- о мотивах действий нарушителя;
- о квалификации нарушителя и его технической оснащенности;
- о характере возможных действий нарушителя.
По отношению к ИС нарушители могут быть внутренними (из числа персонала системы) или внешними (посторонними лицами). Внутренними нарушителями могут быть лица из следующих категорий персонала:
- пользователи системы;
- персонал, обслуживающий технические средства (инженеры, техники);
- сотрудники отделов разработки и сопровождения программного обеспечения (прикладные и системные программисты);
- технический персонал, обслуживающий здание (уборщики, электрики, сантехники и другие сотрудники, имеющие доступ в здание и помещения, где расположены компоненты ИС);
- сотрудники службы безопасности ИС;
- руководители различных уровней должностной иерархии. Посторонние лица, которые могут быть внешними нарушителями:
- клиенты;
- посетители;
- представители организаций, взаимодействующих по вопросам обеспечения жизнедеятельности организации (энерго-, водо-, теплоснабжение и т. п.);
- представители конкурирующих организаций или лица, действующие по их заданию;
- лица, случайно или умышленно нарушившие пропускной режим (без цели нарушения безопасности ИС).
Можно выделить три основных мотива нарушений:
- безответственность;
- самоутверждение;
- корыстный интерес.
Нарушителей можно классифицировать по следующим признакам .
1. По уровню знаний об ИС.
2. По уровню возможностей, различают нарушителей:
• применяющих чисто агентурные методы получения сведений;
• применяющих пассивные средства (технические средства перехвата без модификации компонентов системы);
• использующих только штатные средства и недостатки систем защиты для ее преодоления, а также компактные магнитные носители информации, которые могут быть скрытно пронесены через посты охраны;
• применяющих методы и средства активного воздействия (модификация и подключение дополнительных механических средств, подключение к каналам передачи данных, внедрение программных «закладок» и использование специальных инструментальных и технологических программ).
3. По месту действия нарушители могут быть:
• не имеющие доступа на контролируемую территорию организации;
• действующие с контролируемой территории без доступа в здания и сооружения;
• действующие внутри помещений, но без доступа к техническим средствам ИС;
• действующие с рабочих мест конечных пользователей ИС;
• имеющие доступ в зону данных (баз данных, архивов и т. п.);
• имеющие доступ в зону управления средствами обеспечения безопасности ИС.
Система защиты - это совокупность специальных мер правового и административного характера, организационных мероприятий, программно-аппаратных средств защиты, а также специального персонала, предназначенных для обеспечения информационной безопасности [22].
Для построения эффективной системы защиты необходимо провести следующие работы [22]:
- определить угрозы безопасности информации;
- выявить возможные каналы утечки информации и несанкционированного доступа (НСД) к данным;
- построить модель потенциального нарушителя;
- выбрать соответствующие меры, методы, механизмы и средства защиты.
Проблема создания системы защиты информации включает две задачи:
- разработка системы защиты информации;
- оценка разработанной системы защиты информации.
Вторая задача решается путем анализа технических характеристик системы с целью установления, удовлетворяет ли система защиты информации комплексу требований. Такая задача в настоящее время решается экспертным путем с помощью сертификации средств защиты информации и аттестации системы защиты информации в процессе ее внедрения.
Рассмотрим основное содержание методов защиты информации .
Создание препятствий - методы физического преграждения злоумышленнику пути к защищаемой информации (аппаратуре, носителям информации и т. д.).
Управление доступом - метод защиты информации регулированием использования всех ресурсов компьютерной информационной системы (элементов баз данных, программных и технических средств).
Защита от несанкционированного доступа к ресурсам компьютера - это комплексная проблема, подразумевающая решение следующих вопросов:
- присвоение пользователю, терминалам, программам, файлам и каналам связи уникальных имен и кодов (идентификаторов);
- выполнение процедур установления подлинности при обращениях к информационной системе, то есть проверка того, что лицо или устройство, сообщившее идентификатор, в действительности ему соответствует;
- проверка полномочий, то есть проверка права пользователя на доступ к системе или запрашиваемым данным;
- автоматическая регистрация в специальном журнале всех как удовлетворенных, так и отвергнутых запросов к информационным ресурсам с указанием идентификатора пользователя, терминала, времени и сущности запроса, то есть ведение аудита.
Маскировка - метод защиты информации путем ее криптографического закрытия.
Регламентация - метод защиты информации, создающий такие условия автоматизированной обработки, хранения и передачи защищаемой информации, при которых возможности несанкционированного доступа к ней сводились бы к минимуму.
Принуждение - метод защиты, при котором пользователи и персонал системы вынуждены соблюдать правила обработки, передачи и использования защищаемой информации под угрозой материальной, административной или уголовной ответственности.
Рассмотренные методы обеспечения безопасности реализуются на практике за счет применения различных средств защиты, таких как технические, программные, организационные, законодательные.
Криптографическое закрытие информации выполняется путем преобразования информации по специальному алгоритму с использованием процедур шифрования, в результате чего невозможно определить содержание данных, не зная ключа.
С помощью криптографических протоколов можно обеспечить безопасную передачу информации по сети, в том числе и регистрационных имен, паролей, необходимых для идентификации программ и пользователей. На практике используется два типа шифрования: симметричное и асимметричное .
При симметричном шифровании для шифрования и дешифрования данных используется один и тот же секретный ключ. При этом сам ключ должен быть передан безопасным способом участникам взаимодействия до начала передачи зашифрованных данных.
Если ключ стал известен третьему лицу, то последнее, используя этот ключ, имеет возможность перехватить сообщение и подменить его своим собственным, а затем, получив доступ ко всей информации, передаваемой между абонентами, использовать ее в корыстных целях. Для защиты от подобных событий можно использовать систему цифровых сертификатов, то есть документов, выдаваемых сертификационной службой и содержащих информацию о владельце сертификата, зашифрованную с помощью закрытого ключа этой организации. Запросив такой сертификат, абонент, получающий информацию, может удостовериться в подлинности сообщения .
Асимметричное шифрование основано на том, что для шифрования и дешифрования используются разные ключи, которые связаны между собой. Знание одного ключа не позволяет определить другой. Один ключ свободно распространяется и является открытым (public key), второй ключ известен только его владельцу и является закрытым (private key). Если шифрование выполняется открытым ключом, то сообщение может быть расшифровано только владельцем закрытого ключа - такой метод шифрования используется для передачи конфиденциальной информации. Если сообщение шифруется закрытым ключом, то оно может быть расшифровано любым пользователем, знающим открытый ключ, но изменить или подменить зашифрованное сообщение так, чтобы это осталось незамеченным, владелец открытого ключа не может. Этот метод шифрования предназначен для пересылки открытых документов, текст которых не может быть изменен.
Криптостойкость асимметричного шифрования обеспечивается сложной комбинаторной задачей, решить которую методом полного перебора не представляется возможным.
Электронная цифровая подпись - это последовательность символов, полученная в результате криптографического преобразования исходной информации с использованием закрытого ключа и позволяющая подтверждать целостность и неизменность этой информации, а также ее авторство путем применения открытого ключа .
Компьютерный вирус - это, как правило, небольшая по объему компьютерная программа, обладающая следующими свойствами:
- возможностью создавать свои копии и внедрять их в другие программы;
- скрытость (латентность) существования до определенного момента;
- несанкционированность (со стороны пользователя) производимых ею действий;
- наличие отрицательных последствий от ее функционирования. Следует отметить, что не все программы, обычно называемые вирусами, обладают всеми из перечисленных свойств.
Компьютерным вирусам, как и биологическим, характерны определенные стадии существования:
- латентная стадия, в которой вирусом никаких действий не предпринимается;
- инкубационная стадия, в которой основная задача вируса - создать как можно больше своих копий и внедрить их в среду обитания;
- активная стадия, в которой вирус, продолжая размножаться, проявляется и выполняет свои деструктивные действия.
По среде обитания вирусы можно разделить на :
- файловые;
- загрузочные;
- файлово-загрузочные;
- сетевые;
- макровирусы,
Файловые вирусы чаще всего внедряются в исполняемые файлы, имеющие расширения .ехе и хот, но могут внедряться и в объектные файлы, библиотеки, в командные пакетные файлы, программные файлы на языках процедурного программирования. Файловые вирусы могут создавать файлы-двойники.