- •Требования, предъявляемые к системам дбо(дист банк обслуж)
- •Состав задач, решаемых в рамках систем дбо
- •Классифицирующие признаки пластиковых карт
- •Типы пластиковых карт с точки зрения технологии хранения информации
- •Топология платежных систем с использованием пластиковых карт
- •Состав участников платежных систем с использованием пластиковых карт
- •Информационные потоки в платежных системах с использованием пластиковых карт
- •Сравнительная характеристика smart-карт и карт с магнитной полосой
- •Состав и назначение технологического оборудования используемого в платежных системах с использованием пластиковых карт
- •Сущность понятия "Безопасность информационной системы"
- •Требования, предъявляемые к системам информационной безопасности
- •Классификация видов угроз
- •Преднамеренные угрозы
- •Непреднамеренные угрозы
- •Задачи, решаемые системами информационной безопасности
- •Внешняя и внутренняя безопасность
- •Меры противодействия угрозам безопасности
- •Принципы построения систем защиты информационных систем
- •Сущность понятия "криптография"
- •Сущность понятия "электронная подпись"
- •Симметричные алгоритмы шифрования
- •Алгоритмы шифрования с открытым ключом
- •Надежность криптосистем
Сущность понятия "Безопасность информационной системы"
Понятие безопасность информационной системы включает в себя две категории: безопасность информации и собственно безопасность автоматизированной системы обработки информации.
Безопасность информации – защищенность информации от нежелательного нарушения конфиденциальности, искажения, утраты или снижения степени доступности, а также незаконного ее тиражирования.
Безопасность автоматизированной системы обработки информации – защищенность ее компонентов (технических средств, программного обеспечения, данных и персонала) от несанкционированного вмешательства в процессы функционирования системы, попыток хищения, незаконной модификации или разрушения любых ее компонентов.
Степень безопасности информационной системы характеризуется следующими параметрами:
- Конфиденциальность;
- Целостность;
- Доступность.
Конфиденциальность заключается в том, что система в целом или какой либо из ее компонентов доступен только тем субъектам (пользователям, программам, процессам), которым предоставлены на то соответствующие полномочия и исключительно в рамках предоставленных полномочий.
Целостность системы или компонента предполагает, что имеется возможность модификации только субъектом, имеющим для этого соответствующие права. Целостность является гарантией корректности (неизменности, работоспособности) системы в любой момент времени.
Доступность системы означает, что имеющий соответствующие полномочия субъект может в любое время без особых проблем получить доступ к необходимому компоненту системы (ресурсу).
Под угрозой безопасности информационной системе обычно понимают потенциально возможное событие, действие (воздействие), процесс или явление, которое может прямо или косвенно привести к нарушению конфиденциальности, целостности или доступности информации или компонента системы.
С точки зрения причин возникновения выделяют два класса угроз:
- Объективные;
- Субъективные.
Объективные угрозы - это угрозы, вызванные воздействиями на информационную систему в целом или ее элементы объективных физических процессов или стихийных природных явлений, не зависящих от человека.
Субъективные угрозы - это угрозы, связанные и непосредственно вызванные деятельностью человека.
В свою очередь субъективные угрозы принято разделять, исходя из мотивации действий на преднамеренные и непреднамеренные.
- преднамеренные (умышленные) угрозы - связанные с корыстными устремлениями людей (злоумышленников);
- непреднамеренные (неумышленные, случайные) угрозы, вызванные ошибками в проектировании автоматизированной системы и ее элементов, ошибками в программном обеспечении, ошибками в действиях персонала и т.п., то есть действия, совершаемые людьми случайно, по незнанию, невнимательности или халатности, из любопытства, но без злого умысла.
Непреднамеренные угрозы могут быть как внутренними, так и внешними по отношению к банку. В последнем случае имеется в виду, что они могут возникать за границей территории, но наносить ущерб защищаемому банку. Так, например, пожар или взрыв на соседнем объекте может вызвать повреждения и в банке; повреждение линий энергоснабжения, коммуникаций и т.п. за пределами территории, также могут повлечь за собой нарушение безопасности. Поскольку источник внешних угроз нельзя устранить силами объекта, их относят к объективным угрозам.
Основные, возможные пути умышленной дезорганизации работы, вывода системы из строя, проникновения в систему и несанкционированного доступа к информации/8/:
1. физическое разрушение системы или вывод из строя всех или отдельных наиболее важных компонентов компьютерной системы (устройств, носителей важной системной информации, лиц из числа персонала и т.п.);
2. отключение или вывод из строя подсистем обеспечения функционирования вычислительных систем (электропитания, охлаждения и вентиляции, линий связи и т.л.);
3. действия по дезорганизации функционирования системы (изменение режимов работы устройств или программ, забастовка, саботаж персонала, постановка мощных активных радиопомех на частотах работы устройств системы и т.д.);
4. внедрение агентов в число персонала системы (в том числе, возможно, и в административную группу, отвечающую за безопасность);
5. вербовка (путем подкупа, шантажа и т.п.) персонала или отдельных пользователей, имеющих определенные полномочия;
6. применение подслушивающих устройств, дистанционная фото- и видео-съемка и т.п.;
7. перехват побочных электромагнитных, акустических и других излучений устройств и линий связи, а также наводок активных излучений на вспомогательные технические средства, непосредственно не участвующие в обработке информации (телефонные линии, сети питания, отопления и т.п.);
8. перехват данных, передаваемых по каналам связи, и их анализ с целью выяснения протоколов обмена, правил вхождения в связь и авторизации пользователя и последующих попыток их имитации для проникновения в систему;
9. хищение носителей информации (магнитных дисков, лент, микросхем памяти, запоминающих устройств и целых ПЭВМ);
10. несанкционированное копирование носителей информации;
11. хищение производственных отходов (распечаток, записей, списанных носителей информации и т.п.);
12. чтение остаточной информации из оперативной памяти и с внешних запоминающих устройств;
13. чтение информации из областей оперативной памяти, используемых операционной системой (в том числе подсистемой защиты) или другими пользователями, используя недостатки операционных систем и систем программирования;
14. незаконное получение паролей и других реквизитов разграничения доступа (агентурным путем, используя халатность пользователей, путем подбора, путем имитации интерфейса системы и т.д.);
15. несанкционированное использование терминалов пользователей;
16. вскрытие шифров криптозащиты информации;
17. внедрение аппаратных спецвложений, программных "закладок" и "вирусов" ("троянских коней" и "жучков"), то есть таких участков программ, которые не нужны для осуществления заявленных функций, но позволяющих преодолеть систему защиты, скрытно и незаконно осуществлять доступ к системным ресурсам с целью регистрации и передачи критической информации или дезорганизации функционирования системы;
18. незаконное подключение к линиям связи с целью работы "между строк", с использованием пауз в действиях законного пользователя от его имени с последующим вводом ложных сообщений или модификацией передаваемых сообщений;
19. незаконное подключение к линиям связи с целью прямой подмены законного пользователя путем его физического отключения после входа в систему и успешной аутентификации с последующим вводом дезинформации и навязыванием ложных сообщений;
20. выдача себя за другого пользователя, чтобы снять с себя ответственность или же использовать его полномочия;
21. отказ от факта получения информации, которая на самом деле была получена или ложные сведения о времени ее получения;
22. отказ от факта формирования информации;
23. утверждение о том, что получателю в определенный момент времени была послана информация, которая на самом деле не посылалась;
24. утверждение о том, что информация получена от некоторого пользователя, хотя на самом деле она сформирована самим же нарушителем.
Основные непреднамеренные угрозы/8/:
1. неумышленные действия, приводящие к частичному или полному отказу системы или разрушению аппаратных, программных, информационных ресурсов системы (неумышленная порча оборудования, удаление, искажение файлов с важной информацией или программ, в том числе системных и т.п.);
2. неправомерное включение оборудования или изменение режимов работы устройств и программ;
3. неумышленная порча носителей информации;
4. запуск технологических программ, способных при некомпетентном использовании вызывать потерю работоспособности системы (зависания или зацикливания) или осуществляющих необратимые изменения в системе (форматирование или реструктуризацию носителей информации, удаление данных и т.п.);
5. нелегальное внедрение и использование неучтенных программ (игровых, обучающих, технологических и др., не являющихся необходимыми для выполнения нарушителем своих служебных обязанностей) с последующим необоснованным расходованием ресурсов (загрузка процессора, захват оперативной памяти и памяти на внешних носителях);
6. заражение компьютера вирусами;
7. неосторожные действия, приводящие к разглашению конфиденциальной информации, или делающие ее общедоступной;
8. разглашение, передача или утрата атрибутов разграничения доступа (паролей, ключей шифрования, идентификационных карточек, пропусков и т.п.);
9. проектирование архитектуры системы, технологии обработки данных, разработка прикладных программ, с возможностями, представляющими опасность для работоспособности системы и безопасности информации;
10. игнорирование организационных ограничений (установленных правил) при работе в системе;
11. вход в систему в обход средств защиты (загрузка посторонней операционной системы со сменных магнитных носителей и т.п.);
12. некомпетентное использование, настройка или неправомерное отключение средств защиты персоналом службы безопасности;
13. пересылка данных по ошибочному адресу абонента (устройства);
14. ввод ошибочных данных;
15. неумышленное повреждение каналов связи.