Реализация той или иной угрозы безопасности может преследовать следующие цели:
• нарушение конфиденциальности информации. Информация, хранимая и обрабатываемая в компьютерной сети организации (КСО), может иметь большую ценность для ее владельца. Ее использование другими лицами наносит значительный ущерб интересам владельца;
• нарушение целостности информации. Потеря целостности информации (полная или частичная, компрометация, дезинформация) - угроза близкая к ее раскрытию. Ценная информация может быть утрачена или обесценена путем ее несанкционированного удаления или модификации. Ущерб от таких действий может быть много больше, чем при нарушении конфиденциальности;
• нарушение (частичное или полное) работоспособности КСО (нарушение доступности). Вывод из строя или некорректное изменение режимов работы компонентов КСО, их модификация или подмена могут привести к получению неверных результатов, отказу КСО от потока информации или отказам при обслуживании. Отказ от потока информации означает непризнание одной из взаимодействующих сторон факта передачи или приема сообщений. Имея в виду, что такие сообщения могут содержать важные донесения, заказы, финансовые согласования и т.п., ущерб в этом случае может быть весьма значительным.
Поэтому обеспечение информационной безопасности компьютерных систем и сетей является одним из ведущих направлений развития информационных технологий.
Корпоративная информационная система (сеть) - информационная система, участниками которой может быть ограниченный круг лиц, определенный ее владельцем или соглашением участников этой информационной системы (из закона об Электронно-цифровой подписи).
Компьютерные сети организации (КСО) относятся к распределенным компьютерным системам, осуществляющим автоматизированную обработку информации. Проблема обеспечения информационной безопасности является центральной для таких компьютерных систем. Обеспечение безопасности КСО предполагает организацию противодействия любому несанкционированному вторжению в процесс функционирования КСО, а также попыткам модификации, хищения, вывода из строя или разрушения ее компонентов, то есть защиту всех компонентов КСО – аппаратных средств, программного обеспечения, данных и персонала.
Рассмотрим, как в настоящее время обстоит вопрос обеспечения ИБ на предприятии связи. Исследовательская компания Gartner Group выделяет 4 уровня зрелости компании с точки зрения обеспечения информационной безопасности (ИБ):
0 уровень:
ИБ в компании никто не занимается, руководство компании не осознает важности проблем ИБ;
Финансирование отсутствует;
ИБ реализуется штатными средствами операционных систем, СУБД и приложений (парольная защита, разграничение доступа к ресурсам и сервисам).
Наиболее типичным примером здесь является компания с небольшим штатом сотрудников, занимающаяся, например, куплей/продажей товаров. Все технические вопросы находятся в сфере ответственности сетевого администратора, которым часто является студент. Здесь главное, что бы все работало.
1 уровень:
ИБ рассматривается руководством как чисто "техническая" проблема, отсутствует единая программа (концепция, политика) развития системы обеспечения информационной безопасности (СОИБ) компании;
Финансирование ведется в рамках общего ИТ - бюджета;
ИБ реализуется средствами нулевого уровня + средства резервного копирования, антивирусные средства, межсетевые экраны, средства организации VPN (традиционные средства защиты).
2 и 3 уровни:
ИБ рассматривается руководством как комплекс организационных и технических мероприятий, существует понимание важности ИБ для производственных процессов, есть утвержденная руководством программа развития СОИБ компании;
Финансирование ведется в рамках отдельного бюджета;
ИБ реализуется средствами первого уровня + средства усиленной аутентификации, средства анализа почтовых сообщений и web контента, IDS (системы обнаружения вторжений), средства анализа защищенности, SSO (средства однократной аутентификации), PKI (инфраструктура открытых ключей) и организационные меры (внутренний и внешний аудит, анализ риска, политика информационной безопасности, положения, процедуры, регламенты и руководства).
3 уровень отличается от 2-го следующим:
ИБ является частью корпоративной культуры, назначен CISA (старший офицер по вопросам обеспечения ИБ);
Финансирование ведется в рамках отдельного бюджета, который согласно результатам исследований аналитической компании Datamonitor в большинстве случаев составляет не более 5% ИТ бюджета;
ИБ реализуется средствами второго уровня + системы управления ИБ, CSIRT (группа реагирования на инциденты нарушения ИБ), SLA (соглашение об уровне сервиса).
Таким образом, серьезный подход к вопросам обеспечения ИБ появляется только на 2-ми 3-м уровнях. А на 1-м и частично 0-м уровне зрелости согласно данной классификации имеет место так называемый «фрагментарный» подход к обеспечению ИБ. «Фрагментарный» подход направлен на противодействие четко определенным угрозам в заданных условиях. В качестве примеров реализации такого подхода можно указать отдельные средства управления доступом, автономные средства шифрования, специализированные антивирусные программы ит.п.
Достоинство этого подхода заключается в высокой избирательности к конкретной угрозе. Существенным недостатком подхода является отсутствие единой защищенной среды обработки информации. Фрагментарные меры защиты информации обеспечивают защиту конкретных объектов КС только от конкретной угрозы. Даже небольшое вида изменение угрозы ведет к потере эффективности защиты.
Таких компаний по статистике Gartner – 85%.(0 – 30 %, 1 – 55%) по состоянию на 2005.
Более серьезные организации, соответствующие 2-му и 3-му уровням зрелости классификации Gartner, применяют «комплексный» подход к обеспечению ИБ. Этот же подход предлагают и крупные компании, профессионально занимающиеся защитой информации.
Комплексный подход основывается на решении комплекса частных задач по единой программе. Этот подход в настоящее время является основным для создания защищенной среды обработки информации в корпоративных системах, сводящей воедино разнородные меры противодействия угрозам. Сюда относятся правовые, морально этические, организационные, программные и технические способы обеспечения информационной безопасности. Комплексный подход позволил объединить целый ряд автономных систем путем их интеграции в так называемые интегрированные системы безопасности.
Методы решения задач обеспечения безопасности очень тесно связаны с уровнем развития науки и техники и, особенно, с уровнем технологического обеспечения. А характерной тенденцией развития современных технологий является процесс тотальной интеграции. Этой тенденцией охвачены микроэлектроника и техника связи, сигналы и каналы, системы и сети. В качестве примеров можно привести сверхбольшие интегральные схемы, интегральные сети передачи данных, многофункциональные устройства связи ит. п.
Дальнейшим развитием комплексного подхода или его максимальной формой является интегральный подход, основанный на интеграции различных подсистем обеспечения безопасности, подсистем связи в единую интегральную систему с общими техническими средствами, каналами связи, программным обеспечением и базами данных. Интегральный подход направлен на достижение интегральной безопасности. Основной смысл понятия интегральной безопасности состоит в необходимости обеспечить такое состояние условий функционирования корпорации, при котором она надежно защищена от всех возможных видов угроз в ходе всего непрерывного производственного процесса. Понятие интегральной безопасности предполагает обязательную непрерывность процесса обеспечения безопасности, как во времени, так и в пространстве (по всему технологическому циклу деятельности) с обязательным учетом всех возможных видов угроз (несанкционированный доступ, съем информации, терроризм, пожар, стихийные бедствия ит. д.).
В какой бы форме ни применялся комплексный или интегральный подход, он всегда направлен на решение ряда частных задач в их тесной взаимосвязи с использованием общих технических средств, каналов связи, программного обеспечения. Например, применительно к информационной безопасности наиболее очевидными из них являются задачи ограничения доступа к информации, технического и криптографического закрытия информации, ограничения уровней паразитных излучений технических средств, охраны и тревожной сигнализации. Однако необходимо решение и других, не менее важных задач. Так, например, выведение из строя руководителей предприятия, членов их семей или ключевых работников должно поставить под сомнение само существование данного предприятия. Этому же могут способствовать стихийные бедствия, аварии, терроризм и т. п. Поэтому объективно обеспечить полную безопасность информации могут лишь интегральные системы безопасности, индифферентные к виду угроз безопасности и обеспечивающие требуемую защиту непрерывно, как во времени, так и в пространстве, в ходе всего процесса подготовки, обработки, передачи и хранения информации.
Всемирная паутина World Wide Web
WWW стала одной из основных причин взрывного расширения Интернет в последние годы. Причиной ее популярности стала возможность интерактивного доступа к данным разных типов, в том числе гипертексту, графике, аудио, видео и т.д. World wide web представляет собой множество HTTP-серверов в Интернет.
Проблемы безопасности HTTP-клиентов связаны с их расширяемостью. Поскольку web-серверы предоставляют данные во многих форматах (обычный текст, HTML, графические файлы gif и jpeg, аудио файлы и др.), для воспроизведения различных форматов браузеры вызывают внешние приложения. Например, для просмотра файла формата Microsoft Word, браузер вызовет Microsoft Word. Как правило, браузеры предупреждают пользователя о том, что для открытия файла будет вызвана внешняя программа и требуют подтверждения, и, также как правило, пользователи не обращают внимания на эти предупреждения. При том что многие форматы данных могут включать исполняемый код, как, например, макросы в документах Microsoft Word и Microsoft Excel, простой просмотр с виду безобидных материалов может привести к исполнению произвольного кода на машине пользователя от его имени.