Смекни!
smekni.com

«Безопасность корпоративных информационных систем» (стр. 2 из 7)

• Требование публикации значительной части инфор­мации ИС, с предоставлением интерфейсов доступа к данным корпоративной информационной системы для сторонних пользователей.

Второй класс систем, на мой взгляд, гораздо более подвержен образованию пробелов в безопасности, вызванных ошибками при конфигурации системы безопасности приложения. Как уже отмечалось, несмотря на свою некоторую интегрированность, такие системы, по сути, являются набором отдельных независимых продуктов. Соответственно каждый из них использует свои подходы к обеспечению целостности, конфиденциальности и доступности данных и требует отдельной конфигурации. Если учесть так же тот факт, что части такой системы не всегда совместимы друг с другом, становится очевидным, что для совместной работы приложений иногда приходится жертвовать безопасностью. Децентрализованность таких систем часто не позволяет администраторам следить за разграничением прав доступа в системе.

2. Угрозы корпоративных информационных систем.

Предже чем рассмотреть уязвимости корпоративной информационной системы введём несколько определений.

Под доступом к информации понимается ознакомление с ин­формацией, ее обработка, в частности копирование, модификация или уничтожение информации.

Различают санкционированный и несанкционированный дос­туп к информации.

Санкционированный доступ к информации - это доступ к ин­формации, не нарушающий установленные правила разграничения доступа.

Правила разграничения доступа служат для регламентации права доступа субъектов доступа к объектам доступа.

Несанкционированный доступ к информации характеризуется нарушением установленных правил разграничения доступа. Лицо или процесс, осуществляющие несанкционированный доступ к ин­формации, являются нарушителями правил разграничения досту­па. Несанкционированный доступ является наиболее распространенным видом компьютерных нарушений.

Конфиденциальность данных - это статус, предоставленный данным и определяющий требуемую степень их защиты. По суще­ству конфиденциальность информации - это свойство информации быть известной только допущенным и прошедшим проверку (авторизированным) субъектам системы (пользователям, процессам, программам). Для остальных субъектов системы эта информация должна быть неизвестной.

Субъект - это активный компонент системы, который может стать причиной потока информации от объекта к субъекту или из­менения состояния системы.

Объект - пассивный компонент системы, хранящий, прини­мающий или передающий информацию. Доступ к объекту означает доступ к содержащейся в нем информации.

Целостность информации обеспечивается в том случае, если данные в системе не отличаются в семантическом отношении отданных в исходных документах, т.е. если не произошло их случай­ного или преднамеренного искажения или разрушения.

Целостность компонента или ресурса системы - это свойст­во компонента или ресурса быть неизменными в семантическом смысле при функционировании системы в условиях случайных или преднамеренных искажений или разрушающих воздействий.

Доступность компонента или ресурса системы - это свойст­во компонента или ресурса быть доступным' для авторизованных законных субъектов системы.

Под угрозой безопасности корпоративной информационной системы понимаются возможные воздействия на неё, которые прямо или косвенно могут нанести ущерб безопасности такой системы.

Ущерб безопасности подразумевает на­рушение состояния защищенности информации, содержащейся и обрабатывающейся в корпоративных информационных системах. С понятием угрозы безопасности тес­но связано понятие уязвимости корпоративных информационных систем.

Уязвимость корпоративной информационной системы - это некоторое свойство систе­мы, которое делает возможным возникновение и реализацию угрозы.

Атака на компьютерную систему - это действие, предприни­маемое злоумышленником, которое заключается в поиске и ис­пользовании той или иной уязвимости системы. Таким образом, атака-это реализация угрозы безопасности.

Противодействие угрозам безопасности является целью защи­ты систем обработки информации.

Безопасная или защищенная система - это система со сред­ствами защиты, которые успешно и эффективно противостоят уг­розам безопасности.

Комплекс средств защиты представляет собой совокупность программных и технических средств, создаваемых и поддерживае­мых для обеспечения информационной безопасности корпоративной информационной системы. Ком­плекс создается и поддерживается в соответствии с принятой в данной организации политикой безопасности.

Политика безопасности - это совокупность норм, правил и практических рекомендаций, регламентирующих работу средств защиты корпоративной информационной системы от заданного множества угроз безопасности.

2.1. Классификация угроз.

Корпоративная информационная система, как и любая информационная система подвержена угрозам безопасности. Классифицируем эти угрозы.

1. нарушение конфиденциальности информации в корпоративных информационных системах

2. нарушение целостности информации в корпоративных информационных системах.

3. отказ в обслуживании корпоративных информационных системах

Рассмотрим данные угрозы несколько подробнее.

Угрозы нарушения конфиденциальности направлены на раз­глашение конфиденциальной или секретной информации. При реализации этих угроз информация становится известной лицам, которые не должны иметь к ней доступ. В терминах компьютерной безопасности угроза нарушения конфиденциальности имеет место всякий раз, когда получен несанкционированный доступ к некото­рой закрытой информации, хранящейся в компьютерной системе или передаваемой от одной системы к другой.

Угрозы нарушения целостности информации, хранящейся в компьютерной системе или передаваемой по каналу связи, на­правлены на ее изменение или искажение, приводящее к наруше­нию ее качества или полному уничтожению. Целостность инфор­мации может быть нарушена умышленно злоумышленником, а так­же в результате объективных воздействий со стороны среды, окружающей систему. Эта угроза особенно актуальна для систем передачи информации, компьютерных сетей и систем телекомму­никаций. Умышленные нарушения целостности информации не следует путать с ее санкционированным изменением, которое вы­полняется полномочными лицами с обоснованной целью (напри­мер, таким изменением является периодическая коррекция некото­рой базы данных).

Угрозы нарушения работоспособности (отказ в обслуживании) направлены на создание таких ситуаций, когда определенные пред­намеренные действия либо снижают работоспособность КИС, либо блокируют доступ к некоторым ее ресурсам. Например, если один пользователь системы запрашивает доступ к некоторой служ­бе, а другой предпринимает действия по блокированию этого дос­тупа, то первый пользователь получает отказ в обслуживании. Бло­кирование доступа к ресурсу может быть постоянным или вре­менным.

Угрозы могут быть классифицированы по нескольким параметрам

· по величине принесенного ущерба:

o предельный, после которого фирма может стать банкротом;

o значительный, но не приводящий к банкротству;

o незначительный, который фирма за какое-то время может компенсировать.

· по вероятности возникновения:

o весьма вероятная угроза;

o вероятная угроза;

o маловероятная угроза.

· по причинам появления:

o стихийные бедствия;

o преднамеренные действия.

· по характеру нанесенного ущерба:

o материальный;

o моральный;

· по характеру воздействия:

o активные;

o пассивные.

· по отношению к объекту:

o внутренние;

o внешние.

· Источниками внешних угроз являются:

o недобросовестные конкуренты;

o преступные группировки и формирования;

o отдельные лица и организации административно-управленческого аппарата.

· Источниками внутренних угроз могут быть:

o администрация предприятия;

o персонал;

o технические средства обеспечения производственной и трудовой деятельности.

Соотношение внешних и внутренних угроз на усредненном уровне можно охарактеризовать так:

• 82% угроз совершается собственными сотрудниками фирмы при их прямом или опосредованном участии;

• 17% угроз совершается извне — внешние угрозы;

• 1% угроз совершается случайными лицами.

Наиболее опасной с точки зрения размера нанесённого ущерба в большинстве случаев является именно нарушение конфиденциальности информации. Рассмотрим возможные способы таких нарушений.

Разглашение - это умышленные или неосторожные действия с конфиденциальными сведениями, приведшие к ознакомлению с ними лиц, не допущенных к ним. Разглашение выражается в сообщении, передаче, предоставлении, пересылке, опубликовании, утере и в других формах обмена и действий с деловой и научной информацией. Реализуется разглашение по формальным и неформальным каналам распространения информации. К формальным коммуникациям относятся деловые встречи, совещания, переговоры и тому подобные формы общения: обмен официальными деловыми и научными документами средствами передачи официальной информации (почта, телефон, телеграф и т. д.). Неформальные коммуникации включают личное общение (встречи, переписка), выставки, семинары, конференции и другие массовые мероприятия, а также средства массовой информации (печать, газеты, интервью, радио, телевидение). Как правило, причиной разглашения конфиденциальной информации является недостаточное знание сотрудниками правил защиты коммерческих секретов и непонимание (или недопонимание) необходимости их тщательного соблюдения. Тут важно отметить, что субъектом в этом процессе выступает источник (владелец) охраняемых секретов. Следует отметить информационные особенности этого действия. Информация содержательная, осмысленная, упорядоченная, аргументированная, объемная и доводится зачастую в реальном масштабе времени. Часто имеется возможность диалога. Информация ориентирована в определенной тематической области и документирована. Для получения интересующей злоумышленника информации последний затрачивает практически минимальные усилия и использует простые легальные технические средства (диктофоны, видеомониторинг).