Обеспечение режима безопасности на предприятии по исключению или недопущению инцидентов безопасности информации

Размещено на http://www.allbest.ru/

Список сокращений

ВТСС - вспомогательные технические средства и системы

КС - компьютерная система

ЛВС - локальная вычислительная сеть

МСЭ - межсетевой экран

НСД - несанкционированный доступ

ОЗУ - оперативное запоминающее устройство

ПЗУ - постоянное запоминающее устройство

ПЭМИН - побочное электромагнитное излучение и наводки

Введение

Вопрос защиты информации поднимался уже давно, как только люди научились письменной грамоте. Всегда существовала такая информация, которую другим не следовало знать. Люди обладающей такой информацией прибегали ко всяческим способам ее защиты. Из известных примеров это такие способы как Тайнопись (письма семантическими чернилами), шифрование.

О значительности информации в сегодняшнем мире наиболее хорошо указывают следующие факты: Во-первых, владение определенным цифровым кодом может дать доступ его хозяину к высоким материальным ценностям и услугам - такое положение вещей обладает место благодаря тому, что информатизация общественности не обошла краем банковско-финансовую сферу. Во-вторых, сформировалась и необыкновенно окрепла индустрия информационных услуг - информация стала обыденным товаром, то есть предметом купли-продажи. Многие компании процветают только благодаря тому, что могут заполучить значительные для их деятельности сведения всего на несколько часов или суток раньше своих конкурентов. В-третьих, по оценкам зарубежных экономистов значительная доля западных фирм разорилась бы в течение нескольких дней после разглашения критически важной информации, лежащей в основе их деятельности.

Особый, нематериальный характер информации делает исключительно легким ее копирование и модифицирование, в силу чего она становится соблазнительным объектом различного рода злоупотреблений. Кроме того, довольно типичной является ситуация, когда нужную кому-либо информацию ее владельцы не согласились бы продать ни за какие деньги, и единственный способ ее получить - это украсть. Указанные причины привели к возникновению целой отрасли человеческой деятельности, основное назначение которой - добывать информацию любыми возможными и невозможными способами, - конечно же, речь идет о разведке. Профессия шпиона наряду с другими, прекрасно всем известными, является одной из древнейших на планете. С другой стороны, статистика неумолимо свидетельствует, что все большая доля всех преступлений совершается в сфере информационных технологий "белыми" и "синими воротничками", использующими "бреши" информационных систем в своих личных целях.

Действительно, сейчас, чтобы очистить банк, не нужно крушить стены хранилищ и резать автогеном сейфы, достаточно узнать код, управляющий доступом к одному из банковских счетов. Все, что для этого нужно, - это компьютер и доступ к банковской сети, ну и конечно, некоторое количество серого вещества в черепной коробке. Прискорбно, но факт - число преступлений с использованием "высоких технологий" растет быстрыми темпами.

Важность данной работы обусловлено тем, что бы рассмотреть не только внутренние преступления в организации как это обычно делают, но и внешние инциденты. Таким образом, объектом рассмотрения является информационные и материальные носители, а предметом это наличие возможных дестабилизирующих факторов, которые приводят к инцидентам связанные с безопасностью информации. Цели, которые я поставил для себя при выполнение этой работы является разработка мероприятий по исключению или не допущению инцидентов безопасности информации (цели по недопущению ущерба). Решаемые мною задачи касались Анализа дестабилизирующих факторов приводящих к инцидентам, разработка мероприятий которые исключают инциденты с безопасностью информации, или способствуют уменьшению ущерба от этих инцидентов, а также провести ранжирование уязвимости источников угроз до разработанных мер и после них

ГЛАВА 1. АНАЛИЗ ВОЗМОЖНЫХ ВНЕШНИХ УГРОЗ БЕЗОПАСНСТИ ИНФОРМАЦИИ

Под безопасностью информации понимается условия хранения, обработки и передачи информации, при которой обеспечивается ее защита от угроз, уничтожения, изменения и хищения . Карасик И. Программные и аппаратные средства защиты информации для персональных компьютеров / /КомпьютерПресс №3, 1995

Организационное обеспечение информационной безопасности, прежде всего, должно носить комплексный характер. Основаться она должна на глубочайшем анализе негативных всевозможных воздействий. В свою очередь анализ инцидентов последствий рассматривает обязательную идентификацию все распространенных источников угроз, обстоятельств и факторов, способствующие их проявлению, и следствие этому определение актуальных угроз информационной безопасности.

Под угрозой будем понимать возможное потенциальное события или действия, процесс или тем более явление, которое может привести к нанесению ущерба чьим-либо интересам.

В ходе анализа необходимо будет удостовериться, что все возможные источники угроз будут распознаны и сопоставлены с источниками угроз все возможные факторы, свойственные объекту защиты, всем и идентифицированным источникам и также множеству факторам соотнесены угрозы безопасности информации.

Отталкиваясь от данного принципа, моделирование и классифицируя источников угроз и всевозможное их проявления, целесообразно проводить на основе взаимодействия логической цепочки:

Источник угроз фактор (уязвимость)угроза (действия)последствия (атака)

Под этим терминам будем понимать:

Источник угрозы - это потенциальные антропогенные, техногенные и стихийные угрозы безопасности Г.Н. Гудов, Г.Е Шепитько Защита конфиденциальной информации в акционерных обществах М.: 2007

Угроза (действие)- это возможная опасность (потенциальная или реально существующая) совершение, какого либо деяния (действия или бездействия) направленного против объекта защиты (информационных ресурсов), настоящего ущерба собственнику, владельцу или пользователю, проявляющего в опасности искажения и потери информации. П.Б. Хорев Методы и средства защиты информации в компьютерных системах М.: 2005

Фактор (уязвимость)- это присуще объекту информации причины, приводящие к нарушению безопасности информации на конкретном объекте и обусловленные недостатками процесса функционирования объекта информации, свойствами архитектуры автоматизированных систем, протоколами обмена и интерфейсами, прилагаемыми программным обеспечением и аппаратной платформой, условиями эксплуатации. Г.Н. Гудов, Г.Е Шепитько Защита конфиденциальной информации в акционерных обществах М.: 2007

Последствия (атака)- это возможное последствия реализации угрозы (возможных действия) при взаимодействия источника угрозы через имеющейся факторы (уязвимости).

Как видно из определение, атака - это всегда «источник-факторов», реализация угрозу и приводящая к ущербу при этом, анализ результатов располагает проведение анализа вероятного ущерба и выбора методов отражения безопасности информации

Угроз безопасности информации не так уж и много. Угроза как следует из определения, это опасность причина ущерба, то есть в этом определении проявляется жесткая связь технических проблем с юридической категорией, каковой является ущерб.

алгоритм шифрование аутентификация уязвимость

1.1 Классификация угроз безопасности информации

Ущерб можно считать тоже, как классификатор угрозы безопасности информации.

Появления возможного ущерба могут быть различны

· Моральный и материальный ущерб деловой репутации.

· Моральный, физический или материальный ущерб, связанный с разглашением персональных данных отдельных лиц

· Материальный (финансовый) ущерб от разглашение защищаемой (конфидициальной) информации

· Материальный (финансовый) ущерб от необходимости восстановления нарушенных защищаемых информационных ресурсов

· Материальный ущерб (потери) от невозможности выполнение взятых на себя обязательств перед третьей стороной

· Моральный и материальный ущерб от дезорганизации деятельности организации

· Материальный и моральный ущерб от нарушения международных отношений.

Ущерб может быть причинен каким-либо субъектом и в этом случае имеется на лицо правонарушение, а также явиться следствием независящим от субъекта проявлений (например, стихийных случаев или иных воздействий, таких как проявления техногенных свойств цивилизации).

В первом случае налицо вина субъекта, которая определяет причиненный вред как состав преступления, совершенное по злому умыслу (умышленно, то есть деяние совершенное с прямым или косвенным умыслом) или по неосторожности (деяние, совершенное по легкомыслию, небрежности, в результате невиновного причинения вреда) и причиненный ущерб должен квалифицироваться как состав преступления, оговоренный уголовным правом.

Во втором случае ущерб носит вероятностный характер и должен быть сопоставлен, как минимум с тем риском, который оговаривается гражданским, административным или арбитражным правом, как предмет рассмотрения.

В теории права под ущербом понимается нерентабельные для владельца имущественные последствия, начавшиеся в итоге злодеяния. Ущерб выражается в уменьшении имущества, либо в недополучении дохода, который был бы получен при отсутствии правонарушения (упущенная выгода).

При рассмотрении в качестве субъекта, причинившего ущерб какую-либо личность, категория «ущерб» справедлива только в том случае, когда можно доказать, что он причинен, то есть деяния личности необходимо квалифицировать в терминах правовых актов, как состав преступления. Поэтому, при классификации угроз безопасности информации в этом случае целесообразно учитывать требования действующего уголовного права, определяющего состав преступления.

Вот некоторые примеры составов преступления, определяемых Уголовным Кодексом Российской Федерации.

Хищение - совершенные с корыстной целью противоправные безвозмездное изъятие и (или) обращение чужого имущества в пользу виновного или других лиц, причинившее ущерб собственнику или владельцу имущества Г.Н. Гудов, Г.Е Шепитько, М.Н. Прокофьев Комплексная система защиты информации на предприятии М.: 2008.

Копирование компьютерной информации - повторение и устойчивое запечатление информации на машинном или ином носителе Г.Н. Гудов, Г.Е Шепитько, М.Н. Прокофьев Комплексная система защиты информации на предприятии М.: 200.

Уничтожение - внешнее воздействие на имущество, в результате которого оно прекращает свое физическое существование либо приводятся в полную непригодность для использования по целевому назначению. Уничтоженное имущество не может быть восстановлено путем ремонта или реставрации и полностью выводится из хозяйственного оборота Г.Н. Гудов, Г.Е Шепитько, М.Н. Прокофьев Комплексная система защиты информации на предприятии М.: 2007.

Уничтожение компьютерной информации - стирание ее в памяти ЭВМ УК РФ, 1996 год, ст. 272 .

Повреждение - изменение свойств имущества при котором существенно ухудшается его состояние, утрачивается значительная часть его полезных свойств и оно становится полностью или частично непригодным для целевого использования

Модификация компьютерной информации - внесение любых изменений, кроме связанных с адаптацией программы для ЭВМ или баз данных УК РФ, 1996 год, ст. 272 .

Блокирование компьютерной информации - искусственное затруднение доступа пользователей к информации, не связанное с ее уничтожением УК РФ, 1996 год, ст. 272 .

Несанкционированное уничтожение, блокирование модификация, копирование информации - любые не разрешенные законом, собственником или компетентным пользователем указанные действия с информацией УК РФ, 1996 год, ст. 273.

Обман (отрицание подлинности, навязывание ложной информации) - умышленное искажение или сокрытие истины с целью ввести в заблуждение лицо, в ведении которого находится имущество и таким образом добиться от него добровольной передачи имущества, а также сообщение с этой целью заведомо ложных сведений Бюллетень Верховного Суда РСФСР, 1982 год, № 2, С.14 .

Однако говорить о злом умысле личности в уничтожении информации в результате стихийных бедствий не приходится, как и тот факт, что вряд ли стихия сможет воспользоваться конфиденциальной информацией для извлечения собственной выгоды. Хотя и в том и в другом случае собственнику информации причинен ущерб. Здесь правомочно применение категории «причинение вреда имуществу». При этом, речь пойдет не об уголовной ответственности за уничтожение или повреждение чужого имущества, а о случаях подпадающих под гражданское право в части возмещения причиненного ущерба (риск случайной гибели имущества - то есть риск возможного нанесения убытков в связи с гибелью или порчей имущества по причинам, не зависящим от субъектов). По общему правилу в этом случае убытки в связи с гибелью или порчей имущества несет собственник, однако, гражданское право предусматривает и другие варианты компенсации причиненного ущерба.

При анализе в качестве субъекта, нанесшего ущерб какое-либо природное или техногенное явление, под ущербом можно понимать нерентабельные для владельца имущественные последствия, вызванные этими явлениями и которые могут быть компенсированы за счет средств третьей стороны (страхование рисков наступления события) или за счет собственных средств собственника информации.

Например, страхование представляет собой отношения по защите имущественных интересов физических и юридических лиц при наступлении определенных событий (страховых случаев) за счет денежных фондов, формируемых из уплачиваемых ими страховых взносов. Объектами страхования могут быть не противоречащие законодательству Российской Федерации имущественные интересы связанные с возмещением страхователем причиненного им вреда личности или имуществу физического лица, а также вреда, причиненного юридическому лицу Закон РФ «Об организации страхового дела в Российской Федерации», № 4015-1от 27.10.97 г., ст. 4 .

Обобщая изложенное, можно утверждать, что угрозами безопасности информации являются:

* хищение (копирование) информации;

* уничтожение информации;

* модификация (искажение) информации;

* нарушение доступности (блокирование) информации;

* отрицание подлинности информации;

* навязывание ложной информации.

1.2 Источники угроз безопасности информации

Классифицируя угрозы безопасности, не стоит забывать, что всему виной данных угроз это источники или носители угроз безопасности информации. В качестве источников угроз могут выступать как субъекты (личность) так и проявления объективные. Причем источников угроз могут находиться как внутри Информационной системы - внутренний источник, так и вне нее внешний источник. Деление на внутренние и внешние источники оправдывают, потому что для одной и той же угрозы методы парирования для внешних и внутренних источников могут быть разными. Но мы свое внимание остановим на внешних источниках угроз, ориентируясь на то, что они меньше всего изучены.

Все источники угроз безопасности информации можно разделить на три основные группы:

I. Обусловленные действиями субъекта (антропогенные источники угроз).

II. Обусловленные техническими средствами (техногенные источники угрозы).

III. Обусловленные стихийными источниками.

Безопасностью информации выступает как субъекты, действие которых могут быть квалифицированы как умышленные или случайные преступления. Только в этих случаях можно говорить о причине ущерба. Эта группа наиболее обширна и представляет наибольший интерес с точки зрения организационной защиты, так как действия человека всегда можно оценить, спрогнозировать, и принять адекватные меры.

В качестве антропогенного источника угроз можно рассматривать субъекта, имеющего доступ (санкционированный или несанкционированный) к работе со штатными средствами защищаемого объекта. Субъекты (источники), действия которых могут привести к нарушению безопасности информации могут быть как внешние, так и внутренние.

Внешние источники угроз могут быть случайными или преднамеренными и иметь разный уровень квалификации. К ним относятся:

* криминальные структуры;

* потенциальные преступники и хакеры;

* недобросовестные партнеры;

* технический персонал поставщиков телематических услуг;

* представители надзорных организаций и аварийных служб;

* представители силовых структур.

Внутренние субъекты (источники), как правило, представляют собой высококвалифицированных специалистов в области разработки и эксплуатации программного обеспечения и технических средств, знакомы со спецификой решаемых задач, структурой и основными функциями и принципами работы программно-аппаратных средств защиты информации, имеют возможность использования штатного оборудования и технических средств сети. К ним относятся:

* основной персонал (пользователи, программисты, разработчики);

* представители службы защиты информации;

* вспомогательный персонал (уборщики, охрана);

* технический персонал (жизнеобеспечение, эксплуатация).

Необходимо учитывать также, что особую группу внутренних антропогенных источников составляют лица с нарушенной психикой и специально внедренные и завербованные агенты, которые могут быть из числа основного, вспомогательного и технического персонала, а также представителей службы защиты информации. Данная группа рассматривается в составе перечисленных выше источников угроз, но методы парирования угрозам для этой группы могут иметь свои отличия.

Квалификация антропогенных источников информации играют важную роль в оценке их влияния и учитывается при ранжировании источников угроз.

Вторая группа содержит источники угроз, определяемые технократической деятельностью человека и развитием цивилизации (Техногенные источники угроз). Однако, последствия, вызванные такой деятельностью вышли из под контроля человека и существуют сами по себе. Эти источники угроз менее прогнозируемые, напрямую зависят от свойств техники и поэтому требуют особого внимания. Данный класс источников угроз безопасности информации особенно актуален в современных условиях, так как в сложившихся условиях эксперты ожидают резкого роста числа техногенных катастроф, вызванных физическим и моральным устареванием технического парка используемого оборудования, а также отсутствием материальных средств на его обновление.

Технические средства, являющиеся источниками потенциальных угроз безопасности информации так же могут быть внешними:

* средства связи;

* сети инженерных коммуникации (водоснабжения, канализации);

* транспорт.

* несанкционированный доступ

* хакерская разведка сети

* атаки на пароли

* IP-спуфинг (подмена IP-адресов)

* Сниффинг (перехват и анализ) пакетов

* злоупотребление доверием

* вирусы и приложения типа «троянский конь»

* переадресация портов

* отказ в обслуживании (DoS)

* раскрытие сетевой топологии

* атаки на уровне приложений

и внутренними:

* некачественные технические средства обработки информации;

* некачественные программные средства обработки информации;

* вспомогательные средства (охраны, сигнализации, телефонии);

* другие технические средства, применяемые в учреждении;

Третья группа источников угроз стихийные источники угроз объединяет, обстоятельства, составляющие непреодолимую силу, то есть такие обстоятельства, которые носят объективный и абсолютный характер, распространяющийся на всех. К непреодолимой силе Румянцев О. Г., Додонов В.Н., Юридический энциклопедический словарь, М., 1997 г., изд. «ИНФРА-М» в законодательстве и договорной практике относят стихийные бедствия или иные обстоятельства, которые невозможно предусмотреть или предотвратить или возможно предусмотреть, но невозможно предотвратить при современном уровне человеческого знания и возможностей. Такие источники угроз совершенно не поддаются прогнозированию и поэтому меры защиты от них должны применяться всегда.

Стихийные источники потенциальных угроз информационной безопасности как правило являются внешними по отношению к защищаемому объекту и под ними понимаются прежде всего природные катаклизмы:

* пожары;

* землетрясения;

* наводнения;

* ураганы;

* различные непредвиденные обстоятельства;

* необъяснимые явления;

*другие форс-мажорные обстоятельства В данном случае под термином «другие форс-мажорные обстоятельства» понимается юридическая составляющая, то есть различные решения высших государственных органов, забастовки, войны, революции и т. п., приводящие к возникновению обстоятельств непреодолимой силы. (Румянцев О. Г., Додонов В.Н., Юридический энциклопедический словарь, М., 1997 г., изд. «ИНФРА-М

1.3 Ранжирование источников угроз безопасности информации

При выборе метода ранжирования источников угроз использовалась методология, изложенная в международных стандартах Стандарт ISO:17799-00 (Стандарт Великобритании BS 7799-95 «Практические правила управления информационной безопасностью»), а также практический опыт российских экспертов в области информационной безопасности.

Все источники угроз имеют разную степень опасности (Коп)i, которую можно количественно оценить, проведя их ранжирование. При этом, оценка степени опасности проводится по косвенным показателям. В качестве критериев сравнения (показателей) можно, к примеру, выбрать:

* Возможность возникновения источника (К1)i - определяет степень доступности к защищаемому объекту (для антропогенных источников), удаленность от защищаемого объекта (для техногенных источников) или особенности обстановки (для случайных источников).

* Готовность источника (К2)i - определяет степень квалификации и привлекательность совершения деяний со стороны источника угрозы (для антропогенных источников), или наличие необходимых условий (для техногенных и стихийных источников).

* Фатальность (К3)i - определяет степень неустранимости последствий реализации угрозы.

Каждый показатель оценивается экспертно-аналитическим методом по пятибалльной системе. Причем, 1 соответствует самой минимальной степени влияния оцениваемого показателя на опасность использования источника, а 5 максимальной.

(Коп)i для отдельного источника можно определить как отношение произведения вышеприведенных показателей к максимальному значению (125).

Степень доступности к защищаемому объекту может быть классифицирована по следующей шкале:

* высокая степень доступности - антропогенный источник угроз имеет полный доступ к техническим и программным средствам обработки защищаемой информации (характерно для внутренних антропогенных источников, наделенных максимальными правами доступа, например, представители служб безопасности информации, администраторы);

* первая средняя степень доступности - антропогенный источник угроз имеет возможность опосредованного, не определенного функциональными обязанностями, (за счет побочных каналов утечки информации, использования возможности доступа к привилегированным рабочим местам) доступа к техническим и программным средствам обработки защищаемой информации (характерно для внутренних антропогенных источников);

* вторая средняя степень доступности - антропогенный источник угроз имеет ограниченную возможность доступа к программным средствам в силу введенных ограничений в использовании технических средств, функциональных обязанностей или по роду своей деятельности (характерно для внутренних антропогенных источников с обычными правами доступа, например, пользователи, или внешних антропогенных источников, имеющих право доступа к средствам обработки и передачи защищаемой информации, например, хакеры, технический персонал поставщиков телематических услуг);

* низкая степень доступности - антропогенный источник угроз имеет очень ограниченную возможность доступа к техническим средствам и программам, обрабатывающим защищаемую информацию (характерно для внешних антропогенных источников).

* отсутствие доступности - антропогенный источник угроз не имеет доступа к техническим средствам и программам, обрабатывающих защищаемую информацию.

Степень удаленности от защищаемого объекта можно характеризовать следующими параметрами:

* совпадающие объекты - объекты защиты сами содержат источники техногенных угроз и их территориальное разделение невозможно;

* близко расположенные объекты - объекты защиты расположены в непосредственной близости от источников техногенных угроз и любое проявление таких угроз может оказать существенное влияние на защищаемый объект;

* средне удаленные объекты - объекты защиты располагаются на удалении от источников техногенных угроз, на котором проявление влияния этих угроз может оказать не существенное влияние на объект защиты;

* удаленно расположенные объекты - объект защиты располагается на удалении от источника техногенных угроз, исключающем возможность его прямого воздействия.

* сильно удаленные объекты - объект защиты располагается на значительном удалении от источников техногенных угроз, полностью исключающем любые воздействия на защищаемый объект, в том числе и по вторичным проявлениям.

Особенности обстановки характеризуются расположением объектов защиты в различных природных, климатических, сейсмологических, гидрологических и других условиях. Особенности обстановки можно оценить по следующей шкале:

* очень опасные условия - объект защиты расположен в зоне действия природных катаклизмов;

* опасные условия - объект защиты расположен в зоне, в которой многолетние наблюдения показывают возможность проявления природных катаклизмов;

* умеренно опасные условия - объект защиты расположен в зоне в которой по проводимым наблюдениям на протяжении долгого периода отсутствуют проявления природных катаклизмов, но имеются предпосылки возникновения стихийных источников угроз на самом объекте;

* слабо опасные условия - объект защиты находится вне пределов зоны действия природных катаклизмов, однако на объекте имеются предпосылки возникновения стихийных источников угроз;

* неопасные условия - объект защиты находится вне пределов зоны действия природных катаклизмов и на объекте отсутствуют предпосылки возникновения стихийных источников угроз.

Квалификация антропогенных источников играет важную роль в определении их возможностей по совершению противоправных деяний. Принята следующая классификация по возможности (уровню) взаимодействия с защищаемой сетью Руководящий документ. «Концепция защиты средств вычислительной техники и автоматизированных систем от несанкционированного доступа к информации», Гостехкомиссия России, Сборник руководящих документов по защите информации от несанкционированного доступа, М., 1998 г.,:

* нулевой уровень - определяется отсутствием возможности какого-либо использования программ;

* первый уровень - ограничивается возможностью запуска задач/программ из фиксированного набора, предназначенного для обработки защищаемой информации (уровень неквалифицированного пользователя);

* второй уровень - учитывает возможность создания и запуска пользователем собственных программ с новыми функциями по обработке информации (уровень квалифицированного пользователя, программиста);

* третий уровень - определяется возможностью управления функционированием сетью, то есть воздействием на базовое программное обеспечение, ее состав и конфигурацию (уровень системного администратора);

* четвертый уровень - определяется всем объемом возможностей субъектов, осуществляющих проектирование и ремонт технических средств, вплоть до включения в состав сети собственных технических средств с новыми функциями по обработке информации (уровень разработчика и администратора).

Нулевой уровень является самым низким уровнем возможностей по ведению диалога источника угроз с защищаемой сетью. При оценке возможностей антропогенных источников предполагается, что субъект, совершающий противоправные действия, либо обладает, либо может воспользоваться правами соответствующего уровня.

Привлекательность совершения деяния со стороны источника угроз устанавливается следующим образом:

* особо привлекательный уровень - защищаемые информационные ресурсы содержат информацию, которая может нанести непоправимый урон и привести к краху организации, осуществляющей защиту;

* привлекательный уровень - защищаемые информационные ресурсы содержат информацию, которая может быть использована для получения выгоды в пользу источника угрозы или третьих лиц;

* умеренно привлекательный уровень - защищаемые информационные ресурсы, содержат информацию, разглашение которой может нанести ущерб отдельным личностям;

* слабо привлекательный уровень - защищаемые информационные ресурсы содержат информацию, которая при ее накоплении и обобщении в течение определенного периода может причинить ущерб организации, осуществляющей защиту;

* не привлекательный уровень - информация не представляет интерес для источника угрозы.

Необходимые условия готовности источника определяются исходя из возможности реализации той или иной угрозы в конкретных условиях расположения объекта. При этом предполагается:

* угроза реализуема - то есть условия благоприятны или могут быть благоприятны для реализации угрозы (например, активизация сейсмической активности);

* угроза умеренно реализуема - то есть условия благоприятны для реализации угрозы, однако долгосрочные наблюдения не предполагают возможности ее активизации в период существования и активной деятельности объекта защиты;

* угроза слабо реализуема - то есть существуют объективные причины на самом объекте или в его окружении, препятствующие реализации угрозы;

* угроза не реализуема - то есть отсутствуют предпосылки для реализации предполагаемого события.

Степень неустранимости последствий проявления угрозы (фатальность) определяется по следующей шкале:

* неустранимые последствия - результаты проявления угрозы могут привести к полному разрушению (уничтожению, потере) объекта защиты, как следствие к невосполнимым потерям и исключению возможности доступа к защищаемым информационным ресурсам;

* практически неустранимые последствия - результаты проявления угрозы могут привести к разрушению (уничтожению, потере) объекта и к значительным затратам (материальным, временным и пр.) на восстановление последствий, сопоставимых с затратами на создание нового объекта и существенному ограничению времени доступа к защищаемым ресурсам;

* частично устранимые последствия - результаты проявления угрозы могут привести к частичному разрушению объекта защиты и, как следствие, к значительным затратам на восстановление, ограничению времени доступа к защищаемым ресурсам;

* устранимые последствия - результаты проявления угрозы могут привести к частичному разрушению (уничтожению, потере) объекта защиты, не требующих

больших затрат на его восстановление и, практически не влияющих на ограничение времени доступа к защищаемым информационным ресурсам;

* отсутствие последствий - результаты проявления угрозы не могут повлиять на деятельность объекта защиты.

Но для того что бы полностью проанализировать внешние источники нужно также сделать акцент на то что же в этих условия является носителем информации

1.4 Носители информации

Носитель информации - это физическое лицо, материальный объект (документы, машинные носители информации, изделия) в том числе физическое поле, химическая и биологическая среда, где информация находит свое отображение в виде символов, образов, сигналов, технических решений и процессов Г.Н. Гудов, Г.Е Шепитько, М.Н. Прокофьев Комплексная система защиты информации на предприятии М.: 2007.

Выше мы сделали некий анализ с частичной классификацией угроз и источников угроз информационной безопасности, но так же, на мой взгляд, я думаю надо уточнить, что же будет являться носителем информации. Так как при некоторых внешних угрозах носитель информации играет важную роль наверно самым важным при анализе носителей это выбрать область рассмотрения, так как очень сейчас развита знаменитая сеть интернет то и носители будут касаться информационной системы.

Как правило, для добывания информации между источником и получателем существует посредник - носитель информации, который позволяет органу разведки или злоумышленнику получать информацию дистанционно, в более безопасных условиях. Информация источника также содержится на носителе. Следовательно, носителями являются материальные объекты, обеспечивающие запись, хранение и передачу информации в пространстве и времени.

Известны как минимум пять вида носителей информации:

*люди;

* материальные тела (макрочастицы);

* поля;

*элементарные частицы (микрочастицы).

* Информационная система (техническая)

Человек как носитель информации ее запоминает и пересказывает получателю в письменном виде или устно. При этом он может полученную от источника информацию преобразовать в соответствии с собственным толкованием ее содержания, исказив ее смысл. Кроме того, человек может быть также носителем других носителей информации -- документов, продукции или даже отходов производства достаточно просто положить в карман листок бумаги с паролями или структурной схемой сетевых экранов.

Материальные тела являются носителями различных видов информации. Прежде всего, материальные тела содержат информацию о своем составе, структуре (строении), о воздействии на них других материальных тел. Например, по остаточным изменениям структуры бумаги восстанавливают подчищенные надписи, по изменению структуры металла двигателя определяют его заводской номер, перебитый автомобильными ворами. Материальные тела (папирус, глиняные таблички, береста, камень, бумага) использовались людьми для консервации и хранения информации в течение всей истории человечества. И в настоящее время бумага является самым распространенным носителем семантической информации. Однако четко прослеживается тенденция замены бумаги машинными носителями (магнитными, полупроводниковыми, светочувствительными и др.), но бумага еще длительное время останется наиболее массовым и удобным носителем, прежде всего, семантической информации.

Носителями информации являются различные поля. Из известных полей в качестве носителей применяются акустические, электрические, магнитные и электромагнитные (в диапазоне видимого и инфракрасного света, в радиодиапазоне) именно эти носители я и буду рассматривать как основа угрозы информационной безопасности. Информация содержится в значениях параметров полей. Если поля представляют собой волны, то информация содержится в амплитуде, частоте и фазе.

Из многочисленных элементарных частиц в качестве носителей информации используются электроны, образующие статические заряды и электрический ток, а также частицы (электроны и ядра гелия) радиоактивных излучений. Попытки использования для переноса информации других элементарных частиц с лучшей проникающей способностью (меньшим затуханием в среде распространения), например, нейтрино, не привели пока к положительным результатам

Информационная система на данный момент наиболее важный источник информации

Информационная система (техническая)- организационно упорядоченная совокупность документов (массивов документов) и информационных технологий, в том числе использование средств вычислительной техники и связи, реализующие информационные процессы

К информационной системе можно отнести как глобальную сеть интернет так и корпоративные локальные сети

Из известных полей в качестве носителя информации является:

· Акустические

· Электрические

· Магнитные

· Электромагнитные

Из элементарных частиц в качестве носителя информации используются электроны образующие элементарные заряды и ток, а так же частицы радиоактивных излучений

Кратко рассмотрим некоторые поля, которые больше всего применимы при внешних угрозах информации

Акустическое поле (акустический канал) Область пространства, в котором наблюдаются акустические волны, называется акустическим полем. В помещениях акустическое поле формируется не только прямой волной, идущей от источника сигналов по кратчайшему пути, но и волнами, образующимися в результате ее отражений от стен, потолка, предметов в комнате. При каждом новом отражении часть звуковой энергии волны поглощается отражающими поверхностями и воздушной средой, а часть воздействует на слух, накладываясь на основной (прямой) звук. В результате из прямых и отраженных волн образуется так называемое диффузное (рассеянное) звуковое поле

Также особо важным носителем является побочные электромагнитные излучения (электромагнитное поле) Побочное электромагнитное излучение (ПЭМИ) - Естественное электромагнитное поле, возникающие при работе любой части вычислительной системы. Регистрация этого электромагнитного поля, позволяет осуществить накопкционированный доступ к данным, обращающимся в системе. Защита возможна с помощью экранирования кабелей и помещений, а также путем установки запретной зоны, которая не позволит приблизиться к системе и зарегистрировать электромагнитные поля.

Когда мы проанализировали все угрозы можно приступить к рассмотрению обстоятельств и предпосылок их проявления.

ГЛАВА 2. ПРИЧИНЫ УСЛОВИЯ И ОБСТОЯТЕЛЬСТВА, СПОСОБСТВУЮЩИЕ ВОЗНИКНОВЕНИЮ И РАСПРОСТРАНЕНИЮ ИНЦИНДЕНТОВ ВО ВНЕШНЕЙ СТРУКТУРЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

2.1 Возможные методы и способы доступы к информации

При рассмотрении условий и обстоятельств, следует конкретно выделить моменты, которые будем рассматривать в основном для данного рассмотрения две конкретные области это (поле) на примере радио разведки и автоматизированную информационную систему. На мой взгляд, это два главных и более уязвимых мест во всей информационной безопасности.

Первым и настолько старым способом незаконное получение информации является радио разведка, основным источником для этой угрозы является побочные электромагнитные излучения (ПЭМИН) которые возникают при работе обыкновенного телевизора. Это невидимое глазу поле несет в себе очень много информации это поле по своей насыщенности можно сравнить с насыщенностью информации ДНК его не видно, но оно есть и несет большое количество информации, которая если попадет не в те руки может привести к большим катастрофам.

Генерация информации, содержащей данные и циркулирующей в технических средствах информационной системе в виде электрических информативных сигналов, обработка и передача указанных сигналов в электрических цепях технических средств информационной системе сопровождается побочными электромагнитными излучениями, которые могут распространяться за пределы служебных помещений в зависимости от мощности излучений и размеров этой системы.

Регистрация ПЭМИН осуществляется с целью перехвата информации, циркулирующей в технических средствах, обрабатывающих персональные данные (в средствах вычислительной техники, информационно-вычислительных комплексах и сетях, средствах и системах передачи, приема и обработки данных, в том числе в средствах и системах звукозаписи, звукоусиления, звуковоспроизведения, переговорных и телевизионных устройствах, средствах изготовления, тиражирования документов и других технических средствах обработки речевой, графической, видео - и буквенно-цифровой информации).

Для регистрации ПЭМИН используется аппаратура в составе радиоприемных устройств и оконечных устройств восстановления информации. Кроме этого, перехват ПЭМИН возможен с использованием электронных устройств перехвата информации, подключенных к каналам связи или техническим средствам обработки Персональных данных.

Регистрация ПЭМИН может вестись с использованием аппаратуры следующих видов: стационарной аппаратурой, размещаемой в близлежащих строениях (зданиях) с неконтролируемым пребыванием посторонних лиц; портативной возимой аппаратуры, размещаемой в транспортных средствах, осуществляющих движение вблизи служебных помещений или при их парковке рядом с этими помещениями; портативной носимой аппаратурой - физическими лицами в непосредственной близости от информационная система; автономной автоматической аппаратурой, скрытно устанавливаемой физическими лицами в непосредственной близости от информационной системы.

Так называемые каналы утечки информации, обусловленные наводками, образуются за счет соединительных линий технических средств Информационной системы и Вспомогательные технические средства и системы (ВТСС) и посторонних проводников (в том числе цепей электропитания и заземления).

Наводки электромагнитных излучений технических средств информационной системы возникают при излучении элементами технических средств информативных сигналов при наличии емкостной, индуктивной или гальванической связей соединительных линий технических средств , линий ВТСС и посторонних проводников. В результате на случайных антеннах (цепях ВТСС или посторонних проводниках) наводится информативный сигнал.

Прохождение информативных сигналов в цепи электропитания возможно при присутствии емкостной, индуктивной или гальванической связи источника информативных сигналов в составе технических средств информационной системы и цепей питания.

Прохождение информативных сигналов в цепи заземления обусловлено наличием емкостной, индуктивной или гальванической связи источника информативных сигналов в составе аппаратуры и цепей заземления.

Для съема информации с проводных линий могут использоваться: средства съема сигналов, содержащих защищаемую информацию, с цепей технических средств Информационной системы и ВТСС, линий связи и передачи данных, выходящих за пределы служебных помещений (эквиваленты сети, токовые трансформаторы, пробники); средства съема наведенных информативных сигналов с цепей электропитания; средства съема наведенных информативных сигналов с шин заземления; средства съема наведенных информативных сигналов с проводящих инженерных коммуникаций.

Для волоконно-оптической системы передачи данных угрозой утечки информации является утечка оптического излучения, содержащего защищаемую информацию, с боковой поверхности оптического волокна.

Появление новых каналов связи - сотовой связи, пейджинговых сообщений, спутниковых и беспроводных сетей передачи данных - привело к развитию специализированных систем и средств перехвата информации, ориентированных на используемые в них информационные технологии, в том числе средств: перехвата пейджинговых сообщений и сотовой связи;

При большом развитии сотовой и пейджинговой связи нарушителям все легче и легче становиться получить незаконно секретную информацию. Мобильные телефоны сейчас как простая веешь гардероба, и каждый человек не представляет свою жизнь без этого аппарата. Но когда человек забывает что этот чудо аппарат не так уж прост. Виной всему тому является волны, которые он излучает при передачи факсимильного или голосового сообщение. И в связи очень развитой информационной технологии злоумышленнику не составить большого труда, оборудовать машину специальной подслушивающей технической аппаратурой. Этот способ сейчас все больше и больше принимает новые обороты, так как сотовые сети развиваются и появляются новые технологии передачи данных по сотовым сетям. Вплоть до того что атака может быть произведена на станции сотовых сетей обнаружить нужный телефон и с помощью дистанционного управления включить микрофон на телефоне и использовать его как обычную закладку или тем более использовать встроенную камеру для создание фотографий и последующей передачи ее по тому же самому каналу сотовой связи нарушителю.

Сейчас наиболее распространяющейся радио канал вычислительных сетей, которые больше всего применяются на предприятиях с большой зоной покрытия территории и для экономии средств совершают большую глупость они устанавливают точку доступа Wi-Fi. Архитектура Wi-Fi не может похвастать особой защищенностью, а применяемые в ней алгоритмы шифрования и разграничения доступа обладают весьма слабой криптографической стойкостью и могут быть легко взломаны.

Существует несколько основных угроз безопасности, возникающих при использовании бесплатных точек доступа Wi-Fi:

· Возможность перехвата ваших персональных данных, которые вы вводите для доступа к тем или иным серверам, платежным системам или банковским терминалам. Сети, настроенные хакерами могут выдавать себя за вполне легальные бесплатные точки доступа.

· Атака компьютера, подключенного к этой точке доступа неизвестным вредоносным ПО, отсутствующим в базе вирусных сигнатур.

· Сниффинг - перехват и анализ злоумышленниками вашего интернет трафика - может привести к утере конфиденциальных данных.

· Хищение данных методом «человек в центре» (man in the middle)

Инциденты ИБ могут быть преднамеренными или случайными (например, являться следствием ошибки или природных явлений) и могут вызываться как техническими, так и физическими средствами. Их последствиями могут быть такие события, как несанкционированные изменения информации, ее уничтожения или другие события, которые делают ее недоступной, а также нанесение ущерба активам организации или их хищение. События ИБ, о которых не было сообщено, которые не были определены как инциденты, не могут быть исследованы, и не могут быть применены защитные меры для предотвращения повторного появления этих событий.

Последующие описания выбранных примеров инцидентов ИБ и их причин даются только с целью иллюстрации. Важно заметить, что эти примеры ни в коем случае не являются исчерпывающими.

Отказ в обслуживании является обширной категорией инцидентов, имеющих одну общую черту. Подобные инциденты приводят к сбоям в системах, сервисах или сетях, которые не могут продолжать работу с прежней производительностью, чаще всего при полном отказе в доступе авторизованным пользователям.

Существует два основных типа инцидентов "отказ в обслуживании", создаваемых техническими средствами: уничтожение ресурсов и истощение ресурсов. Некоторыми типичными примерами таких преднамеренных технических инцидентов "отказ в обслуживании" являются следующие:

· зондирование сетевых широковещательных адресов с целью полного заполнения полосы пропускания сети трафиком ответных сообщений;

· передача данных в непредвиденном формате в систему, сервис или сеть в попытке разрушить или нарушить нормальную работу;

· одновременное открытие нескольких сеансов с конкретной системой, сервисом или сетью в попытке исчерпать ее ресурсы (т. е., замедлить ее работу, блокировать ее или разрушить).

Одни технические инциденты "отказ в обслуживании" могут создаваться случайно, например, в результате ошибки в конфигурации, допущенной оператором, или из-за несовместимости прикладного программного обеспечения, а другие инциденты могут быть преднамеренными. Некоторые технические инциденты "отказ в обслуживании" инициируются намеренно, чтобы разрушить систему или сервис, снизить производительность сети, тогда как инциденты являются всего лишь побочными продуктами другой вредоносной деятельности. Например, некоторые наиболее распространенные методы скрытого сканирования и идентификации могут приводить к полному разрушению старых или ошибочно сконфигурированных систем или сервисов при их сканировании. Следует заметить, что многие преднамеренные технические инциденты "отказ в обслуживании" часто выполняются анонимно (т. е., источник атаки "ложный"), поскольку они обычно не рассчитывают на злоумышленника, получающего какую-либо информацию от атакуемой сети или системы.

Инциденты "отказ в обслуживании", создаваемые нетехническими средствами, приводящие к потере информации, сервиса и (или) устройств обработки могут, например, вызываться следующим:

· случайное нанесение ущерба аппаратуре и (или) ее местоположению от огня или воды/наводнения;

· экстремальные условия окружающей среды, например, высокая температура (выход из строя кондиционера);

· неправильное функционирование или перегрузка системы;

· неконтролируемые изменения в системе;

· неправильное функционирование программного или аппаратного обеспечения.

В общих чертах, категория инцидентов "сбор информации" включает действия, связанные с определением потенциальных целей атаки и получением представления о сервисах, запущенных на идентифицированных целях атаки. Инциденты такого типа предполагают проведение разведки обычно данным способом в компьютерные сети проникают нарушители «хакеры» с целью определения следующего:

· существования некоторой цели получения представления о топологии сети, вокруг нее, и с кем обычно эта цель сообщается;

· потенциальных уязвимостей цели или уязвимости непосредственной сетевой среды, которые можно использовать.

Типичными примерами атак, направленных на сбор информации техническими средствами являются следующие:

· сбрасывание записей DNS (системы доменных имен) для целевого домена Интернета (передача зоны DNS);

· отправка тестовых запросов по случайным сетевым адресам с целью найти работающие системы или так называемые спам рассылками;

Спам в сою очередь является серьезной проблемой. Нагрузка на коммуникации. Нежелательная корреспонденция замусоривает каналы связи, создает трафик, оплачивать который приходится либо провайдеру, либо пользователю (самому или работодателю, если речь идет о рабочем почтовом ящике). Еще три года назад президент Ассоциации документальной электросвязи Александр Иванов оценил ущерб от спама операторов сети Интернет в 55 млн. долл. И это только затраты на трафик, а ведь есть еще физические мощности - почтовые серверы, принимающие и обрабатывающие этот мусор. Есть специалисты, которые эти серверы обслуживают. Эта инфраструктура тоже стоит денег. Потеря времени. Если спам добрался до конечного почтового ящика, то его владелец будет вынужден вручную вычищать мусор из почты. Сотрудник, читающий в день 10-20 нужных по работе писем, вместе с ними может получить 160-180 спамерских сообщений. Время, потраченное на его удаление (5-6 ч в месяц), потеряно для рабочего процесса, будучи оплаченным из кармана работодателя.

Раздражение и недовольство. Удаляя спам, пользователь, по сути, работает электронной уборщицей. Это не может его не раздражать, порождая еще один негативный фактор - эмоциональный.

Случайная потеря нужного письма в пачке нежелательных. Это частая проблема современной молодежи так как в куче всяких писем ненароком можно не заметить нужного письма и удалить его.

Криминализация спама. С каждым годом спам теряет свою рекламную составляющую и все больше криминализируется. Предпосылкой этого процесса служит анонимность рассылок, что создает иллюзию полной безнаказанности. Широко известны такие виды криминализированной почты, как нигерийские письма и фишинг. Спамеры проявляют редкую активность в изобретении новых объектов атак и «приманок» для пользователя. Российские спамеры ведут настоящую охоту за логинами-паролями к ящикам бесплатных почтовых служб - Яндекс.Почта и Mail.ru.

Эксперты оценивают суммарные убытки от спама в несколько десятков миллиардов долларов ежегодно. В результате защита от нежелательных рассылок оказалась не просто желательной, а остро необходимой.

· зондирование системы с целью идентификации (например, по контрольной сумме файлов) операционной системы хоста;

· сканирование доступных сетевых портов на протокол передачи файлов системе с целью идентификации соответствующих сервисов (например, электронная почта, FTP, Web и т. д.) и версий программного обеспечения этих сервисов;