logo
Информ системы издано

7. Информационная безопасность аис

7.1. Необходимость обеспечения информационной безопасности информационной системы и виды угроз

Информационная безопасность ИС является обязательной. При автоматизации степень защищенности является одной из характеристик информационной системы.

Под безопасностью информационной системы понимается защищенность системы от случайного или преднамеренного вмешательства в нормальный процесс ее функционирования.

Утрата документов, баз данных, может вызвать не только остановку работы предприятия, но и невозможность ее возобновления в дальнейшем, а несанкционированный доступ к информации – ослабление позиций предприятия по сравнению с конкурентами.

Многие информационные системы, например, банков, военных и государственных организаций, где утечка и утрата информации недопустима, должны быть защищены очень надежно.

Необходимость защиты информации возрастает при широком использовании средств автоматизации и электронных носителей информации. Информация в электронном виде более подвержена различным угрозам. Ее легче скопировать, уничтожить, исказить, чем информацию на бумажных носителях. К обычным видам угроз (пожар, стихийное бедствие, хищение) добавляются многие другие.

Объектами защиты в информационной системе являются не только информационные ресурсы. Для обеспечения нормальной работы АИС и защиты информации необходимо защищать и другие компоненты информационной системы: технические средства, программы, сети.

Под угрозой безопасности информации понимают события или действия, которые могут привести к искажению, несанкционированному использованию, разрушению информационных ресурсов, а также программных и технических средств.

Случайные угрозы – возникают независимо от воли и желания людей. Их источником могут быть неисправности технических средств, ошибки персонала, ошибки в программном обеспечении.

Умышленные, преднамеренные угрозы преследуют цель нанесения ущерба управляемой системе или пользователям.

Виды умышленных угроз:

Пассивные угрозы направлены в основном на несанкционированное использование информационных ресурсов информационной системы, не оказывая при этом влияния на ее функционирование. Например, несанкционированный доступ к базам данных, копирование данных, прослушивание линий связи.

Активные угрозы имеют целью нарушение нормального функционирования информационной системы. К ним относятся, например, вывод из строя компьютера или программного обеспечения, искажение и уничтожение информации в базах данных, нарушение работы линий связи.

Угрозы подразделяются на внутренние и внешние.

Внутренние – возникают внутри организации, исходят чаще всего от персонала.

Внешние – возникают извне. Это могут быть злонамеренные действия конкурентов, промышленный шпионаж.

Особое значение приобрела угроза от вредоносных программ и вирусов. Практически каждый пользователь сталкивается с вирусами, с различными нарушениями в работе программных средств, вызываемыми ими, другими последствиями. С развитием компьютерных сетей значение этой угрозы возрастает. Существуют вирусы (черви), распространяющиеся по электронной почте, рассылающие сами себя по всем имеющимся в системе адресам.

Вредоносные программы бывают и других типов. Логические бомбы используются в основном для разрушения или искажения информации. Внедренные злоумышленниками, они начинают действовать при наступлении определенных условий.

Троянский конь – программа, выполняющая в дополнение к основным действиям дополнительные, не описанные в документации. Представляет собой дополнительный блок команд, вставленный в исходную безвредную программу.

Захватчик паролей – программы, предназначенные для воровства паролей.

Основными угрозами безопасности информации являются:

неправильные действия пользователя. Это могут быть неправильно введенные данные, команды, ошибки администрирования. Они могут привести к уничтожению, разрушению, искажению информации;

неисправности, сбои технических и программных средств, аварии нарушают нормальную работу информационной системы, могут приводить к потерям информации;

вирусы и вредоносные программы представляют серьезную угрозу, но при правильном применении средств защиты угроза может быть сведена к минимуму;

кражи технических средств и носителей информации;

несанкционированный доступ к ресурсам может привести как к нарушению нормальной работы информационной системы, утрате информации, так и к несанкционированному использованию информации с целью нанесения ущерба, обогащения. Такой доступ может быть осуществлен путем входа в систему под чужим именем, прослушивания линий связи, регистрации излучений от технических средств и другими способами.

Реализация угроз ИС приводит к различным видам прямых или косвенных потерь. Материальный ущерб может возникать при утрате имущества, необходимости ремонтных работ, расходов на восстановление информации и др. Потери могут выражаться в ущемлении интересов, утраты клиентов, ухудшении положения на рынке.

    1. Методы и средства защиты АИС

Защита информации предусматривает комплекс мероприятий, направленных на обеспечение информационной безопасности.

Рис. 4. Методы и средства обеспечения безопасности информации

Препятствие – физическое преграждение пути злоумышленнику к аппаратуре, носителям информации. Используются физические средства защиты – замки, решетки на окнах, охрана помещений.

Управление доступом – регулирование использования ресурсов информационной системы. Включает в себя:

идентификацию пользователей, персонала и ресурсов системы (присвоение каждому субъекту и объекту персонального имени);

регистрацию, опознание субъекта или объекта путем ввода пароля, другими методами опознания;

ограничение прав при использовании ресурсов системы;

ведение журнала, протоколирование обращений к системе;

реагирование (сигнализация, отключение, отказ) при попытках несанкционированных действий.

Используется при доступе к аппаратным и программным средствам, при входе в сеть.

Для повышения надежности парольной защиты пароль не должен быть слишком коротким, его следует периодически менять, число неудачных попыток входа в систему должно быть ограничено.

Шифрование – криптографический метод. Распространены программы для шифрования информации (Secret Disk), шифрующие информацию на дисках компьютера. Шифрование – является единственным надежным методом при передаче информации на большие расстояния. В качестве шифровального ключа может использоваться набор команд, устройство, программа. В системах ассиметричного шифрования (с открытым ключом) ключ для зашифровывания отличен от ключа для расшифровывания, и может быть несекретен. Разновидность метода – электронная цифровая подпись, подтверждающая подлинность передаваемых сообщений и документов.

Противодействие атакам вредоносных программ должно осуществляться с помощью антивирусных программ, регулярно тестирующих все компьютерные диски, особенно съемные. Так как компьютерные вирусы постоянно меняются, появляются новые, то и антивирусные программ должны регулярно обновляться. Также необходимо использование только лицензионного программного обеспечения, нельзя использовать «взломанные», пиратские программы (см. тему 4).

Регламентация – создание условий обработки, хранения и передачи информации для максимальной защиты. Особенно важно резервное копирование информации – в случае потери информации будет возможность воспользоваться копией. Копировать информацию нужно на другой носитель, а не на тот же компьютерный диск, где хранится рабочая информация.

Также необходимо ограничение доступа в помещения, хранение носителей информации в закрытых металлических шкафах, учет носителей информации, предотвращение их выноса, хищения, несанкционированного копирования.

Принуждение – метод защиты, побуждающий пользователей и персонал соблюдать правила обработки, передачи и использования информации под угрозой материальной, административной или уголовной ответственности.

Побуждение персонала соблюдать правила защиты информации, не нарушать установленные порядки осуществляется морально-этическими средствами.

При разработке и реализации системы защиты ИС выделяют три стадии:

    1. Выработка требований:

- выявление и анализ уязвимых элементов;

- выявление или прогнозирование угроз, которым могут подвергнуться уязвимые элементы ИС;

- анализ риска.

    1. Определение способов защиты и разработка плана защиты. Принимаются решения:

- какие угрозы должны быть устранены и в какой мере;

- какие ресурсы ИС должны быть защищены и в какой степени;

- с помощью каких средств должна быть реализована защита;

- каковы должны быть стоимость реализации защиты и затраты на эксплуатацию ИС с учетом защиты от потенциальных угроз.

    1. Построение системы информационной безопасности. Оценка надежности системы.