5. Защита информации в экономических информационных системах.

5.1. Виды угроз безопасности АИС и АИТ.

Меры безопасности направле­ны на предотвращение несанкционированного получения инфор­мации, физического уничтожения или модификации защищаемой информации.

Для  защиты информации требуется не просто разработка частных механизмов защиты, а организация це­лого комплекса мер, т.е. использование специальных средств, ме­тодов и мероприятий с целью предотвращения потери информа­ции. Сегодня развивается новая современная технология — техно­логия защиты информации в компьютерных информационных сис­темах и в сетях передачи данных.

Угроза  безопасности информации - это действие или событие, которое может привести к разрушению, искажению или не­санкционированному использованию информационных ресурсов, включая хранимую, передаваемую и обрабатываемую информацию, а также программные и аппаратные средства.

Угрозы бывают случайные, или непреднамеренные, и умышленные.

Источником случайных угроз могут быть ошибки в програм­мном обеспечении, выходы из строя аппаратных средств, непра­вильные действия пользователей или администрации и т.п. Умыш­ленные угрозы преследуют цель нанесе­ния ущерба пользователям АИТ и подразделяются на активные и пассивные.

Пассивные угрозы направлены на несанкциониро­ванное использование информационных ресурсов, не оказывая при этом влияния на ее функционирование. Пассивной угрозой является, например, попытка получения информации, циркули­рующей в каналах, посредством их прослушивания.

Активные угрозы имеют целью нарушение нормального процес­са функционирования посредством целенаправленного воздействия на аппаратные, программные и информационные ресурсы. К ак­тивным угрозам относятся, например, разрушение или радиоэлек­тронное подавление линий связи, вывод из строя ПЭВМ или ее операционной системы, искажение сведений в базах данных или в системной информации в компьютерных технологиях. Ис­точниками активных угроз могут быть непосредственные действия злоумышленников, программные вирусы.

К основным угрозам безопасности информации относят:

  • раскрытие конфиденциальной информации;
  • компрометация информации;
  • несанкционированное использование информационных ресурсов;
  • ошибочное использование информационных ресурсов;
  • несанкционированный обмен информацией;
  • отказ от информации;
  • отказ в обслуживании.

Средствами реализации угрозы раскрытия конфиденциальной информации могут быть несанкционированный доступ к базам данных, прослушивание каналов и т.п.

Компрометация информации, как правило, реализуется посред­ством внесения несанкционированных изменений в базы данных, в результате чего ее потребитель вынужден либо отказаться от нее, либо прилагать дополнительные усилия для выявления изме­нений и восстановления истинных сведений.

Несанкционированное использование информационных ресурсов, с одной стороны, является средством раскрытия или компрометации информации, а с другой — имеет самостоятельное значение, по­скольку, даже не касаясь пользовательской или системной инфор­мации, может нанести определенный ущерб абонентам и админи­страции. Этот ущерб может варьироваться в весьма широких пре­делах — от сокращения поступления финансовых средств до пол­ного выхода АИТ из строя.

Ошибочное использование информационных ресурсов, будучи санкционированным, тем не менее, может привести к разрушению, рас­крытию или компрометации указанных ресурсов. Данная угроза чаще всего является следствием ошибок, имеющихся в программном обеспечении АИТ.

Несанкционированный обмен информацией между абонентами может привести к получению одним из них сведений, доступ к ко­торым ему запрещен.

Отказ от информации состоит в непризнании получателем или отправителем этой информации фактов ее получения или отправ­ки. В условиях банковской деятельности это позволя­ет одной из сторон расторгать заключенные финансовые соглашения «техническим» путем, формально не отказываясь от них и на­нося тем самым второй стороне значительный ущерб.

Отказ в обслуживании представляет собой весьма существенную и распространенную угрозу, источником которой является сама АИТ. Подобный отказ особенно опасен в ситуациях, когда задерж­ка с предоставлением ресурсов абоненту может привести к тяже­лым для него последствиям. Так, отсутствие у пользователя дан­ных, необходимых для принятия решения, в течение периода вре­мени, когда это решение еще возможно эффективно реализовать, может стать причиной его нерациональных  действий.

Наиболее распространенными путями несанкционированного доступа к информации, сформулированными на основе анализа зарубежной печати, являются:

• перехват электронных излучений;

• применение подслушивающих устройств (закладок);

• дистанционное фотографирование;

• перехват акустических излучений и восстановление текста принтера;

• хищение носителей информации и документальных отходов;

• копирование носителей информации с преодолением мер за­щиты;

• маскировка под зарегистрированного пользователя;

• использование программных ловушек;

• использование недостатков языков программирования и опе­рационных систем;

• включение в библиотеки программ специальных блоков типа «Троянский конь»;

• незаконное подключение к аппаратуре и линиям связи;

• злоумышленный вывод из строя механизмов защиты;

• внедрение и использование компьютерных вирусов.

Особую опасность в настоящее время представляет проблема компьютерных вирусов, так как с учетом большого числа разно­видностей вирусов надежной защиты против них разработать не удается. Все остальные пути несанкционированного доступа под­даются надежной блокировке при правильно разработанной и реа­лизуемой на практике системе обеспечения безопасности.

5.2. Методы и средства защиты информации в АИС

Современные АИТ обладают следующими основными призна­ками:

• наличием информации различной степени конфиденци­альности;

• необходимостью криптографической защиты информации различной степени конфиденциальности при передаче данных;

• иерархичностью полномочий субъектов доступа и программ к АРМ, файл-серверам, каналам связи и инфор­мации системы, необходимостью оперативного изменения этих полномочий;

• организацией обработки информации в диалоговом режиме, в режиме разделения времени между пользователями и в режи­ме реального времени;

• обязательным управлением потоками информации как в ло­кальных сетях, так и при передаче по каналам связи на дале­кие расстояния;

• необходимостью регистрации и учета попыток несанкциони­рованного доступа, событий в системе и документов, выво­димых на печать;

• обязательным обеспечением целостности программного обес­печения и информации в АИТ;

• наличием средств восстановления системы защиты ин­формации;

• обязательным учетом магнитных носителей;

• наличием физической охраны средств вычислительной техни­ки и магнитных носителей.

Организационные мероприятия и процедуры, используемые для решения проблемы безопасности информации, решаются на всех этапах проектирования и в процессе эксплуатации АИТ.

На стадии предпроектного обследования объекта:

• устанавливается наличие конфиденциальной информации в разрабатываемой АИТ, оценивается уровень конфиденциальности и объемы;

• определяются    режимы    обработки    информации (диалоговый, телеобработки и режим реального времени), со­став комплекса технических средств, общесистемные программ­ные средства и т.д.;

• анализируется возможность использования имеющихся на рынке сертифицированных средств защиты информации;

• определяется степень участия специалистов и вспомогательных работников объекта ав­томатизации в обработке информации, характер взаимодействия между собой и со службой безопасности;

• определяются мероприятия по обеспечению режима сек­ретности на стадии разработки.

Функционирование системы защиты информации от не­санкционированного доступа, как комплекса программно-технических средств и организационных реше­ний, предусматривает:

• учет, хранение и выдачу пользователям информационных носителей, паролей, ключей;

• ведение служебной информации (генерация паролей, клю­чей, сопровождение правил разграничения доступа);

• оперативный контроль над функционированием систем за­щиты секретной информации;

• контроль соответствия общесистемной программной среды эталону;

• приемку включаемых в АИТ новых программных средств;

• контроль над ходом технологического процесса обработки фи­нансово-кредитной информации путем регистрации анализа действий пользователей;

• сигнализацию опасных событий.

Создание базовой системы защиты информации в АИТ осно­вывается на следующих принципах:

  1. Комплексный подход к построению системы защиты, означающий оптималь­ное сочетание программных аппаратных средств и организацион­ных мер защиты.
  2. Разделение и минимизация полномочий по доступу к обрабаты­ваемой информации и процедурам обработки, т. е. предоставление пользователям минимума строго определенных полномочий, доста­точных для успешного выполнения ими своих служебных обязан­ностей, с точки зрения автоматизированной обработки доступной им конфиденциальной информации.
  3. Полнота контроля и регистрации попыток несанкционирован­ного доступа, т. е. необходимость точного установления идентич­ности каждого пользователя и протоколирования его действий для проведения возможного расследования, а также невозможность со­вершения любой операции обработки информации в АИТ без ее предварительной регистрации.
  4. Обеспечение надежности системы защиты, т. е. невозможность  снижения уровня надежности при возникновении в системе сбоев, отказов, преднамеренных действий нарушителя или непреднаме­ренных ошибок пользователей и обслуживающего персонала.
  5. Обеспечение контроля над функционированием системы защиты, т. е. создание средств и методов контроля работоспособности ме­ханизмов защиты.
  6.  «Прозрачность» системы защиты информации для общего, прикладного программного обеспечения и пользователей АИТ.
  7.  Экономическая целесообразность использования системы защи­ты, выражающаяся в том, что стоимость разработки и эксплуата­ции систем защиты информации должна быть меньше стоимости возможного ущерба, наносимого объекту в случае разработки и эксплуатации АИТ без системы защиты информации.

Основные методы защиты информации: препятствие, управление доступом, маскировка, регламентация, принуждение, побуждение.

ПРЕПЯТСТВИЕ – метод физического преграждения пути злоумышленнику к защищаемой информации( к аппаратуре, носителям информации и т.д.).

УПРАВЛЕНИЕ ДОСТУПОМ – метод защиты информации регулированием использования всех ресурсов компьютерной информационной системы банковской деятельности ( элементов баз данных, программных и технических средств ). Управление доступом включает следующие функции защиты:

·                           идентификацию пользователей, персонала и ресурсов системы ( присвоение каждому объекту персонального идентификатора );

·                           опознание ( установление подлинности ) объекта или субъекта по предъявленному им идентификатору;

·                           проверку полномочий ( проверка соответствия дня недели, времени суток, запрашиваемых ресурсов и процедур установленному регламенту );

·                           разрешение и создание условий работы в пределах установленного регламента;

·                           регистрацию ( протоколирование ) обращений к защищаемым ресурсам;

·                           реагирование ( сигнализация, отключение, задержка работ, отказ в запросе) при попытках несанкционированных действий.

   МАСКИРОВКА – метод защиты информации путем ее криптографического закрытия. Этот метод защиты широко применяется за рубежом как при обработке, так и при хранении информации, в том числе на дискетах. При передаче информации по каналам связи большой протяженности этот метод является единственно надежным.

   РЕГЛАМЕНТАЦИЯ – метод защиты информации, создающий такие условия автоматизированной обработки, хранения и передачи защищаемой информации, при которых возможности несанкционированного доступа к ней сводились бы к минимуму.

   ПРИНУЖДЕНИЕ – такой метод защиты, при котором пользователи и персонал системы вынуждены соблюдать правила обработки, передачи и использования защищаемой информации под угрозой материальной, административной или уголовной ответственности.

   ПОБУЖДЕНИЕ – такой метод защиты, который побуждает пользователя и персонал системы не разрушать установленные порядки за счет соблюдения сложившихся моральных и этических норм (как регламентированных, так и неписанных).

   Рассмотренные методы обеспечения безопасности реализуются на практике за счет применения различных средств защиты, таких, как технические, программные, организационные, законодательные и морально-этические.

К основным средствам защиты, используемым для создания механизма защиты, относятся следующие:

Технические средства реализуются в виде электрических, элек­тромеханических и электронных устройств. Вся совокупность тех­нических средств делится на аппаратные и физические. Под аппа­ратными техническими средствами принято понимать устройства, встраиваемые непосредственно в вычислительную технику или устройства, которые сопрягаются с подобной аппаратурой по стан­дартному интерфейсу.

Физические средства реализуются в виде автономных уст­ройств и систем. Например, замки на дверях, где размещена аппа­ратура, решетки на окнах, электронно-механическое оборудование охранной сигнализации.

Программные средства представляют собой программное обеспечение, специально предназначенное для выполнения функ­ций защиты информации.

Организационные средства защиты представляют собой орга­низационно-технические и организационно-правовые мероприя­тия, осуществляемые в процессе создания и эксплуатации вычис­лительной техники, аппаратуры телекоммуникаций для обеспече­ния защиты информации. Организационные мероприятия охваты­вают все структурные элементы аппаратуры на всех этапах их жиз­ненного цикла (строительство помещений, проектирование ком­пьютерной информационной системы банковской деятельности, монтаж и наладка оборудования, испытания, эксплуатация).

Морально-этические средства защиты реализуются в виде всевозможных норм, которые сложились традиционно или складыва­ются по мере распространения вычислительной техники и средств связи в обществе. Эти нормы большей частью не являются обяза­тельными как законодательные меры, однако, несоблюдение; их ведет обычно к потере авторитета и престижа человека.

Законодательные средства защиты определяются законода­тельными актами страны, которыми регламентируются правила пользования, обработки и передачи информации ограниченного доступа и устанавливаются меры ответственности за нарушение этих правил.