Читайте также:
|
В различной специальной литературе, материалах конференций и семинаров по информационной безопасности звучат призывы по обеспечению комплексной защиты информации, что весьма актуально для кредитно-финансовой сферы, в автоматизированных системах которой обращаются колоссальные денежные средства в виде электронных платежных документов. И это понятно, исходя из того факта, что в любой автоматизированной информационной системе для информации или данных всегда существует не одна сотня потенциальных или реальных угроз (см. рис.1). Упомянутые случайные и преднамеренные угрозы весьма разнообразны. В соответствии с рекомендациями международного стандарта ISO 7498-2-89 дальнейшая классификация преднамеренных угроз может быть произведена по следующим критериям:
• цели реализации (нарушение конфиденциальности, целостности, доступности, юридической значимости);
• принципу и способу воздействия (непосредственное, с захватом привилегий);
• объекту воздействия (устройство памяти, ПЭВМ, терминал, сервер, канал связи и т.п.);
• используемым средствам атаки (специальная аппаратура, программные средства, человек) и т. д.
На основании рекомендаций Международной Организации Стандартизации (ISO) для банковских систем классификацию угроз предлагается произвести по следующим критериям: цели реализации угроз и способу их воздействия. Данные критерии в конечном итоге позволяют определить механизмы угроз и используемые средства атаки для каждого информационного блока или технического средства банковской системы и реализовать необходимые меры защиты.
Угрозы по цели реализации включают в себя нарушение:
• целостности информации; информация может быть утрачена и искажена вследствие ее случайного или несанкционированного удаления либо модификации;
• доступности информации или работоспособности системы; несанкционированное или случайное, некорректное изменение режимов работы компонентов системы, их модификация либо ложная подмена могут привести к получению неверных результатов, отказу системы от обработки потока информации или неприемлемым задержкам ее доставки, а также отказам в обслуживании;
• конфиденциальности информации; информация, хранимая и обрабатываемая в системе, имеет большую ценность, и ее несанкционированное использование может нанести значительный ущерб, в том числе с нарушением законодательства о банковской тайне;
• юридической силы или значимости информации, что приобретает важность в последнее время, вместе с созданием нормативно-правовой базы безопасности информации в нашей стране. Последнее, например, весьма актуально для электронных платежных документов и при необходимости обеспечения строгого учета любых информационных услуг, который является экономической основой работы всякой коммерческой информационной системы и служит для соблюдения жесткой регламентации и регистрации доступа к информации при пользовании информационными ресурсами системы. Помимо этого часто должна обеспечиваться строгая нотаризация (юридически значимая регистрация) информации, которая необходима при разборе любых конфликтов между заказчиками и исполнителями работ по информационному обслуживанию.
По способу воздействия на объект угрозы включают:
• непосредственное воздействие на объект атаки, например, непосредственный доступ к набору данных, программе, как в результате ошибки, так и преднамеренно;
• воздействие на систему разграничения полномочий и разрешений (в том числе захват привилегий). При этом способе несанкционированные действия выполняются относительно прав пользователей, а сам доступ к объекту осуществляется впоследствии регламентированным путем;
• опосредованное воздействие (через других пользователей);
• "маскарад", когда пользователь присваивает себе каким-либо образом полномочия другого пользователя;
• "использование вслепую", когда один пользователь заставляет другого выполнить необходимые действия, причем последний о них может и не подозревать. Для реализации этой угрозы может использоваться "компьютерный вирус" либо "программная закладка".
По отмеченным критериям относительно различных банковских систем и в зависимости от используемых организационных, программных или технических средств, угрозы могут иметь самые разнообразные механизмы проявления. Приведенная беглая структуризация угроз для информации и краткое изложение одной из множества проблем информационной безопасности подчеркивает всю сложность практической реализации комплексной защиты информации.
Очевидно, что компенсация или устранение всевозможных угроз информации достижимы на практике только при использовании различных методов и средств защиты информации с главной целью - снижение банковского риска и финансового ущерба. Данное положение вытекает из всего практического опыта создания и эксплуатации подсистем защиты информации различных автоматизированных банковских систем (АБС). При этом, как показывает статистика компьютерных нарушений, основным источником перечисленных угроз является человек (см. рис). В большинстве случаев это служащие банка.
Источники потери информации Основные причины убытков североамериканских компаний, пренебрегающих защитой данных. (Ernst&Young), %
1. Промышленный шпионаж
2. Неизвестные причины
3. Злоумышленные действия людей, не работающих в компании
4. Стихийные бедствия
5. Злоумышленные действия со стороны служащих компании
6. Неработоспособность системы из-за случайных или преднамеренных сбоев
7. Вирусы
8. Ошибки по небрежности
На этом непростом фоне часто недооценивают или забывают, что в любом случае главным движущим фактором решения и реализации обозначенных проблем является также человек-владелец или пользователь информационных ресурсов. Нередко технические или программные сложности внедрения “высоких” технологий заслоняют этот непреложный факт от отечественных автоматизаторов и некоторых специалистов по информационной безопасности, имеющих небольшой необходимый опыт защиты информации в коммерческой сфере. Поэтому следует обратится к зарубежной практике реализации настоящей комплексной защиты информации, базирующейся на опыте нескольких десятилетий создания разнообразных автоматизированных систем, чтобы уточнить отдельные важнейшие положения внедрения комплексной безопасности.
В одном из последних годовых отчетах Центр компьютерной безопасности США выделил просвещение в области защиты информации среди важнейших мероприятий по обеспечению информационной безопасности новых компьютерных технологий. В США принято около десятка законодательных актов по информационной безопасности и эта проблема считается составной частью компьютерной грамотности. В частности, раздел 5(с) закона Computer Security Act of 1987 (Public Law 100-235) требует издавать правила проведения занятий, определяющих процедуры, область применения и виды учебных курсов по безопасности, проводимых со служащими федеральных, гражданских и правительственных учреждений, которые обрабатывают важную информацию. Последний вариант таких правил был издан в 1992 году. Развитая система всевозможных курсов реализует на практике положения указанных документов. Это, например, курсы организуемые производителями вычислительной и телекоммуникационной техники, регулярные специализированные семинары консалтинговых фирм. В нашей стране среди специалистов достаточно известно имя Дональда Вайта как автора переведенного на русский язык пятитомного издания, посвященного электромагнитному аспекту информационной безопасности. Им на регулярной основе проводятся учебные курсы в США и других странах. Всемирно известные американские фирмы, производители вычислительной и телекоммуникационной техники, факультативно рассматривают на своих курсах вопросы обеспечения защиты информации.
Дата добавления: 2015-07-07; просмотров: 222 | Нарушение авторских прав
| <== предыдущая страница | | | следующая страница ==> |
| История криптографии | | | Internet-черви |