Проблеми захисту інформації у автоматизованих системах. Варіанти здійснення несанкціонованого доступу до інформації

date image 2017-12-14
views image 532
Поделись с друзьями: 
12

Тема: Захист інформації в митних органах

Під автоматизованою системою ми розуміємо – організаційно-технічну систему, що реалізує інформаційну технологію і об’єднує ОС, фізичне середовище, персонал і інформацію, яка обробляється [2].

Проблема захисту інформації у автоматизованих системах (АС) в сучасних умовах визначається наступними чинниками:

· високими темпами зростання засобів обчислювальної техніки і зв’язку, розширенням областей використання електронно-обчислювальних машин (ЕОМ);

· залученням в процес інформаційної взаємодії все більшого числа людей і організацій;

· підвищенням рівня довір’я до автоматизованих систем управління і обробки інформації, використанням їх в критичних технологіях;

· ставленням до інформації, як до товару, переходом до ринкових відносин, з властивою ним конкуренцією і промисловим шпигунством, в області створення і збуту (надання) інформаційних послуг;

· концентрацією великих обсягів інформації різного призначення і приналежності на електронних носіях;

· наявністю інтенсивного обміну інформацією між учасниками цього процесу;

· кількісним і якісним вдосконаленням способів доступу користувачів до інформаційних ресурсів;

· загостренням протиріч між об’єктивно існуючими потребами суспільства в розширенні вільного обміну інформацією і надмірними або навпаки недостатніми обмеженнями на її поширення і використання;

· диференціацією рівнів втрат (збитку) від знищення, модифікації, витоку або незаконного блокування інформації;

· різноманіттям видів загроз і можливих каналів несанкціонованого доступу до інформації;

· зростанням числа кваліфікованих користувачів обчислювальної техніки і можливостей по створенню ними програмно-технічних впливів на систему;

· розвитком ринкових відносин (в області розробки, постачання, обслуговування обчислювальної техніки, розробки програмних засобів, в тому числі засобів захисту).

Для вирішення проблеми безпеки АС 5 липня 1994 року був прийнятий Закон України “Про захист інформації в автоматизованих системах” [3], який встановив правові засади забезпечення реалізації та непорушності права власності на інформацію. Незважаючи на закріплення в свій час прогресивних положень, які встановили основи правового регулювання питань захисту інформації в автоматизованих системах, цей закон вже не в повній мірі відповідає тим змінам, які обумовив бурхливий розвиток інформатизації нашого суспільства за останні роки.

Природно, в такій ситуації виникає потреба в захисті інформації від несанкціонованого доступу, знищення, модифікації і інших злочинних і небажаних дій.

Варіанти здійснення несанкціонованого доступу до інформації:

· проникнення у систему через комунікаційні канали зв’язку з присвоєнням повноважень легального користувача з метою підробки, копіювання або знищення даних. Реалізується розпізнаванням або підбором паролів і протоколів, перехопленням паролів при негласному підключенні до каналу під час сеансу зв’язку, дистанційним перехопленням паролів у результаті прийому електромагнітного випромінювання;

· проникнення в систему через комунікаційні канали зв’язку при перекоммутації каналу на модем порушника після входження легального користувача в мережу й пред’явлення ним своїх повноважень з метою присвоєння прав цього користувача на доступ до даних;

· підключення до каналу зв’язку в ролі активного ретранслятора для фальсифікації платіжних документів, зміни їх утримання, порядку проходження, повторної передачі, затримання доставки;

· блокування каналу зв’язку власними повідомленнями, що викликає відмову від обслуговування легальних користувачів;

· несанкціонована передача конфіденційної інформації в складі легального повідомлення для виявлення паролів, ключів і протоколів доступу;

· оголошення себе іншим користувачем (маскування) для порушення адресації повідомлень або виникнення відмови у законному обслуговуванні;

· візуальне перехоплення інформації, виведеної на екрани дисплеїв або вводу з клавіатури для виявлення паролів, ідентифікаторів і процедур доступу;

· негласна перебудова устаткування або програмного забезпечення з метою впровадження засобів несанкціонованого доступу до інформації (програм-перехоплювачів і “троянських коней”, апаратури аналізу інформації тощо), а також знищення інформації або устаткування (наприклад, за допомогою програм-вірусів, ліквідаторів із дистанційним управлінням тощо);

· знищення інформації або створення збоїв в комп’ютерній системі за допомогою вірусів для дезорганізації діяльності АС. Реалізується шляхом внесення вірусів у систему в неробочий час або користування співробітником “подарунком” у вигляді нової комп’ютерної гри;

· викрадення магнітних носіїв з метою одержання доступу до даних та програм;

· знищення устаткування, магнітних носіїв або дистанційне знищення інформації;

· зчитування інформації з жорстких і гнучких дисків (у тому числі залишків “стертих” файлів), магнітних стрічок при копіюванні даних з устаткування на робочих місцях у неробочий час;

· копіювання даних з терміналів, залишених без нагляду в робочий час;

· копіювання даних з магнітних носіїв, залишених на столах або в комп’ютерах, шафах тощо;

· копіювання даних з устаткування і магнітних носіїв, прибраних у спеціальні сховища;

· використання залишеного без нагляду устаткування у робочий час;

· внесення змін у дані, записані на залишених без нагляду магнітних носіях;

· встановлення програмних закладок для передачі інформації або паролів по легальних каналах зв’язку з комп’ютерною системою (електронної пошти);

· підміна елементів устаткування, що були залишені без нагляду у робочий час;

· встановлення ліквідаторів уповільненої дії або з дистанційним управлінням (програмних, апаратних або апаратно-програмних);

· використання програмних засобів для подолання захисних можливостей системи;

· несанкціоноване перевищення своїх повноважень на доступ або повноважень інших користувачів в обхід механізмів безпеки.


2. Організаційні методи захисту інформаційних систем. Сукупність методів і засобів захисту інформації включає програмні й апаратні засоби, захисні перетворення та організаційні заходи.

Організаці́йний за́хист інформа́ції — захист інформації шляхом регулювання за допомогою організаційних заходів доступу до всіх ресурсівінформаційної системи
.

Згідно з ДСТУ 3396.1-96 [1] організаційні методи захисту інформації — комплекс адміністративних та обмежувальних заходів, спрямованих на оперативне вирішення задач захисту шляхом регламентації діяльності персоналу і порядку функціювання засобів (систем) забезпечення інформаційної діяльності та засобів (систем) забезпечення ТЗІ.

Організаційні методи із захисту інформації містять сукупність дій з підбору та перевірки персоналу, який бере участь у підготовці й експлуатації програм та інформації, чітке регламентування процесу розробки та функціонування інформаційної системи.

 

 

Лише комплексне використання різних заходів може забезпечити надійний захист інформації, тому що кожний метод або захід має слабкі та сильні сторони.


Понравилась статья? Добавь ее в закладку (CTRL+D) и не забудь поделиться с друзьями:  

12

double arrow
Сейчас читают про:
article image
Анализ актива баланса
article image
Правовое положение сословий в Российском государстве в XVIII веке
article image
Калибры, виды и назначение. Контроль параметров макрогеометрии деталей калибрами
article image
Классификация методов обучения
article image
Примеры решения задач. Определите рентабельность продукции по следующим данным: количество выпущенных изделий за квартал - 1 500 штук
article image
Виды деятельности. Существуют различные классификации видов деятельности:
article image
Самый сильный аргумент, почему эволюция человека не могла быть

Жаловаться на неприятную вещь – это удваивать зло; смеяться над ней – это уничтожать его. © Конфуций ==> читать все изречения...
like icon 6527
like icon 6254
Понравился сайт? Поделись им с друзьями: