Понятия «безопасность» и «информационная безопасность. Различные точки зрения на эти термины.
Безопасность — состояние защищённости жизненно-важных интересов личности, общества, организации, предприятия от потенциально и реально существующих угроз, или отсутствие таких угроз.
Безопасность информации (данных) — состояние защищенности информации (данных), при котором обеспечены её (их) конфиденциальность, доступность и целостность.
Информационная безопасность — защита конфиденциальности, целостности и доступности информации.
1. Конфиденциальность: обеспечение доступа к информации только авторизованным пользователям.
2. Целостность: обеспечение достоверности и полноты информации и методов её обработки.
3. Доступность: обеспечение доступа к информации и связанным с ней активам авторизованных пользователей по мере необходимости.
ИБ – защита информационных активов организации. Уровень защищенности информационных активов определяется либо требованиями федеральных законов, либо возможностями самой организации степени понимания необходимости лица, принимающего решения.
Какие направления включает в себя комплекс мер по защите информации?
Понятие «угрозы информационной безопасности». Статистика и примеры угроз. Проблемы моделирования угроз.
Угроза – запугивание, обещание причинить кому-либо вред или зло. Возможная опасность.
У – совокупность условий и факторов, создающих потенциальную или реальную опасность нарушения безопасности информации (Р 50.1.056-2005)
У – потенциальная причина инцидента, который может нанести ущерб системе или организации (ИСО 13355-2006)
Перечень угроз (ИСО 13355-3):
- Преднамеренные (повреждение, проникновение, несанкционированный доступ, изменение маршрута движения сообщений, забастовки, отключение питания, боевые действия)
- Преднамеренные антропогенные (хакеры, крекеры, фрикеры)
- Непреднамеренные природные (землетрясения, затопления, ураганы, молнии)
- Непреднамеренные антропогенные (ошибки, незнание)
- Непреднамеренные технические (отказы, сбои)
Проблемы моделирования угроз:
-Моделирование угроз сегодня трактуется как обязательный компонент при организации защиты информации. Однако, при использовании опыта мировых практик, в этом нет необходимости.
- При построении системы защиты информации на основе анализа рисков необходим этап разработки модели угроз, но сегодня отсутствуют стандарты описания этих угроз (IDEF)
- Моделирование угроз сегодня никак не связано с бизнес-процессами!!!
Понятие «уязвимость информационной системы». Примеры уязвимостей.
Уязвимость(информационной системы) - недостаток в системе, используя который, можно нарушить её целостность, конфиденциальность, доступность и вызвать неправильную работу.
Толкование:
Условием реализации угрозы безопасности обрабатываемой в системе информации может быть недостаток или слабое место в информационной системе.
Если уязвимость соответствует угрозе, то существует риск.
Уязвимость может быть результатом ошибок программирования, недостатков, допущенных при проектировании системы, ненадежных паролей, вирусов и других вредоносных программ, скриптовых, а также SQL-инъекций. Некоторые уязвимости известны только теоретически, другие же активно используются и имеют известные эксплойты.
Обычно уязвимость позволяет атакующему «обмануть» приложение — заставить его совершить действие, на которое у того не должно быть прав. Это делается путем внедрения каким-либо образом в программу данных или кода в такие места, что программа воспримет их как «свои». Некоторые уязвимости появляются из-за недостаточной проверки данных, вводимых пользователем, и позволяют вставить в интерпретируемый код произвольные команды (SQL-инъекция, XSS). Другие уязвимости появляются из-за более сложных проблем, таких как запись данных в буфер без проверки его границ (переполнение буфера).
Метод информирования об уязвимостях является одним из пунктов спора в сообществе компьютерной безопасности. Некоторые специалисты отстаивают немедленное полное раскрытие информации об уязвимостях, как только они найдены. Другие советуют сообщать об уязвимостях только тем пользователям, которые подвергаются наибольшему риску, а полную информацию публиковать лишь после задержки или не публиковать совсем. Такие задержки могут позволить тем, кто был извещён, исправить ошибку при помощи разработки и применения патчей, но также могут и увеличивать риск для тех, кто не посвящён в детали.
Существуют инструментальные средства, которые могут помочь в обнаружении уязвимостей в системе. Хотя эти инструменты могут обеспечить аудитору хороший обзор возможных уязвимостей, существующих в сети, они не могут заменить участие человека в их оценке.
Для обеспечения защищённости и целостности системы необходимо постоянно следить за ней: устанавливать обновления, и использовать инструменты, которые помогают противодействовать возможным атакам. Уязвимости обнаруживались во всех основных операционных системах, включая Microsoft Windows, Mac OS, различные варианты UNIX (в том числе GNU/Linux) и OpenVMS. Так как новые уязвимости находят непрерывно, единственный путь уменьшить вероятность их использования против системы — постоянная бдительность.
Распространённые типы уязвимостей (примеры) включают в себя:
Нарушения безопасности доступа к памяти, такие как:
Переполнения буфера
Висящие указатели
Ошибки проверки вводимых данных, такие как:
ошибки форматирующей строки
Неверная поддержка интерпретации метасимволов командной оболочки
SQL-инъекция
Инъекция кода
E-mail инъекция
Обход каталогов
Межсайтовый скриптинг в веб-приложениях
Состояния гонки, такие как:
Ошибки времени-проверки-ко-времени-использования
Гонки символьных ссылок
Ошибки путаницы привилегий, такие как:
Подделка межсайтовый запросов в веб-приложениях
Эскалация привилегий (это эксплуатация уязвимостей в компьютерной системе для получения доступа к ресурсам, которые обычно защищены от приложения или пользователя. Результатом является то, что приложение выполняет какие-либо действия в контексте безопасности другого пользователя, разработчика, системного администратора или суперпользователя.)