Анализ антивирусных средств защиты (стр. 5 из 6)
Таблица 1 Оценка рисков
| № | Наименование угрозы | Вероятность наступления | Ущерб от реализации | Риск |
| 1 | Стихийные бедствия, аварии, пожары и пр. | 1 | 3 | 3 |
| 2 | Непреднамеренные ошибки пользователей | 3 | 3 | 9 |
| 3 | Перебои электропитания | 3 | 2 | 6 |
| 4 | НСД бывших и нынешних сотрудников | 3 | 2 | 6 |
| 5 | Кража оборудования | 2 | 3 | 6 |
| 6 | Отказ программ и аппаратного обеспечения | 2 | 2 | 4 |
| 7 | Вредоносное программное обеспечение | 3 | 2 | 6 |
| 8 | НСД сторонних лиц: хакеры, злоумышленники. | 2 | 2 | 4 |
| 9 | Фальсификация данных | 2 | 3 | 6 |
| 10 | Хищение информации и ее использование | 2 | 3 | 6 |
| 11 | Халатность пользователей | 2 | 2 | 4 |
| 12 | Нарушение авторского права | 2 | 1 | 2 |
| Сумма рисков: | 62 | |||
На основе полученных данных можно выделить три типа риска: низкий (1,2), средний (3,4), высокий (6,9). На рисунке 4 представлена диаграмма оценки рисков по категориям.
Рисунок 4 Количество рисков по категориям
Как видно из диаграммы, организация остро нуждается в разработке и применении новой политики безопасности, которая позволит сократить риски.
4 Совершенствование системы информационной безопасности сети
4.1 Организационно-технические меры защиты от угроз безопасности сети
Проанализировав возможные вирусные угрозы в сети и их последствия, можно предложить комплекс защитных мер, снижающих вероятность проникновения и распространения деструктивных программ в сети, а также облегчающих локализацию и устранение негативных последствий их воздействия
Меры защиты нужно предусматривать как на этапе разработки программного обеспечения сети, так и на этапе ее эксплуатации.
Прежде всего на этапе разработки необходимо выявить в исходных текстах программ те фрагменты или подпрограммы, которые могут обеспечить доступ к данным по фиксированным паролям, беспарольный доступ понажатию некоторых клавиш или их сочетаний, обход регистрации пользователей с фиксированными именами и реализацию тому подобных угроз. Наличие таких фрагментов фактически сведет на нет весь комплекс информационной безопасности сети, поскольку доступ через них возможен как человеком, так и программойи вирусом(закладкой).
Присутствие таких фрагментов не всегда является результатом злого умысла. Зачастую подобные фрагменты используется для тестирования программного обеспечения. Для выявления подобных фрагментов может быть произведено сквозное тестирование исходных текстов программного обеспечения независимыми экспертами по стандартным, нормативно утвержденным методикам; тестирование готового программного обеспечения в критических режимах эксплуатации (в период испытаний сети) с фиксацией и устранением выявленных слабостей^и отклонений отнормальной работы.
Необходимо также обратить внимание на возможные конфликты прикладного программного обеспечения и средств защиты. Такие конфликты могут возникнуть вследствие конкуренции по ресурсам (захват прерываний, памяти, блокировка клавиатуры и т.д.). Эти моменты, как правило, можно выявить лишь в период испытаний.
Также на этапе разработки должны быть предусмотрены меры защиты от несанкционированного доступа, меры по проверке целостности хранимых на внешних носителях программных средств зашиты, контроль целостности их в оперативной памяти и т.д.
На этапе штатной эксплуатации должны на регулярной основе предприниматься меры защиты и контроля, проводиться разовые эпизодические защитные мероприятия в период повышения опасности информационного нападения, локализационно-восстано-вительные меры, применяемые в случае проникновения и обнаружения закладок и причинения ими негативных последствий.
Сеть должна иметь общие средства и методы защиты. К ним относятся:
1.Ограничение физического доступа к абонентским терминалам, серверам локальных сетей и коммутационному оборудованию. Для такого ограничения устанавливается соответствующий организационный режим и применяются аппаратные и программные средства ограничения доступа к ЭВМ.
2. При активизации коммуникационного программного обеспечения контролируется его целостность и целостность областейDOS, BIOS и CMOS. Для такого контроля подсчитываются контрольные суммы и вычисляются хеш-функции, которые потом сравниваются с эталонными значениями для каждой ЭВМ.
3.Максимальное ограничение и контроль за передачей но сети
исполняемых файлов с расширениями типа *.ехе и *.com, *.sys и
*.bin. При этом снижается вероятность распространения по сети
файловых вирусов, вирусов типа Driver и загрузочно-файловых
вирусов.
4.Организация выборочного и внезапного контроля работы операторов для выявления фактов использования нерегламентиро-ванного программного обеспечения.
5.Сохранение архивных копий применяемого программного
обеспечения на защищенных от записи магнитных носителях (дис
кетах), учет и надежное хранение архивных копий.
6.Немедленное уничтожение ценной и ограниченной для распространения информации сразу по истечении потребности в ней
(при снижении ее актуальности).
7.Периодическая оптимизация и дефрагментирование внешних
носителей (винчестеров) для выявления сбойных или псевдосбойных кластеров и затирания фрагментов конфиденциальной информации при помощи средств типа SPEED DISK.
Проблема защиты от воздействий закладок имеет много общего с проблемой выявления и дезактивации компьютерных вирусов. Она разрабйтана и изучена достаточно подробно . Методы борьбы с закладками сводятся к следующим.
4.2 Профилактика заражения вирусами компьютерных систем
Чтобы обезопасить ЭВМ от воздействия вирусов, пользователь, прежде всего, должен иметь представление о механизме действия вирусов, чтобы адекватно оценивать возможность и последствия заражения КС. Главным же условием безопасной работы в КС является соблюдение ряда правил, которые апробированы на практике и показали свою высокую эффективность.
Правило первое. Использование программных продуктов, полученных законным официальным путем.
Вероятность наличия вируса в пиратской копии во много раз выше, чем в официально полученном программном обеспечении.
Правило второе. Дублирование информации.
Прежде всего, необходимо сохранять дистрибутивные носители программного обеспечения. При этом запись на носители, допускающие выполнение этой операции, должна быть, по возможности, заблокирована. Следует особо позаботиться о сохранении рабочей информации. Предпочтительнее регулярно создавать копии рабочих файлов на съемных машинных носителях информации с защитой от записи. Если создается копия на несъемном носителе, то желательно ее создавать на других ВЗУ или ЭВМ. Ко
пируется либо весь файл, либо только вносимые изменения. Последний вариант применим, например, при работе с базами данных.Правило третье. Регулярно использовать антивирусные средства. Перед началом работы целесообразно выполнять программы-сканеры и программы-ревизоры (Aidstest и Adinf). Антивирусные средства должны регулярно обновляться.
Правило четвертое. Особую осторожность следует проявлять при использовании новых съемных носителей информации и новых файлов. Новые дискеты обязательно должны быть проверены на отсутствие загрузочных и файловых вирусов, а полученные файлы — на наличие файловых вирусов. Проверка осуществляется программами-сканерами и программами, осуществляющими эвристический анализ (Aidstest, Doctor Web, AntiVirus). При первом выполнении исполняемого файла используются резидентные сторожа. При работе с полученными документами и таблицами целесообразно запретить выполнение макрокоманд средствами, встроенными в текстовые и табличные редакторы (MS Word, MS Excel), до завершения полной проверки этих файлов.
Правило пятое. При работе в распределенных системах или в системах коллективного пользования целесообразно новые сменные носители информации и вводимые в систему файлы проверять на специально выделенных для этой цели ЭВМ. Целесообразно для этого использовать автоматизированное рабочее место администратора системы или лица, отвечающего за безопасность информации. Только пооле всесторонней антивирусной проверки дисков и файлов они могут передаваться пользователям системы.
Правило шестое. Если не предполагается осуществлять запись информации на носитель, то необходимо заблокировать выполнение этой операции. На магнитных дискетах 3,5 дюйма для этого достаточно открыть квадратное отверстие.
Постоянное следование всем приведенным рекомендациям позволяет значительно уменьшить вероятность заражения программными вирусами и защищает пользователя от безвозвратных потерь информации.
В особо ответственных системах для борьбы с вирусами необходимо использовать аппаратно-программные средства (например, Sheriff).
4.3 Политика руководства организации в области защиты информации
Под политикой руководства организации понимается комплекс административных мер, направленных на снижение риска информационных угроз: разработка нормативно-правовых документов, проведение специализированных мероприятий, обучение персонала.