Тема № 4. Інструментальні засоби для роботи користувача.

1. Комп‘ютерні злочини в мережах.

2. Проблеми якості ІС.

3. Здійснення контролю і забезпечення якості ІС.

1. Під безпекою інформаційної системи розуміють захищеність системи від випадкового або навмисного втручання в нормальний процес її функціонування, від спроб розкрадання (несанкціонованого одержання) інформації, модифікації або фізичного руйнування її компонентів. Інакше кажучи, це здатність протидіяти різним збуджуючим впливам на ІС.

Під загрозою безпеці інформації розуміються події або дії, що можуть привести до зміни, несанкціонованого використання або навіть до руйнування інформаційних ресурсів керованої системи, а також програмних і апаратних засобів.

Сьогодні можна стверджувати, що народжується нова сучасна технологія – технологія захисту інформації в комп'ютерних інформаційних системах і в мережах передачі даних. Реалізація цієї технології вимагає збільшення витрат і зусиль. Однак усе це дозволяє уникнути значно більших втрат і збитків, які можуть виникнути при реальному здійсненні погроз ІС і ІТ.

2. Активні загрози мають на меті порушення нормального функціонування ІС шляхом цілеспрямованого впливу на її компоненти. До активних погроз відносяться, наприклад:

• виведення з ладу комп'ютера або його операційної системи;

• зміна даних у БД;

• руйнування ПЗ комп'ютерів;

• порушення роботи ліній зв'язку і т.д.

Джерелом активних погроз можуть бути дії зломщика, шкідливі програми і т.п. Розголошення інформації її власником, навмисні або необережні дії посадових осіб і користувачів, які привели до ознайомлення з ним осіб, не допущених до цих відомостей. Можливий безконтрольний вихід конфіденційної інформації з візуально-оптичних, акустичних, електромагнітних і інших каналів.

Несанкціонований доступ – це протиправне навмисне оволодіння конфіденційною інформацією особою, що немає права доступу до відомостей.

Логічні бомби, як випливає з назви, використовуються для перекручування або знищення інформації, рідше з їх допомогою відбувається крадіжка або шахрайство. Маніпуляціями з логічними бомбами звичайно займаються чимось незадоволені службовці, що збираються залишити дану організацію, але це можуть бути і консультанти, службовці з визначеними політичними переконаннями і т.п.

Троянський кінь – програма, що виконує на додаток до основних, тобто запроектованих і документованих дій, додаткові, не описані в документації.

Вірус – програма, що може заражати інші програми шляхом включення в них модифікованої копії, що володіє здатністю до подальшого розмноження.

Хробак – програма, що поширюється через мережу і не залишає своєї копії на магнітному носії. Хробак використовує механізми підтримки мережі для визначення вузла, що може бути заражений. Потім за допомогою тих же механізмів передає своє тіло або його частина на цей вузол і або активізується, або чекає для цього підходящих умов.

Загарбник паролів – це програми, спеціально призначені для викрадання паролів. При спробі звертання користувача до термінала системи на екран виводиться інформація, необхідна для закінчення сеансу роботи.

Компрометація інформації (один з видів інформаційних інфекцій). Реалізується, як правило, за допомогою несанкціонованих змін у базі даних, у результаті чого її споживач змушений або відмовитися від неї, або прикладати додаткові зусилля для виявлення змін і відновлення істинних відомостей.

Несанкціоноване використання інформаційних ресурсів, з одного боку, є наслідками її витоку і засобом її компрометації. З іншого боку, воно має самостійне значення, тому що може завдати великої шкоди керованій системі (аж до повного виходу ІТ з ладу) або її абонентам.

Помилкове використання інформаційних ресурсів будучи санкціонованим проте може привести до руйнування, витоку або компрометації зазначених ресурсів. Дана загроза найчастіше є наслідком помилок, що має в ПЗ ІТ.

Несанкціонований обмін інформацією між абонентами може привести до одержання одним з них відомостей, доступ до яких йому заборонений. Наслідки – ті ж, що і при несанкціонованому доступі.

Відмова від інформації полягає в невизнанні одержувачем або відправником цієї інформації фактів її одержання або відправлення. Це дозволяє однієї зі сторін розривати укладені фінансові угоди "технічним" шляхом, формально не відмовляючись від них, наносячи тим самим другій стороні значний збиток.

Порушення інформаційного обслуговування – загроза, джерелом якої є сама ІТ. Затримка з наданням інформаційних ресурсів абонентові може привести до важких для нього наслідків. Відсутність у користувача своєчасних даних, необхідних для ухвалення рішення, може викликати його нераціональні дії.

Незаконне використання привілеїв. Будь-яка захищена система містить засоби, використовувані в надзвичайних ситуаціях, або засоби, які здатні функціонувати з порушенням існуючої політики безпеки.

Під зломом системи розуміють навмисне проникнення в систему, коли зломщик не має санкціонованих параметрів для входу. Способи злому можуть бути різними, і при деяких з них відбувається збіг з раніше описаними загрозами.

Політика безпеки – являє собою набір законів, правил і практичного досвіду, на основі яких будуються керування, захист і розподіл конфіденційної інформації.

3. Методи і засоби побудови систем інформаційної безпеки. Їхня структура. Створення систем інформаційної безпеки (СІБ) у ІС і ІТ ґрунтується на наступних принципах:

1. Системний підхід до побудови системи захисту, що означає оптимальне сполучення взаємозалежних організаційних, програмних, апаратних, фізичних і інших властивостей, підтверджених практикою створення вітчизняних і закордонних систем захисту і застосовуваних на всіх етапах технологічного циклу обробки інформації.

2. Принцип безперервного розвитку системи. Цей принцип, що є одним з основних для комп'ютерних інформаційних систем, ще більш актуальний для СІБ.

3. Поділ і мінімізація повноважень з доступу до оброблюваної інформації і процедур обробки, тобто надання як користувачам, так і самим працівникам ІС мінімуму строго визначених повноважень, достатніх для виконання ними своїх службових обов'язків.

4. Повнота контролю і реєстрації спроб несанкціонованого доступу, тобто необхідність точного встановлення ідентичності кожного користувача і протоколювання його дій для проведення можливого розслідування, а також неможливість здійснення будь-якої операції обробки інформації в ІТ без її попередньої реєстрації.

5. Забезпечення надійності системи захисту, тобто неможливість зниження рівня надійності при виникненні в системі збоїв, відмов, навмисних дій зломщика або ненавмисних помилок користувачів і обслуговуючого персоналу.

6. Забезпечення контролю за функціонуванням системи захисту, тобто створення засобів і методів контролю працездатності механізмів захисту.

7. Забезпечення всіляких засобів боротьби зі шкідливими програмами.

8. Забезпечення економічної доцільності використання системи захисту, що виражається в перевищенні можливого збитку ІС і ІТ від реалізації загроз над вартістю розробки й експлуатації СІБ.

Правове забезпечення

Сукупність законодавчих актів нормативно-правових документів, положень, інструкцій, посібників, вимоги яких є обов'язковими в рамках сфери їхньої дії в системі захисту інформації.

Організаційне забезпечення

Мається на увазі, що реалізація інформаційної безпеки здійснюється визначеними структурними одиницями, такими, наприклад, як служба безпеки фірми і її складені структури: режим, охорона й ін.

Інформаційне забезпечення

Що включає в себе відомості, дані, показники, параметри, що лежать в основі рішення задач, що забезпечують функціонування СІБ.

Технічне (апаратне) забезпечення

Передбачається широке використання технічних засобів як для захисту інформації, так і для забезпечення діяльності СИБ.

Програмне забезпечення

Маються на увазі різні інформаційні, облікові, статистичні і розрахункові програми, що забезпечують оцінку наявності і небезпеки різних каналів витоку і способів несанкціонованого доступу до інформації.

Математичне забезпечення

Це - математичні методи, що використовуються для різних розрахунків, зв'язаних з оцінкою небезпеки технічних засобів, якими оперують зловмисники, зон і норм необхідного захисту.

Лінгвістичне забезпечення

Сукупність спеціальних мовних засобів спілкування фахівців і користувачів у сфері забезпечення інформаційної безпеки.

Нормативно-методичне забезпечення

Сюди входять норми і регламенти діяльності органів, служб, засобів, що реалізують функції захисту інформації; різного роду методики, що забезпечують діяльність користувачів при виконанні своєї роботи в умовах твердих вимог дотримання конфіденційності.

З засобів ПЗ системи захисту виділимо ще програмні засоби, що реалізують механізми шифрування (криптографії). Криптографія - це наука про забезпечення таємності і/або автентичності (дійсності) переданих повідомлень. На фізичному рівні, що представляє середовище поширення даних (кабель, оптоволокно, радіоканал, каналоутворююче устаткування), застосовують звичайно засоби шифрування або приховання сигналу. Вони малозастосовні в комерційних відкритих мережах, тому що є більш надійне шифрування.

На канальному рівні, відповідальному за організацію взаємодії двох суміжних вузлів (двоточкові ланки), можуть бути використані засоби шифрування і достовірної ідентифікації користувача. Однак використання і тих і інших засобів на цьому рівні може виявитися надлишковим. Необов'язково робити (пере-) шифрування на кожній двоточковій ланці між двома вузлами.

Мережний рівень вирішує задачі поширення і маршрутизації пакетів інформації з мережі в цілому. Цей рівень критичний у відношенні реалізації засобів криптозахисту. Поняття пакета існує на цьому рівні. На більш високих рівнях є поняття повідомлення. Повідомлення може містити контекст або формуватися на прикладному рівні, захист якого ускладнений з погляду керування мережею.

Перший етап (аналіз об'єкта захисту)

Складається у визначенні того, що потрібно захищати:

• визначається інформація, що має потребу в захисті;

• виділяються найбільш важливі елементи (критичні) інформації, що захищається;

• визначається термін життя критичної інформації (час, необхідний конкурентові для реалізації добутої інформації);

• визначаються ключові елементи інформації (індикатори), що відображають характер охоронюваних відомостей;

• класифікуються індикатори по функціональних зонах підприємства (виробничо-технологічні процеси, система матеріально-технічного забезпечення виробництва, підрозділ керування).

Другий етап

Передбачає виявлення загроз:

• визначається, кого може зацікавити інформація, що захищається;

• оцінюються методи, використовувані конкурентами для одержання цієї інформації;

• оцінюються ймовірні канали витоку інформації;

• розробляється система заходів щодо припинення дій конкурента або будь-якого зломщика.

Третій етап

Проводиться аналіз ефективності прийнятих і постійно діючих підсистем забезпечення безпеки (фізична безпека документації, надійність персоналу, безпека використовуваних для передачі конфіденційної інформації ліній зв'язку і т.д.).

Четвертий етап

Визначаються необхідні міри захисту. На підставі проведених на перших трьох етапах аналітичних досліджень виробляються необхідні додаткові заходи і засоби по забезпеченню безпеки підприємства.

П'ятий етап

Керівниками фірми (організації) розглядаються представлені пропозиції по всіх необхідних заходах безпеки і розрахунки вартості й ефективності.

Шостий етап

Полягає в реалізації додаткових заходів безпеки з урахуванням установлених пріоритетів.

Сьомий етап

Контроль і доведення до персоналу фірми реалізованих мір безпеки.