учет всех процессов, связанных с информацией
Некоторые технологии по защите системы и обеспечению учета всех событий могут быть встроены в сам компьютер. Другие могут быть встроены в программы. Некоторые же выполняются людьми и являются реализацией указаний руководства, содержащихся в соответствующих руководящих документах. Принятие решения о выборе уровня сложности технологий для защите системы требует установления критичности информации и последующего определения адекватного уровня безопасности.
Что же такое критические данные? Под критическими данными будем понимать данные, которые требуют защиты из-за вероятности нанесения (риска) ущерба и его величины в том случае, если произойдет случайное или умышленное раскрытие, изменение, или разрушение данных. Этот термин включает в себя данные, чье неправильное использование или раскрытие может отрицательно отразиться на способности организации решать свои задачи, персональные данные и другие данные, защита которых требуется указами Президента РФ, законами РФ и другими подзаконными документами.
Анализ зарубежных и отечественных отчетов о выявленных компьютерных преступлениях позволяет описать основные технологии их совершения. Лишь немногие из них включают разрушение компьютеров или данных. Только в 3 процентах мошенничеств и 8 процентах злоупотреблений происходило специальное разрушение оборудования, уничтожение программ или данных. В большей части случаев мошенничеств и злоупотреблений использовалась информация - ею манипулировали, ее создавали, ее использовали.
Мошенничества:
Ввод неавторизованной информации
Манипуляции разрешенной для ввода информацией
Манипуляции или неправильное использование файлов с информацией
Создание неавторизованных файлов с информацией
Обход внутренних мер защиты
Злоупотребления:
Кража компьютерного времени, программ, информации и оборудования
Ввод неавторизованной информации
Создание неавторизованных файлов с информацией
Разработка компьютерных программ для неслужебного использования
Манипулирование или неправильное использование возможностей по проведению работ на компьютерах
С другой стороны стоит рассмотреть основные методы, использовавшиеся для их совершения. Они включают:
Надувательство с данными. Наверное, самый распространенный метод при совершении компьютерных преступлений, так как он не требует технических знаний и относительно безопасен. Информация меняется в процессе ее ввода в компьютер или во время вывода. Например, при вводе документы могут быть заменены фальшивыми, вместо рабочих дискет подсунуты чужие, и данные могут быть сфальсифицированы.
Сканирование. Другой распространенный метод получения информации, который может привести к преступлению. Служащие, читающие файлы других, могут обнаружить там персональную информацию о своих коллегах. Информация, позволяющая получить доступ к компьютерным файлам или изменить их, может быть найдена после просмотра мусорных корзин. Дискеты, оставленные на столе, могут быть прочитаны, скопированы, и украдены. Очень хитрый сканирующий может даже просматривать остаточную информацию, оставшуюся на компьютере или на носителе информации после выполнения сотрудником задания и удаления своих файлов.
Троянский конь. Этот метод предполагает, что пользователь не заметил, что компьютерная программа была изменена таким образом, что включает в себя дополнительные функции. Программа, выполняющая полезные функции, пишется таким образом, что содержит дополнительные скрытые функции, которые будут использовать особенности механизмов защиты системы (возможности пользователя, запустившего программу, по доступу к файлам)
Люк. Этот метод основан на использовании скрытого программного или аппаратного механизма, позволяющего обойти методы защиты в системе. Этот механизм активируется некоторым неочевидным образом. Иногда программа пишется таким образом, что специфическое событие, например, число транзакций, обработанных в определенный день, вызовет запуск неавторизованного механизма.
Технология салями. Названа так из-за того, что преступление совершается понемногу, небольшими частями, настолько маленькими, что они незаметны. Обычно эта технология сопровождается изменением компьютерной программы. Например, платежи могут округляться до нескольких центов, и разница между реальной и округленной суммой поступать на специально открытый счет злоумышленника.
Суперотключение. Названа по имени программы, использовавшейся в ряде компьютерных центров, обходившей системные меры защиты и использовавшейся при аварийных ситуациях. Владение этим "мастер-ключом" дает возможность в любое время получить доступ к компьютеру и информации, находящейся в нем.
Три принятии решений администраторы ИС сталкиваются с проблемой выбора вариантов решений по организации ЗИ на основе учета принципов деятельности организации, соотношения важности целей и наличия ресурсов. Эти решения включают определение ого, как будут защищаться технические и информационные ресурсы, а также как должны вести себя служащие в тех или иных ситуациях.
Политика информационной безопасности - набор законов, правил, практических рекомендаций и практического опыта, определяющих управленческие и проектные решения в области ЗИ. На основе ПИБ строится управление, защита и распределение критичной информации в системе. Она должна охватывать все особенности процесса обработки информации, определяя поведение ИС в различных ситуациях.
В соответствии с предложенным в книге подходом олитика (МЕРЫ) информационной безопасности 303) реализуется соответствующей СТРУКТУРОЙ органов (002) на основе нормативно-методической АЗЫ (001) с использованием программно-технических методов и СРЕДСТВ (004), определяющих архитектуру системы защиты.
Для конкретной ИС политика безопасности должна быть индивидуальной. Она зависит от технологии обработки информации, используемых программных и технических средств, структуры организации и т.д.
Следует рассматривать такие направления защиты ИС:
010 Защита объектов информационной системы;
020 Защита процессов, процедур и программ обработки информации;
030 Защита каналов связи;
040 Подавление побочных электромагнитных излучений;
050 Управление системой защиты.
Очевидно, что каждое из указанных НАПРАВЛЕНИЙ должно быть детализировано в зависимости от особенностей структуры ИС.
Кроме этого ПИБ должна описывать следующие ЭТАПЫ создания СЗИ:
100 Определение информационных и технических ресурсов, подлежащих защите;
200 Выявление полного множества потенциально возможных угроз и каналов утечки информации;
300 Проведение оценки уязвимости и рисков информации при имеющемся множестве угроз и каналов утечки;
400 Определение требований к системе защиты;
500 Осуществление выбора средств защиты информации и их характеристик;
600 Внедрение и организация использования выбранных мер, способов и средств защиты;
700 Осуществление контроля целостности и управление системой защиты.
Принципы политики безопасности (003).
Политика безопасности определяется как совокупность документированных управленческих решений, направленных на защиту информации и ассоциированных с ней ресурсов. При разработке и проведении ее в жизнь целесообразно руководствоваться следующими принципами:
1. Невозможность миновать защитные средства;
2. Усиление самого слабого звена;
3. Недопустимость перехода в открытое состояние;
4. Минимизация привилегий;
5. Разделение обязанностей;
6. Многоуровневая защита;
7. Разнообразие защитных средств;
8. Простота и управляемость информационной системы;
9. Обеспечение всеобщей поддержки мер безопасности.