- •Содержание
- •1 Введение
- •2 Нормативные ссылки
- •3 Термины и определения
- •4 Сокращения
- •5 Понятие и применение компьютерных технологий, как специальных знаний, при расследовании преступлений
- •5.2 Применение компьютерной технологии в криминалистической деятельности
- •5.3 Роль экспертно-криминалистических подразделений
- •5.4 Краткий список специальных технических средств
- •5.5 Этапы проведения расследования
- •5.6 Контр-Форензика
- •5.7 Заключение к разделу
- •6 Компьютерные преступления
- •6.1 Криминалистическая характеристика
- •6.2 Онлайн-мошенничество
- •6.3 Клевета и оскорбления в сети
- •6.4Dos-атаки
- •6.5 Вредоносные программы
- •6.6 Другое
- •6.7 Заключение по разделу
- •8 Исследование работы системы Traffic Monitor
- •8.1 Определение угроз информационной безопасности
- •8.2 Анализ подходов к формированию и классификации множества угроз
- •8.3 Способы защиты от утечек конфиденциальной информации
- •8.4 Комплексная системаInfoWatchTrafficMonitor
- •8.5 Выводы
- •9 Разработка научно-методических рекомендаций по построению системы защиты конфиденциальной информации компании от внутренних утечек
- •10 Технико-экономическое обоснование
- •11 Безопасность жизнедеятельности
6.6 Другое
Отдельно можно выделить еще несколько видов мошенничества:
Платежи через интернет
Терроризм и кибервойна
Мошенничество в онлайн-играх
Накрутка
6.7 Заключение по разделу
Теория уголовного права и криминалистика оперируют различными критериями при классификации преступлений. В Уголовном кодексе преступления объединены в статьи по общности объекта преступления, в главы - по общности родового объекта преступления. Криминалистика же характеризует преступления совсем иными параметрами - способ совершения, личность преступника, личность потерпевшего, методы раскрытия и так далее. Оттого и классификация другая. Общую криминалистическую характеристику могут иметь преступления из разных глав УК (например, клевета и возбуждение национальной розни). А преступления, объединенные в одну статью УК, с точки зрения криминалистики, существенно отличны друг от друга (например, нарушение авторских прав в Сети и в офлайне).
Отсюда понятно, что является ошибочным строить криминалистические характеристики преступлений, классифицируя их по критериям уголовного права.
В данном разделе были рассмотрены наиболее распространенные на сегодняшний день виды компьютерных преступлений. Следует помнить, что вследствие развития индустрии ИТ способы совершения киберпреступлений быстро меняются, возникают новые, а старые постепенно сходят на нет.
8 Исследование работы системы Traffic Monitor
8.1 Определение угроз информационной безопасности
Решение задачи выявления и оценки угроз информационной безопасности предполагает ясное понимание определений, причин, источников и видов угроз информационной безопасности.
В соответствии с ГОСТ Р 51624-2000 «угроза безопасности информации — совокупность условий и факторов, создающих потенциальную или реально существующую опасность, связанную с утечкой информации и/или несанкционированными и/или непреднамеренными воздействиями на нее». Относительно информационной системы коммерческого предприятия можно сказать, что угроза безопасности информации — это возможное происшествие, преднамеренное или нет, которое может оказать нежелательное воздействие на активы и ресурсы, связанные с этой информационной системой. Отсюда можно сделать вывод, что существование угрозы информационной безопасности как таковой еще не является достаточным условием нарушения безопасности. Тем не менее, сам факт возможного нарушения безопасности требует принятия мер защиты. В соответствии с ГОСТ Р 51624-2000 угрозами безопасности информационных и телекоммуникационных средств и систем могут являться:
противоправные сбор и использование информации;
нарушения технологии обработки информации;
внедрение в аппаратные и программные изделия компонентов, реализующих функции, не предусмотренные документацией на эти изделия; разработка и распространение программ, нарушающих нормальное функционирование информационных и информационно-телекоммуникационных систем, в том числе систем защиты информации;
уничтожение, повреждение, радиоэлектронное подавление или разрушение средств и систем обработки информации, телекоммуникации и связи;
воздействие на парольно-ключевые системы защиты автоматизированных систем обработки и передачи информации; компрометация ключей и средств криптографической защиты информации;
утечка информации по техническим каналам;
внедрение электронных устройств для перехвата информации в технические средства обработки, хранения и передачи информации по каналам связи, а также в служебные помещения органов государственной власти, предприятии, учреждении и организаций независимо от формы собственности;
уничтожение, повреждение, разрушение или хищение машинных и других носителей информации;
перехват информации в сетях передачи данных и на линиях связи, дешифрования этой информации и навязывание ложной информации;
использование несертифицированных отечественных и зарубежных информационных технологий, средств защиты информации, средств информатизации, телекоммуникации и связи при создании и развитии российской информационной инфраструктуры;
несанкционированный доступ к информации, находящейся в банках и базах данных;
нарушение законных ограничений на распространение информации.
Очевидно, что угрозы безопасности информации могут приводить:
к нарушению конфиденциальности информации;
к нарушению целостности информации;
к нарушению доступности информации.
Рассмотрим определения данных типов угроз более детально.
Угроза нарушения конфиденциальности (раскрытия) информации заключается в том, что информация становится известной не полномочному на это лицу. Причем угрозы раскрытия могут проявляться не только в виде несанкционированного доступа к конфиденциальной информации, но и в виде раскрытия факта существования данной информации. Как пример, угроза раскрытия факта существования финансовой сделки, а не ее содержания.
Таким образом, оценка защиты информационной системы от угрозы нарушения конфиденциальности информации требует оценки адекватности предпринятых методов защиты от этой угрозы и оценки механизмов, реализующих эти методы.
Угроза нарушения целостности информации включает в себя любую возможность несанкционированного изменения информации, хранящейся в информационной системе или передаваемой в процессе взаимодействия систем друг с другом. Целостность информации может нарушиться как по причине ее преднамеренного изменения нарушителем, так и в результате случайной ошибки, халатности.
Угроза нарушения целостности в общем случае относится не только к данным, но и к программам. Это позволяет рассматривать угрозу нарушения целостности программного обеспечения (и как один из аспектов угрозу внедрения в него вирусов, закладок, троянских программ) как частный случай, связанный с угрозами нарушения целостности. Говоря о целостности информации, необходимо иметь в виду не только проблемы, связанные с несанкционированной модификацией данных, но и вопросы, связанные со степенью доверия к источнику, из которого были получены эти данные (от кого получены данные, как они были защищены до внесения в информационную систему, каким образом были внесены и т. д.). Как следствие этого оценка защиты информационной системы от угрозы нарушения целостности требует не только оценки адекватности методов защиты от этой угрозы и оценки механизмов, реализующих эти методы, но и оценки степени доверия к происхождению данных, что делает защиту от угрозы нарушения целостности гораздо более трудной.
Угроза нарушения доступности (отказа в обслуживании) — возможность блокирования доступа к некоторому ресурсу информационной системы, которая может быть реализована в результате, как умышленных действий нарушителя, так и по совокупности случайных факторов. Блокирование доступа может быть постоянным, так что запрашиваемый ресурс никогда не будет получен авторизованным пользователем, или может вызвать только задержку запрашиваемого ресурса, достаточно долгую для того, чтобы он стал бесполезным (в таких случаях говорят, что ресурс исчерпан). Наиболее частые примеры атак, связанных с отказом служб, включают в себя такое занятие одним или несколькими пользователями ресурсов общего пользования (принтеры или процессоры), при котором другие пользователи не могут с ними работать. Пока эти ресурсы не являются частью некоторого критического приложения, данный тип атаки может не считаться слишком опасным. Однако если доступ к ресурсу должен быть получен своевременно, то атак отказа в обслуживании необходимо избежать.
Также введем другие необходимые определения.
Уязвимость — это присущие объекту информатизации причины, приводящие к нарушению безопасности информации на конкретном объекте и обусловленные недостатками процесса функционирования объекта информатизации, свойствами архитектуры АС, протоколами обмена и интерфейсами, применяемыми программным обеспечением и аппаратной платформой, условиями эксплуатации.
Последствия — это возможные последствия реализации угрозы (возможные действия) при взаимодействии источника угрозы через имеющиеся уязвимости.
Ущерб –утрата активов, повреждение активов и инфраструктуры организации или другой вред активам и инфраструктуре организации, наступивший в результате реализации угроз информационной безопасности через уязвимости информационной безопасности.
Как видно из этих определений, последствия — это всегда пара «источник + уязвимость», реализующая угрозу и приводящая к ущербу. При этом анализ последствий предполагает проведение анализа возможного ущерба и выбора методов парирования угроз безопасности информации.