page1

Угрозы информационной безопасности ( продолжение )

  Угрозы нарушения конфиденциальности направлены на раз­глашение конфиденциальной или секретной информации. В терминах компьютерной безопасности угроза нарушения конфиденциальности имеет место всякий раз, когда получен несанкционированный доступ к некото­рой закрытой информации, хранящейся в компьютерной системе или передаваемой от одной системы к другой.

  Угрозы нарушения целостности информации, хранящейся в компьютерной системе или передаваемой по каналу связи, на­правлены на ее изменение или искажение, приводящее к наруше­нию ее качества или полному уничтожению. Целостность инфор­мации может быть нарушена умышленно злоумышленником, а так­же в результате объективных воздействий со стороны среды, окружающей систему. Эта угроза особенно актуальна для систем передачи информации - компьютерных сетей и систем телекомму­никаций. Умышленные нарушения целостности информации не следует путать с ее санкционированным изменением, которое вы­полняется полномочными лицами с обоснованной целью (напри­мер, таким изменением является периодическая коррекция некото­рой базы данных).

  Угрозы нарушения работоспособности (отказ в обслуживании) направлены на создание таких ситуаций, когда определенные пред­намеренные действия либо снижают работоспособность АСОИ, либо блокируют доступ к некоторым ее ресурсам. Например, если один пользователь системы запрашивает доступ к некоторой служ­бе, а другой предпринимает действия по блокированию этого дос­тупа, то первый пользователь получает отказ в обслуживании. Бло­кирование доступа к ресурсу может быть постоянным или вре­менным.

  Нарушения конфиденциальности и целостности информации, а также доступности и целостности определенных компонентов и ресурсов АСОИ могут быть вызваны различными опасными воз­действиями на АСОИ.

  Современная автоматизированная система обработки инфор­мации представляет собой сложную систему, состоящую из боль­шого числа компонентов различной степени автономности, которые связаны между собой и обмениваются данными. Практически каж­дый компонент может подвергнуться внешнему воздействию или выйти из строя. Компоненты АСОИ можно разбить на следующие группы:

аппаратные средства-ЭВМ и их составные части (процессоры, мониторы, терминалы, периферийные устройства-дисководы, принтеры, контроллеры, кабели, линии связи) и т.д.;
программное обеспечение - приобретенные программы, исход­ные, объектные, загрузочные модули; операционные системы и системные программы (компиляторы, компоновщики и др.), ути­литы, диагностические программы и т.д.;
данные - хранимые временно и постоянно, на магнитных носите­лях, печатные, архивы, системные журналы и т.д.;
персонал - обслуживающий персонал и пользователи.

  Опасные воздействия на АСОИ можно подразделить на слу­чайные и преднамеренные. Анализ опыта проектирования, изго­товления и эксплуатации АСОИ показывает, что информация под­вергается различным случайным воздействиям на всех этапах цик­ла жизни и функционирования АСОИ. Причинами случайных воз­действий при эксплуатации АСОИ могут быть:
аварийные ситуации из-за стихийных бедствий и отключений электропитания;
отказы и сбои аппаратуры;
ошибки в программном обеспечении;
ошибки в работе обслуживающего персонала и пользователей;
помехи в линиях связи из-за воздействий внешней среды.

  Преднамеренные угрозы связаны с целенаправленными дей­ствиями нарушителя. В качестве нарушителя могут выступать слу­жащий, посетитель, конкурент, наемник и т.д. Действия нарушите­ля могут быть обусловлены разными мотивами: недовольством служащего своей карьерой, сугубо материальным интересом (взят­ка), любопытством, конкурентной борьбой, стремлением самоут­вердиться любой ценой и т.п.

  Исходя из возможности возникновения наиболее опасной си­туации, обусловленной действиями нарушителя, можно составить гипотетическую модель потенциального нарушителя:
квалификация нарушителя может быть на уровне разработчика данной системы;
нарушителем может быть как постороннее лицо, так и законный пользователь системы;
нарушителю известна информация о принципах работы системы;
нарушитель выберет наиболее слабое звено в защите.

   Разумеется, наибольшим объемом конфиденциальной информации располагают сотрудники фирмы, непосредственно с ней работающие. По некоторым расчетам персонал любой компании состоит на 25% из честных людей, которые остаются таковыми при любых обстоятельствах, на 25% люди, ожидающие удобного случая поживиться за счет интересов фирмы, и остальные 50% - лица, которые могут остаться честными или не останутся честными в зависимости от обстоятельств. Это значит, что из 100 сотрудников 75 могут стать шпионами и при использовании таких способов, как «инициативное сотрудничество» или «склонение к сотрудничеству» злоумышленники, могут получить коммерчески ценную информацию о конкурентах. Эта цифра говорит об исключительной серьезности этого канала утечки информации.

  Большую долю конфиденциальной информации конкурент может получить при несоблюдении работниками-пользователями компьютерных сетей элементарных правил защиты информации. Это может проявиться, например, в примитивности паролей (недобросовестные конкуренты давно используют экспертов по психологии в отношении тех, кому пароли приходится придумывать); в том, что сложный пароль пользователь приклеивает на видное место на мониторе или же записывает в текстовый файл на жестком диске и пр.

  Положение осложняется тем, что морально-этическая сторона проблемы нарушения конфиденциальности информации нередко просто не воспринимается ни нарушителем, ни обществом в целом. Поэтому одним из условий сохранения коммерческой тайны предприятия является правильная кадровая политика, создание нормального психологического климата в коллективе. При формировании коллектива сотрудников необходимо учитывать, кому из них доверять свои тайны, а кому нет. Решают этот вопрос руководители организаций. Задача службы безопасности фирмы своевременно выявить из обслуживающего персонала тех сотрудников, которые вынашивают намерения использовать имеющиеся в их распоряжении сведения для продажи другим лицам или использовать в своих личных целях для получения выгоды. Помимо действия в интересах конкурента, могут совершиться и действия, преследуемые по закону: мошенничество, саботаж, повреждение технических средств хранения и передачи информации.

   Утечка конфиденциальной информации может происходить при использовании открытых каналов связи. Исключить ведение переговоров по телефону с использованием сведений, относящихся к конфиденциальной коммерческой информации, конечно же, нельзя. Поэтому при ведении телефонных переговоров не лишним было бы требование установки аппаратуры шифрования сигнала, а так же надежной идентификации своего собеседника.

   Следует заметить, что на сегодняшний день указанная мера предосторожности не является единственным способом защиты телефонных разговоров. Федеральное агентство правительственной связи при Президенте России выделило закрытые телефонные ка­налы для предоставления их в аренду на коммерческой основе.

Hosted by uCoz