- •Тема 1.1 «Введение в дисциплину. Основные понятия и определения иб»
- •Тема 1.2 «Эволюция подходов к обеспечению иб»
- •Угрозы легального доступа
- •Многоуровневая модель объектов информационной безопасности
- •Тема 1.3 «Угрозы, их виды»
- •Наиболее распространенные угрозы
- •Компьютерная преступность
- •Ввод в программное обеспечение “логических бомб”
- •Разработка и распространение компьютерных вирусов Преступная небрежность в разработке, изготовлении и эксплуатации программно-вычислительных комплексов, приведшая к тяжким последствиям
- •Подделка компьютерной информации
- •Хищение компьютерной информации
- •Предупреждение компьютерных преступлений
- •Тема 2.1 Защита от несанкционированного доступа к информации Несанкционированный доступ к информации, хранящейся в компьютере
- •Защита от несанкционированного доступа
- •Тема 2.2 «Модели и основные принципы защиты информации» Основные программно-технические меры
- •Идентификация и аутентификация
- •Управление доступом
- •Протоколирование и аудит
- •Криптография
- •Экранирование
- •Тема 2.3 Проблемы вирусного заражения. Вирусы. Антивирусы Компьютерные вирусы, их свойства и классификация Свойства компьютерных вирусов
- •Классификация вирусов
- •Основные виды вирусов и схемы их функционирования
- •Загрузочные вирусы
- •Файловые вирусы
- •Загрузочно-файловые вирусы
- •Полиморфные вирусы
- •История компьютерной вирусологии и причины появления вирусов
- •Пути проникновения вирусов в компьютер и механизм распределения вирусных программ
- •Признаки появления вирусов
- •Обнаружение вирусов и меры по защите и профилактике Как обнаружить вирус? Традиционный подход
- •Программы обнаружения и защиты от вирусов
- •Основные меры по защите от вирусов
- •Тема 2.4 «Защита от утечки информации по техническим каналам» Защита от утечки вследствие микрофонного эффекта
- •Защита от утечки за счет электромагнитного излучения
- •Защита от утечки за счет паразитной генерации
- •Защита от утечки по цепям питания
- •Защита от утечки за счет взаимного влияния проводов и линий связи
- •Взаимные влияния в линиях связи
- •Высокочастотное навязывание. Волоконно-оптические линии связи Защита от утечки за счет высокочастотного навязывания
- •Защита от утечки в волоконно-оптических линиях и системах связи
- •Подслушивание Защита от подслушивания
- •Противодействие подслушиванию посредством микрофонных систем
- •Акустическое подслушивание Противодействие радиосистемам акустического подслушивания
- •Панорамные и широкодиапазонные приемники Панорамные радиоприемники
- •Широкодиапазонный сканирующий приемник
- •Нелинейные локаторы. Постановка помех Нелинейные локаторы
- •Безопасность телефонных переговоров
- •Противодействие незаконному подключению
- •Противодействие контактному подключению
- •Аппаратура проверки проводных линий.
- •Противодействие бесконтактному подключению
- •Тема 2.5 «Организационно-правовое обеспечение иб»
- •Критерии оценки надежных компьютерных систем ("Оранжевая книга" Министерства обороны сша tcsec)
- •Гармонизированные критерии Европейских стран itsec.
- •Основные понятия
- •Три главных аспекта информационной безопасности:
- •Функциональность
- •Гарантированность эффективности
- •Гарантированность корректности
- •Рекомендации X.800
- •Концепция защиты от несанкционированного доступа Гостехкомиссии при Президенте рф
- •Недостатки стандартов и рекомендаций с практической точки зрения
Угрозы легального доступа
Остановимся теперь на различиях между субъектами несанкционированного и легального доступа.
Основные угрозы информационным ресурсам принадлежат двум большим группам и реализуются через следующие источники:
лиц, не имеющих легального доступа к информационным ресурсам организации (так называемые "субъекты несанкционированного доступа");
лиц, имеющих легальный доступ к ресурсам организации ("субъекты легального доступа").
Эти категории субъектов угроз хорошо описаны, исследованы и воспеты в специальной и даже в художественной литературе. Представляется необходимым отметить главные особенности, радикально отличающие их друг от друга.
Суть действий субъекта НСД заключается в обращении к информационным ресурсам путем организации «канала несанкционированного доступа». Такой канал может быть создан путем вскрытия защищающих информацию в каналах связи криптографических средств, использования несовершенства технических средств, создающих побочные излучения и наводки, взлома систем защиты компьютерной информации (в том числе, хакерские атаки), а также старинным методом вскрытия замков и сейфов с похищением (а чаще — с копированием) ценных документов. Все эти действия характеризуются высокой скрытностью и сопровождаются колоссальной степенью неопределенности для того, кто подвергается нападению. Неопределенность порождает практику постоянного совершенствования (на практике это означает удорожания) технических мер защиты.
Это же обстоятельство породило весьма проработанную систему мер юридической защиты интересов государства. Создано достаточно развитое законодательство, регулирующее деятельность в сфере защиты государственной тайны, включая нормы прямой уголовной и административной ответственности за действия, приведшие к утечке (хищению) этой информации. Проблема, на взгляд автора, в этой сфере заключается не в отсутствии каких-либо дополнительных норм, а в эффективном применении действующего законодательства.
Суть действий субъекта легального доступа абсолютно противоположна. Ему разрешено работать с информационными ресурсами организации; более того, он не только использует эти ресурсы в процессе своей служебной деятельности, но и создает их. К этой категории субъектов угроз просто не применимы широко используемая в проблеме безопасности терминология, да и инструментарий. Ведь речь тут идет не о защите от несанкционированного доступа, а о предоставлении доступа легальному пользователю информации и управлении этим доступом в соответствии с административной политикой организации. Как поступит этот самый легальный пользователь с информацией, ставшей ему известной или доступной в результате выполнения им своих служебных обязанностей? Поняв это еще в 1958 году, американские специалисты начали разрабатывать основы административных норм поведения служащих, соответствующие кодексы поведения. Было сформулировано понятие «конфликт интересов», в данном случае — конфликт интересов организации и ее сотрудника. Естественно, разрабатывались и соответствующие технические средства, однако это были уже системы управления и регистрации доступа, а также всевозможные базы данных, конфликт которых по общему критерию поиска и классифицируется как «конфликт интересов».
А как быть с ситуацией, когда огромное количество самой разнообразной информации, напрямую затрагивающей интересы граждан, за бесценок продается в Internet теми, кто явно имел или имеет легальный доступ к этой информации? Такая ситуация — следствие отсутствия эффективного законодательного регулирования в сфере защиты подобной информации, отсутствия административных, организационных и технических инструментов, позволяющих правильно организовать работу персонала, отсутствия, как это ни банально звучит, этики корпоративного поведения сотрудников, считающих, что все, что лежит у них на столе и не имеет инвентарного номера, по определению является их собственностью.