Kurz informačnej bezpečnosti 1. Informačná bezpečnosť odbornej činnosti

Informatizácia spoločensko-politických, ekonomických a vojenských aktivít krajiny a v dôsledku toho prudký rozvoj informačných systémov sú sprevádzané výrazným nárastom útokov na informácie tak zo strany cudzích štátov, ako aj kriminálnych živlov a občanov, ktorí nemajú prístup k informáciám. to. V súčasnej situácii je nepochybne jednou z prvoradých úloh právneho štátu vyriešiť hlboký rozpor medzi skutočnou a nevyhnutnou úrovňou ochrany informačných potrieb jednotlivca, spoločnosti a samotného štátu, zabezpečiť ich informačnú bezpečnosť. », Bezpečnostní špecialisti, manažéri a vedúci pracovníci spoločností.

Artemov, AV - Informačná bezpečnosť. Prečítajte si online kurz prednášok

Recenzent:

Kandidát ekonomických vied, docent odboru "Podnikanie a marketing" FSBEI HPE "Štátna univerzita - UPK" Lebedeva

A. V. Artemov, kandidát technických vied, docent Katedry "elektroniky, počítačového inžinierstva a informačnej bezpečnosti" Federálnej štátnej rozpočtovej vzdelávacej inštitúcie vyššieho odborného vzdelávania "Štátna univerzita - UNPK"

Informačná bezpečnosť ako určujúca súčasť národnej bezpečnosti Ruska

Študijné otázky:

1. Miesto informačnej bezpečnosti v národnom bezpečnostnom systéme Ruska: koncepcia, štruktúra a obsah.

2. Hlavné riadiace dokumenty upravujúce otázky bezpečnosti informácií.

3. Moderné hrozby informačnej bezpečnosti v Rusku

Otázka 1. Miesto informačnej bezpečnosti v národnom bezpečnostnom systéme Ruska: koncepcia, štruktúra a obsah

Informatizácia spoločensko-politických, ekonomických a vojenských aktivít krajiny a v dôsledku toho prudký rozvoj informačných systémov sú sprevádzané výrazným nárastom útokov na informácie tak zo strany cudzích štátov, ako aj kriminálnych živlov a občanov, ktorí nemajú prístup k informáciám. to. V súčasnej situácii je nepochybne jednou z prvoradých úloh právneho štátu vyriešiť hlboký rozpor medzi skutočnou a nevyhnutnou úrovňou ochrany informačných potrieb jednotlivca, spoločnosti a samotného štátu, zabezpečiť ich informačnú bezpečnosť. . V čom informačná bezpečnosť (IS) jednotlivca, spoločnosti, štátu a moderné automatizované a telekomunikačné systémy je pochopená stav bezpečnosti informačného prostredia, zodpovedajúci záujmom (potrebám) jednotlivca, spoločnosti a štátu v informačnej sfére, v ktorej sú zabezpečené možnosti ich formovania, využívania a rozvoja, bez ohľadu na prítomnosť vnútorných a vonkajších hrozieb.

Je definovaná informačná bezpečnosť schopnosť štátu (spoločnosti, jednotlivca):

- s určitou pravdepodobnosťou zabezpečiť dostatočné a chránené informačné zdroje a informačné toky na udržanie ich životnosti a vitality, udržateľného fungovania a rozvoja;

- odolávať informačným nebezpečenstvám a hrozbám, negatívnym informačným vplyvom na individuálne a verejné vedomie a psychiku ľudí, ako aj na počítačové siete a iné technické zdroje informácií;

- rozvíjať osobné a skupinové zručnosti a schopnosti bezpečného správania;

- udržiavať stálu pripravenosť na primerané opatrenia v informačnej konfrontácii, bez ohľadu na to, komu sú uložené.

Ani jedna sféra života v modernej spoločnosti nemôže fungovať bez rozvinutej informačnej štruktúry. Národný informačný zdroj je dnes jedným z hlavných zdrojov ekonomickej a vojenskej sily štátu. Informácie prenikajúc do všetkých sfér činnosti štátu získavajú špecifický politický, materiálny a hodnotový výraz. Na tomto pozadí, otázky bezpečnosti informácií Ruská federácia ako integrálny prvok národnej bezpečnosti a ochrana informácií sa stáva jednou z prioritných úloh štátu.

V každej krajine je informačná bezpečnosť mimoriadne dôležitá. Táto úloha vo svojom vývoji prechádza mnohými etapami v závislosti od potrieb štátu, možností, spôsobov a prostriedkov získavania informácií (najmä spravodajských), právneho režimu štátu a jeho reálnej snahy zabezpečiť ochranu informácie.

Dôležitou etapou formovania a zdokonaľovania takéhoto systému u nás bolo obdobie 70.-80. So začiatkom 70. rokov. V spravodajskej činnosti popredných krajín sveta sa začalo vo veľkom využívať techniku ​​technického prieskumu. 80. roky 20. storočia, poznamenané prudkým vedecko-technickým pokrokom, najmä vo vojenskej oblasti, dali nový impulz ďalšiemu zvyšovaniu spôsobilostí technických prostriedkov cudzích spravodajských služieb: až 70 % spravodajských informácií sa v tom čase získavalo pomocou tzv. technických prostriedkov.

Súčasná situácia si vyžiadala zlepšenie systému protiopatrení voči cudzím spravodajským službám. Úlohou štátnej dôležitosti a jednou zo zložiek vo všeobecnom systéme opatrení na zachovanie štátneho a služobného tajomstva bolo postaviť sa proti technickému spravodajstvu.

Začiatkom 90. rokov. došlo ku kvalitatívnym zmenám vo vojensko-politickej a vedecko-technickej sfére, ktoré si vyžiadali v mnohých ohľadoch prehodnotiť politiku štátu v oblasti ochrany informácií vôbec.

Po prvé, informačné technológie zásadne zmenili objem a dôležitosť informácií cirkulujúcich v technických prostriedkoch ich prenosu a spracovania. Po druhé, v Rusku sa stal de facto štátny monopol na informačné zdroje minulosťou, najmä ústavou bolo zakotvené právo občana vyhľadávať, prijímať a rozširovať informácie. Po tretie, doterajší administratívny mechanizmus riadenia informačnej bezpečnosti sa stal neúčinným, pričom objektívne vzrástla potreba medzirezortnej koordinácie v tejto oblasti. Po štvrté, v súvislosti so zvyšujúcim sa zapojením Ruska do medzinárodnej deľby práce, posilňovaním ekonomických, kultúrnych, humanitárnych kontaktov s inými štátmi, mnohými režimovo reštriktívnymi opatreniami, ktoré uľahčujú ochranu informácií, napr. pre návštevu cudzincov sa stali neprijateľnými.

V súčasných podmienkach, s prihliadnutím na uvažované hrozby informačnej bezpečnosti pre jednotlivca, spoločnosť a štát, je dôležité zvážiť problémy a úlohy zabezpečenia informačnej bezpečnosti, ktorá je neoddeliteľnou súčasťou zabezpečovania národnej bezpečnosti každého štátu. svetového spoločenstva v novej etape jej vývoja - etape formovania informačnej spoločnosti. Známymi charakteristickými črtami takejto spoločnosti je zrejmá podmienenosť ekonomického, sociálneho, vedeckého a celého rozvoja krajiny plošným zavádzaním nových informačných technológií, ktoré zabezpečujú efektívnu informatizáciu spoločnosti, ktorá následne zabezpečuje informatizáciu. bezpečnosť spoločnosti, vrátane jej poskytovania kvalitných informácií, informačných produktov, služieb a znalostí, ktoré sú dnes najdôležitejším strategickým zdrojom krajiny. Informatizácia jednotlivca, spoločnosti je najdôležitejším, strategickým smerom činnosti štátu, ktorý určuje stabilný a bezpečný sociálno-ekonomický a politický vývoj a priority vo všetkých sférach, vrátane informácií a aktivít vo svetovom spoločenstve. Potvrdzujú to praktické kroky popredných krajín sveta a Ruska, čo potvrdzujú aj ich prijatie množstva normatívnych právnych aktov a iných dokumentov:

- 2000 - "Okinawská charta globálnej informačnej spoločnosti" (podpísaná prezidentom v mene Ruska);

- 2000 Koncepciou národnej bezpečnosti Ruskej federácie (schválenou dekrétom prezidenta republiky v znení zmien a doplnkov z 10.01.2000);

- 2000 - federálne cieľové programy "Rozvoj jednotného vzdelávacieho informačného prostredia (2001-2005)", "Elektronické Rusko";

- 25. júla 2007 - program "Stratégia rozvoja informačnej spoločnosti v Rusku" (prijatý Bezpečnostnou radou Ruskej federácie);

- 2002 - Federálny cieľový program "Elektronické Rusko na roky 2002-2010" (schválený nariadením vlády Ruska z 28. januára 2002 č. 65);

- 2007 „Stratégia rozvoja informačnej spoločnosti v Rusku“ (schválená 25. júla 2007 Bezpečnostnou radou Ruskej federácie) a iné.

Otázka 2. Hlavné usmerňujúce dokumenty upravujúce otázky bezpečnosti informácií

Vzhľadom na Koncepciu národnej bezpečnosti Ruska, schválenú dekrétom prezidenta Ruskej federácie zo 17. decembra 1997 č. “, možno tvrdiť, že v ňom je systém národných záujmov Ruska určený súhrnom nasledujúcich hlavných záujmov:

jednotlivci - sú v reálnom poskytovaní ústavných práv a slobôd, osobnej bezpečnosti, v zlepšovaní kvality a životnej úrovne, v fyzickom, duchovnom a intelektuálnom rozvoji;

- spoločnosti - zahŕňajú upevnenie demokracie, dosiahnutie a udržanie sociálneho zmieru, zvýšenie tvorivej činnosti obyvateľstva a duchovnú obrodu Ruska;

- štáty - sú pri ochrane ústavného poriadku, suverenity a územnej celistvosti Ruska, pri nastolení politickej, hospodárskej a sociálnej stability, pri bezvýhradnom dodržiavaní zákonov a udržiavaní práva a poriadku, pri rozvoji medzinárodnej spolupráce založené na partnerstve.

Koncept definuje národné záujmy Ruska v informačnej sfére.

Národné záujmy Ruska vyvoláva potrebu sústrediť úsilie spoločnosti a štátu na riešenie určitých problémov. Toto sú:

- dodržiavanie ústavných práv a slobôd občanov v oblasti prijímania informácií a ich výmeny;

- ochrana národných duchovných hodnôt; - propagácia národného, ​​kultúrneho dedičstva, morálnych noriem a verejnej morálky;

- zabezpečenie práva občanov na spoľahlivé informácie;

- rozvoj moderných telekomunikačných technológií. Systematická činnosť štátu pri plnení týchto úloh umožní Ruskej federácii stať sa jedným z centier svetového rozvoja 21. storočia. Zároveň je neprijateľné využívať informácie na manipuláciu masového vedomia. Je potrebné chrániť štátny informačný zdroj pred únikom dôležitých politických, ekonomických, vedeckých, technických a vojenských informácií.

V súlade s touto Koncepciou najdôležitejšie úlohy informačnej bezpečnosti sú:

- vytvorenie potrebnej rovnováhy medzi potrebou voľnej výmeny informácií a prípustnými obmedzeniami ich šírenia;

- zlepšenie informačnej štruktúry, urýchlenie rozvoja nových informačných technológií a ich rozsiahlej distribúcie, zjednotenie prostriedkov na vyhľadávanie, zhromažďovanie, uchovávanie, spracovanie a analýzu informácií s prihliadnutím na vstup Ruska do globálnej informačnej infraštruktúry;

- rozvoj vhodného regulačného právneho rámca a koordinácia činnosti federálnych vládnych orgánov a iných orgánov, ktoré riešia problém informačnej bezpečnosti, s vedúcou úlohou Federálnej agentúry pre vládne komunikácie a informácie pod prezidentom Ruskej federácie;

- rozvoj domáceho priemyslu telekomunikačných a informačných zariadení, ich prioritné rozmiestnenie na domácom trhu v porovnaní so zahraničnými partnermi;

- ochrana štátneho informačného zdroja predovšetkým vo federálnych orgánoch štátnej moci a v podnikoch obranného komplexu.

Doktrína informačnej bezpečnosti Ruskej federácie zo dňa 09.09.2001 č. Pr-1895 je súbor oficiálnych názorov na ciele, zámery, princípy a hlavné smery zabezpečenia informačnej bezpečnosti Ruskej federácie... Slúži ako základ pre:

- za formovanie štátnej politiky v oblasti informačnej bezpečnosti Ruskej federácie;

- príprava návrhov na zlepšenie právneho, metodického, vedeckého, technického a organizačného zabezpečenia informačnej bezpečnosti;

- rozvoj cieľových programov pre informačnú bezpečnosť Ruskej federácie.

Štruktúra Doktríny pozostáva zo 4 častí a 11 kapitol. V prvej časti „ Informačná bezpečnosť Ruskej federácie daný vyzdvihuje sa pojem informačná bezpečnosť, národné záujmy jednotlivca, spoločnosti a štátu v informačnej sfére... V Doktríne sú špecifikované podrobnejšie ako v Koncepcii národnej bezpečnosti.

Strategické a aktuálne úlohy vnútornej a zahraničnej politiky štátu na zabezpečenie informačnej bezpečnosti sa formujú na základe týchto záujmov v informačnej bezpečnosti:

- jednotlivci - sú pri realizácii ústavných práv osoby a občana na prístup k informáciám, používanie informácií v záujme vykonávania činností, ktoré nie sú zákonom zakázané, fyzického, duchovného a duševného rozvoja, ako aj pri ochrane informácií, ktoré zabezpečujú osobné bezpečnosť;

- spoločnosti - spočíva v zabezpečovaní záujmov jednotlivca v tejto oblasti, upevňovaní demokracie, vytváraní právneho sociálneho štátu, dosahovaní a udržiavaní sociálneho zmieru, v duchovnej obnove Ruska;

- štáty - majú vytvárať podmienky pre harmonický rozvoj ruskej informačnej infraštruktúry, uplatňovanie ústavných práv a slobôd človeka a občana v oblasti získavania informácií a ich využívania s cieľom zabezpečiť nedotknuteľnosť ústavného poriadku, suverenity a územná celistvosť Ruska, politická, ekonomická a sociálna stabilita, v bezpodmienečnom zabezpečení práva a poriadku, rozvoj rovnocennej a vzájomne výhodnej medzinárodnej spolupráce.

Určujú sa typy hrozieb IS a ich zdroje. Tie sú na rozdiel od Koncepcie národnej bezpečnosti aj podrobné.

V druhej časti "Metódy zaistenia informačnej bezpečnosti":

- sú určené všeobecné metódy zabezpečenia IS Ruskej federácie;

- odhaľuje črty zabezpečenia informačnej bezpečnosti Ruskej federácie v rôznych sférach verejného života;

- určuje sa medzinárodná spolupráca v oblasti informačnej bezpečnosti.

V tretej časti "Hlavné ustanovenia štátnej politiky na zaistenie informačnej bezpečnosti Ruskej federácie" obsahuje:

- princípy zabezpečenia verejného poriadku;

- prioritné opatrenia na vykonávanie štátnej politiky na zaistenie informačnej bezpečnosti Ruskej federácie.

Štvrtá časť" Organizačný základ systému informačnej bezpečnosti Ruskej federácie. fixuje hlavné funkcie systému informačnej bezpečnosti a jeho organizačný základ.

Proces informatizácie modernej spoločnosti vedie k prudkému nárastu hodnoty niektorých informácií a stratám, ktoré môžu nastať v prípade ich úniku, modifikácie alebo zničenia. V tejto súvislosti sa stáva obzvlášť naliehavý problém zabezpečenia informačnej bezpečnosti.

Pojem informačnej bezpečnosti je veľmi široký. Vo všeobecnom zmysle, pod informačná bezpečnosť rozumieť bezpečnosti informácií pred neoprávnenými pokusmi o ich získanie, úpravu, zničenie a oneskorenie prístupu. Informačná bezpečnosť by mala zabezpečiť dosiahnutie nasledujúcich cieľov:

Integrita údajov - ochrana pred zlyhaniami vedúcimi k strate informácií, ako aj neoprávnenému vytváraniu alebo zničeniu údajov;

Dôvernosť informácií;

Niektoré z dôvodov vedúcich k strate alebo nechcenej zmene informácií zahŕňajú nasledovné:

1) Neoprávnený prístup k údajom (náhodný alebo úmyselný):

Kopírovanie, skresľovanie, ničenie alebo falšovanie informácií;

Oboznámenie nepovolaných osôb s dôvernými informáciami.

2) Nesprávna prevádzka softvéru vedúca k strate alebo poškodeniu údajov:

Chyby v aplikačnom alebo sieťovom softvéri;

Infekcia systémov počítačovými vírusmi.

3) Technické poruchy zariadenia spôsobené:

Výpadok prúdu;

Porucha diskových systémov a systémov archivácie údajov;

Rušenie serverov, pracovných staníc, sieťových kariet, modemov;

Nefunkčný káblový systém.

4) Chyby servisného personálu alebo používateľov.

5) Nesprávne ukladanie informácií.

Vo výpočtovej koncepcii bezpečnosť je veľmi široký. Znamená to spoľahlivosť počítača a bezpečnosť cenných údajov, ako aj ochranu informácií pred ich zmenami neoprávnenými osobami a zachovanie tajomstva korešpondencie počas elektronickej komunikácie. Samozrejme, vo všetkých civilizovaných krajinách je bezpečnosť občanov chránená zákonmi, ale v oblasti výpočtovej techniky ešte nie je dostatočne rozvinutá prax presadzovania práva a proces tvorby zákonov nedrží krok s vývojom techniky. Spoľahlivosť počítačových systémov je preto z veľkej časti založená na opatreniach sebaobrany.

Bezpečnosť informačného systému je systém organizačných a technických opatrení zameraných na predchádzanie hrozbám, to znamená udalostiam alebo činnostiam, ktoré narúšajú normálne fungovanie počítačového systému alebo práva občanov, podnikov a štátu vlastniť informácie.

Opatrenia na zaistenie bezpečnosti počítačového systému musia pokrývať všetky možné hrozby a zvyčajne zahŕňajú fyzickú ochranu servera, prostriedky na obnovu systémov a dát po poruchách a prostriedky na ochranu pred neoprávneným prístupom.

Samozrejme, neexistuje univerzálne riešenie problému informačnej bezpečnosti, ktoré by vylučovalo všetky vyššie uvedené dôvody: fyzická ochrana údajov a systémových programov, ochrana pred neoprávneným prístupom k údajom prenášaným cez komunikačné linky a umiestneným na diskoch.

V súčasnosti boli vyvinuté a úspešne aplikované rôzne metódy a nástroje, ktoré minimalizujú riziko straty dát alebo ich nechcenej modifikácie. Neexistuje však jednotný prístup k ich klasifikácii.

Takže napríklad existujú právne, technické a organizačné aspekty informačnej bezpečnosti.

K zákonným opatreniam zahŕňajú: vývoj nariadení, ktoré zahŕňajú administratívnu a trestnú zodpovednosť za krádež informácií, porušenie autorských práv programátorov a všetky tie typy počítačových zločinov, ktoré boli predtým dohodnuté.

K technickým opatreniam zahŕňajú: ochranu pred neoprávneným prístupom do systému; softvér na kontrolu vírusov; zálohovanie a archivácia obzvlášť dôležitých dokumentov; organizácia lokálnych sietí so schopnosťou prerozdeľovania zdrojov v prípade zlyhania jednotlivých prepojení; inštalácia systémov ochrany proti výpadkom napájania; ako aj vybavenie priestorov zabezpečovacím systémom.

Pod organizačné opatrenia znamená predovšetkým výber zamestnancov spoločnosti, ako aj zabezpečenie, aby sa k chráneným informáciám nedostali neoverené osoby. Patrí sem napríklad vybavenie priestorov systémom kombinačných zámkov, aby sa do tejto miestnosti dostala len osoba, ktorá pozná kód, ktorý otvára dvere.

Existujú aj iné prístupy ku klasifikácii nástrojov informačnej bezpečnosti:

- vybavenie fyzickej ochrany: prostriedky ochrany káblového systému, napájacie systémy, archivačné prostriedky, diskové polia a pod.

Fyzická ochrana konkrétne zahŕňa:

a) zaistenie bezpečnosti priestorov, kde sú servery inštalované, berúc do úvahy požiadavky na spoľahlivosť budov, teplotu a vlhkosť, prítomnosť hasiacich prostriedkov;

b) opatrenia na obmedzenie fyzického prístupu k počítačovým systémom a sieťovej infraštruktúre neoprávnených osôb, ktoré môžu zastaviť, reštartovať a dokonca preinštalovať server, ukradnúť pevné disky, nainštalovať spravodajský hardvér a softvér.

c) prostriedky ochrany pred výpadkami napájania - od neprerušiteľných zdrojov napájania až po opatrenia na účinné uzemnenie a ochranu pred úderom blesku.

- softvérová ochrana: antivírusové programy, systémy diferenciácie právomocí, softvér na kontrolu prístupu;

Softvérové ​​nástroje a metódy ochrany sú aktívnejšie a širšie ako iné, ktoré sa používajú na ochranu informácií v osobných počítačoch a počítačových sieťach, pričom implementujú také ochranné funkcie, ako je vymedzenie a kontrola prístupu k zdrojom; registrácia a analýza prebiehajúcich procesov, udalostí, používateľov; predchádzanie možným deštruktívnym vplyvom na zdroje; kryptografická ochrana informácií; identifikácia a autentifikácia používateľov a procesov a pod.

V súčasnosti je najväčší podiel v tejto skupine opatrení v systémoch na spracovanie ekonomických informácií špeciálne softvérové ​​balíky alebo jednotlivé programy zahrnuté v softvéri s cieľom implementovať úlohy ochrany informácií.

- technologické prostriedky ochrany informácií je súbor činností, ktoré sú organicky integrované do technologických procesov transformácie dát. Medzi nimi:

Vytváranie archívnych kópií médií;

Manuálne alebo automatické ukladanie spracovaných súborov do externej pamäte počítača;

Registrácia používateľov počítačových zariadení v časopisoch;

Automatická registrácia prístupu používateľov k určitým zdrojom;

Vypracovanie špeciálnych pokynov na realizáciu všetkých technologických postupov a pod.

- k právnym a morálno-etickým opatreniam a opravným prostriedkom zahrnúť zákony a predpisy platné v krajine, ktoré upravujú pravidlá nakladania s informáciami a zodpovednosť za ich porušenie; normy správania, ktorých dodržiavanie prispieva k ochrane informácií.

- administratívne ochranné opatrenia: kontrola vstupu do priestorov, vypracovanie bezpečnostnej stratégie firmy, havarijných plánov a pod.

Organizačné a administratívne prostriedky ochrany sa redukujú na reguláciu prístupu k informáciám a výpočtovým prostriedkom, funkčných procesov systémov spracovania dát, na reguláciu personálnych činností a pod. Ich účelom je čo najviac sťažiť alebo vylúčiť možnosť implementácie. bezpečnostných hrozieb. Najtypickejšie organizačné a administratívne nástroje:

Vytvorenie režimu kontrolných bodov na území, kde sa nachádzajú zariadenia na spracovanie informácií;

Výroba a vydávanie špeciálnych preukazov;

Náborové činnosti súvisiace so spracovaním údajov;

Spracúvať a prenášať dôverné informácie môžu iba overení úradníci;

Ukladanie magnetických a iných nosičov informácií predstavujúcich určité tajomstvo, ako aj registračných protokolov v trezoroch neprístupných neoprávneným osobám;

Organizácia ochrany pred inštaláciou odpočúvacích zariadení v miestnostiach súvisiacich so spracovaním informácií;

Organizácia účtovníctva za použitie a zničenie dokumentov (nosičov) s dôvernými informáciami;

Vývoj pracovných popisov a pravidiel pre prácu s počítačovými zariadeniami a informačnými poliami;

Diferenciácia prístupu k informáciám a výpočtovým zdrojom úradníkov v súlade s ich funkčnými povinnosťami.

Ktorákoľvek z uvažovaných klasifikácií je skôr svojvoľná. Moderné technológie sa vyvíjajú smerom k syntéze rôznych prostriedkov ochrany a dosiahnutie požadovanej úrovne bezpečnosti je možné len optimálnou kombináciou organizačných, softvérových, hardvérových, fyzických a iných spôsobov ochrany, teda v prípade systematického prístup k riešeniu problému informačnej bezpečnosti.

INFORMAČNÁ BEZPEČNOSŤ ODBORNÝCH ČINNOSTÍ

Požitková Tatiana Alexandrovna

Študent 5. ročníka, Katedra tovaroznalectva a organizácie riadenia obchodných podnikov, TSU, Togliatti

E-pošty: Kykyha [e-mail chránený] yandex . ru

Kharlamová Valentina Vladimirovna

čl. Prednáša na Katedre tovaroznalectva a organizácie riadenia obchodných podnikovTSU, Togliatti

Informácie (z lat. informatio - vysvetlenie, prezentácia) - od polovice dvadsiateho storočia všeobecný vedecký koncept zahŕňajúci výmenu informácií medzi ľuďmi, človekom a automatom, automatom a automatom, výmenu signálov vo svete zvierat a rastlín. , prenos znakov z bunky do bunky, z organizmu do tela; jeden zo základných pojmov kybernetiky.

Ochrana informácií je súbor opatrení zameraných na zaistenie informačnej bezpečnosti.

Podľa noriem informačnej bezpečnosti je hlavnou vecou v každej spoločnosti:

· definovať cieľ zabezpečenia ochrany informácií počítačových systémov;

· Získajte najefektívnejší systém riadenia informačnej bezpečnosti;

· Vypočítajte súhrn kvantitatívnych aj kvalitatívnych ukazovateľov, pokiaľ zodpovedajú stanoveným cieľom;

· Aplikácia všetkých opatrení na zabezpečenie informačnej bezpečnosti, neustále sledovanie aktuálneho stavu systému;

· Aplikujte pokyny na riadenie bezpečnosti, ktoré umožňujú pravdivé posúdenie dostupnej informačnej bezpečnosti.

Pre subjekty využívajúce informačné systémy sú dôležité nasledovné charakteristiky informačných zdrojov: dôvernosť, dostupnosť a integrita.

Dôvernosť je ochrana informácií pred neoprávneným prístupom. Inými slovami, existuje oprávnenie na prístup – existujú informácie. Príkladom je nezverejňovanie informácií organizácie o mzdách pracovníkov.

Dostupnosť je kritérium charakterizované rýchlym nájdením potrebných informácií.

Integrita je pravdivosť a relevantnosť informácií, ich ochrana pred neoprávneným prístupom a zničením (zmenou). Integrita je najdôležitejším aspektom informačnej bezpečnosti, pokiaľ ide napríklad o formuláciu liekov, predpísané liečebné postupy, priebeh technologického procesu - ak dôjde k narušeniu integrity informácií všetkých týchto príkladov, môže to viesť k nenapraviteľné následky.

Po analýze hlavných vlastností informačných zdrojov je najdôležitejšou vecou pre používateľov IP dostupnosť.

Bezúhonnosť je v dôležitosti o pol kroku pozadu – pretože informácie nemajú zmysel, ak nie sú pravdivé alebo skreslené.

Okrem troch hlavných funkcií bezpečnostných modelov existujú aj ďalšie, ktoré nie sú vždy povinné:

· Odvolateľnosť – nemožnosť odmietnutia autorstva;

· Zodpovednosť – uznanie subjektu prístupu a evidencia jeho činov;

· Autenticita alebo autentickosť - vlastnosť, ktorá zaručuje, že predmet alebo zdroj je totožný s deklarovaným. Znak, ktorý zaručuje, že informácie sú totožné s deklarovanými.

Bezpečnosť informácií môže byť v rôznej miere narušená činnosťami nazývanými hrozby. Sú rozdelené do nasledujúcich kategórií:

2. Akcie vykonávané hackermi. Myslím ľudí, ktorí sa profesionálne zaoberajú počítačovými zločinmi. Hackeri používajú metódu DOS_attack. Táto hrozba neoprávneného vstupu môže byť nástrojom na zničenie dát, použitie dôverných informácií na nelegálne účely, ako aj na krádeže z účtov finančných prostriedkov a pod. sieťových uzlov organizácie, ktoré sú zodpovedné za jej efektívnu prevádzku (mailové servery). Hackeri masívne posielajú dátové pakety do týchto uzlov, čo spôsobuje ich preťaženie, čím ich na nejaký čas vyraďujú z pracovného stavu. Čo v dôsledku vedie k narušeniam obchodných procesov, strate zákazníkov, reputácie atď.

3. Počítačové vírusy, malvér. Široko sa využívajú na infiltráciu elektronickej pošty, uzlov podnikovej siete, samotného nosiča a ukladania informácií, čo môže viesť k strate dát, krádeži informácií. V dôsledku vírusov je pracovný proces pozastavený a pracovný čas sa stráca. Je dôležité zdôrazniť, že vírus môže útočníkom poskytnúť úplnú alebo čiastočnú kontrolu nad aktivitami organizácie.

4. Spam. Až donedávna bolo možné spam klasifikovať ako nevýznamný nepríjemný faktor, ale teraz sa stal jednou z hlavných hrozieb pre informácie: spam vyvoláva u zamestnancov pocit psychickej nepohody, jeho vymazanie z e-mailových schránok zaberie veľa času, čo môže znamená vymazanie dôležitých informácií.korešpondencia. A to je zase strata informácií, strata zákazníkov.

5. „Prirodzené hrozby“. Okrem vnútorných faktorov môžu bezpečnosť informácií ovplyvniť aj vonkajšie faktory: nesprávne uloženie informácií, krádež médií, vyššia moc atď.

Môžeme to zhrnúť takto: v modernom svete je prítomnosť dobre vyvinutého systému ochrany informácií jednou z hlavných podmienok konkurencieschopnosti a dokonca životaschopnosti každej spoločnosti.

Na zabezpečenie čo najúplnejšej informačnej bezpečnosti musia v systéme fungovať rôzne prostriedky ochrany, to znamená, že musia byť aplikované súčasne a pod centralizovanou kontrolou.

V súčasnosti existuje mnoho spôsobov, ako zaistiť bezpečnosť informácií:

· Prostriedky šifrovania informácií uložených v počítačoch a prenášaných cez siete;

· Prostriedky na šifrovanie dôležitých informácií uložených v počítači;

· Firewally;

· Prostriedky filtrovania obsahu;

· Prostriedky antivírusovej ochrany;

· Systémy detekcie zraniteľnosti siete a analyzátory sieťových útokov.

Ktorýkoľvek z uvedených fondov je možné použiť samostatne aj v spojení s inými. Tým sa rozširuje spektrum ochrany informácií, čo je nepochybne pozitívny faktor.

"Komplex 3A". Identifikácia a autorizácia sú hlavnými prvkami informačnej bezpečnosti. Keď sa pokúsite získať prístup k akýmkoľvek chráneným informáciám, identifikácia určí, či ste oprávneným používateľom siete. Účelom autorizácie je identifikovať, ku ktorým informačným zdrojom má daný používateľ prístup. Funkciou správy je poskytnúť používateľovi individuálne pokročilé schopnosti, určiť mu rozsah možných akcií v rámci danej siete.

Systémy šifrovania informácií umožňujú minimalizovať straty v prípade pokusu o neoprávnený prístup k údajom, ako aj zachytenie informácií pri prenose alebo prenose cez sieťové protokoly. Hlavným účelom tejto metódy ochrany je zabezpečiť zachovanie dôvernosti. Na šifrovacie systémy sa vzťahujú požiadavky, ako je vysoká úroveň utajenia zámku (t. j. šifrovacia sila) a zákonnosť používania.

Firewall funguje ako ochranná bariéra medzi sieťami, kontroluje a chráni pred neoprávneným vstupom do siete alebo naopak odstránením dátových paketov z nej. Firewally kontrolujú každý paket údajov oproti prichádzajúcim a odchádzajúcim IP_adresám so základňou povolených adries.

Je dôležité kontrolovať a filtrovať prichádzajúce a odchádzajúce e-maily, aby sa zachovali a ochránili dôverné informácie. Skenovanie príloh a samotných e-mailových správ na základe pravidiel stanovených v organizácii pomáha chrániť zamestnancov pred spamom a organizáciu pred zodpovednosťou za právne nároky.

Administrátor, ako každý iný oprávnený používateľ, môže mať právo sledovať všetky zmeny informácií na serveri vďaka technológii kontroly integrity. To umožňuje odhaliť neoprávnený prístup, kontrolovať akékoľvek akcie s informáciami (zmeniť, vymazať atď.), ako aj identifikovať aktivitu vírusov. Kontrola sa vykonáva na základe analýzy kontrolných súčtov súborov (CRC_sums).

V súčasnosti dokážu antivírusové technológie odhaliť takmer všetky vírusy a škodlivé programy porovnaním vzorového kódu v antivírusovej databáze s kódom podozrivého súboru. Podozrivé súbory je možné umiestniť do karantény, dezinfikovať alebo odstrániť. Antivírusové programy je možné inštalovať na súborové a poštové servery, firewally, na pracovné stanice pracujúce pod bežnými operačnými systémami (Windows, Unix- a Linux_systems, Novell) na rôznych typoch procesorov.

Spamové filtre výrazne znižujú neproduktívne mzdové náklady spojené s čistením súborov od spamu, znižujú zaťaženie serverov a zlepšujú psychologické zázemie v tíme. Spamové filtre okrem toho znižujú riziko infekcie novými vírusmi, pretože majú často podobné vlastnosti ako spam a sú odstránené.

Na ochranu pred prírodnými hrozbami v organizácii musí byť vytvorený a realizovaný plán prevencie a odstraňovania mimoriadnych udalostí (požiar, povodeň). Hlavnou metódou ochrany údajov je zálohovanie.

Existuje mnoho prostriedkov technickej ochrany informácií pred neoprávneným prístupom (NSD): jednorazové zámky, plastové identifikačné karty, plomby, optické a infračervené systémy, laserové systémy, zámky (mechanické, elektromechanické, elektronické), video zabezpečovacie a riadiace systémy.

Politika informačnej bezpečnosti je súbor pravidiel, zákonov, odporúčaní a praktických skúseností, ktoré určujú manažérske a dizajnérske rozhodnutia v oblasti informačnej bezpečnosti. PIB je nástroj, pomocou ktorého dochádza k správe, ochrane, distribúcii informácií v systéme. Politika by mala definovať správanie systému v rôznych situáciách.

Program bezpečnostnej politiky obsahuje nasledujúce kroky na vytvorenie nástrojov na ochranu informácií:

1. Hľadanie informácií a technických zdrojov, ktoré je potrebné chrániť;

2. Zverejnenie celého súboru potenciálnych hrozieb a kanálov úniku informácií;

3. Posúdenie zraniteľnosti a rizík informácií s existujúcim súborom hrozieb a kanálov úniku;

4. diagnostika požiadaviek na ochranný systém;

5. Výber nástrojov informačnej bezpečnosti a ich charakteristiky;

6. Realizácia a organizácia využívania vybraných opatrení, metód a prostriedkov ochrany;

7. Implementácia kontroly integrity a riadenia systému ochrany.

Hodnotenie súčasnej situácie je rozdelené do dvoch systémov: „výskum zdola nahor“ a „výskum zhora nadol“. Prvý je založený na tom, že služba informačnej bezpečnosti ich na základe všetkých známych typov útokov v praxi aplikuje na kontrolu, či je tento útok možný zo strany skutočného páchateľa.

Metóda "zhora nadol" je podrobná štúdia všetkých existujúcich schém na ukladanie a spracovanie informácií. Prvým krokom metódy je určiť, ktoré informačné toky by mali byť chránené. Následne sa analyzuje aktuálny stav systému informačnej bezpečnosti, aby sa určili implementované metódy ochrany, v akom rozsahu a na akej úrovni sú implementované. V tretej fáze sú všetky informačné objekty zaradené do skupín v súlade s ich dôvernosťou.

Potom je potrebné zistiť, aké vážne škody môžu byť spôsobené napadnutím informačného objektu. Tento krok sa označuje ako „výpočet rizika“. Počíta sa možné poškodenie z útoku, pravdepodobnosť takéhoto útoku a ich produkcia. Prijatá odpoveď predstavuje možné riziko.

V najdôležitejšej a rozhodujúcej fáze prebieha samotný vývoj podnikovej bezpečnostnej politiky, ktorá poskytne najkompletnejšiu ochranu pred možnými rizikami. Je však potrebné zvážiť problémy, ktoré môžu nastať pri iniciovaní bezpečnostnej politiky. Medzi takéto problémy patria zákony krajiny a medzinárodného spoločenstva, etické normy, interné požiadavky organizácie.

Po vytvorení politiky informačnej bezpečnosti ako takej sa kalkuluje jej ekonomická nákladnosť.

Na konci vývoja je program schválený vedením spoločnosti a podrobne zdokumentovaný. Potom by mala nasledovať aktívna implementácia všetkých komponentov uvedených v pláne. Prepočet rizika a následná úprava bezpečnostnej politiky spoločnosti sa najčastejšie vykonáva každé dva roky.

Samotný PIB je formalizovaný vo forme zdokumentovaných požiadaviek na informačný systém. Existujú tri úrovne takýchto dokumentov (nazývané aj podrobné):

Dokumenty vyššej úrovne politiky informačnej bezpečnosti poukazujú na postoj organizácie k aktivitám v oblasti informačnej bezpečnosti, jej pripravenosť plniť štátne a medzinárodné požiadavky v tejto oblasti. Môžu byť napríklad pomenované: „Koncepcia IS“, „Politika IS“, „Technická norma IS“ atď. Dokumenty najvyššej úrovne je možné vydávať v dvoch formách – pre externé a interné použitie.

Dokumenty strednej úrovne sa týkajú určitých aspektov informačnej bezpečnosti. Popisuje požiadavky na tvorbu a prevádzku nástrojov informačnej bezpečnosti pre špecifickú stránku informačnej bezpečnosti.

Dokumenty nižšej úrovne obsahujú pravidlá a normy práce, administratívne príručky, pokyny na prevádzku služieb súkromnej informačnej bezpečnosti.

Etapy životného cyklu informačného systému sa delia na: strategické plánovanie, analýzu, návrh, implementáciu, implementáciu (iniciáciu) a prevádzku. Pozrime sa podrobne na každú fázu:

1. Počiatočná fáza (strategické plánovanie).

V prvej fáze sa určí rozsah systému a nastavia sa okrajové podmienky. Na to je potrebné identifikovať všetky externé objekty, s ktorými bude vyvinutý systém interagovať, aby sa určila povaha tejto interakcie. Počas fázy strategického plánovania sa identifikujú všetky funkcie a popíšu sa tie najdôležitejšie.

2. Štádium zdokonaľovania.

V štádiu dolaďovania sa analyzuje aplikovaná oblasť, rozvíja sa architektonický základ informačného systému. Je potrebné popísať väčšinu funkcionality systému a zohľadniť vzťah medzi jednotlivými komponentmi. Na konci etapy zdokonaľovania sa analyzujú architektonické riešenia a spôsoby eliminácie hlavných rizík v programe.

3. Stavebná etapa.

V tejto fáze sa vytvorí hotový výrobok, pripravený na odovzdanie používateľovi. Na konci návrhu sa zisťuje prevádzkyschopnosť výsledného softvéru.

4. Etapa prevodu do prevádzky (iniciácia).

Fáza je priamy prenos softvéru na používateľa. Pri používaní vyvinutého systému sa často zisťujú problémy rôzneho druhu, ktoré si vyžadujú dodatočnú prácu a úpravy produktu. Na konci tejto etapy zisťujú, či ciele stanovené pre vývojárov boli dosiahnuté alebo nie.

5. Vyradenie z prevádzky a likvidácia. Výsledkom tejto etapy je prenos údajov do nového IS.

Akýkoľvek informačný systém môže zostať maximálne užitočný 3-7 rokov. Ďalej je potrebná jeho modernizácia. Preto môžeme dospieť k záveru, že takmer každý tvorca sa stretáva s problémom modernizácie zastaraných informačných systémov.

Pre riešenie problému zaistenia informačnej bezpečnosti je dôležité aplikovať legislatívne, organizačné, softvérové ​​a hardvérové ​​opatrenia. Nepozornosť aspoň jedného aspektu tohto problému môže viesť k strate alebo úniku informácií, ktorých cena a úloha v živote modernej spoločnosti je čoraz dôležitejšia.

Bibliografia:

1.V.A. Ignatiev, Informačná bezpečnosť moderného komerčného podniku / V.A. Ignatiev - M: Stary Oskol: TNT, 2005 .-- 448 s.

2. Domarev V.V., Bezpečnosť informačných technológií. Metodika tvorby ochranných systémov (kapitola 8) / TID Dia Soft / - 2002. [Elektronický zdroj]. - Režim prístupu. - URL: http://www.kpnemo.ws/ebook/2010/08/10/domarev_vv_bezopasnost_informatsionnyih_tehnologiy_metodologiya_sozdaniya_sistem_zaschityi (dátum prístupu 15.11.2012)

3. Zhuk EI, Koncepčné základy informačnej bezpečnosti [Elektronický zdroj] // Elektronická vedecká a technická publikácia "Veda a vzdelávanie", 2010. - č. 4. - Režim prístupu. - URL: http: //techno-new.developer.stack.net/doc/143237.html (dátum ošetrenia 20.11.2012)

4. Medvedev N.V., Štandardy a politika informačnej bezpečnosti automatizovaných systémov // Vestnik MGTU im. N.E. Bauman. Ser. Prístrojové vybavenie. - 2010. - č. 1. - S. 103-111.

5. Základy informačnej bezpečnosti: Učebnica / O.A. Akulov, D.N. Badanin, E.I. Zhuk a kol.- M .: Vydavateľstvo MSTU im. N.E. Bauman, 2008 .-- 161 s.

6. Filin S.A., Informačná bezpečnosť / S.A. Sova. - Alfa-Press, 2006 .-- 412 s.

7. Yarochkin V.I. Informačná bezpečnosť: učebnica pre vysokoškolákov. - 3. vyd. - M .: Akademický projekt: Triksta, 2005 - 544 s.

POZNÁMKY K PREDNÁŠKE

v sadzbe

Informačná bezpečnosť

1. Oddiel. Základy informačnej bezpečnosti 2

Téma 1. Podstata informačnej bezpečnosti 2

Téma 2. Klasifikácia dôverných informácií 3

Téma 3. Moderná koncepcia informačnej bezpečnosti 5

2. Sekcia. Zraniteľnosť, hrozby, model votrelca 6

Téma 4. Hrozby informačnej bezpečnosti 6

Téma 5. Neformálny model páchateľa 8

Téma 6. Kanály úniku a neoprávnený prístup k informáciám 10

3. Sekcia. Nástroje útočníka 13

Téma 7. Technické prostriedky na získavanie informácií 13

Téma 8. Softvér na získavanie informácií 14

Téma 9. Počítačové vírusy 16

4. Sekcia. Metodika informačnej bezpečnosti 20

Téma 10. Zásady výstavby a smery práce na tvorbe NIB 20

Téma 11. Metódy a prostriedky zaistenia informačnej bezpečnosti 22

5. Oddiel. Mechanizmy informačnej bezpečnosti 23

Téma 12. Identifikácia a autentifikácia 23

Téma 13. Kontrola prístupu v IS 26

Téma 14. Logovanie a audit 30

Téma 15. Šifrovanie 31

Téma 16. Kontrola integrity 32

Šifrovanie:

Kontrola integrity;

Tienenie.

Pre spoľahlivé RFI je potrebná komplexná implementácia všetkých vyššie uvedených mechanizmov. Niektoré z nich môžu byť implementované v plnej miere, iné nie. Ochrana IP závisí predovšetkým od implementácie mechanizmu identifikácie a autentifikácie

Identifikátor je jedinečný súbor znakov, ktorý jednoznačne zodpovedá objektu alebo subjektu v danom systéme.

Identifikácia – rozpoznanie účastníka procesu informačnej interakcie (Io) predtým, ako sa naňho aplikujú akékoľvek aspekty informačnej bezpečnosti.

Heslo je tajná sada znakov, ktorá vám umožňuje potvrdiť zhodu subjektu s identifikátorom, ktorý mu bol predložený.

Autentifikácia – poskytuje istotu, že účastník IOT je identifikovaný správne.

Profil - súbor nastavení a konfigurácií pre daný subjekt alebo objekt a definujúci jeho prácu v IS.

Subjekt môže preukázať svoju totožnosť predložením aspoň jedného z nasledujúcich subjektov:

niečo, čo pozná (heslo, kryptografický kľúč atď.);

niečo, čo vlastní (elektronický kľúč, čipová karta atď.);

niečo, čo je jeho súčasťou (jeho biometrické vlastnosti).

Autentifikácia je jednosmerná (zvyčajne subjekt preukazuje svoju pravosť systému) a obojsmerná (vzájomná).

Silná identifikácia a autentifikácia je náročná z rôznych dôvodov.

V IS nemusí medzi stranami existovať dôveryhodná cesta; to znamená, že vo všeobecnosti údaje prenášané subjektom nemusia byť rovnaké ako údaje prijaté a použité na overenie.

Takmer všetky autentifikačné entity je možné rozpoznať, ukradnúť alebo s nimi manipulovať.

Existuje rozpor medzi spoľahlivosťou overenia na jednej strane a pohodlnosťou subjektu na strane druhej. Z bezpečnostných dôvodov je teda potrebné požiadať používateľa o opätovné zadanie autentifikačných informácií s určitou frekvenciou.

Čím sú prostriedky ochrany spoľahlivejšie, tým sú drahšie.

Overenie hesla

Hlavnou výhodou autentifikácie heslom je jednoduchosť. Chybou je najslabší autentifikačný nástroj.

Hlavné porušenia pri vytváraní a používaní hesiel:

jednoduché heslo,

používanie štandardných hodnôt z nejakej dokumentácie, ktoré sa nikdy nemenia,

písanie hesla na tie položky, kde sa dá čítať, špehovať atď.

zdieľanie hesla s iným zamestnancom.

Opatrenia na zlepšenie spoľahlivosti ochrany heslom:

uloženie technických obmedzení (dĺžka, používanie písmen, číslic, znakov);

správa platnosti hesla;

obmedzenie prístupu k súboru hesiel;

obmedzenie počtu neúspešných pokusov o prihlásenie;

školenie používateľov;

používanie softvérových generátorov hesiel, ktoré na základe určitých pravidiel dokážu generovať zložité, no zapamätateľné heslá,

jednorazové heslá.

Jednorazové heslá

Nech existuje jednosmerná funkcia f (teda funkcia, ktorej inverznú hodnotu nemožno vypočítať v rozumnom čase). Táto funkcia je známa používateľovi aj autentifikačnému serveru.

Nech existuje tajný kľúč K známy iba používateľovi.

Vo fáze počiatočnej správy užívateľa sa funkcia f aplikuje na kľúč Kn-krát, po čom sa výsledok uloží na server.

Potom je postup overenia používateľa nasledujúci:

server odošle číslo (n-1) do užívateľského systému;

užívateľ použije funkciu f na tajný kľúč K (n-1) krát a pošle výsledok cez sieť na autentifikačný server;

server aplikuje funkciu f na hodnotu prijatú od užívateľa a porovná výsledok s predtým uloženou hodnotou. V prípade zhody sa identita užívateľa považuje za preukázanú, server si zapamätá novú hodnotu (zaslanú užívateľom) a zníži počítadlo (n) o jeden.

Keďže funkcia f je nevratná, zachytenie hesla a získanie prístupu na autentifikačný server nám neumožňuje zistiť tajný kľúč K a predpovedať ďalšie jednorazové heslo.

Ďalším prístupom k implementácii jednorazových hesiel je generovanie nového hesla po krátkom čase (napríklad každých 60 sekúnd), na čo je možné použiť programy alebo čipové karty. Na to musia byť splnené nasledujúce podmienky:

Autentifikačný server musí poznať algoritmus generovania hesla a súvisiace parametre;

Hodiny klienta a servera musia byť synchronizované.

Autentifikácia pomocou tokenov

Možné v nasledujúcich možnostiach:

Na požiadanie systému mu token predloží tajnú hodnotu, ktorá slúži na potvrdenie pravosti. Jednorazovým zachytením tejto odpovede môže útočník simulovať odpoveď tokenu.

Token a systém majú spoločný synchronizovaný systém na generovanie jednorazových hesiel. Na žiadosť systému token vydá heslo, ktoré je platné počas daného časového obdobia. Systém si v tomto čase vygeneruje vlastnú verziu hesla, ktorú porovná s prijatou.

Token je zaregistrovaný v systéme (pozná svoj tajný parameter). Pre autentifikáciu generuje náhodnú hodnotu, ktorú token transformuje pomocou svojho parametra. Systém vykoná podobnú transformáciu a porovná výsledok s tým, ktorý dostal z tokenu. V tomto prípade zachytenie požiadavky a odpovede útočníkovi nič nedáva. A nie je potrebná žiadna synchronizácia tokenu a systému.

Možnosti použitia tokenu spolu s heslom:

Heslo slúži na prístup k tokenu, ktorý bez hesla nefunguje.

Heslo spolu s parametrom tokenu slúži ako základ pre generovanie jednorazových hesiel.

Token generuje odpoveď systému na požiadavku s náhodnou hodnotou na základe jeho parametra a hesla užívateľa.

Biometrická autentifikácia

Biometria je súbor automatizovaných metód na identifikáciu a autentifikáciu ľudí na základe ich fyziologických a behaviorálnych charakteristík.

Fyziologické vlastnosti zahŕňajú:

odtlačky prstov,

sietnica a rohovka oka,

geometria rúk a tvárí.

Charakteristiky správania zahŕňajú:

dynamika podpisu,

štýl práce s klávesnicou.

Medzi znaky, ktoré zahŕňajú fyziológiu a správanie, patrí analýza hlasu a rozpoznávanie reči.

Vo všeobecnosti je práca s biometrickými údajmi organizovaná nasledovne. Najprv sa vytvorí a udržiava databáza charakteristík potenciálnych používateľov. Na tento účel sa odoberú biometrické charakteristiky používateľa, spracujú sa a výsledok spracovania (nazývaný biometrická šablóna) sa vloží do databázy. Nespracované údaje, ako napríklad sken prsta alebo rohovky, sa však zvyčajne neukladajú.

V budúcnosti sa na identifikáciu a zároveň autentifikáciu používateľa proces odstránenia a spracovania opakuje, po ktorom sa vykoná vyhľadávanie v databáze šablón.

Ak je vyhľadávanie úspešné, totožnosť a autenticita používateľa sa považujú za preukázané. Na autentifikáciu stačí vykonať porovnanie s jednou biometrickou šablónou, vybranou na základe predtým zadaných údajov.

Biometrické údaje sa zvyčajne používajú v spojení s inými autentifikátormi, ako sú čipové karty. Niekedy sa na aktiváciu čipových kariet používa biometrické overenie, v takom prípade je biometrická šablóna uložená na tej istej karte.

Biometria je vystavená rovnakým hrozbám ako iné metódy overovania.

Biometrická šablóna sa neporovnáva s výsledkom prvotného spracovania charakteristík používateľa, ale s tým, čo prišlo na miesto porovnania.

Biometrické techniky nie sú o nič bezpečnejšie ako šablónová databáza.

Je potrebné zvážiť rozdiel medzi používaním biometrických prvkov v kontrolovanom pásme a v „poľných“ podmienkach.

Biometrické údaje osoby sa menia, preto je potrebné udržiavať databázu šablón.

Hlavným nebezpečenstvom je ale to, že ak dôjde k ohrozeniu biometrických údajov, budete musieť aspoň výrazne upgradovať celý systém.

Téma 13. Riadenie prístupu do IS

Sú dva smery kontroly a riadenia prístupu do IS: fyzický a logický. Kontrola fyzického prístupu sa vzťahuje na hardvér a hardvér IC, ako aj na informácie prezentované v tlačenej, vizuálnej a zvukovej forme. Logická kontrola prístupu - k softvéru a informáciám prezentovaným v elektronickej forme. Je implementovaný softvérovo.

Logická kontrola prístupu je primárnym mechanizmom pre systémy s viacerými používateľmi na zabezpečenie dôvernosti a integrity objektov a do určitej miery aj ich dostupnosti (zakázaním obsluhovania neoprávnených používateľov).

Kontrola prístupu je založená na identifikácii a autentifikácii.

Ak sú subjekt a NIB geograficky oddelené, potom z hľadiska bezpečnosti je potrebné zvážiť dva aspekty:

čo slúži ako autentifikátor;

ako je organizovaná (a chránená) výmena identifikačných a autentifikačných údajov.

Existuje súbor predmetov a súbor objektov. Úlohou logického riadenia prístupu je určiť pre každú dvojicu „subjekt-objekt“ množinu povolených operácií (možno v závislosti od niektorých dodatočných podmienok) a kontrolovať implementáciu stanoveného poriadku.

Vzťah "subjekt-objekt" môže byť reprezentovaný ako prístupová matica, v riadkoch ktorej sú uvedené subjekty, v stĺpcoch - objekty a ďalšie podmienky (napríklad čas a miesto konania) a povolené typy prístupu. sú zapísané v bunkách umiestnených na priesečníku riadkov a stĺpcov ... Fragment matice môže vyzerať takto:

"O" - označuje povolenie na prenos prístupových práv na iných používateľov,

"R" - čítaj,

"W" - záznam,

"E" - prevedenie,

"A" - doplnenie informácií

Téma riadenia logického prístupu je jednou z najkomplexnejších v oblasti informačnej bezpečnosti. Koncept objektu (a ešte viac typov prístupu) sa mení od služby k službe. Pre operačný systém objekty zahŕňajú súbory, zariadenia a procesy.

Pokiaľ ide o súbory a zariadenia, zvyčajne sa uvažuje o právach čítať, zapisovať, spúšťať (pre programové súbory), niekedy mazať a pridávať. Samostatným právom môže byť možnosť preniesť prístupové oprávnenie na iné subjekty (tzv. vlastnícke právo). Procesy môžu byť vytvorené a zničené. Moderné operačné systémy môžu podporovať aj iné objekty.

Pre systémy správy relačných databáz je objektom databáza, tabuľka, procedúra. Operácie vyhľadávania, pridávania, úpravy a odstraňovania údajov sú použiteľné pre tabuľky, iné objekty majú iné typy prístupu.

Rôznorodosť objektov a operácií, ktoré sa na ne vzťahujú, vedie k decentralizácii logického riadenia prístupu. Každá služba sa musí sama rozhodnúť, či povolí konkrétnemu subjektu vykonať konkrétnu operáciu. Aj keď je to v súlade s moderným objektovo orientovaným prístupom, predstavuje to značné výzvy.

K mnohým objektom je možné pristupovať pomocou rôznych služieb. K relačným tabuľkám sa teda dostanete nielen pomocou DBMS, ale aj priamym čítaním súborov.

Pri exporte / importe údajov sa zvyčajne stratí informácia o prístupových právach (pri novej službe to nedáva zmysel).

Existujú tri prístupy k logickému riadeniu prístupu:

svojvoľné ovládanie,

Nútená kontrola.

Riadenie na základe rolí.

V prípade ľubovoľnej kontroly je prístupová matica uložená vo forme zoznamov, to znamená, že pre každý objekt je vedený zoznam „prijatých“ subjektov spolu s ich právami. Väčšina operačných systémov a systémov správy databáz implementuje riadenie náhodného prístupu. Hlavnou výhodou ľubovoľného ovládania je možnosť nezávisle nastaviť prístupové práva pre každú dvojicu „subjekt-objekt“. Svojvoľné ovládanie má však množstvo nevýhod.

Dôverovať treba mnohým používateľom, nielen systémovým operátorom alebo administrátorom.

Prístupové práva existujú oddelene od údajov. Nič nebráni používateľovi, ktorý má prístup k tajným informáciám, zapísať ich do súboru prístupného každému alebo nahradiť užitočnú utilitu škodlivým programom.

V prípade nútenej kontroly sa matica neukladá explicitne, ale zakaždým sa vypočíta obsah zodpovedajúcich buniek. Na tento účel sú ku každému subjektu a každému objektu priradené bezpečnostné štítky. Riadenie prístupu je založené na mapovaní bezpečnostných označení predmetu a objektu. Subjekt môže čítať informácie z objektu, ak sú súčasne splnené tieto dve podmienky:

stupeň utajenia subjektu nie je nižší ako stupeň utajenia objektu,

Riadenie prístupu na základe rolí

Pri veľkom počte používateľov sa správa prvých dvoch typov riadenia prístupu stáva mimoriadne ťažkou. Počet odkazov v nich je úmerný súčinu počtu používateľov počtom objektov.

Podstatou riadenia prístupu na základe rolí je, že medzi používateľmi a ich privilégiami sa objavujú sprostredkujúce entity – roly. Pre každého používateľa môže byť súčasne aktívnych niekoľko rolí, z ktorých každá mu dáva určité práva.

Prednáškyo informačnej bezpečnosti.

Prednáška 1. Pojem informačnej bezpečnosti. Hlavné zložky. Závažnosť problému 4

Koncept informačnej bezpečnosti 4

Hlavné zložky informačnej bezpečnosti 5

Dôležitosť a zložitosť problému informačnej bezpečnosti 6

Prednáška 2: Rozšírenie objektovo orientovaného prístupu k informačnej bezpečnosti 8

O potrebe objektovo orientovaného prístupu k informačnej bezpečnosti 8

Základné koncepty objektovo orientovaného prístupu 8

Aplikácia objektovo orientovaného prístupu pri posudzovaní chránených systémov 10

Nevýhody tradičného prístupu k informačnej bezpečnosti z objektového hľadiska 12

Prednáška 3. Najčastejšie hrozby 14

Základné definície a kritériá klasifikácie hrozieb 14

Niektoré príklady hrozieb dostupnosti 16

Škodlivý softvér 17

4. prednáška: Legislatívna úroveň informačnej bezpečnosti 22

Aká je legislatívna úroveň informačnej bezpečnosti a prečo je dôležitá 22

Preskúmanie ruskej legislatívy v oblasti informačnej bezpečnosti 22

Všeobecné právne akty ovplyvňujúce otázky bezpečnosti informácií 22

Prednáška 5: Štandardy a špecifikácie informačnej bezpečnosti 35

Základné pojmy 35

Bezpečnostné mechanizmy 36

Trieda bezpečnosti 38

Informačná bezpečnosť distribuovaných systémov. X.800 Odporúčania 40

Sieťové bezpečnostné služby 40

Mechanizmy zabezpečenia siete 41

Bezpečnostná správa 42

Kritériá ISO/IEC 15408 na hodnotenie bezpečnosti informačných technológií 43

Základné pojmy 43

Funkčné požiadavky 45

Požiadavky na bezpečnosť 46

Harmonizované kritériá pre európske krajiny 47

Výklad oranžovej knihy pre sieťové konfigurácie 48

Sprievodné dokumenty Štátnej technickej komisie Ruska 50

Prednáška 6. Administratívna úroveň informačnej bezpečnosti 53

Základné pojmy 53

Bezpečnostná politika 53

Bezpečnostný program 56

Synchronizácia bezpečnostného programu so životným cyklom systému 56

Prednáška 7: Manažment rizík 59

Základné pojmy 59

Prípravné kroky na riadenie rizík 60

Prípravné kroky na riadenie rizík 61

Kľúčové fázy riadenia rizík 62

8. prednáška: Procedurálna úroveň informačnej bezpečnosti 65

Hlavné triedy opatrení na procesnej úrovni 65

Ľudské zdroje 65

Fyzická obrana 66

Údržba 68

Reakcia na porušenie bezpečnosti 70

Plánovanie obnovy 70

Prednáška 9: Základné softvérové ​​a hardvérové ​​opatrenia 73

Základné pojmy softvérovej a technickej úrovne informačnej bezpečnosti 73

Vlastnosti moderných informačných systémov, ktoré sú významné z hľadiska bezpečnosti 74

Architektonická bezpečnosť 75

Prednáška 10: Identifikácia a autentifikácia, Kontrola prístupu 78

Identifikácia a autentifikácia 78

Základné pojmy 78

Overenie hesla 79

Jednorazové heslá 80

Overovací server Kerberos 80

Biometrická identifikácia / autentifikácia 81

Kontrola prístupu 82

Základné pojmy 82

Kontrola prístupu na základe rolí 84

Riadenie prístupu v prostredí Java 87

Možný prístup k riadeniu prístupu v prostredí distribuovaných objektov 89

Prednáška 11 Modelovanie a audit, šifrovanie, kontrola integrity. Protokolovanie a audit 91

Základné pojmy 91

Aktívny audit 92

Základné pojmy 92

Funkčné komponenty a architektúra 93

Šifrovanie 94

Kontrola integrity 97

Digitálne certifikáty 98

Prednáška 12: Tienenie, bezpečnostná analýza. Tienenie 100

Základné pojmy 100

Architektonické aspekty 101

Klasifikácia firewallov 103

Bezpečnostná analýza 105

Prednáška 13: Zabezpečenie vysokej dostupnosti 107

Dostupnosť 107

Základné pojmy 107

Základy vysokej dostupnosti 108

Oblasť odolnosti a rizika 109

Poskytovanie odolnosti voči chybám 110

Middleware 111

Obslužnosť 112

14. prednáška: Tunelovanie a kontrola 114

Tunelovanie 114

Kancelária 115

Základné pojmy 115

Typické možnosti systému 116

15. prednáška: Záver 119

Čo je informačná bezpečnosť. Hlavné zložky informačnej bezpečnosti. Dôležitosť a zložitosť problému informačnej bezpečnosti 119

Legislatívna, administratívna a procesná úroveň 119

Softvér a hardvér meria 122

Prednáška 1. Pojem informačnej bezpečnosti. Hlavné zložky. Závažnosť problému

Informačnú bezpečnosť (IS) treba chápať ako ochranu záujmov subjektov informačných vzťahov

Koncepcia informačnej bezpečnosti

Výraz „bezpečnosť informácií“ v rôznych kontextoch môže mať rôzne významy.

V Doktríne informačnej bezpečnosti Ruskej federácie sa výraz „ Informačná bezpečnosť"používa sa v širokom zmysle. Znamená stav ochrany národných záujmov v informačnej sfére.

V zákone RF „o účasti na medzinárodnej výmene informácií“ Informačná bezpečnosť je definovaný obdobne - ako stav ochrany informačného prostredia spoločnosti, zabezpečenie jeho formovania, využívania a rozvoja v záujme občanov, organizácií a štátu.

Naša pozornosť sa v tomto kurze zameria na uchovávanie, spracovanie a prenos informácií bez ohľadu na to, v akom jazyku (ruštine alebo inom) sú zakódované, kto alebo čo je ich zdrojom a aký psychologický vplyv má na ľudí. Preto výraz „ Informačná bezpečnosť„bude používaný úzko.

Pod informačná bezpečnosť porozumieme bezpečnosti informácií a podpornej infraštruktúry pred náhodnými alebo úmyselnými vplyvmi prírodného alebo umelého charakteru, ktoré môžu spôsobiť neprijateľné poškodenie subjektov informačných vzťahov, vrátane vlastníkov a užívateľov informačnej a podpornej infraštruktúry.

Ochrana informácií Ide o súbor opatrení zameraných na zabezpečenie informačnej bezpečnosti.

Metodicky správny prístup k problémom informačnej bezpečnosti teda začína identifikáciou subjektov informačných vzťahov a záujmov týchto subjektov spojených s využívaním informačných systémov (IS). Hrozby informačnej bezpečnosti sú odvrátenou stranou využívania informačných technológií.

Z tejto pozície možno vyvodiť dva dôležité dôsledky:

Interpretácia problémov informačnej bezpečnosti pre rôzne kategórie subjektov sa môže výrazne líšiť. Na ilustráciu stačí porovnať režimové vládne organizácie a vzdelávacie inštitúcie.

Informačná bezpečnosť sa neobmedzuje len na ochranu pred neoprávneným prístupom k informáciám, je to zásadne širší pojem. Subjekt informačných vzťahov môže utrpieť (utrpieť straty a / alebo utrpieť morálnu ujmu) nielen neoprávneným prístupom, ale aj poruchou systému, ktorá spôsobila prerušenie práce. Navyše pre mnohé otvorené organizácie (napríklad vzdelávacie) nie je skutočná ochrana pred neoprávneným prístupom k informáciám z hľadiska dôležitosti na prvom mieste.

Keď sa vrátime k terminologickým problémom, poznamenávame, že pojem „počítačová bezpečnosť“ (ako ekvivalent alebo náhrada informačnej bezpečnosti) sa nám zdá príliš zúžený. Počítače sú len jednou zo zložiek informačných systémov.

Podľa definície informačnej bezpečnosti nezávisí len od počítačov, ale aj od podpornej infraštruktúry, ktorá zahŕňa energetické, vodné a vykurovacie systémy, klimatizácie, komunikácie a samozrejme obsluhujúci personál. Táto infraštruktúra má nezávislú hodnotu, nás však bude zaujímať len to, ako vplýva na implementáciu funkcií, ktoré jej prideľuje informačný systém.

Všimnite si, že v definícii IB stojí prídavné meno „neprijateľné“ pred podstatným menom „poškodenie“. Je zrejmé, že poistiť sa proti všetkým druhom škôd je nemožné, o to viac je nemožné to urobiť ekonomicky únosným spôsobom, keď náklady na ochranné prostriedky a opatrenia nepresiahnu výšku predpokladaných škôd. To znamená, že niečo musíte znášať a brániť by ste sa mali len tomu, čo nijako neznesiete. Niekedy je takouto neakceptovateľnou škodou ujma na ľudskom zdraví alebo životnom prostredí, ale častejšie má prah neprijateľnosti materiálne (peňažné) vyjadrenie a cieľom ochrany informácií je znížiť rozsah škôd na prijateľné hodnoty.

Hlavné zložky informačnej bezpečnosti

Okruh záujmov subjektov súvisiacich s používaním informačných systémov možno rozdeliť do nasledujúcich kategórií: dostupnosť, integrita a dôvernosť informačné zdroje a podpornú infraštruktúru.

Niekedy medzi hlavné zložky informačnej bezpečnosti patrí ochrana pred neoprávneným kopírovaním informácií, ale to je podľa nášho názoru príliš špecifický aspekt s pochybnými šancami na úspech, preto ho nebudeme vyzdvihovať.

Objasnime si pojmy prístupnosť, integrita a dôvernosť:

Dostupnosť- toto je príležitosť získať požadovanú informačnú službu v primeranom čase.

Pod bezúhonnosť znamená relevantnosť a konzistentnosť informácií, ich ochranu pred zničením a neoprávnenými zmenami.

nakoniec dôvernosti Ide o ochranu pred neoprávneným prístupom k informáciám.

Informačné systémy sa vytvárajú (nakupujú) na prijímanie určitých informačných služieb. Ak sa z jedného alebo druhého dôvodu tieto služby poskytujú používateľom. sa stáva nemožným, to samozrejme poškodzuje všetky subjekty informačných vzťahov. Bez toho, aby sme prístupnosť oponovali inými aspektmi, ju vyčleňujeme ako najdôležitejší prvok informačnej bezpečnosti.

Vedúca úloha dostupnosti sa obzvlášť zreteľne prejavuje v rôznych druhoch systémov riadenia - výroba, doprava atď. Navonok menej dramatické, ale aj veľmi nepríjemné dôsledky – materiálne aj morálne – môže mať dlhodobá nedostupnosť informačných služieb, ktoré využíva veľké množstvo ľudí (predaj železníc a leteniek, bankové služby a pod.).

Integritu možno rozdeliť na statickú (chápanú ako nemennosť informačných objektov) a dynamickú (súvisiacu so správnym vykonávaním zložitých akcií (transakcií)). Dynamické kontroly integrity sa používajú najmä pri analýze toku finančných správ s cieľom odhaliť krádež, zmenu poradia alebo duplikáciu jednotlivých správ.

Integrita sa ukazuje ako najdôležitejší aspekt informačnej bezpečnosti v prípadoch, keď informácie slúžia ako „návod na akciu“. Formulácia liekov, predpísané liečebné postupy, zostava a charakteristika komponentov, priebeh technologického procesu, to všetko sú príklady informácií, ktorých narušenie celistvosti môže byť doslova fatálne. Nepríjemné je aj skresľovanie oficiálnych informácií, či už ide o text zákona alebo stránku na webovom serveri štátnej organizácie.

Dôvernosť je u nás najrozvinutejším aspektom informačnej bezpečnosti; Žiaľ, praktická implementácia opatrení na zabezpečenie dôvernosti moderných informačných systémov naráža v Rusku na vážne ťažkosti. Po prvé, informácie o technických kanáloch úniku informácií sú uzavreté, takže väčšina používateľov nemá možnosť pochopiť potenciálne riziká. Po druhé, existuje veľa právnych a technických problémov, ktoré stoja v ceste vlastnej kryptografii ako primárnemu nástroju ochrany osobných údajov.

Ak sa vrátime k analýze záujmov rôznych kategórií subjektov informačných vzťahov, tak takmer pre každého, kto IP skutočne používa, je dostupnosť na prvom mieste. Integrita prakticky nie je podriadená jej významu – aký zmysel má informačná služba, ak obsahuje skreslené informácie?

Napokon, mnohé organizácie majú aj dôverné záležitosti (aj vyššie uvedené vzdelávacie inštitúcie sa snažia nezverejňovať informácie o platoch zamestnancov) a jednotlivých používateľov (napríklad heslá).

Význam a zložitosť problému informačnej bezpečnosti

Aby sme to ilustrovali, obmedzíme sa na niekoľko príkladov.

V Doktríne informačnej bezpečnosti Ruskej federácie (tu zdôrazňujeme, že pojem informačná bezpečnosť sa používa v širšom zmysle) sú ochrana pred neoprávneným prístupom k informačným zdrojom, zaistenie bezpečnosti informačných a telekomunikačných systémov označené za dôležité. zložky národných záujmov Ruskej federácie v informačnej sfére.

Nariadením prezidenta USA Clintona (15. júla 1996, číslo 13010) bola vytvorená Komisia na ochranu kritickej infraštruktúry pred fyzickými útokmi a útokmi spustenými informačnými zbraňami. Šéf spomínanej komisie Robert Marsh začiatkom októbra 1997 pri príprave správy pre prezidenta uviedol, že v súčasnosti vláda ani súkromný sektor nemajú prostriedky na obranu proti kybernetickým útokom, ktoré by mohli znefunkčniť komunikačné a napájacie siete.

Americký raketový krížnik Yorktown bol nútený vrátiť sa do prístavu kvôli početným softvérovým problémom bežiacim na platforme Windows NT 4.0 (Government Computer News, júl 1998). To sa ukázalo ako vedľajší efekt programu amerického námorníctva na čo najširšie využitie komerčného softvéru s cieľom znížiť náklady na vojenské vybavenie.

Zástupca vedúceho oddelenia hospodárskej kriminality ruského ministerstva vnútra uviedol, že ruskí hackeri v rokoch 1994 až 1996 urobili takmer 500 pokusov preniknúť do počítačovej siete centrálnej banky Ruska. V roku 1995 ukradli 250 miliárd rubľov (ITAR-TASS, AP, 17. september 1996).

Ako informoval magazín Internet Week z 23. marca 1998, straty najväčších spoločností spôsobené počítačovými prienikmi naďalej narastajú, a to aj napriek rastúcim nákladom na bezpečnostné nástroje. Podľa výsledkov spoločnej štúdie Inštitútu informačnej bezpečnosti a FBI dosiahli v roku 1997 škody spôsobené počítačovými zločinmi 136 miliónov dolárov, čo je o 36 % viac ako v roku 1996. Každý počítačový zločin spôsobí škodu okolo 200 000 dolárov.

V polovici júla 1996 General Motors stiahol 292 860 modelov Pontiac, Oldsmobile a Buick z roku 1996 a 1997, pretože chyba v softvéri motora mohla spôsobiť požiar.

Vo februári 2001 dvaja bývalí zamestnanci Commerce One pomocou hesla správcu vymazali zo servera súbory, ktoré predstavovali veľký (niekoľko miliónov dolárov) projekt pre zahraničného zákazníka. Našťastie existovala záložná kópia projektu, takže skutočné straty boli obmedzené na náklady na vyšetrovanie a prostriedky ochrany pred podobnými incidentmi v budúcnosti. V auguste 2002 boli zločinci postavení pred súd.

Jedna študentka prišla o štipendium vo výške 18 000 dolárov na University of Michigan po tom, čo jej spolubývajúca použila ich spoločný systémový vstup a poslala e-mailom v mene svojej obete zrieknutie sa štipendia.

Je zrejmé, že takýchto príkladov je veľa, môžeme si spomenúť na ďalšie prípady – o narušenie informačnej bezpečnosti nie je núdza a neočakáva sa. Že existuje len jeden „Problém 2000“ – hanba a hanba programátorskej komunity!

Pri analýze problémov súvisiacich s informačnou bezpečnosťou je potrebné brať do úvahy špecifiká tohto aspektu bezpečnosti, ktoré spočívajú v tom, že informačná bezpečnosť je neoddeliteľnou súčasťou informačných technológií – oblasti, ktorá sa rozvíja nevídaným tempom. Tu nie sú dôležité ani tak individuálne rozhodnutia (zákony, školenia, softvérové ​​a hardvérové ​​produkty), ale mechanizmy na generovanie nových riešení, ktoré umožňujú žiť tempom technologického pokroku.

Bohužiaľ, moderná programovacia technológia neumožňuje vytvárať bezchybné programy, čo neprispieva k rýchlemu rozvoju nástrojov informačnej bezpečnosti. Treba predpokladať, že je potrebné navrhnúť spoľahlivé systémy (bezpečnosť informácií) so zapojením nespoľahlivých komponentov (programov). V zásade je to možné, vyžaduje si to však dodržiavanie určitých architektonických princípov a kontrolu bezpečnostného stavu počas celého životného cyklu IS.

Tu je niekoľko ďalších čísel. V marci 1999 bola zverejnená štvrtá výročná správa „Počítačová kriminalita a bezpečnosť 1999: Problémy a trendy“ (Issues and Trends: 1999 CSI / FBI Computer Crime and Security Survey). Správa zaznamenáva prudký nárast počtu odvolaní na orgány činné v trestnom konaní v súvislosti s počítačovou kriminalitou (32 % respondentov); 30 % respondentov uviedlo, že ich informačné systémy boli napadnuté externými útočníkmi; 57 % opýtaných bolo napadnutých cez internet; v 55 % prípadov došlo k porušeniam zo strany vlastných zamestnancov. Predovšetkým 33 % respondentov dostalo otázku: „Boli vaše webové servery a systémy elektronického obchodu napadnuté za posledných 12 mesiacov?“ odpovedal "neviem".

V podobnej správe zverejnenej v apríli 2002 sa čísla zmenili, ale trend zostal rovnaký: 90 % respondentov (väčšinou z veľkých spoločností a vládnych agentúr) uviedlo, že ich organizácie za posledných 12 mesiacov narušili informačnú bezpečnosť; 80 % uviedlo finančné straty z týchto porušení; 44 % (223 respondentov) bolo schopných a/alebo ochotných vyčísliť straty, pričom celková suma presiahla 455 miliónov USD. Najväčšie škody boli spôsobené krádežami a falšovaním (viac ako 170 a 115 miliónov dolárov).

Rovnako znepokojujúci je prieskum InformationWeek zverejnený 12. júla 1999. Iba 22 % respondentov uviedlo, že nedošlo k žiadnemu narušeniu bezpečnosti informácií. Spolu so šírením vírusov prudko vzrástol aj počet vonkajších útokov.

Nárast počtu útokov zatiaľ nie je najväčším problémom. Čo je horšie, neustále sa objavujú nové zraniteľnosti v softvéri (vyššie sme poukázali na obmedzenia modernej programovacej technológie) a v dôsledku toho sa objavujú nové typy útokov.

Takže v informačnom liste Národného centra ochrany infraštruktúry (NIPC) z 21. júla 1999 sa uvádza, že za obdobie od 3. júla do 16. júla 1999 bolo identifikovaných deväť softvérových problémov, ktorých riziko použitia sa hodnotí ako stredné alebo vysoké (celkový počet zistených zraniteľností je 17). Medzi „postihnutými“ operačnými platformami sú takmer všetky odrody Unix, Windows, MacOS, takže sa nikto nemôže cítiť pokojne, pretože kyberzločinci okamžite začnú aktívne využívať nové chyby.

V takýchto podmienkach musia byť systémy informačnej bezpečnosti schopné odolávať rôznym útokom, vonkajším aj vnútorným, automatizovaným a koordinovaným útokom. Niekedy útok trvá zlomok sekundy; niekedy je hľadanie zraniteľných miest pomalé a trvá hodiny, takže podozrivú aktivitu takmer nevidno. Cieľom útočníkov môže byť narušenie všetkých zložiek informačnej bezpečnosti – dostupnosti, integrity či dôvernosti

Prednáška 2: Rozšírenie objektovo orientovaného prístupu k informačnej bezpečnosti 1

V tejto prednáške sú položené metodické základy kurzu. Stručne sú formulované potrebné koncepty objektovo orientovaného prístupu, v súlade s ním sú rozlíšené úrovne opatrení v oblasti informačnej bezpečnosti s malým počtom subjektov na každej z nich.

O potrebe objektovo orientovaného prístupu k informačnej bezpečnosti

Pokusy o vytvorenie veľkých systémov v 60. rokoch odhalili množstvo problémov s programovaním, z ktorých hlavným je komplexnosť vytváraných a udržiavaných systémov... Prvé boli výsledky výskumu v oblasti programovacej techniky štruktúrované programovanie, potom objektovo orientovaný prístup.

Objektovo orientovaný prístup je základom modernej programovacej technológie, osvedčenej metódy riešenia zložitosti systémov. Zdá sa prirodzená a navyše nevyhnutná túžba rozšíriť tento prístup aj na systémy informačnej bezpečnosti, pre ktoré, ako aj pre programovanie vo všeobecnosti, sa vyskytuje spomínaný problém zložitosti.

Táto zložitosť má dvojaký charakter. Po prvé, komplexné nie sú len hardvérové ​​a softvérové ​​systémy, ktoré je potrebné chrániť, ale aj samotné bezpečnostné nástroje. Po druhé, zložitosť skupiny predpisov rýchlo rastie, ako sú bezpečnostné profily spoločných kritérií, o ktorých sa bude hovoriť neskôr. Táto zložitosť je menej zrejmá, ale tiež ju nemožno zanedbať; je potrebné najskôr zostaviť rodiny dokumentov podľa princípu objektu.

Akákoľvek rozumná metóda riešenia zložitosti sa opiera o princíp „devide et impera“ - „rozdeľuj a panuj“. V tejto súvislosti tento princíp znamená, že komplexný (informačná bezpečnosť) systém na najvyššej úrovni by mal pozostávať z malého počtu relatívne nezávislých komponentov. Relatívna nezávislosť je ďalej chápaná ako minimalizácia počtu spojení medzi komponentmi. Potom rozklad komponenty vybrané v prvej fáze sú vystavené a tak ďalej až do špecifikovanej úrovne detailov. Výsledkom je, že systém je reprezentovaný ako hierarchia s niekoľkými úrovňami abstrakcie.

Najdôležitejšia otázka, ktorá vyvstáva pri implementácii princípu „rozdeľuj a panuj“ – ako v skutočnosti rozdeliť. Spomenuté vyššie štrukturálny prístup založené na algoritmický rozklad keď sú zvýraznené funkčné prvky systému. Hlavným problémom štrukturálneho prístupu je, že je neaplikovateľný v počiatočných štádiách analýzy a modelovania predmetnej oblasti, keď ešte nedospel k algoritmom a funkciám.