в том, что для повышения эффективности бизнес-процессов предприятия расширяют сферы взаимодействия, что автоматически приводит к росту числа потенциальных угроз и рисков. Следовательно, возрастает и потребность в формировании четкой, основанной на тщательно разработанных политиках системы обеспечения безопасности.

Продукты обеспечения информационной безопасности могут рассматриваться как инструменты увеличения ценности информации, хранимой и передаваемой в открытых сетях. Очевидно, что уровень безопасности зависит от ИТ-инфраструктуры, т.е. от технологий, с помощью которых информация хранится и передается.

На рис.1 [3] приведена условная кривая изменения уровня безопасности в зависимости от смены технологических платформ. История развития ИТ-инфраструктуры показывает, что в момент перехода на новую платформу, с одной стороны, появляются новые возможности обработки и передачи информации, а с другой – падает уровень информационной безопасности.

               
 
   
 
     
     
 
 
 
 


 
 
 
 

 
 

       
   
 
 
 
 


Время

Эра мэйнфреймов ПК ЛВС Клиент-сервер Интернет

Источник: Gartner Group.

Рис.1 – Кривая изменения уровня безопасности в зависимости от смены

технологических платформ.

При этом на каждом этапе кривая изменения уровня безопасности имеет одну и ту же форму с характерными этапами (отмечены цифрами на рис.1):

1. Разработка и внедрение средств безопасности – участок соответствует этапу осознания проблемы и разработки средств, нейтрализующих возникшие угрозы.

2. Внедрение и распространение – участок внедрения некоторого средства безопасности и распространения соответствующих продуктов безопасности на рынке. По мере того, как данные продукты становятся все более известными и доступными, степень безопасности растет.

3. Взросление – этап адаптации и совершенствования систем безопасности.

4. Внедрение новой технологии – внедрение новой технологи обесценивает старую систему безопасности.

Как видно по кривой на рис.1, внедрение Интернета привело к снижению уровня безопасности даже ниже той отметки, на которой он находился на этапе внедрения локальных сетей. И это понятно: до появления глобальной сети многих угроз просто не существовало, например, угрозы мгновенного распространения вируса по всему миру. Конечно, представленная на рис.1 кривая носит условный характер и учитывает лишь глобальные смены ИТ-инфраструктуры, при этом очевидно, что на практике имеются десятки технологий, которые непрерывно сменяют друг друга и образуют бреши в системах безопасности, что требует появления на рынке новых продуктов безопасности.

На современном этапе Информация – это один из видов ресурсов компании, который, наряду с другими бизнес-ресурсами, имеет определенную ценность и потому должен быть надлежащим образом защищен.

Схема, представленная на рис.2, дает представление о структуре информационной безопасности (ИБ) [4], которая предусматривает защиту информации от широко-го спектра угроз для обеспечения непрерывности бизнеса, минимизации потерь и максимизации возврата от вложенных инвестиций. Каждая организация имеет информационные ресурсы (п.1) – знания и умения сотрудников, аппаратное и программное обеспечение, БД, документацию и прочие виды информации (п.2).

Важной составляющей ресурса компании является информация о компании в обществе, которая формирует репутацию фирмы, степень доверия к ней со стороны клиентов, популярность брэнда и т.д.

Информационные ресурсы подвержены потерям в виде нарушения конфиденциальности, работоспособности, целостности и полноты (п.3). Чем ценнее информация в компании, тем больше опасность вредоносных действий, направленных на завладение ею или на ее уничтожение. Вредоносные действия могут совершаться в виде неавторизованного доступа в сеть, неавторизованного раскрытия (утечки) информации, модификации данных или ПО, а также мошеннических действий в сети (п.4).

Наличие описанных уязвимостей определяет угрозы безопасности, которые представляют собой риски, требующие введения мер безопасности. Степень риска определяет уровень затрат на меры безопасности. Меры безопасности должны гарантировать конфиденциальность, целостность, доступность информации, своевременную отчетность, физическую безопасность и контроль доступа (п.5). В свою очередь, меры безопасности могут быть техническими, организационными и управленческими (п.6).

Например, защита от вирусов может быть реализована технически - посредством установки антивируса, а может быть решена организационно путем запрещения выхода в Интернет, самовольной установки ПО и использования мобильных накопителей информации.

Меры безопасности обеспечиваются различными системами безопасности: процедурной, физической, системной, коммуникационной и др. (п.7).

На рис.2 показаны также источники угрозы: намеренные действия со стороны людей, возможные аварии (ошибки работе пользователей, программ и оборудования), а также природные факторы (п.9).

Интересно, что в категорию вандалов и террористов (представляющих опасность с точки зрения кражи и повреждения информации) попадают также журналисты (п.8). Впрочем, очевидно, что в плане утечки корпоративной информации журналисты порой представляют не меньшую опасность для корпорации, чем шпионы. Недаром во многих компаниях общаться с журналистами имеют право лишь определенные категории сотрудников – обычно высший менеджмент и сотрудники отдела маркетинга.



Рис.2 – Структура и составляющие информационной безопасности.


Информационные технологии в настоящее время активно внедряются во все сферы деятельности. Удобство, быстроту, полноту и масштабность современных технологий трудно переоценить. Быстро развивающийся рынок электронных информационных продуктов и услуг предлагает большое количество отечественных и зарубежных экономических информационных систем (ЭИС) различного назначения.

Безопасность (с точки зрения экономики) – это интегральная системная характеристика сложных объектов, которая зависит от надежности элементов, устойчивости и стабильности показателей, управляемости параметров и живучести объекта в целом [3].

Источники опасности – это различные вредные воздействия (ВВ), которые снижают показатели бизнеса. Несмотря на разнообразие ВВ, их единство проявляется в том, что все они наносят ущерб бизнесу. Ущерб значительного размера (урон) может привести к гибели бизнеса, поэтому оперативность в выявлении ущерба и нейтрализации ВВ имеет первостепенное значение.

Управление экономической безопасностью – это оперативное управление скоростью увеличения собственного капитала, которое может выполняться ежедневно, еженедельно, ежемесячно и т.д. [4].

Масштаб применения подобных систем весьма широк, это может быть система, автоматизирующая работу одного из подразделений предприятия (например, бухгалтерия или отдел проектирования), все предприятие в целом (например, системы класса ERP, ERP-II, CRM), или системы, насчитанные на управление целыми корпорациями или даже экономическими отраслями (например, Галактика, Baan, и т.д.). С другой стороны, «зависимость» от качества функционирования и обслуживания ЭИС может серьезно сказаться на экономической безопасности предприятия, так как высокая степень централизации корпоративной информации делает ее особенно уязвимой и увеличивает риск утечки данных.

2. Классификация возможных угроз безопасности.

Событие, которое может вызвать нарушение функционирования экономической информационной системы, включая искажение, уничтожение или несанкционированное использование обрабатываемой в ней информации, называется угрозой. Возможность реализации угроз в ЭИС зависит от наличия в ней уязвимых мест. Состав и специфика уязвимых мест определяется видом решаемых задач, характером обрабатываемой информации, аппаратно-программными особенностями системы, наличием средств защиты и их характеристиками.

Следует выделить два основных класса угроз для ЭИС [5]:

1. Непреднамеренные или случайные действия, выражающиеся в неадекватной поддержке механизмов защиты и ошибками в управлении (например, если пользователи пишут пароли на бумажках и приклеивают их к мониторам, ни о какой защите информации не может быть и речи).

2. Преднамеренные угрозы – несанкционированное получение информации и несанкционированная манипуляция данными, ресурсами и самими системами (например, попадание накопителей на жестких дисках и магнитных лентах в руки посторонних лиц часто приводит к утечке конфиденциальной информации).

Сегодня, например, повсеместное распространение мобильных накопителей информации – таких как flash-диски, винчестеры с USB-интерфейсом и т.д. обусловило появление нового класса угроз информационной безопасности. Несанкционированное использование таких устройств нелояльными сотрудниками может привести к утечке информации из корпоративной сети. Единственной альтернативной физическому отключению USB-портов может быть использование специальной системы защиты информации.

Классификация угроз безопасности ЭИС также может быть осуществлена разделением угроз на связанные с внутренними и внешними факторами.

Множество непредвиденных угроз, связанных с внешними (по отношению к ЭИС) факторами, обусловлено влиянием воздействий, не поддающихся предсказанию (например, угрозы, связанные со стихийными бедствиями, техногенными, политическими, экономическими, социальными факторами, развитием информационных и коммуникационных технологий, другими внешними воздействиями).

В внутренним непредвиденным относят угрозы, связанные с отказами вычислительной и коммуникационной техники, ошибками программного обеспечения, персонала, другими внутренними непреднамеренными воздействиями. Отдельно следует выделить угрозы, связанные с преднамеренными ошибками, возникающие за пределами ЭИС. К таким угрозам относят следующее:

- несанкционированный доступ к информации, хранящейся в системе;

- отрицание действий, связанных с манипулированием информацией (например, несанкционированная модификация, приводящая к нарушению целостности данных);

- ввод в программные продукты и проекты «логических бомб», которые срабатывают при выполнении определенных условий или по истечении определенного периода времени, частично или полностью выводят из строя компьютерную систему;

- разработка и распространение компьютерных вирусов;

- небрежность в разработке, поддержке и эксплуатации программного обеспечения, приводящие к краху компьютерной системы;

- изменение компьютерной информации и подделка электронных подписей;

- хищение информации с последующей маскировкой (например, использование идентификатора, не принадлежащего пользователю, для получения доступа к ресурсам системы);

- перехват (например, нарушение конфиденциальности данных и сообщений);

- отрицание действий или услуги (отрицание существования утерянной информации);

- отказ в предоставлении услуги (комплекс нарушений, вызванных системными ошибками, несовместимостью компонент и ошибками в управлении).

Под несанкционированным доступом (НСД) к ресурсам информационной системы понимаются действия по использованию, изменению и уничтожению исполняемых модулей и массивов данных системы, проводимые субъектом, не имеющим права на подобные действия.

Важно учитывать также и тот факт, что специфика рыночных отношений способствует использованию более изощренных методов скрытого проникновения в файлы данных конкурирующих фирм. Подобное несанкционированное манипулирование информацией и ресурсами ЭИС могут приводить к следующим разновидности их последствий:

- утрата информации – неосторожные действия владельца информации, представленной в ЭИС, или лица, которому была доверена информация в силу его официальных обязанностей в рамках ЭИС, в результате которых информация была потеряна и стала достоянием посторонних лиц;

- раскрытие информации – умышленные или неосторожные действия, в результате которых содержание информации, представленной на различных носителях и в файлах, стало известным или доступным для посторонних лиц;

- порча информации – умышленные или неосторожные действия, приводящие к полному или частичному уничтожению информации, представленной на различных носителях и в файлах;

- кража информации – умышленные действия, направленные на несанкционированное изъятие информации из системы ее обработки, как посредством кражи носителей информации, так и посредством дублирования информации, представленной в виде файлов ЭИС;

- подделка информации – умышленные или неосторожные действия, в результате которых нарушается целостность информации, находящейся на различных носителях и в файлах ЭИС;

- блокирование информации – умышленные или неосторожные действия, приводящие к недоступности информации в системе ее обработки;

- нарушение работы системы обработки информации - умышленные или неосторожные действия, приводящие к частичному или полному отказу системы обработки или создающие благоприятные условия для выполнения вышеперечисленных действий.

К сожалению, приходится констатировать, что унифицированный научный подход к классификации угроз информационной безопасности ЭИС отсутствует. И это вполне объяснимо, так как при всем том многообразии информационных систем, направленных на автоматизацию множества технологических процессов, которые затрагивают различные сферы человеческой деятельности, жесткая систематизация и классификация угроз неприемлема.

Наиболее приемлемой в настоящее время можно считать следующую классификацию (рис.3) [5]:


По статусу и последствиям

           
   
     


По типу

 
 


По целям


По характеру возникновения

 
 


Информационные и коммуникационные технологии в качестве

 
 


По месту возникновения

 
 


По объекту воздействия

 
 


По причине возникновения

               
       


Рис.3 – Классификация угроз информационной безопасности ЭИС.

- Под компьютерным преступлением (КП) следует понимать комплекс противоправных действий, направленных на несанкционированный доступ, получение и распространение информации, осуществляемых с использованием средств вычислительной техники, коммуникаций и ПО.

- Компьютерное мошенничество отличается от других видов компьютерных нарушений тем, что его целью является незаконное обогащение нарушителя.

- Компьютерное хулиганство, на первый взгляд, является безобидной демонстрацией интеллектуальных способностей, но последствия подобных действий могут быть весьма серьезными, поскольку они приводят к потере доверия пользователей к вычислительной системе, а также к краже данных, характеризующих личную или коммерческую информацию.

По типу реализации можно различать программные и непрограммные злоупотребления. К программным относят злоупотребления, которые реализованы в виде отдельного программного модуля или модуля в составе программного обеспечения. К непрограммным относят злоупотребления, в основе которых лежит использование технических средств ЭИС для подготовки и реализации компьютерных преступлений (например, несанкционированное подключение к коммуникационным сетям, съем информации с помощью специальной аппаратуры и др.).

Компьютерные злоумышленники преследуют различные цели и для их реализации используют широкий набор программных средств. Исходя из этого, представляется возможным объединение программных злоупотреблений по целям в две группы: тактические и стратегические. К тактическим относят злоупотребления, которые преследуют достижение ближайшей цели (например, получение пароля, уничтожение данных и др.). К группе стратегических относятся злоупотребления, реализация которых обеспечивает возможность получения контроля над технологическими операциями преобразования информации, влияние на функционирование компонентов ЭИС (например, мониторинг системы, вывод из строя аппаратной и программной среды и др.).

По характеру возникновения различают непреднамеренные и преднамеренные злоупотребления. Непреднамеренные угрозы связаны со стихийными бедствиями и другими неподдающимися предсказанию факторами, сбоями и ошибками вычислительной техники и программного обеспечения, а также ошибками персонала. Преднамеренные угрозы обусловлены действиями людей и ориентированы на несанкционированное нарушение конфиденциальности, целостности и / или доступности информации, а также использование ресурсов в своих целях.

При реализации угроз безопасности информационные и коммуникационные технологии могут выступать в качестве объекта преступления, средства преступления, средства подготовки преступления или среды совершения преступления.

По месту возникновения угроз безопасности ЭИМС можно различать угрозы, возникающие в пределах ЭИС, и угрозы, возникающие во внешней среде.

По объекту воздействия следует выделять угрозы, воздействующие на ЭИС в целом, и угрозы, воздействующие на отдельные ее элементы.

По причине возникновения различают такие угрозы, как сбои оборудования, некорректная работа операционных систем и программного обеспечения, несанкционированный доступ и неправильное хранение архивных данных, вследствие чего они могут быть утеряны (уничтожены).

Реализация нарушителями угроз безопасности ЭИС приводит к нарушению нормального функционирования ЭИС и / или к снижению безопасности информации, определенное конфиденциальностью, целостностью и доступностью.

Как известно, обеспечение ИТ-безопасности предполагает защиту от внешних (вирусы, спам, хакерские атаки и шпионские модули) и внутренних угроз (атаки, исходящие изнутри, такие как кражи конфиденциальных сведений, умышленные и случайные противоправные действия сотрудников, нецелевое использование сетевых ресурсов компании и т.п.).

Ранее наиболее пристальное внимание уделялось внешним угрозам, в первую очередь, вирусам, которые считались самыми опасными, - действительно, вирусные атаки по-прежнему наносят наиболее ощутимый финансовый ущерб. Так, согласно последнему отчету CSI/FBI Computer Crime and Security Survey, в принявших участие в исследовании американских корпорациях потери от вирусных атак составили почти 30% от всех их потерь (рис.4) [6].

Суммарный объем потерь за 2006 год – 52 494 290 долл.
Вирусы 15 891 480
Неавторизированный доступ к данным   10 617 000
Кража ноутбуков и др. мобильных устройств   6 642 660
Кража конфиденциальных данных   6 034 000
DOS-атаки   2 922 010
Финансовое мошенничество   2 556 900
Неправомерное использование сети инсайдером   1 849 810
Телекоммуникационное мошенничество   1 262 410
Боты внутри организации   923 700
Проникновение в систему внешнего нарушителя   758 000
Фишинг   647 510
Проникновение в беспроводную сеть   469 010
Неправомерное использование IM   291 510
Неправомерное использование web-приложений   269 500
Саботаж   260 000
Взлом web-сайта   162 500
Выслеживание паролей   161 210
Эксплуатация DNS-сервера компании   90 100
Соблюдение установленных норм   885 и000
  0 5 000 000 10 000 000 15 000 000
                         

Источник: CSI/FBI Computer Crime and Security Survey, 2006.

Рис.4 – Объем потерь от различных видов атак.

Вместе с тем, сегодня ИТ-руководители все более обеспокоены внутренними угрозами, для чего у них имеются все основания. Во-первых, это касается неавторизированного доступа, который прочно удерживает второе место по наносимому финансовому ущербу. Во-вторых, это такие угрозы, как кража ноутбуков и других мобильных устройств и кража частной информации, занимающие третье и четвертное место в рейтинге угроз, приводящие к наибольшим финансовым потерям. В целом на названные четыре вида атак приходится более 74% финансовых убытков.

Однако явные финансовые потери – это еще не самое страшное для бизнеса, куда более серьезным ущербом является ухудшение репутации компании, что помимо прямых финансовых убытков автоматически влечет за собой потерю партнеров и клиентов, падение стоимости акций, недополучение прибыли и т.д. Поэтому возглавляют рейтинг самых опасных угроз не вирусы (они на 3-м месте), а кража информации (65,8%), и потеря клиентов (36,9%) и т.д. (рис.5).

Если попробовать четко разделить все угрозы на внутренние и внешние, отнеся в категорию внутренних угроз халатность сотрудников, саботаж и финансовое мошенничество, а в категорию внешних – вирусы, хакеры и СПАМ, и нормировать рейтинг опасности каждой категории, то легко увидеть, что внутренние (56,5%) угрозы превалируют над внешними (43,5%).

Правда, стоит признать, что такое разбиение несколько относительно, поскольку угрозы кражи информации, различных сбоев и кражи оборудования сложно отнести к одной категории – они могут быть реализованы как изнутри, так и снаружи или вообще без вмешательства человека, например, в результате аппаратных сбоев.

Источник: InfoWatch, 2006.

Рис.5 – Рейтинг самых опасных угроз в 2004-2006 годах.

Источник: InfoWatch, 2006.

Рис.6 – Наиболее опасные последствия утечки конфиденциальной информации.

Конечно, нельзя категорически утверждать, что внутренние риски в сфере информационной безопасности опаснее внешних, но факт налицо: угрозы со стороны сотрудников сегодня вызывают гораздо больше беспокойства, чем вирусы, хакеры, СПАМ и т.д. Это объясняется тем, что от внутренних нарушителей нельзя защититься так же надежно, как, например, от вредоносных программ, установив антивирус и регулярно обновляя его сигнатурные базы, - потребуется сформировать куда более сложную систему защиты.

Интересно сравнить, насколько активно компании подвергаются атакам со стороны киберпреступников, атакующих извне, и инсайдеров, нападающих изнутри. Так, инсайдеры лидируют (56%) в категории «кража конфиденциальной информации» (что вполне логично) (рис.7), причем, количество организаций, пострадавших от собственных сотрудников, за последний год выросло почти в полтора раза. Однако с не меньшим успехом конфиденциальную информацию крадут и при внешних атаках (49%). Опережают инсайдеры киберпреступников и в плане саботажа, вымогательства, а также преднамеренной порчи либо уничтожения информации, систем и сетей (49% против 41%). Зато к неавторизированному доступу или к несанкционированному использованию информационных ресурсов и сетей чаще прибегают киберпреступники, чем сотрудники компаний (60% против 47%). Они же чаще специализируются на фальсификации (68% против 47%) и краже личных данных (79% против 46%). Так что в целом можно сделать вывод, что внутренние атаки не менее часты, чем внешние, а фокус в обеспечении ИТ-безопасности все более смещается с защиты от внешних угроз – вредоносных кодов, сетевых атак и фильтрации спама – к предотвращению атак. Исходящих изнутри.

Все это вынуждает компании более серьезно отнестись к проблеме обеспечения информационной безопасности, которые постепенно начинают предпринимать определенные шаги для изменения ситуации. Так, согласно исследованию «2006 E-Crime Watch Survey», проведенному журналом SCO (Chief Securety Officer) совместно с Секретной службой США (US Secret Service) на базе 15 тыс. читателей журнала, большую (по сравнению с 2005 г.) озабоченность компаний угрозами электронной безопасности подтвердили более половины респондентов. При этом 69% сообщили, что организации, в которых они работают, теперь лучше подготовлены к пресечению электронных атак. Приведенные данные вполне закономерны, ведь последствия компьютерных преступлений обходятся для компаний намного дороже, чем внедрение средств по их предотвращению – так, согласно заявлению аналитиков Cartner, на утечках данных экономия в среднем может достигать 500%.

Российские ИТ-руководители также все больше склоняются к необходимости принятия мер по формированию надежной системы безопасности – например, за 2006 г., согласно исследованию InfoWatch, число российских компаний, внедривших системы защиты от утечек информации, выросло почти в пять раз. Хотя говорить о массовом внедрении у нас систем обеспечения безопасности, конечно, пока не приходится, поскольку подобная работа ведется лишь в одной из десяти компаний.

Источник: исследование 2006 E-Crime Watch Survey.

Рис.7 – Направленность преступлений в сфере информационной безопасности.

3. Существующие способы устранения угроз.

В настоящее время в проблеме защиты информационного ресурса существует два направления, отличающиеся по существу общественных отношений и формой организации. Это защита государственного информационного ресурса и защита информации независимого сектора экономики.

Функционально государственная система защиты информации должна в полной мере обеспечить решение таких проблем, как [5]:

- разработка общей технической политики и концепций обеспечения безопасности информации;

- разработка законодательно-правового обеспечения проблемы, участие в подготовке законодательных актов в смежных областях;

- координация деятельности органов государственного управления по отдельным направлениям защиты информации;

- разработка нормативно-технических и организационно-распорядительных документов;

- сертификация технических и программных средств по требованиям безопасности;

- лицензировании деятельности по оказанию услуг в сфере безопасности информации;

- надзор (контроль) и подготовка кадров;

- финансирование важнейших научно-исследовательских и опытно-конструктор-ских работ;

- страхование;

- информационное обеспечение.

Формирование системы защиты информации является сложной задачей. В разных странах она сильно различается по содержанию и зависит от таких факторов, как научный потенциал страны, степень внедрения средств информатизации в жизнь общества и экономику, развитие производственной базы, ориентация потребителя и, в первую очередь, армии и государственных структур на приобретение отечественных средств вычислительной техники или на закупку их по импорту, общей культуры общества и, наконец, традиций и норм поведения субъектов правоотношений.

Основными направлениями деятельности по защите информации в организациях являются (рис.8) [3]:

1. Законодательно-правовое обеспечение, представляющее собой взаимоувязанный комплекс законодательных и иных правовых актов, устанавливающих правовой статус субъектов правоотношений, субъектов и объектов защиты, методы, формы и способы защиты и их правовой статус. Система законодательных актов и разработанных на их базе нормативных и организационно-распорядительных документов должна обеспечивать организацию эффективного надзора за их исполнением со стороны правоохранительных органов и реализацию мер судебной защиты.

2. Организационно-техническое обеспечение, которое представляет собой комплекс взаимокоординируемых мероприятий и технических мер, реализующих практические механизмы защиты. Условно эти мероприятия подразделяются на системообразующие и надзорные (контрольные). Особенностью надзорных мероприятий является необходимость создания независимого, внеотраслевого надзора за защитой и уровнем безопасности информации.

3. Страховое обеспечение предназначено для защиты собственника информации или средств информатизации как от традиционных угроз (краж, стихийных бедствий), так и от угроз, возникающих в ходе информатизации общества. К ним относятся утечки информации, хищения, модификации, уничтожение, отказы в обслуживании и др.

Весьма остро стоит вопрос защиты от военного и промышленного шпионажа и страхование риска.


Рис.8 – Основные направления деятельности по защите информации.

Система защиты информации должна отвечать следующим требованиям:

- Обеспечивать безопасность информации, средств информатизации, защиту интересов участников информационных отношений. Решение этой задачи достигается комплексной реализацией законодательной, организационно-технической и страховой форм защиты.

- Система в целом, методы и способы защиты должны быть по возможности «прозрачными» для пользователя, не создавать ему дополнительных неудобств, связанных с процедурами проверки полномочий и контроля доступа к информации.

- Система должна реализовывать методы как директивного, так и функционального управления.

Рассмотрим основные способы защиты информации (рис.9) [2].

 
 


   
 
 
 
 
 


Рис.9 – Способы и средства защиты информации.

Препятствия физически преграждают злоумышленнику путь к защищаемой информации (т.е. на территорию и в помещения с аппаратурой, носителями информации и т.п.).

Управление доступом – способ защиты информации регулированием использования всех ресурсов систем (технических, программных средств, элементов баз данных). Предполагается, что в системе обработки данных установлены четкие и однозначные регламенты работы для пользователей, технического персонала программных средств, элементов баз данных и носителей информации.

В системе обработки данных должны быть регламентированы дни недели и время суток, в которые разрешена работа пользователям и персоналу системы.

В дни работы персонала должен быть определен перечень ресурсов системы, к которым разрешен доступ и порядок доступа к ним.

Необходимо иметь список лиц, которым предоставлено право на использование технических средств, программ и функциональных задач.

Для элементов баз данных указываются список пользователей, имеющих право доступа, и перечень процедур.

Для носителей информации строго определяются место постоянного хранения, список лиц, имеющих право получать их, перечень программ, имеющих право обращения к носителям.

Собственно управление доступом включает следующие функции защиты:

- идентификацию пользователей, персонала и ресурсов системы, причем под идентификацией понимается присвоение каждому названному выше объекту персонального идентификатора (имени, кода, пароля и т.п.) и опознание (установление подлинности) субъекта или объекта по предъявленному им идентификатору;

- проверку полномочий, заключающуюся в проверке соответствия дня недели, времени суток, а также запрашиваемых ресурсов и процедур установленному регламенту;

- разрешение и создание условий работы в пределах (и только в пределах) установленного регламента;

- регистрацию (протоколирование) обращений к защищаемым ресурсам;

- реагирование (задержка работ, отказ, отключение, сигнализация) при попытках несанкционированных действий.

Маскировка – способ защиты информации путем ее криптографического закрытия. Специалисты считают криптографическое закрытие весьма эффективным как с точки зрения собственно защиты, так и с точки зрения наглядности для пользователей. За рубежом этот вид защиты широко применяется как при обработке, так и при хранении информации. При передаче информации по линиям связи большой протяженности криптографическое закрытие является единственным способом надежной ее зашиты.

Регламентация как способ защиты заключается в разработке и реализации в процессе функционирования систем путем обработки данных комплексов мероприятий, создающих такие условия автоматизированной обработки и хранение защищаемой информации, при которых возможности несанкционированного доступа к ней сводились бы к минимуму. Для эффективной защиты необходимо строго регламентировать структурное построение (архитектура зданий, оборудование помещений, размещение аппаратуры и т.п.), технологические схемы автоматизированной обработки защищаемой информации, организацию и обеспечение работы всего персонала, занятого обработкой информации и т.п.

Принуждение – такой способ защиты, при котором пользователи и персонал систем обмена вынуждены соблюдать правила обработки и использования защищаемой информации под угрозой материальной, административной или уголовной ответственности.

Рассмотренные способы защиты информации реализуются применением различных средств защиты. Различают технические, программные, организационные, законодательные и морально-этические средства (рис.9).

Технические средства реализуются в виде электрических, электромеханических, электронных устройств. Всю совокупность технических средств принято делить на аппаратные и физические. Под аппаратными техническими средствами защиты понимаются устройства, встраиваемые непосредственно в аппаратуру систем обработки данных, или устройства, которые сопрягаются с аппаратурой по стандартному интерфейсу. Наиболее известные аппаратные средства, используемые на первом этапе – это схемы контроля информации по четности, схемы защиты полей памяти по ключу, специальные регистры (например, регистры границ поля запоминающих устройств) и т.п.

Физические средства реализуются в виде автономных устройств и систем (электронно-механическое оборудование охранной сигнализации и наблюдения, замки на дверях, решетки на окнах и т.п.).

Программные средства защиты образуют программы, специально предназначенные для выполнения функций, связанных с защитой информации.

Организационными средствами защиты называются организационно-технические и организационно-правовые мероприятия, осуществляемые в процессе создания и эксплуатации систем для обеспечения защиты информации. Организационные мероприятия охватывают все структурные элементы систем обработки данных на всех этапах их жизненного цикла: строительство помещений, проектирование системы, монтаж и наладка оборудования, испытания и проверки, эксплуатация.

К законодательным средствам защиты относятся законодательные акты, которыми регламентируются правила использования и обработки информации ограничительного доступа и устанавливаются меры ответственности за нарушение этих правил.

К морально-этическим средствам защиты относятся всевозможные нормы, которые сложились традиционно или складываются по мере распространения вычислительных средств в стране или обществе. Эти нормы большей частью не являются обязательными, как законодательные меры, однако несоблюдение их ведет обычно к потере авторитета, престижа человека или группы лиц (организаций).

Морально-этические нормы бывают как «неписанные» (например, общепринятые нормы честности, патриотизма и т.п.), так и регламентированные в законодательном порядке, т.е. в виде свода правил и предписаний. Наиболее характерным примером таких норм является Кодекс корпоративной этики и т.п.

Все рассмотренные средства защиты делятся на формальные и неформальные. К формальным относятся средства, выполняющие защитные функции строго заранее предусмотренной процедуре и без непосредственного участия человека. К неформальным средствам отнесены такие, которые либо определяются целенаправленной деятельностью людей, либо регламентируют (непосредственно или косвенно) эту деятельность.

На первом этапе развития концепций защиты информации преимущественное развитие имели программные средства, второй этап характеризовался интенсивным развитием всех основных классов средств, на третьем этапе все определенней вырисовываются следующие тенденции:

- аппаратная реализация основных функций защиты;

- создание комплексных средств защиты, выполняющих несколько различных функций защиты;

- унификация и стандартизация средств.

Исходя из вышеизложенного, необходимо разрабатывать соответствующие методы и средства обеспечения информационной безопасности экономических информационных систем, среди них можно предложить следующие:

- Совершенствование системы аутентификации пользователей ЭИС.

- Защита информации внутри ЭИС при хранении.

- Разработка эффективной системы защиты от внутренних угроз.

3.1. Совершенствование системы аутентификации пользователей ЭИС.

Аутентификация (или идентификация) пользователя – эта процедура выполняется каждый раз, когда пользователь вводит логин и пароль для доступа к компьютеру, в сеть или при запуске прикладной программы. В результате ее выполнения он получает либо доступ к ресурсу, либо вежливый отказ в доступе.

Как правило, информационная инфраструктура современных предприятий гетерогенна. Это означает, что в одной сети совместно существуют сервера под управлением разных операционных систем и большое количество прикладных программ. В зависимости от рода деятельности предприятия это могут быть приложения электронной почты и групповой работы (GroupWare), CRM- и ERP-системы, системы электронного документооборота, финансового и бухгалтерского учета, и т.д.

Количество паролей, которые необходимо помнить обычному пользователю, может достигать 5-6. Пользователи пишут пароли на бумажках и приклеивают на видных местах, сводя тем самым на нет все усилия по защите информации, либо постоянно путают и забывают пароли, вызывая повышенную нагрузку на службу поддержки. Если к этому добавить, что каждый пароль должен состоять не менее чем из 6-8 произвольных букв, цифр и спецсимволов, и его необходимо периодически менять, то серьезность проблемы очевидна.

Оптимальное решение проблемы – специальное программное обеспечение, позволяющее хранить пароли в защищенной памяти электронных идентификаторов и в нужный момент извлекать их и предоставлять соответствующим системным или прикладным компонентам.

В качестве электронных идентификаторов могут использоваться USB-брелки или смарт-карты, что позволяет контролировать их обращение и организовать строгий учет, в отличие от паролей, для которых это невозможно в принципе.

Такие системы существенно снижают утечки информации, связанные с ошибками персонала, а также с преднамеренными действиями нечестных или обиженных сотрудников и обеспечивают надежную аутентификацию пользователей при доступе к сетевым ресурсам.

3.2. Защита информации внутри ЭИС при хранении.

Современные корпорации сталкиваются с бурным ростом объемов данных, необходимых для их повседневной работы. Этот рост вызван потребностью иметь «на кончиках пальцев» финансовую, маркетинговую, техническую, статистическую и другую информацию для оперативного реагирования на изменения рыночной ситуации, поведение конкурентов и клиентов. Высокая степень централизации информации увеличивает риск утечки.

Информация в корпоративных сетях хранится на жестких дисках и магнитных лентах, и попадание именно этих носителей в руки злоумышленника создает наиболее серьезную угрозу информационной безопасности и может привести к тяжелым последствиям.

Приведем несколько возможных вариантов утечки конфиденциальной информации, хранящейся на жестких дисках и лентах: отправка серверов или жестких дисков в ремонт; перевозка компьютеров из одного офиса в другой; утилизации компьютеров, серверов, жестких дисков и лент; перевозка ленты в депозитарий и т.д.

Очевидно, что такие решения, как системы защиты периметра сети или системы аутентификации в данном случае не работают, поскольку злоумышленник получает физический доступ к носителям информации.

Оптимальное решение проблемы – для защиты информации в процессе хранения необходима защита информации, размещенной на жестких дисках, на дисковых массивах и в хранилищах методом шифрования данных, а также шифрование данных на диске персональных компьютеров. Особое значение приобретает защита информации при резервном копировании.

3.3. Разработка эффективной системы защиты от внутренних угроз.

Очевидно, что обиженный или недовольный сотрудник компании, имеющий легальный доступ к сетевым и информационным ресурсам и обладающий определенными знаниями о структуре корпоративной сети, может нанести своей компании гораздо больший ущерб, чем хакер, взламывающий корпоративную сеть через Интернет. Этот факт подтверждает и статистика. Так, по различным оценкам, от 50% до 80% атак, направленных на получение информации ограниченного доступа, начинается из локальной сети предприятия (интрасети).

Особенную актуальность проблема внутренних угроз получила в связи с появлением и повсеместным распространением мобильных накопителей информации, подключаемых через USB порты – таких как flash-диски, винчестеры с USB-интерфейсом и т.д. Любой сотрудник компании может практически незаметно пронести на территорию предприятия компактный носитель большого объема и скопировать на него всю интересующую его информацию [5].

Оптимальное решение проблемы – системы, блокирующие порты персонального компьютера, к которым подключаться внешние устройства и возможность гибкой настройки прав доступа на основе списков контроля доступа. Такие системы могут запретить использование внешних накопителей информации, и разрешить подключение каких-либо других внешних устройств, например, USB-ключей для аутентификации пользователей. Существующая возможность записи в журнал неудачных попыток подключения позволит выявить потенциально нелояльных сотрудников на ранних этапах.

Рассмотренные методы и средства преодоления информационной безопасности ЭИС нуждаются в дальнейшем совершенствовании и развитии, но даже относительно простые приведенные способы защиты позволяют существенно снизить риск несанкционированного доступа к информации, возможность ее порчи и кражи, что значительно повышает экономическую безопасность предприятия в целом.

Согласно статистики, более 80% организаций проводят теперь аудит надежности системы информационной безопасности. В 98% компаний для предотвращения нарушений информационной безопасности используются межсетевые экраны, в 97% установлены антивирусы, в 79% - антишпионские программы, в 70% - серверные списки контроля, а в 69% - системы обнаружения вторжений (рис.10).

Источник: исследование 2006 CSI/FBI Computer Crime and Security Survey.

Рис.10 – Применяемые технологии для предотвращения нарушений

информационной безопасности.

В качестве примера реализации информационной системы для анализа экономической безопасности приведем концепцию управления экономической безопасностью предприятия для ЭИС.

3.4. Концепция управления экономической безопасностью предприятия для ИС.

Источник: https://reco.ru/arcticls/safety/principle.

В основе концепции управления экономической безопасностью экономического объекта (ЭО) предприятия лежат следующие принципы:

1. В глобальной экономике экономическая безопасность оценивается скоростью увеличения экономических показателей, в первую очередь, собственного капитала. Скорость увеличения экономических показателей должна быть не ниже той, что у конкурентов. Скорость увеличения собственного капитала показатель не только роста, но и развития предприятия.

2. Скорость увеличения собственного капитала – целевой показатель роста и развития предприятия и оценка его экономической безопасности.

3. Необходимое условие управления экономической безопасностью – наличие математической модели (ММ) ЭО.

4. ММ должна быть адекватной ЭО и обеспечивать наблюдаемость по выходу и управляемость его по входу. ММ также должна обеспечивать аналитическую формулировку зависимости цели от вредных воздействий (угроз), снижающих экономическую безопасность.

5. Проблема построения адекватной ММ – это проблема разложения цели на параметры бизнеса, описывающие как угрозы, так и средства защиты от них.

6. Существующие подходы к построению ММ на основе показателей бухгалтерского описания или само это описание не удовлетворяют требованиям наблюдаемости, управляемости и декомпозиции цели.

7. В рассматриваемой концепции использован новый класс рациональных ММ, отражающих механизмы функционирования ЭО в среде экономики и удовлетворяющий предъявляемым требованиям. Рациональные ММ отражают угрозы и средства защиты от них.

8. Рациональные ММ обеспечивают 3-х уровневое разложение цели на параметры и показатели бизнеса. Совокупность параметров обладает функциональной полнотой, что обеспечивает однозначное соответствие цели и формирование оценок значений параметров по критериям экономической безопасности. Слой показателей бизнеса также однозначно соответствует параметрической ММ.

9. Для оценки экономической безопасности используются показатели эффективности бизнеса, «уязвимости» и «живучести» бизнеса.

10. Показатели бизнеса рассматриваются как интегральные показатели бухгалтерского описания, что позволяет установить между ними достаточное соответствие.

11. Управление экономической безопасностью – это управление бизнесом по номинальным параметрам, обеспечивающим номинальную скорость увеличение собственного капитала.

12. Задачи управления экономической безопасностью:

- определение номинальных значений скорости увеличения собственного капитала и параметров бизнеса;

- назначение плановых значений скорости увеличения собственного капитала и параметров бизнеса как эталонов поведения;

- оценка плановых значений параметров по критериям экономической безопасности: показатели эффективности и «живучести» бизнеса.

Анализ плановых угроз и средств защиты:

- расчет плановых значений интегральных показателей как эталонов бухгалтерского описания;

- выдача директив по плановым значениям цели и эталонов поведения;

- анализ отчетов в виде фактических интегральных показателей бизнеса, построенных по фактическому бухгалтерскому описанию;

- расчет фактических значений параметров бизнеса, сравнение с плановыми и номинальными значениями;

- оценка фактических значений параметров по критериям экономической безопасности: показателям эффективности и «живучести» бизнеса; анализа угроз и средств защиты;

- расчет фактических значений скорости увеличения собственного капитала, сравнение с плановыми и номинальными значениями;

- выявление «узких мест», выработка управлений, направленных на минимизацию отклонений.

13. Управление экономической безопасностью – это оперативное управление скоростью увеличения собственного капитала, которое может выполняться ежедневно, еженедельно, ежемесячно и т.д. В отличие от аудита на ввод и обработку управленческой информации требуется несколько минут.

14. Концепция управления экономической безопасностью позволяет реализовать идею «пульта управления бизнесом».

ИС экономической безопасности должна обладать следующими характеристиками (ИС поддержки управления экономической безопасностью предприятия).

3.4.1. Назначение и область применения.

ИС поддержки управления экономической безопасностью предприятия предназначены для владельцев и руководителей (топ менеджеров) предприятий различных сфер бизнеса. ИС используется для оперативного управления (мониторинга) экономической деятельностью предприятия с целью обеспечения экономической безопасности.

ИС реализует концепцию управления экономической безопасностью предприятия.

Концепция экономической безопасности состоит в оперативном аналитическом управлении (мониторинге) скоростью увеличения собственного капитала бизнеса путем:

- планирования параметров и показателей бизнеса;

- оперативного контроля фактических показателей и параметров бизнеса;

- оперативного выявления и оценки отклонений «факт-план».

Основное рабочее пространство управления ИС – пространство параметров бизнеса, которые описывают эквивалентные показатели формирования и распределения дохода. В параметрическом пространстве по плановым значениям скорости увеличения собственного капитала определяют плановые значения параметров бизнеса. Значения параметров оценивают по критериям экономической безопасности: показатели эффективности и «живучести» бизнеса, анализируют плановые угрозы и средства защиты.

Результат параметрического проектирования безопасного бизнеса преобразуют в плановые интегральные показатели бухгалтерского описания, которые используют в качестве директив.

ИС обеспечивает оперативный анализ фактических показателей бизнеса путем преобразования их фактических параметров, оценки их по критериям экономической безопасности анализа фактических угроз и эффективности использованных средств защиты. Безопасность обеспечивается за счет оперативного контроля фактических показателей экономической безопасности бизнеса.

В параметрическом пространстве ИС реализована идея «пульта управления бизнесом». Задачи управления экономической безопасностью:

1. Назначение плановых параметров бизнеса.

2. Планирование бизнеса в интегральных показателях бухгалтерской отчетности.

3. Анализ фактических интегральных показателей бизнеса.

4. Анализ и оценка фактических параметров экономической безопасности бизнеса.

3.4.2. Содержание задач управления экономической безопасностью.

1. Назначение плановых параметров бизнеса.

- Назначение плановых значений скорости увеличения собственного капитала и параметров бизнеса.

- Оценка плановых значений параметров по критериям экономической безопасности: показателям эффективности и «живучести» бизнеса.

- Анализ плановых угроз и средств защиты.

2. Планирование бизнеса в интегральных показателях бухгалтерской отчетности.

- Расчет плановых значений интегральных показателей бухгалтерского описания.

- Выдача директив по плановым значениям цели и интегральным показателям как эталонам поведения.

3. Анализ фактических интегральных показателей бизнеса.

- Прием отчетов по фактическим интегральным показателям, составленным по фактическому бухгалтерскому описанию.

4. Анализ и оценка фактических параметров экономической безопасности бизнеса.

- Расчет фактических значений параметров бизнеса, оценка их по критериям экономической безопасности и анализ фактических угроз и средств защиты.

- Расчет фактических значений скорости увеличения собственного капитала, сравнение с плановыми значениями, определение «упущенной выгоды».

- Выявление и анализ «узких мест», выработка управлений, направленных на минимизацию отклонений.

В ИС обычно используются 5 уровней описания бизнеса:

1. Уровень целевой функции – скорости увеличения собственного капитала.

2. Уровень оценок экономической безопасности.

3. Уровень параметров бизнеса.

4. Уровень интегральных показателей бухгалтерского описания.

5. Уров

Понравилась статья? Добавь ее в закладку (CTRL+D) и не забудь поделиться с друзьями:  



Подборка статей по вашей теме:

Пусть ваши заблаговременные тревоги станут заблаговременными размышлениями и заблаговременным планированием. © Черчилль ==> читать все изречения...
like icon 6996
like icon 6731
Понравился сайт? Поделись им с друзьями: