Безпека автоматизованої системи обробки інформації в банках

Размещено на http://www.allbest.ru/

Міністерство освіти та науки, молоді та спорту України

Національний авіаційний університет

Кафедра засобів захисту інформації

Домашнє завдання

з дисципліни: “Системи банківської безпеки”

на тему:

Безпека автоматизованої системи обробки інформації в банках

Підготував:

студент 322 гр. ІІДС

Бабак Денис

Перевірив:

доцент

Левченко Э.Г.

Київ 2012



Зміст

1. Безпека АСОІ

1.1 Два підходи до забезпечення безпеки АСОІ

1.2 Етапи побудови системи захисту АСОІ

2. Загроза безпеці АСОІ

2.1 Класифікація загроз безпеці АСОІ

2.2 Характеристика найпоширеніших загроз безпеці АСОІ

3. Аналіз ризику і складання планів

3.1 Основні етапи аналізу ризику

3.2 Складання плану захисту

4. Політика безпеки

5. Оцінка безпеки систем

5.1 Основні критерії оцінки безпеки систем

Використана література

комп'ютерний система безпека захист



1. Безпека АСОІ

Під безпекою АСОІ розуміють здатність протидіяти спробам завдання шкоди її власникам та користувачам при здійсненні різних (навмисних чи ненавмисних) дій на неї. Безпека АСОІ досягається забезпеченням конфіденційності інформації, що нею обробляється, а також цілісності та доступності компонентів і ресурсів системи.

Конфіденційність - це властивість інформації бути відомою тільки допущеним та тим, які пройшли перевірку (авторизованим) суб'єктам системи (користувачам, програмам, процесам тощо). Для інших суб'єктів системи - ця інформація є закритою. Цілісність компонента (ресурсу) системи - властивість його бути незмінним (у семантичному розумінні) при функціонуванні системи.

Доступність компонента (ресурсу) системи - властивість його бути доступним для використання авторизованими суб'єктами системи в будь-який час.

Звичайно питання про необхідність захисту комп'ютерної системи не викликає сумнівів. Гарячі дискусії розгортаються при відповідях на такі запитання:

1. Від чого треба захищати систему?

2. Що треба захищати в самій системі?

3. Як треба захищати систему (з допомогою яких методів і засобів)?

Розрізняють зовнішню та внутрішню безпеку АСОІ. Зовнішня безпека передбачає захист АСОІ від стихійних лих та від проникнення зловмисників з-зовні з метою розкрадання, одержання доступу до носіїв інформації чи виведення системи з ладу. Предметом внутрішньої безпеки є забезпечення надійної та коректної роботи системи, цілісності її програм та даних. Усі зусилля щодо забезпечення внутрішньої безпеки АСОІ зосереджуються на створенні надійних і зручних механізмів регламентації діяльності всіх її користувачів і обслуговуючого персоналу, дотриманні встановленої в організації дисципліни - прямого або непрямого доступу до ресурсів системи та до інформації.

1.1 Два підходи до забезпечення безпеки АСОІ

Відомі два підходи до забезпечення безпеки АСОІ - “фрагментарний” і комплексний.

“Фрагментарний” підхід орієнтується на протидію суворо визначеним погрозам за певних умов. Прикладами реалізації такого підходу є, наприклад, спеціалізовані антивірусні засоби, окремі засоби реєстрації та управління, автономні засоби шифрування тощо. Головна особливість “фрагментарного” підходу - відсутність єдиного захищеного середовища обробки інформації. Зумовлює також основний його недолік - локальність дії. Навіть невелика зміна погрози призводить до втрати ефективності захисту. Поширити дію таких заходів на всю АСОІ практично неможливо.

Особливістю комплексного підходу є створення захищеного середовища обробки інформації в АСОІ, яка об'єднує різні заходи протидії погрозам (правові, організаційні, програмно-технічні). Захищене середовище обробки інформації формується на основі розроблених для конкретної АСОІ правил обробки критичної інформації.

Організація захищеного середовища обробки інформації дає змогу гарантувати (в межах розробленої політики безпеки) рівень безпеки АСОІ. Комплексний підхід застосовують для захисту великих АСОІ або невеликих АСОІ, які обробляють інформацію, що дорого коштує, чи виконують відповідальні завдання.

1.2 Етапи побудови системи захисту АСОІ

Система захисту АСОІ - це сукупність правових та морально-етичних норм, організаційних, адміністративних і програмно-технічних засобів, спрямованих на протидію загрозам АСОІ з метою зведення до мінімуму можливих втрат користувачів та власників системи. Етап аналізу можливих погроз АСОІ потрібний для фіксування на певний момент часу стану АСОІ (конфігурації апаратних та програмних засобів, технології обробки інформації) і визначення можливих дій на кожний компонент системи. Із всієї множини можливих дій треба вибрати лише ті, які можуть реально відбутися та завдати значної шкоди користувачам і власникам системи.

Головні етапи побудови системи захисту подано на рис. 1.

Рис. 1. Схема побудови системи захисту

На етапі планування формується система захисту як єдина сукупність заходів протидії різної природи. Відомо не так багато універсальних способів захисту АСОІ від різних впливів на неї. Ними є:

- ідентифікація і автентифікація суб'єктів АСОІ;

- контроль доступу до ресурсів АСОІ;

- реєстрація і аналіз подій, що відбуваються в АСОІ;

- контроль цілісності об'єктів АСОІ;

- шифрування даних;

- резервування ресурсів і компонентів АСОІ.

Ці універсальні способи можуть застосовуватись у різних варіаціях та сукупностях в конкретних методах та засобах захисту.

Результатом етапу планування є план захисту - документ, який містить перелік захищених компонентів АСОІ і можливого впливу на них, вартість захисту інформації в АСОІ, правила обробки інформації в АСОІ, що забезпечують захист її від різних взаємодій, а також опис розробленої системи захисту інформації. Сутність етапу реалізації системи захисту інформації полягає в налагодженні та розробленні засобів захисту, необхідних для реалізації зафіксованих в плані захисту правил обробки інформації.

Сформувались два основних способи реалізації механізмів захисту.

1. “Доданий” захист, де засоби захисту - це доповнення до основних програмних та апаратних засобів АСОІ. Подібного підходу в забезпеченні безпеки дотримується, наприклад, фірма ІВМ.

2. “Вбудований” захист, який полягає в тому, що механізми захисту є невід'ємною частиною АСОІ, розробленою та реалізованою з урахуванням певних вимог безпеки. Механізми захисту можуть бути реалізовані у вигляді окремих компонентів АСОІ і розподілені по інших компонентах системи. При цьому засоби захисту становлять єдиний механізм, який відповідає за забезпечення безпеки всієї АСОІ. Цей спосіб використовувався компанією DEС при розробці системи VAX/VMS.

Обидва описані способи мають свої переваги і недоліки. “Доданий” захист більш гнучкий, його механізм можна додавати або вилучати в міру необхідності. У тому разі, коли “додані” засоби захисту не підтримуються “вбудованими” механізмами АСОІ, вони не забезпечать необхідного рівня безпеки. Основна перевага “вбудованого” захисту - надійність та оптимальність. Засоби захисту розроблялись та реалізовувались одночасно з самою АСОІ. Проте “вбудований” захист має жорстко фіксований набір функцій, не даючи змоги розширювати чи скорочувати його. Деякі функції можна тільки відключити. Обидва засоби захисту в чистому вигляді зустрічаються рідко. Як правило, використовуються їхні комбінації, що дає змогу об'єднувати переваги та компенсувати недоліки кожного з них. Комплексний захист АСОІ можна реалізувати як з допомогою “доданого”, так і “вбудованого” захисту.

Забезпечення захисту АСОІ - це ітеративний процес, що закінчується тільки з завершенням життєвого циклу всієї системи.



2. Загроза безпеці АСОІ

2.1 Класифікація загроз безпеці АСОІ

Загроза безпеці - це потенційно можливий вплив на АСОІ, який може прямо чи опосередковано завдати шкоди користувачам або власникам АСОІ.

Реалізацію загрози надалі назвемо атакою.

Загрози безпеці можна класифікувати за такими 9 ознаками:

1. За метою реалізації загрози:

порушення конфіденційності інформації;

порушення цілісності інформації (втрати від таких дій можуть бути набагато більшими, ніж при порушенні конфіденційності);

порушення (часткове чи повне) працездатності АСОІ (порушення доступності).

Відмова в обслуговуванні може суттєво вплинути на роботу користувача.

2. За принципом впливу на АСОІ:

з використанням доступу суб'єкта системи (користувача, процесу) до об'єкта (файла даних, каналу зв'язку тощо);

з використанням прихованих каналів.

Доступ - це взаємодія між суб'єктом і об'єктом, яка призводить до виникнення інформаційного потоку від другого до першого.

Під прихованим каналом розуміється шлях передачі інформації, який дає змогу двом взаємодіючим процесам обмінюватися інформацією таким способом, що порушує системну політику безпеки. Вплив, заснований на першому принципі, простіший, більш інформаційний, але від нього легше захиститись. Вплив на основі другого принципу відрізняється трудністю організації, меншою інформаційністю, складністю виявлення і усунення.

3. За характером впливу на АСОІ: розрізняють активну і пасивну загрози.

Активна загроза веде до зміни стану системи і може здійснюватись або з використанням доступу (наприклад, до набору даних), або як з використанням доступу, так і з використанням прихованих каналів.

Пасивна загроза здійснюється шляхом спостереження користувачем будь-яких побічних ефектів (наприклад, від роботи програми) та їх аналіз. Прикладом пасивного впливу може бути прослуховування лінії зв'язку між двома вузлами мережі. Пасивний вплив не веде до зміни стану системи. Він завжди пов'язаний тільки з порушенням конфіденційності інформації в АСОІ.

4. За причиною використовуваної помилки захисту.

Така помилка може бути зумовлена однією з таких причин:

неадекватністю політики безпеки реальній АСОІ;

помилками адміністративного управління, під якими розуміють некоректну реалізацію або підтримку прийнятої політики безпеки АСОІ;

помилками в алгоритмах, у зв'язках між ними тощо, які виникають на етапі проектування програми або комплексу програм, у зв?язку з чим їх можна використовувати зовсім не так, як це описано в документації;

помилками реалізації алгоритмів (помилками кодування), зв'язками між ними тощо, які виникають на етапі реалізації або відлагодження і які також можуть бути джерелом недокументованості.

5. За способом впливу на об'єкт атаки (при активному впливі):

безпосередній вплив на об'єкт атаки, таким діям звичайно легко запобігти з допомогою засобів контролю доступу;

вплив на систему дозволу (в тому числі загарбання привілеїв);

опосередкований вплив (через інших користувачів);

“маскарад”, у цьому разі користувач присвоює собі повноваження іншого користувача, видаючи себе за нього;

“користувач наосліп”, коли один користувач змушує іншого виконувати необхідні дії, причому останній про них може і не підозрювати; для цього може використовуватись вірус (він виконує необхідні дії та повідомляє тому, хто його впровадив, про результат).

6. За способом впливу на АСОІ:

в інтерактивному режимі;

в пакетному режимі.

7. За об'єктом атаки.

Впливам можуть піддаватися такі компоненти АСОІ:

АСОІ в цілому (проникнення в систему), для цього, як правило, використовують метод “маскараду”, перехоплення або підробки пароля, “злом” або доступ до АСОІ через мережу;

об'єкти АСОІ - дані або програми, самі пристрої системи, канали передачі даних;

суб'єкти АСОІ - процеси і підпроцеси користувачів, частим випадком такого впливу є введення зловмисником вірусу в середовище другого процесу і його виконання від імені цього процесу;

канали передачі даних - пакети даних, які передаються каналами зв'язку і власне канали, прослуховування каналу і аналіз графіка (потоку повідомлень, підміна або модифікація повідомлень у каналах

зв'язку і на вузлах-ретрансляторах, зміна топології та характеристик мережі).

8. За використовуваними засобами атаки (можна використовувати або стандартне програмне забезпечення, або спеціально розроблені програми).

9. За станом об'єкта атаки. Об'єкт атаки може знаходитись в одному із трьох станів:

збереження - вплив на об'єкт, як правило, здійснюється з використанням доступу;

передачі - вплив передбачає або доступ до фрагментів інформації, що передається, або просто прослуховування з використанням прихованих каналів;

обробки - об'єктом атаки є процес користувача.

2.2 Характеристика найпоширеніших загроз безпеці АСОІ

Несанкціонований доступ (НСД)

НСД полягає в отриманні користувачем доступу до об'єкта, на який у нього немає дозволу відповідно до прийнятої в організації політики безпеки. Є два способи реалізації НСД:

- перебороти систему захисту, тобто різноманітними впливами зупинити її дію;

- поспостерігати за тим, що “погано лежить”, тобто які набори даних цінні для зловмисника, відкриті для доступу по недогляду або наміру адміністратора.

У більшості випадків НСД стає можливим через непродуманий вибір засобів захисту, некоректну установку і налагодження їх, а також при неуважному ставленні до захисту своїх особистих даних.

Незаконне використання привілеїв. Зловмисники, використовуючи цей спосіб атаки, як правило, використовують штатне програмне забезпечення. Практично кожна система захисту містить засоби, які використовуються в надзвичайних ситуаціях, або такі, що можуть функціонувати з порушенням існуючої політики безпеки.

Для того щоб зменшити ризик від застосування подібних засобів, більшість систем захисту реалізує такі функції з допомогою набору привілеїв - для виконання певної функції потрібен певний привілей. У такому разі кожен користувач отримує свій набір привілеїв, звичайні користувачі - мінімальний, адміністративні - максимальний (відповідно до принципу мінімуму привілеїв). Несанкціоноване захоплення привілеїв призведе до можливості несанкціонованого виконання певної функції.

Незаконне захоплення привілеїв можливе або при наявності помилок у самій системі захисту, або через халатність при управлінні системою і привілеями.

Атаки “салямі” (“С”). Ці атаки є найхарактернішими для систем, що обробляють грошові рахунки.

Принцип атаки “С” побудований на тому факті, що при обробці рахунків використовують цілі одиниці (гривні, копійки), а при нарахуванні відсотків нерідко отримують дробові. Якщо користувач має доступ до банківських рахунків або програм їх обробки, він може заокруглити суму в інший бік, а різницю в ній записати на свій рахунок. Власник рахунку навряд чи помітить це, а якщо і помітить, то спише її на похибку обробки і не надасть цьому жодного значення. Якщо зловмисник обробляє 10000 рахунків за день, то його денний прибуток становить 100 дол. в день, тобто близько 30000 дол. на рік.

Отже, атаки “С” небезпечні в основному для великих банків та інших фінансових організацій.

Причинами атаки “С” є, по-перше, похибки заокруглення, а по-друге, великі обсяги обчислень.

Перешкодити таким атакам можна лише забезпечивши цілісність і коректність прикладних програм з обробки рахунків, розмежовуючи доступ користувачів АСОІ до рахунків, а також здійснюючи постійний контроль рахунків.

“Приховані канали” (“ПК”) - шляхи передачі інформації між процесами системи, які порушують системну політику безпеки.

“ПК” можуть бути реалізовані різними шляхами, наприклад, за допомогою програмних закладок (“троянських коней”).

Атаки з використанням “ПК”, як правило, призводять до порушення конфіденційності інформації в АСОІ. За характером впливу вони є пасивними: порушення полягає тільки в передачі інформації. “ПК” можуть бути: кількість пропусків між двома словами, значення будь-якої фіксованої цифри після коми тощо, а також передача інформації про присутність або відсутність певного набору даних, його розмір, дата створення або модифікації.

“Маскарад” (“М”) - виконання будь-яких дій одним користувачем АСОІ від імені іншого користувача. При цьому другому користувачеві ці дії можуть бути дозволені. Порушення полягає у присвоєнні прав та привілеїв. “М” - це спосіб активного порушення захисту системи. “М”, як правило, передує злам системи або перехоплення пароля. Найбільш небезпечний “М” у банківських системах електронних платежів, де помилкова ідентифікація клієнта може призвести до великих збитків.

Для запобігання “М” слід використовувати надійні методи ідентифікації та автентифікації, блокування спроб зламу системи, контроль входу в неї.

“Збирання сміття” (“ЗС”). Після закінчення роботи оброблена інформація не завжди повністю знищується в пам'яті ЕОМ. Хоча при спотворенні заголовку файла її прочитати важко, однак, використовуючи спеціальні програми і обладнання, все ж можна. Такий процес дістав назву “Збирання сміття”. Він може призвести до витоку важливої інформації.

“ЗС” - активний безпосередній вплив на об'єкт АСОІ з використанням доступу. Для захисту від “ЗС” застосовують спеціальні механізми, які можуть бути реалізовані в ОС або в додаткових програмних засобах. Прикладами таких механізмів є стираючий взірець і мітка повноти.

“Злам системи” (“ЗЛС”) - це умисне проникнення в систему з несанкціонованими параметрами входу, тобто його іменем і його паролем.

“ЗЛС” - навмисний активний вплив на систему в цілому. Основне навантаження по захисту системи від “зламу” несе програма входу. Протистояти “ЗЛС” можна також обмеженням кількості спроб необхідного введення пароля з подальшим блокуванням терміналу та повідомлення оператора у разі порушення.

“Люки” (“Л”) - прихована, недокументована точка входу в програмний модуль. “Л” уставляють в програму, як правило, на етапі відладки для полегшення роботи: цей модуль можна викликати з різних місць, що дає змогу відладжувати його окремі частини незалежно. Крім того, “Л” може уставлятись на етапі розробки для подальшого зв'язку цього модуля з іншими модулями системи. Наявність “Л” дає змогу викликати програму нестандартним шляхом, що може серйозно відбитися на стані системи захисту. “Л” належить до категорії загроз, що виникають у випадку помилок реалізації проекту. “Л” можуть з'явитися у програмах з таких причин:

- їх забули забрати;

- для використання при подальшому налагодження;

- для забезпечення підтримки готової програми;

- для реалізації таємного контролю доступу до цієї програми після її встановлення.

Велика небезпека “Л”, особливо в програмах операційної системи, пов?язана також з високою складністю їх виявлення. Є лише один захист від “Л”- не допускати появи їх у програмі.

“Шкідливі програми” (“ШП”) - програми, які прямо чи непрямо дезорганізують процес обробки інформації чи сприяють її витоку чи спотворенню.

“Троянський кінь” (“ТК”) - програма, яка виконує в доповнення до основних (проектних та документованих) додаткові, але не описані в документах, дії. “ТК” належить до активних загроз, що реалізуються програмними засобами. Вона може загрожувати будь-якому об'єкту АСОІ. Найбільш небезпечним є опосередкований вплив, коли “ТК” діє в рамках повноважень одного, але в інтересах іншого користувача, встановити особу якого часто неможливо. “ТК” може спрацьовувати при надходженні деякої умови (дати, часу тощо) або за командою ззовні. Той, хто запустив таку програму, наражає на небезпеку як себе і свої файли, так і всю АСОІ.

Найбільш небезпечні дії “ТК” може виконувати в тому разі, коли користувач, що впровадив її, має поширений набір привілеїв. “ТК” - одна з найнебезпечніших загроз безпеці АСОІ. Радикальним засобом захисту від цієї загрози є створення замкненого середовища виконання програм.

“Вірус” (“В”) - програма, яка може заражати інші програми, включаючи до них свої, можливо модифіковані, копії. Причому останні зберігають здатність до подальшого розмноження. “В” можна охарактеризувати двома основними особливостями:

здатністю до самовідтворення, ця властивість означає, що за час свого існування на комп'ютері вірус має хоча б один раз відтворити свою копію на довгочасному носії;

здатністю до втручання в обчислювальний процес.

“В” належить до активних програмних засобів.

“Черв'як” (“Ч”) - програма, яка розповсюджується через мережу і не залишає своєї копії на магнітному носії. “Ч” використовує механізми підтримки мережі для визначення вузла, який може бути заражений. Потім з допомогою тих самих механізмів передає своє тіло чи його частину на цей вузол і або активізується, або чекає для цього сприятливих умов.

Найвідоміший представник цього класу - вірус Морріса (“черв'як” Морріса), який зруйнував мережу Internet в 1988 р. Найбільш сприятливим середовищем розповсюдження “Ч” є мережа, всі користувачі якої вважаються дружніми і довіряють один одному. Найкращий спосіб захисту від “Ч” - вжити запобіжних заходів проти несанкціонованого доступу до мережі.

Для захисту від різновиду шкідливих програм потрібно створити замкнене середовище виконання програм, розмежувати доступ до виконуваних файлів і системних областей, тестувати придбані програмні засоби.

“Жадібні програми” (“ЖП”) - програми, які при виконанні намагаються монополізувати певний ресурс системи, не даючи можливості іншим програмам використовувати його. Використання такими программами ресурсів системи звичайно призводить до порушення її доступності. Природно, що така атака є активним втручанням в роботу системи. Безпосередній атаці звичайно підлягають об'єкти системи: процесор, оперативна пам'ять, пристрої вводу-виводу.

Багато користувачів, особливо в дослідних центрах, мають фонові програми, які виконуються з нижнім пріоритетом. Проте, при підвищенні пріоритету така програма може блокувати решту програм. Така програма і буде "жадібною”.

Безвихідна ситуація виникає тоді, коли “жадібна” програма нескінченна (наприклад, виконує свідомо нескінченний цикл).

Перехоплюючи асинхронні повідомлення про завершення операції вводу-виводу і посилаючи знову запит на новий ввід-вивід, можна отримати по-справжньому нескінченну програму.

Інший приклад “ЖП” - програма, яка захоплює надто велику область оперативної пам'яті. Боротись з захопленням ресурсів можна введенням різних обмежень для виконання програми, а також постійним контролем додержання їх операторами.

“Загарбники паролів” (“ЗП”) - програми спеціального призначення для викрадення паролів. “ЗП” - це активний неопосередкований вплив на АСОІ в цілому.

Для запобігання цій загрозі перед входом в систему потрібно впевнитись, що ви вводите ім'я та пароль саме системної програми входу. Крім того, слід обов'язково дотримуватися правил використання паролів та роботи з системою, постійно перевіряти повідомлення про дату і час останнього входу та кількість помилкових

входів. Не записувати команди, що містять пароль, до командних процедур, намагатись уникати явного оголошення пароля при запиті доступу до мережі (ці ситуації можна відслідкувати та захопити пароль). Не використовувати один і той самий пароль для доступу до різних вузлів.

Як засвідчує практика, 81,7 відсотка порушень скоюють самі службовці організації, які мають доступ, і лише 17,3 відсотка - сторонні особи (1 відсоток припадає на випадкових осіб).

Отже, несуттєво, чи є у вашої АСОІ зв'язки з зовнішнім світом та чи є зовнішній захист, а внутрішній захист має бути обов'язково.

Три головні причини, що призводять до порушень: безвідповідальність, самоствердження і корисливий інтерес користувачів АСОІ.

Для організації надійного захисту слід чітко усвідомлювати, від яких саме порушень треба передусім позбавитися. Втрати від кожного виду порушень обернено пропорційні його частоті. Від порушень, викликаних недбалістю, потрібний мінімальний захист, від зондування системи - більш жорсткий, від проникнень - найбільш жорсткий, що поєднується з постійним контролем. Заходи захисту мають бути адекватними ймовірності здійснення і ступеню загрози. Тільки комплексний аналіз загроз та ступеня захищеності АСОІ може забезпечити відносну безпеку.



3. Аналіз ризику і складання планів

Аналіз ризику (АР) застосовується до різних операцій. Наприклад, при видачі кредиту спеціалісти банку оцінюють ризик його неповернення позичальником. Оцінивши величину ступеню ризику, можна вжити заходів для його зменшення (наприклад, опечатати на складі позичальника високоліквідний товар).

Для чого потрібний АР ?

1. Для підвищення поінформованості персоналу (більш точне виконання інструкцій).

2. Для визначення сильних і слабких сторін існуючих та запропонованих заходів захисту.

3. Для підготовки та прийняття рішення щодо вибору засобів і заходів захисту. Деякі заходи захисту дуже складні та потребують значних витрат коштів. Ступінь ризику визначає рівень і масштаб застосовуваних засобів захисту.

4. Для визначення витрат на захист. Чим менші витрати на захист, тим вища можливість втрати інформації та порушення працездатності АСОІ.

3.1 Основні етапи аналізу ризику

АР - це процес одержання кількісної чи якісної оцінки збитків у разі реалізації загрози безпеці АСОІ. Аналіз ризику безпеки АСОІ передбачає.

1. Опис компонентів АСОІ.

2. Визначення вразливих місць АСОІ.

3. Оцінка ймовірності появи загроз безпеці АСОІ.

4. Оцінка очікуваних розмірів втрат.

5. Огляд можливих методів захисту та оцінка їхньої вартості.

6. Оцінка вигоди від застосування передбачуваних заходів.

Опис компонентів АСОІ. Компоненти АСОІ можна розбити на такі категорії:

- устаткування - ЕОМ та їхні складові частини, периферійні пристрої;

- програмне забезпечення;

- вихідна інформація;

- співробітники.

Крім того, слід чітко описати технологію обробки інформації в захищеній АСОІ. Стан АСОІ має бути зафіксований як сукупність різних компонентів і технології обробки інформації. Всі подальші етапи аналізу ризику здійснюються саме з цією, зафіксованою на певний момент часу, системою.

Визначення вразливих місць АСОІ. Для всіх перелічених категорій компонентів АСОІ слід визначити, які небезпеки можуть загрожувати кожній з них і що може бути причиною їх. Небезпечні дії, що можуть призвести до порушення конфіденційності, цілісності та доступності певних компонентів і ресурсів АСОІ, можна згрупувати так.

1. Стихійні лиха;

2. Зовнішні впливи (підключення до мережі, інтерактивна робота, діяння зловмисників);

3. Навмисні порушення;

4. Ненавмисні помилки (введення помилкової команди, даних, використання несправних пристроїв, носіїв, а також нехтування деякими правилами безпеки).

Оцінка ймовірностей прояву загроз безпеці АСОІ дає можливість визначити, як часто може виявитися кожна загроза безпеці АСОІ.

Є такі методи оцінки ймовірностей.

1. Емпірична оцінка, наприклад для оцінки ймовірності стихійних лих, обману співробітників, корупції.

2. Безпосередня реєстрація подій (спроби входу в систему, доступ до певного об'єкта тощо).

3. Оцінка частоти виявлення загрози за таблицею.

4. Метод “Дельфійський оракул”, (кожний конкретний коефіцієнт одержується з частоти появи певної події).

Огляд можливих методів захисту і оцінки їхньої вартості. Для зменшення розміру збитків слід застосувати (вдосконалювати) різні заходи захисту АСОІ. Захист від вияву тієї чи іншої загрози може бути реалізований різними способами. Наприклад, захистити інформацію на жорсткому диску ПЕОМ від ознайомлення можна так:

- організувати контроль за доступом у приміщення, в якому встановлено ПЕОМ; - призначити відповідальних за використання ПЕОМ;

- шифрувати інформацію на диску;

- використовувати системи розмежування доступу.

Для кожного з цих способів визначають такі характеристики, як вартість та ефективність. При оцінці вартості методу слід враховувати не тільки прямі (закупівля устаткування, навчання персоналу тощо), а й непрямі витрати (уповільнення роботи системи, порушення відповідної технології обробки інформації тощо).

Ефективність методу - це його спроможність протистояти загрозам певного класу. Отримати реальні значення ефективності дуже важко, і в більшості випадків цю характеристику визначають емпірично.

Оцінка вигоди від застосування передбачуваних заходів. На останньому етапі аналізу ризику проводиться оцінка реальних витрат та виграшу від застосування передбачуваних заходів захисту. Сутність цього етапу полягає в аналізі різних варіантів побудови системи захисту та виборі оптимального з них за деяким критерієм (звичайно за найкращим співвідношенням “ефективність-вартість”).

Приклад. Треба оцінити вигоду при захисті інформації від розкриття чи обробки на основі некоректних даних впродовж одного року.

Збитки від реалізації цих загроз оцінимо в 1000000 дол. (С). Припустімо, що попередній аналіз показав, що в середньому ця ситуація зустрічається один раз на десять років (Р =0,1). Тоді вартість витрат для цієї загрози (ВВ) становитиме:

ВВ = СР = 1000000 ? 0,1= 100 000 дол.

Далі задамо ефективність методів захисту. Для даного абстрактного випадку припустімо, що в результаті експертної оцінки методів захисту було отримано значення 60 відсотків (ЕМ) (у шести випадках з десяти захист спрацьовує). Тоді:

ЕМ = 60% ? ВВ = 60 000 дол.

Витрати на реалізацію цих методів (закупівля засобів захисту, навчання персоналу тощо) становлять 25 000 дол. (ВМ). Тоді вигода дорівнює:

PR = ЕМ - ВМ = 60 000 - 25 000 = 35 000 дол.

Аналіз ризику дає також змогу експериментувати з деякою моделлю АСОІ для того, щоб з'ясувати, які з наявних методів захисту найефективніші для збереження працездатності системи і конфіденційності оброблюваної в ній інформації.

Гарантії аналізу ризику. АР - добре відомий інструмент планування, який широко використовується в практиці управління. Проте, інколи висуваються аргументи проти його використання, а саме:

неточність. АР визначає ефективний рівень затрат на захист, особливо в умовах обмежених фінансів. Крім цього, надмірна точність може виявитися непотрібною. Наприклад, зовсім неважливо, чи складуть очікувані втрати 100000 дол. важливо, що вони будуть набагато більші, ніж 20000 дол.;

швидка змінюваність. Може змінитися склад системи, зовнішні умови тощо і доведеться проводити новий аналіз. Деякі факти могли не враховуватися в минулому році, а деякі могли втратити актуальність;

відсутність наукової бази.

3.2 Складання плану захисту

Після визначення загроз безпеці АСОІ, від яких здійснюватиметься захист, та вибору заходів захисту, треба скласти ряд документів, що відбивають рішення адміністрації АСОІ щодо створення системи захисту. Це рішення конкретизується в кількох планах: захисту, забезпечення неперервної роботи та відновленні функціонування АСОІ.

План захисту - це документ, що визначає реалізацію системи захисту. Він необхідний:

- для визначення загальних правил обробки інформації в АСОІ, мети побудови та функціонування системи захисту і підготовки співробітників;

- для фіксації на певний момент часу складу АСОІ, технології обробки інформації, засобів захисту інформації;

- для визначення посадових обов'язків співробітників та відповідальності за їх дотримання.

План захисту містить такі групи відомостей:

- політика безпеки;

- поточний стан системи;

- рекомендації щодо реалізації системи захисту;

- відповідальність персоналу;

- порядок запровадження засобів захисту;

- порядок перегляду плану та складу засобів захисту.

Політика безпеки (ПБ). Має бути визначений набір законів, правил та практичних рекомендацій, на основі яких будується управління критичною інформацією в АСОІ, її захист і розподіл. ПБ повинна передбачати:

- мету, яку переслідує реалізація системи захисту в обчислювальній системі (захист даних компанії від НСД, від втрати даних тощо);

- заходи відповідальності засобів захисту і нижній рівень гарантованого захисту (в роботі невеликих груп захищених комп'ютерів, у обов'язках кожного службовця тощо);

- обов'язки і санкції, пов'язані з захистом (штрафи, персональна відповідальність тощо).

Поточний стан АСОІ. Слід чітко визначити компоненти АСОІ (устаткування, програми, вихідні дані, персонал тощо) і які з них потребують захисту. Далі треба скласти список можливих способів реалізації загроз роботі системи, роль та місце засобів захисту для запобігання кризовим ситуаціям. Після цього фіксують порядок формування та обробки даних в АСОІ, що захищається. Потрібно також навести відомості про дії засобів захисту у разі виникнення непередбачуваних ситуацій при введенні в дію нової техніки, програм, даних або через помилки в плануванні.

Рекомендації щодо реалізації системи захисту. Всебічний АР має визначати розміри найбільш вірогідних втрат незалежно від ймовірності появи відповідних подій; максимальні розміри очікуваних втрат; використовують при визначенні зон особливого контролю та розподілу засобів для забезпечення захисту.

Деякі ситуації можуть призводити до надто великих збитків (наприклад, аварія системи), а вартість засобів захисту від них може бути надто високою або ці засоби виявляться неефективними. У цьому разі не потрібно враховувати такі ситуації при плануванні захисту, хоч їх і треба відобразити в плані.

Відповідальність персоналу. Можна навести такі приклади обов'язків:

- користувач несе відповідальність за фізичну цілісність комп'ютера під час сеансу роботи з АСОІ, а також за нерозголошення власного пароля;

- адміністратор баз даних забезпечує конфіденційність інформації в базах даних, її логічну несуперечливість та цілісність;

- співробітник керівництва відповідає за розподіл обов'язків у сфері безпеки обробки інформації, попередження можливих загроз та профілактику засобів захисту.

Порядок запровадження систем захисту. Важливою частиною плану захисту є порядок перегляду складу засобів захисту. Склад користувачів, вихідні дані, оточення - все з часом змінюється, з'являються нові програми та апаратні засоби.

Періодично має здійснюватися також аналіз ризику з урахуванням зміни обстановки.



4. Політика безпеки

Політика безпеки (ПБ) - набір законів, правил і практичних рекомендацій, на основі яких здійснюється управління критичною інформацією в системі, її захист та розподіл.

Політика безпеки має бути індивідуальною, залежати від конкретної технології обробки інформації, використовуваних програмних та технічних засобів.

Під “системою” слід розуміти деяку сукупність суб'єктів та об'єктів і відносин між ними.

Суб'єкт - активний компонент системи, який може виявитись причиною потоку інформації від об'єкта до суб'єкта чи зміни стану системи.

Об'єкт - пасивний компонент системи, який зберігає, приймає чи передає інформацію.

Основу ПБ становить спосіб управління доступом, що визначає порядок доступу суб'єктів системи до її об'єктів. Для вивчення властивостей засобів управління доступом створюється його математична модель. Вона має відбивати стан всієї системи, її переходи з одного стану в інший, а також показувати, які стани і переходи можна вважати безпечними. Для цього застосовують широкий спектр математичних методів (моделювання, теорія інформації, графів, автоматів тощо).

Найбільш вивченими два види політики безпеки: виборча і повноважна. Визначення прав доступу суб'єктів і об'єктів до інформаційних потоків є компетенцією адміністрації системи.



5. Оцінка безпеки систем

5.1 Основні критерії оцінки безпеки систем

Задається ієрархія функціональних класів безпеки. Кожному класу відповідає певна сукупність обов'язкових функцій. Конкретний засіб розмежування доступу належить до такого класу безпеки, в якому реалізовані всі відповідні йому функції безпеки, якщо воно не може бути віднесене до більш високого класу.

Система документів США. У період з 1983 по 1988 р. в США Міністерством оборони і Національним Центром Комп'ютерної Безпеки була розроблена система документів щодо комп'ютерної безпеки. До неї належать:

“Критерій оцінки безпеки комп'ютерних систем” (“Оранжева книга” (ОК)).

Областю дій ОК є операційні системи і програмно-апаратні засоби, які змінюють функції операційних систем.

ОК необхідна:

- користувачам, для оцінки ступеня довіри системи, яка вибирається для обробки конфіденційної інформації;

- виробникам, щоб знати вимоги, які висуваються до систем захисту інформації, та враховувати це в своїх комерційних продуктах;

- розробникам стандартів для забезпечення основи розробки інших документів у галузі безпеки.

Виділено 6 головних вимог до безпеки: 4 з них стосуються управління доступом до інформації (політика безпеки, маркування, ідентифікація, облік), а 2 - наданих гарантій (впевненість в системі та неперервність захисту).

Клас захищеності присвоюють системі при проходженні нею сертифікації.

Сертифікації підлягає вся система в цілому, а клас захищеності присвоюють тільки в тому випадку, коли “найслабший” показник задовольняє його вимоги.

Клас Д: підсистеми безпеки. Він присвоюється тим системам, які не пройшли випробовування на більш високому рівні захищеності, а також системам, що використовуються для захисту лише окремої функції (підсистеми) безпеки.

Клас С1: виборчий захист. Засоби захисту систем класу С1 задовольняють вимоги виборчого управління доступом, забезпечуючи розмежування користувачів і даних. У системах цього класу обов'язковими є ідентифікація і автентифікація суб'єкта доступу, а також підтримка зі сторони обладнання.

Клас С2: керований доступ. До вимог класу С1 додається вимога унікальної ідентифікації суб'єкта доступу, захисту по замовчуванню і реєстрація подій. Унікальна ідентифікація означає, що будь-який користувач системи повинен мати унікальне ім'я. Захист по замовчуванню припускає призначення повноважень доступу користувача за принципом “все, що не дозволено, заборонено”.

Системи класу В. Характеризуються реалізацією повноважного управління доступом, при якому кожний суб'єкт і об'єкт мають мітки конфіденційності, а рішення на доступ суб'єкта до об'єкта приймаються за певним правилом на основі зіставлення інформації, яка міститься в обох мітках.

Клас В1: міточний захист. Доступ до об'єкта всередині системи дозволяється тільки тим суб'єктам, мітки яких задовольняють певний критерій щодо мітки об'єкта. Прикладом такого критерію є проста умова безпеки та - властивість у моделях Белла-Лападула Мітка безпеки на дані, які вводяться, запитується у користувача.

Клас В2: структурований захист. Додатково до вимог класу В1 додається вимога наявності добре визначеної та документованої формальної моделі політики безпеки, яка вимагає дії виборчого і повноважного управління доступом до всіх об'єктів системи. Вводиться вимога управління інформаційними потоками відповідно до повноважної політики безпеки. Висуваються також додаткові вимоги до захисту механізмів автентифікації. Інтерфейс з ДОБ має бути добре продокументований.

Клас В3: області безпеки. Має бути реалізована концепція монітора посилань. Усі взаємодії суб'єктів з об'єктами контролюються цим монітором. Дії мають виконуватись у межах областей безпеки, які мають ієрархічну структуру і захищені один від одного за допомогою спеціальних механізмів.

Із системи захисту слід вилучити код, який не вимагається для забезпечення підтримки політики безпеки. Механізм реєстрації подій безпеки повинен також сповіщати адміністратора і користувача про порушення безпеки.

Клас А1: верифікаційована розробка. Відрізняється від класу В3 тим, що для перевірки специфікацій застосовуються методи формальної верифікації - аналізу специфікацій системи щодо неповноти або суперечності, які можуть призвести до появи виломів безпеки. Сертифікація продукції може тривати від півроку до 2-3 років, тому при продажу продукції звичайно стверджують, що продукція розроблена згідно з вимогами до певного класу.

Для присвоєння класу захищеності система повинна мати посібник адміністратора системи, посібник користувача, тестову і конструкторську (проектну) документацію.

Вартість сертифікації можна порівняти з вартістю розробки засобів захисту.

Потенційним споживачам з комерційного сектора сертифікат на засоби захисту попри гарантування впевненості завдає таких незручностей:

- значне збільшення вартості порівняно з несертифікованими аналогами;

- труднощі підтримки і супроводження придбаних засобів захисту.

Після сертифікації засобів захисту розробки зміни до програм вносити не можна, в протилежному випадку втрачається сертифікат.

Докорінні зміни відбудуться, якщо сертифікаційні центри не займатимуться розробкою засобів захисту інформації та знизять розцінки на свої послуги.

Принципи організації захисту і контролю функціонування системи. Управління системою захисту полягає в періодичному внесенні змін до бази даних захисту, які містять відомості про користувачів, допущених до роботи в системі, їхні права доступу до різних об'єктів системи тощо.

Особливу увагу при управлінні системою захисту треба звернути на:

- документованість усіх змін у базі даних захисту;

- періодичне резервне копіювання бази даних з метою запобігання втрати їх актуальної копії у разі збою обладнання.

Контроль за функціонуванням АСОІ полягає в слідкуванні за небезпечними подіями, аналізі причин, які призвели до їх виникнення, та ліквідації наслідків. Задачі управління та контролю розв'язує адміністративна група. Звичайно до неї входять: адміністратор безпеки, менеджер безпеки і оператор.



Використана література

1. Навчальний посібник “Методи захисту банківської інформації” В.К. Задірака, О.С. Олексюк, М.О. Недашковський.

2. http://www.rusnauka.com

3. http://pidruchniki.ws/11570718/finansi/organizatsiyni_zahodi_informatsiynoyi_bezpeki

4. http://rewolet.ru/book_110_chapter_127_11.2._Osnovn%D1%96_zasobi_zakhistu.html

Размещено на Allbest.ru