Добавил:
Upload Опубликованный материал нарушает ваши авторские права? Сообщите нам.
Вуз: Предмет: Файл:
презентации МОАИС / учебное пособие.pdf
Скачиваний:
246
Добавлен:
07.06.2015
Размер:
7.63 Mб
Скачать

1.4. Модель информационной безопасности.

Сметодологической точки зрения при анализе проблем информационной безопасности необходимо выявить субъекты информационных отношений и их интересы, связанные с использованием информационных систем, определить цели защиты информации, основные угрозы безопасности и возможные уязвимости системы. Таким образом, необходима многомерная модель информационной безопасности. В литературе по защите информации описаны различные варианты моделей,

сразной степенью точности отражающие все многообразие форм воздействия на информацию.

Сточки зрения правовых отношений структурную модель информационной безопасности компьютерных систем можно представить

ввиде схемы, представленной на рисунке 1.4.1.

Основными структурными элементами информационной безопасности компьютерных систем в данной модели являются:

1.Цели защиты информации.

2.Субъекты, участвующие в процессах информационного обмена.

3.Угрозы безопасности информационных систем.

4.Уровни уязвимости информации и информационной инфраструктуры.

Обеспечение безопасности состоит в достижении трех взаимосвязанных целей: конфиденциальность, целостность и доступность.

Обеспечение конфиденциальности состоит в защите информации в процессе ее создания, хранения, обработки и обмена по каналам связи от ознакомления с ней лицами, не имеющими права доступа. Кроме того, авторизованные пользователи системы должны иметь доступ к информации в соответствии с установленными правами.

60

Обеспечение целостности состоит в защите от преднамеренного или непреднамеренного изменения информации и алгоритмов ее обработки лицами, не имеющими на то права.

Информационная безопасность

ЦЕЛИ

Конфиденциальность

Целостность

Доступность

СУБЪЕКТЫ

УГРОЗЫ

УРОВНИ

УЯЗВИМОСТИ

 

Пассивные

 

 

Активные

Физический

Авторы

Естествен-

 

 

Технологи-

 

ные

Владельцы

ческий

 

 

 

Авторизо-

Искусственные

Логический

 

 

ванные

 

 

пользователи

 

Человечес-

 

Непред-

Неавторизо-

кий

намерен-

 

ванные

 

ные

Законода-

пользователи

 

 

 

тельный

Разработчи-

Предна-

Организаци-

ки ИС

мерен-

онный

 

Обслужив.

ные

 

 

 

персонал

 

 

 

Внешние

Локальные

 

 

 

 

Удаленные

 

Внутренние

 

Рис. 1.4.1. Модель информационной безопасности

61

Обеспечение доступности состоит в предоставлении авторизованным пользователям всей имеющейся в системе информации в соответствии с установленными правами доступа.

Основными субъектами в информационных процессах являются: авторы (собственники) информационных ресурсов, владельцы информации, авторизованные пользователи, неавторизованные пользователи, разработчики информационной системы, обслуживающий персонал, обеспечивающий работоспособность программно-технических средств и средств защиты, а также персонал, занимающийся наполнением системы информацией.

Владельцы информации обязаны построить систему защиты, которая должна обеспечивать соблюдение авторских прав собственникам информации и предоставлять доступ к информации только авторизованным пользователям в соответствии с их правами. Неавторизованные пользователи стремятся получить несанкционированный доступ к информационной системе.

Кроме того, возможны каналы утечки информации, заложенные разработчиками информационной системы, и известные только им (недокументированные возможности).

Персонал, занимающийся сопровождением программнотехнических средств, администрированием сети, обеспечением защиты и информационным наполнением, также представляет определенную угрозу несанкционированных утечек информации, а потому является важным субъектом информационных процессов. Как правило, обслуживающий персонал не всегда имеет полноправный доступ к информации в системе, но имеет практически неограниченный доступ к аппаратно-программным средствам и телекоммуникациям, обеспечивающим функционирование всей информационной системы.

62

Под угрозой безопасности информационным системам понимается потенциально возможное действие, событие или процесс, которые посредством воздействия на информацию и другие компоненты системы могут нанести ущерб интересам субъектов. Прежде всего, по результатам воздействия угрозы бывают пассивные и активные.

Пассивные угрозы направлены в основном на несанкционированное использование информационных ресурсов сети, не оказывая при этом влияния на ее функционирование и информационное наполнение.

Активные угрозы имеют целью нарушение нормального функционирования ИС путем целенаправленного воздействия на ее компоненты. К активным угрозам относятся, например, вывод из строя компьютера или его операционной системы, искажение сведений в базах данных, разрушение программного обеспечения, нарушение работы линий связи и т.д. Источником активных угроз, как правило, являются действия злоумышленников.

Активные угрозы безопасности могут быть разделены на естественные и искусственные.

Естественные угрозы – это угрозы, вызванные воздействием на информационные системы объективных физических процессов или стихийных природных явлений, не зависящих от человека. Естественными угрозами безопасности являются, например, стихийные бедствия, аварии, внезапные отключения электропитания, поломки технических средств и другие, не зависящие от человека воздействия. Эти угрозы совершенно не поддаются прогнозированию, и поэтому меры их парирования должны применяться всегда. Стихийные источники, составляющие потенциальные угрозы информационной безопасности, как правило, являются внешними по отношению к рассматриваемому объекту, и под ними понимаются, прежде всего, природные катаклизмы. Эти угрозы опасны для всех элементов информационной системы и могут привести к нарушениям

63

нормальной работы, разрушению системы, уничтожению информации, разрушению аппаратно-программных средств и линий связи.

Искусственные угрозы вызваны действиями человека (антропогенные) и подразделяются на непреднамеренные (случайные) и преднамеренные. Данная группа угроз самая обширная. Она представляет наибольший интерес с точки зрения организации защиты, так как действия субъекта всегда можно оценить, спрогнозировать и принять адекватные меры. Методы противодействия этим угрозам управляемы и в основном зависят от организаторов защиты информации.

Непреднамеренные угрозы связаны с людьми, непосредственно работающими с компьютерной системой (действия, совершаемые людьми случайно, по незнанию, невнимательности или халатности, но без злого умысла). Они вызваны случайными действиями пользователей, ошибками операторов, программистов, управленческого персонала, сотрудников архивной службы и службы безопасности и ведут к искажению или уничтожению информации, нарушению функционирования, управления и безопасности системы. Часто такие угрозы являются следствием невыполнения персоналом организационно-технологических правил и требований внутренних нормативных документов.

Преднамеренные искусственные угрозы делятся на внутренние (со стороны персонала организации) и внешние (от посторонних лиц и организаций). По зарубежной и отечественной статистике до 70-80% всех компьютерных преступлений связано с внутренними нарушениями, т.е. осуществляются сотрудниками своей компании. Это обусловлено тем, что свой сотрудник может реально оценить стоимость той или иной информации. Кроме того, некоторые сотрудники обладают привилегиями по доступу к информации (либо аппаратно-программным средствам и средствам защиты) и могут их использовать в корыстных интересах.

64

В свою очередь внешние угрозы подразделяются на локальные (проникновение посторонних лиц в учреждение и доступ их к системе) и удаленные (незаконный доступ к системе через глобальные сети).

Сетевые (или удаленные) атаки характерны, во-первых, тем, что злоумышленник может находиться за тысячи километров от атакуемого объекта и, во-вторых, тем, что нападению может подвергаться не конкретный компьютер, а информация, передающаяся по сетевым коммуникациям.

В последние годы все большую угрозу информации в сетях представляют вирусы, которые распространяются по сетям и могут привести к уничтожению информации и блокированию функционирования всей информационной системы.

Уязвимость информационных систем можно классифицировать по уровням: физический, технологический, логический, человеческий, законодательный, организационный.

Физический уровень определяет, насколько эффективно защищены элементы, образующие техническую часть информационной системы: сервера, рабочие станции, периферийные устройства, коммуникационное оборудование и линии связи.

Наиболее доступными компонентами сетей являются рабочие станции. Именно с них могут быть предприняты наиболее многочисленные попытки совершения несанкционированных действий. Поэтому рабочие станции должны быть надежно защищены от доступа посторонних. Кроме того, средства защиты должны предотвращать нарушения нормальной настройки рабочих станций и режимов их функционирования, вызванные непреднамеренными действиями неопытных пользователей.

65

В особой защите нуждаются такие привлекательные для злоумышленников элементы сетей, как сервера и активное коммуникационное оборудование.

Внедрение аппаратных и программных закладок в сервера и коммуникационное оборудование открывает дополнительные широкие возможности по несанкционированному удаленному доступу. Закладки могут быть внедрены как с удаленных станций, так и непосредственно в аппаратуру и программы серверов при их ремонте, обслуживании, модернизации, переходе на новые версии программного обеспечения, смене оборудования.

Каналы и средства связи также нуждаются в защите. В силу большой пространственной протяженности линий связи через неконтролируемую или слабо контролируемую территорию практически всегда существует возможность подключения к ним, либо вмешательства в процесс передачи данных.

Технологический уровень отражает, насколько эффективно обеспечена защита аппаратно-программных процедур, обеспечивающих требуемую степень безопасности. Это касается выбора операционных систем, систем управления базами данных (СУБД), прикладного программного обеспечения, среды доставки информации.

Логический уровень характеризует адекватность логических основ механизма безопасности и организации хранения и кодирования информации.

Человеческий уровень отражает степень квалификации и ответственности персонала на стадиях проектирования системы и ее эксплуатации (техническое и программное сопровождение, информационное наполнение, соблюдение требований безопасности).

66

Законодательный уровень определяет комплекс законодательных и нормативно-правовых актов, регулирующих отношения субъектов в процессах информационного обмена.

Организационный уровень предусматривает комплекс организационных мероприятий, регламентирующий процессы эксплуатации информационной системы. На организационном уровне могут быть использованы морально-этические средства защиты информации, основанные на использовании моральных и этических норм, господствующих в обществе. Морально-этические нормы могут быть оформлены в некий свод (устав) правил или предписаний. Эти нормы, как правило, не являются законодательно утвержденными, но могут считаться обязательными для исполнения.

Организационные и законодательные средства защиты информации предусматривают создание системы нормативно-правовых документов, регламентирующих порядок разработки, внедрения, эксплуатации и защиты ИС, а также ответственность должностных лиц за нарушение установленных правил, законов, приказов, стандартов и т.п. Они обеспечивают объединение всех используемых средств защиты в единый механизм.

67

Соседние файлы в папке презентации МОАИС