- •Вопросы к экзамену по защите информации.
- •Реальная эффективность Экономический аспект
- •Технический аспект
- •Основные причины проблем
- •Системность при защите информации
- •Качество и его подтверждение
- •Модели разграничения доступа
- •Снифферы пакетов
- •Отказ в обслуживании (Denial of Service - DoS)
- •Парольные атаки
- •Атаки типа Man-in-the-Middle
- •Атаки на уровне приложений
- •Сетевая разведка
- •Злоупотребление доверием
- •Переадресация портов
- •Несанкционированный доступ
- •Вирусы и приложения типа "троянский конь"
- •8.3. Обеспечение целостности информации в пэвм
- •3. Разграничение доступа к элементам защищаемой информации.
- •IpSec в работе
- •Технические средства пространственного и линейного зашумления.
- •Механизм применения разрешений
- •Порядок применения разрешений
- •Владение папкой или файлом
- •Возможности применения криптографических методов в асод
- •Основные требования к криптографическому закрытию информации в асод.
- •Методы криптографического преобразования данных.
- •Усложненные замены или подстановки (таблица Вижинера)
- •Борьба со спамом и вирусами
- •Основные методы и средства защиты от атак на электронную переписку
- •«Сильные» криптоалгоритмы
- •Защита корпоративной почтовой системы
- •Государственная система защиты информации
- •Лицензирование
- •Сертификация средств защиты и аттестование объектов информатизации
- •Аттестация
- •Основные цели планирования
- •4.1.2. Отечественная нормативно-правовая база, под действие которой подпадают ас различного назначения
- •6.2.1.2. Свойства нечетких множеств.
- •6.2.1.3 Операции над нечеткими множествами.
- •6.2.2. Нечеткие отношения
- •Оранжевая книга Национального центра защиты компьютеров сша (tcsec)
- •1. Концепция безопасности системы защиты
- •2. Гарантированность системы защиты
- •Гармонизированные критерии Европейских стран (itsec)
- •Концепция защиты от нсд Госкомиссии при Президенте рф
- •Рекомендации х.800
- •Действие 1. С чего начинать?
- •Установить перечень персональных данных, обрабатываемых на предприятии
- •Способы обработки персональных данных?
- •Определить состав и объем обрабатываемых персональных данных?
- •Провести предварительную классификацию информационных систем пДн
- •Полученные результаты и способы защиты персональных данных
- •Действие 2. Подача уведомления в уполномоченный орган Обработка персональных данных без уведомления.
- •Подача уведомления в Роскомнадзор.
- •Действие 3. Организационные меры защиты персональных данных
- •Действие 4. Техническая защита персональных данных
- •Действие 5. Выбор исполнителя
- •Выполнение работ своими силами
- •Привлечение специализированной организации
- •Асимметричные алгоритмы
Реальная эффективность Экономический аспект
Массовое создание, внедрение и эксплуатация информационных систем привели к возникновению спектра новых проблем в сфере безопасности личности, общества и государства. Внимание к этим проблемам закономерно. Если коммерческая организация допускает утечку более 20% важной внутренней информации, то она в 60 случаях из 100 банкротится [17]. Утверждают также [11], 93% компаний, лишившихся доступа к собственной информации на срок более 10 дней, покинули бизнес, причем половина из них заявила о своей несостоятельности немедленно.
Потребность в обеспечении безопасности связана с тем, что существует множество субъектов и структур, весьма заинтересованных в чужой информации и готовых заплатить за это высокую цену. Так, стоимость устройств подслушивания, продаваемых только в США, составляет в среднем около 900 млн. долл. в год. Суммарный урон, нанесенный организациям, против которых осуществлялось прослушивание, составляет ежегодно в США около 8 млрд. долл. А ведь существуют и, соответственно, приобретаются устройства для несанкционированного доступа к информации и по другим каналам: проникновение в информационные системы, перехват и дешифровка сообщений и т.д. В результате, по данным SANS Institute, средний размер убытка от одной атаки в США на корпоративную систему для банковского и ИТ-секторов экономики составляет около полумиллиона долларов [19]. Примерная структура последствий неэффективного обеспечения информационной безопасности в американских организациях такова [18]: кража конфиденциальной информации — 20-25% от общего годового ущерба; фальсификация финансовой информации — 21-25%; заражение вредоносными программами — 11-12%; нарушение доступа к Web-сайтам — 1-11%; срыв работы информационной системы — 4-10%; незаконный доступ сотрудников к информации — 4-9%; другие виды ущерба — 14-33%.
В таких условиях все более широко распространяется мнение, что защита информации должна по своим характеристикам быть соразмерной масштабам угроз [1, 2, 16]. Отклонение от этого правила чревато дополнительным ущербом. Скажем, если уровень защищенности информационной системы превышает уровень C2 по «Оранжевой книге», то ее подсистема защиты потребляет значительную часть общих ресурсов (для систем уровня B1 эта доля составляет 20-50%, а для уровня B2 она может превышать 90%) [16]. Для каждой системы имеется оптимальный уровень защищенности, который и нужно поддерживать [2].
Технический аспект
По статистическим данным Национального отделения ФБР по компьютерным преступлениям, от 85 до 97% нападений на корпоративные сети не только не пресекаются, но даже и не обнаруживаются. Специальная группа экспертов провела анализ защищенности 8932 военных информационных систем; в 7860 (88%) случаях несанкционированное проникновение посторонних в эти системы было успешным. Администраторы только 390 из них обнаружили атаки и всего лишь 19 сообщили о них.
Сведений об аналогичных по масштабу проверках эффективности СЗИ, проведенных в России, нет, но можно предположить, что реальный уровень обеспечения информационной безопасности у нас вряд ли выше. При этом статистическая оценка реального уровня технической эффективности СЗИ оказывается поистине удручающей.