Размещено на http://www.allbest.ru/

Захист інформації в світових інформаційних системах

Посилення уваги до питань захисту інформації обумовлене зростанням доступу до неї. У нинішньому інформаційному столітті нові покоління електронно-обчислювальних машин з'являються з надзвичайною швидкістю. Збільшується пам'ять машин, змінюється їх структура й операційна система. Творці нової обчислювальної техніки намагаються за певними параметрами суміщати нову техніку із застарілою. Проте поява процесорів Pentium, здатних паралельно виконувати кілька задач, свідчить, що програми, написані для старих, повільних чипів, не варті того, щоб витрачати кошти на їх удосконалення. Для чипів Pentium створено нове сімейство програм. Однак помилки, що допускалися в старих версіях програм, неухильно з'являються і в нових версіях. Зазначимо, що операційні системи завжди відрізнялися недосконалістю та складністю своєї документації. Навіть найпоширеніша операційна система Windows, не зважаючи на регулярне відновлення, не позбавлена помилок. Це викликає особливу тривогу, тому що сучасна індустрія досить сильно залежить від роботи комп'ютерної мережі. Ситуація ускладнюється ще й зростанням кількості витончених вірусних атак.

Для гарантованої безпеки функціонування інформаційної мережі застосовуються різні протоколи шифрування конфіденційної інформації, електронні підписи, здійснюється сертифікація інформації. Заборона на несанкціоноване переміщення даних між локальною мережею міжнародної компанії та глобальною мережею може забезпечуватися спеціальними комп'ютерами або програмами (брандмауерами). Інтелектуальні скарби нації мають бути надійно захищені. Як справедливо зазначає Михайло Згуровський [88], найважливішим напрямком захисту знань є "інвентаризація рідкісних даних із занесенням їх у "білу книгу" та визначення пріоритетів їхнього захисту", необхідно подбати про "розвиток нового виду діяльності -- менеджменту даних". Автор підкреслює важливість "захисту та конфіденційності наукових даних на індивідуальному, національному і корпоративному рівні". Л. С. Винарик, О. М. Щедрін,

Н. Ф. Васильєва стверджують: "Входження України до світового інформаційно-економічного простору може бути забезпечено лише через створення відповідної нормативно-правової бази" [44]. Реалізація цього завдання вимагає вивчення досвіду, накопиченого передовими державами у цій галузі. У нашій країні відносини з приводу захисту інформації в інформаційних, телекомунікаційних та інформаційно-телекомунікаційних системах на Україні регулюється Законом України "Про захист інформації в інформаційно-телекомунікаційних системах" [4].

Автоматизовані інформаційні системи, відкриваючи нові можливості для організації міжнародної економічної діяльності, для підвищення її якості та надійності, водночас є однією з найуразливіших сторін міжнародної компанії, яка притягує до себе зловмисників як із числа персоналу компанії, так і тих, що працюють поза межами підприємства.

Гострота проблеми безпеки автоматизованих систем обумовлена низкою об'єктивних причин. Основна з них -- високий рівень довіри до автоматизованої системи. Цілком вірогідно, що незаконне маніпулювання такою інформацією може призвести до величезних збитків.

Проблема безпеки інформації ускладнюється ще й у зв'язку з розвитком та розширенням мереж ЕОМ. Розподілені системи і системи з віддаленим доступом висунули на перший план питання захисту інформації, що обробляється та передається.

Під безпекою інформаційної системи розуміється її захищеність від випадкового або навмисного втручання в нормальний процес її функціонування, а також від спроб розкрадання, модифікації або руйнування її компонентів. Інакше кажучи, це спроможність протидіяти різноманітним діям, що завдають шкоди інформаційній системі.

Безпека інформаційної системи досягається організацією конфіденційності оброблюваної інформації, а також цілісністю і доступністю компонентів і ресурсів системи.

Конфіденційність інформації -- це властивість інформації бути відомою тільки для допущених суб'єктів системи (користувачів, програм, процесів і т. ін.), які пройшли відповідну перевірку.

Таких суб'єктів у літературі називають авторизованими. Для інших об'єктів системи ця інформація ніби не існує.

Цілісність компонента (ресурсу) -- це властивість компонента бути незміненим (у семантичному, змістовному розумінні) у процесі функціонування системи.

Доступність компонента (ресурсу) -- це властивість компонента бути доступним для використання авторизованими суб'єктами в будь-який час.

Метою будь-яких заходів щодо організації безпеки автоматизованої інформаційної системи (АІС) є захист власника і законних користувачів

АІС від нанесення їм матеріального чи морального збитку в результаті випадкового або навмисного впливу на систему.

Розрізняють зовнішню і внутрішню безпеку АІС. Зовнішня безпека системи передбачає її захист як від випадкових зовнішніх впливів (наприклад, природних -- повінь, пожежа і т. ін.), так і від несанкціонованого доступу до інформації і будь-яких несанкціонованих дій. Внутрішня безпека пов'язана з регламентацією діяльності користувачів інформаційної системи і обслуговуючого персоналу, з організацією дисципліни прямого або непрямого доступу до ресурсів системи і до інформації.

Центральним питанням безпеки АІС є захист інформації. Один із напрямків організації інформаційної системи полягає у створенні інтегрованих систем обробки даних (ІСОД). Як правило, при цьому забезпечується мінімальна вартість створення й функціонування інформаційної системи, оскільки використовуються колективні ресурси для всіх її користувачів, до яких належать апаратні й програмні засоби обробки інформації, засоби її збереження і т. ін. Вдало вибрана організація й можливості колективного користування (обсяг пам'яті, швидкодія центральної електронної обчислювальної машини (ЕОМ) і т. ін.) значно знижують вартість створення й експлуатації систем.

Проте використання можливостей колективного ресурсу не означає його доступності для кожного користувача. Відповідний доступ має бути санкціонованим і визначатися тими правилами (вимогами), що формулюються під час створення інформаційної системи. Реалізація всіх вимог санкціонованого доступу вимагає деякого збільшення вартості заходів створення й реалізації системи.

Використання персональної обчислювальної машини (ПЕОМ), підключення їх до локальних обчислювальних мереж, а тим більше -- до глобальних мереж, ускладнюють реалізацію заходів безпеки інформаційних систем. Це пов'язано із забезпеченням цілісності інформації як у пам'яті ЕОМ, так і на носіях, що зберігаються окремо від ЕОМ а також з ідентифікацією прийнятої інформації та зі збереженням її достовірності під час передачі по каналах зв'язку.

За будь-якого підходу до організації роботи інформаційної системи заходи щодо її безпеки викликають деякі незручності. Головні з них такі: додаткове ускладнення роботи з більшістю захищених систем; збільшення вартості захищеної системи; додаткове навантаження на системні ресурси, що потребує збільшення робочого часу для виконання того самого завдання у зв'язку з уповільненням доступу до даних і виконанням операцій у цілому; необхідність залучення додаткового персоналу, відповідального за підтримку працездатності системи захисту.

Охарактеризуємо найбільш типові ситуації, за яких створюється загроза безпеці інформаційних систем.

Несанкціонований доступ -- один із найбільш поширених видів комп'ютерних порушень, який полягає в одержанні користувачем доступу до об'єкта, на який у нього немає дозволу згідно з прийнятою в даній системі політикою безпеки.

Несанкціонований доступ уможливлюється через невдалий вибір засобів захисту, їх некоректної установки та настроювання, а також через недбале ставлення до захисту власних даних.

Незаконне використання привілеїв. У будь-якій захищеній системі передбачені засоби, які використовують за надзвичайних ситуацій, або засоби, які спроможні функціонувати навіть у разі порушення правил запровадженої політики безпеки. Наприклад, у разі несподіваної перевірки роботи системи користувач повинен мати доступ до всіх наборів системи. Звичайно, ці засоби використовуються адміністраторами, операторами, системними програмістами й іншими користувачами, що виконують спеціальні функції.

Під загрозою безпеці розуміється потенційно можливий вплив, що може безпосередньо чи опосередковано завдати шкоди користувачам або власникам інформаційних систем.

Наражатися на небезпеку можуть:

інформаційна система в цілому -- зловмисник намагається проникнути в систему для подальшого виконання яких-небудь несанкціонованих дій. Для цього він звичайно використовує метод "маскараду", перехоплення або підробки пароля, злому;

об'єкти інформаційної системи -- дані або програми в оперативному запам'ятовуючому пристрої (ОЗП) чи на зовнішніх носіях; самі пристрої системи як зовнішні (дисководи, мережні пристрої, термінали), так і внутрішні (ОЗП, процесор). Злочинний вплив на об'єкти системи звичайно має на меті доступ до їхнього вмісту (порушення конфіденційності або цілісності інформації, що на них зберігається), або порушення їхньої функціональності (наприклад, заповнення всієї ОЗП безглуздою інформацією або завантаження процесора комп'ютера задачею з необмеженим часом виконання);

суб'єкти автоматизованої системи, тобто процеси або підпроцеси користувачів. Метою таких атак є прямий вплив на перебіг процесу -- його припинення, зміна привілеїв, або зворотний вплив -- використання зловмисником привілеїв і характеристик іншого процесу зі своєю метою;

канали передачі даних (самі канали або пакети даних, переданих по каналу). Вплив на пакети даних може розглядатися як атака на об'єкти мережі; вплив на канали -- як специфічний тип атак, характерний для певної мережі.

Від стану об'єкта атаки в момент її здійснення багато в чому залежать результати атаки і заходи з ліквідації її наслідків. Об'єкт атаки може перебувати в одному з трьох станів:

- зберігання інформації на машинному носії в пасивному стані. При цьому вплив на об'єкт здійснюється з використанням доступу;

- передача інформації по лінії зв'язку між вузлами мережі або всередині вузла. Вплив припускає доступ до фрагментів інформації, що передається (наприклад, перехоплення пакетів на ретрансляторі мережі), або просто прослуховування з використанням таємних каналів;

- оброблення інформації у тих ситуаціях, коли об'єктом атаки є процес користувача.

Атаки розрізняють за способом впливу на об'єкт:

- безпосередній вплив на об'єкт атаки, наприклад, безпосередній доступ до набору даних, до програми, служби, каналу зв'язку і т. ін. через використання якоїсь помилки засобу захисту. Таким діям, звичайно, легко завадити за допомогою засобів контролю доступу;

- вплив на систему дозволів (у тому числі захоплення привілеїв). У цьому разі несанкціоновані дії стосуються прав користувачів на об'єкт атаки, а безпосередній доступ здійснюється після цього як законний;

- опосередкований вплив (через інших користувачів). Класифікують загрози безпеці інформації і за іншими ознаками: за

метою реалізації, за принципом впливу, за характером впливу тощо. Численність класифікацій зумовлює складність як визначення небезпеки, так і засобів захисту від неї.

Безпека інформаційних систем в умовах глобалізації в останній час стає одною з головніших проблем розвитку процесів інформатизації. Компанія Cisco Systems, що налічує коло 57 тисяч співробітників, розосереджених по всьому світу, продовжує традиції новаторства і розробляє кращі в галузі продукти і рішення у сфері сучасних технологій, до яких відносяться: IP- комунікації; сітьова безпека; бездротові мережі LAN; домашні мережі; відеосистеми; прикладні мережеві послуги. До найважливіших проблем безпеки керівництво компанії відносить проблеми проникнень черв'яків та вірусів, розкрадення інформації, зниження ефективності роботи комп'ютерів у зв'язку з використанням їх ресурсів зловмисниками для інших цілей, велику швидкість модифікації загроз, недосконалість законодавчої бази. Дуже важливим аспектом загроз є загроза витоку інформації. Зараз вона набуває великих розмірів (табл. 5.1). На сьогоднішній день це часто відбувається у зв'язку зі збереженням даних на мобільному пристрої.

Для банківської сфери витік інформації за даними аналітичного центру Info Watch розподілився в такий спосіб (рис. 5.1). В першу чергу потребує удосконалення форм захисту інформація, що передається через мобільні телефони, електронну пошту, Інтернет (веб-пошта, форуми).

Таблиця 5.1. Інциденти з витоку інформації у США (За даними ComputerWorld/Украина)

Боротьба з цим видом злочинності у США та країнах Євросоюзу проводиться законодавчими методами, де міжнародна компанія, через яку відбувся витік інформації, несе відповідальність, в Україні поки що такого механізму немає.

Порушниками охорони інформації, насамперед, виявляються користувачі і робітники інформаційної системи, які мають до неї доступ. Основними причинами порушення захисту інформації є: безвідповідальність, самовпевненість і корисливий інтерес персоналу. За даними статистики, 81,7 % порушень допускається службовцями компанії, які мають доступ до інформаційної системи, і тільки 17,3 %- сторонніми особами (у тому числі 1 % припадає на випадкових осіб). Отже, головне джерело порушень безпеки інформації знаходиться всередині самих інформаційних систем, тож для будь-якої з них внутрішній захист має бути обов'язковим.

Рис. 5.1. Канали витоку інформації у банках

Однією з найбільших загроз інформаційних систем є ураження вірусними програмами, що проникають через різні носії інформації, особливо через глобальні інформаційні мережі. За словами Володимира Тихонова, спеціаліста служби консалтингу "Лабораторії Кас-перського", у 2006 році було зафіксовано 7 великих вірусних епідемій. Епідемії 2006 року він ділить на такі групи: черв'як, черв'яки сімейств Ва§іе та Warezov, серед яких багато поштових черв'яків, а також варіант троянця-шифрувальника Єрсосіе. У 2006 році з'явилось біля 60 тис. нових вірусів, що на 41 % більше, ніж у 2005 році [164]. інформаційний несанкціонований доступ конфіденційний

Розповсюдженню цих програм сприяє те, що більшість програмістів-створювачів вірусних програм нічого на мають проти відкритості коду їх програм. Ці програми вільно появляються у друкованих виданнях. Насправді закритою є уразливість програм. Так, уразливість у процедурі обробки WMF-фaйлiв у кінці минулого року продавалась за 4 тисячі доларів.

Останнім часом набули глобального масштабу проблеми, пов'язані з поширенням інформатизації у світі. Серед них -- інтелектуальне (комп'ютерне, інформаційне) піратство.

Є загальні причини і наслідки піратства в софтверному світі. Піратство програмного забезпечення (ПЗ) як таке має три основних напрямки негативного впливу:

- Економічне -- піратство завдає економічної шкоди не тільки через погіршення інвестиційного клімату, але також через недоодержання податків при продажі легального софту, через те, що пірати податків не платять.

- Інтелектуальне -- піратство практично знищило раніше існуючу українську індустрію ПЗ, і тому програм українського виробництва на наших комп'ютерах немає або майже немає, і український програміст у кращому випадку працює в аутсорсинговому або офшорному секторі, що найчастіше в нас знаходяться в тіні. Крім того, авторських прав на програмне забезпечення -- економічної основи софтверної індустрії -- українські програмісти не одержують. У результаті безліч дрібних і середніх українських софтверних компаній виконують закордонні замовлення в абсолютній тіні і без яких-небудь авторських прав;

- Технологічне -- піратські версії ПЗ мають низьку якість і це впливає як на можливість їх якісного використання, так і на формування негативного іміджу компанії-виробника ліцензованого продукту.

- Політичне -- розвинуте піратство погіршує імідж і інвестиційний клімат держави. Це продовжується вже багато років: Україна -- єдина країна у світі, що 4 роки носила малопочесний титул пріоритетної країни по піратству. Протягом кількох років Україні вдалося привести законодавство у сфері інтелектуальної власності у повну відповідність до європейського законодавства та міжнародних угод, які діють у цій сфері, а також запровадити дієві механізми його реалізації. Тому зараз змінено статус України зі статусу "Пріоритетної іноземної країни" щодо торгівельних санкцій у зв'язку з порушенням прав інтелектуальної власності на статус країни, що належить до "Переліку країн пріоритетного спостереження" (Priority Watch List) (табл. 5.2) в рамках списку "Special 301" [96] -- Україну виключено з Priority Foreign Country. За дослідженням міжнародної консалтингової компанії "Yankee Group", а також організації Business Software Alliance" 35 % усього ПЗ у світі є неліцензійним. З 97 країн, де проходило дослідження, у 51-ї рівень піратства складає не менше 64 %.

Таблиця 5.2. Список країн пріоритетного спостереження (Priority Watch List) у рамках списку IIPA 2007 "Special 301" (орієнтовані втрати в результаті порушення прав інтелектуальної власності за рік)

Размещено на Allbest.ru