Джерела виникнення та наслідки реалізації загроз
інформаційної безпеки h2>
Курсова робота з дисципліни «Теорія інформаційної
безпеки і методологія захисту інформації » p>
Студент Д.Д. Кирьянов p>
Московський державний індустріальний університет
(ГОУ МГИУ) p>
Москва 2008 p>
Введення p>
В
сучасному світі інформація стала найважливішим ресурсом суспільства. Традиційні
матеріальні ресурси поступово втрачають своє первісне значення, а їм
на зміну приходять інформаційні ресурси, які з часом не зменшуються, а
неухильно ростуть. Інформація як предмет праці стає все більшою мірою
стратегічним ресурсом суспільства, його рушійною продуктивною силою. p>
Широке
використання інформаційних технологій в усіх сферах життя сучасного
суспільства робить цілком закономірною і вельми актуальною проблему захисту
інформації, або інакше, проблему забезпечення інформаційної безпеки. У
умовах інтенсивного розвитку ринку інформаційних продуктів і послуг,
інформація ставати повноцінним товаром. Подібно іншим товаром, інформація
потребує збереження, а також в надійному захисті. p>
В
даній роботі ми розглянемо джерела виникнення та наслідки реалізації
загроз інформаційної безпеки, класифікуємо джерела загроз, розглянемо
людський фактор як джерело загроз інформаційної безпеки, а так само
опишемо наслідки впливу загроз і види загрозливих впливів і
класифікуємо загрози ступеня тяжкості наслідків та можливих збитків. p>
2.
Джерела виникнення і наслідки реалізації загроз інформаційної
безпеки. p>
2.1
Класифікація джерел загроз p>
Носіями
загроз безпеці інформації є джерела загроз. Джерела погроз можуть
використовувати уразливості для порушення безпеки інформації, отримання
незаконної вигоди (нанесення шкоди власнику, власнику, користувачу
інформації) Крім того, можливо не зловмисні дії джерел загроз
активізації тих чи інших вразливостей, що завдають шкоди. Як джерела
загроз можуть виступати як суб'єкти (особа) так і об'єктивні прояви.
Причому, джерела загроз можуть знаходитися як всередині захищається організації --
внутрішні джерела, так і поза нею - зовнішні джерела. p>
Поділ
джерел на суб'єктивні і об'єктивні виправдано виходячи з того, що
Суб'єктивні уразливості залежать від дій співробітників і, в основному,
усуваються організаційними та програмно-апаратними методами. А Об'єктивні
вразливості залежать від особливостей побудови та технічних характеристик
устаткування, яке застосовується на захищається об'єкті. Повне усунення цих
вразливостей неможливо, але вони можуть істотно послаблятися технічними та
інженерно-технічними методами парирування загроз безпеки інформації. p>
А
поділ на внутрішні і зовнішні джерела виправдано тому, що для однієї і тієї
ж загрози методи парирування для зовнішніх і внутрішніх джерел можу бути
різними. p>
Всі
джерела загроз безпеці інформації можна розділити на три основні групи:
p>
1)
Обумовлені діями суб'єкта (антропогенні джерела загроз). p>
2)
Обумовлені технічними засобами (техногенні джерела загрози). p>
3)
Обумовлені стихійними джерелами. p>
2.1.1
Антропогенні джерела загроз. P>
антропогенними
джерелами загроз безпеці інформації виступають суб'єкти, дії яких
можуть бути кваліфіковані як умисні або випадкові злочину. Тільки в
цьому випадку можна говорить про заподіяння шкоди. Ця група найбільш обширна і
представляє найбільший інтерес з точки зору організації захисту, так як
дії суб'єкта завжди можна оцінити, спрогнозувати і прийняти адекватні
заходи. Методи протидії в цьому випадку керовані і безпосередньо залежать від
волі організаторів захисту інформації. p>
В
як антропогенного джерела загроз можна розглядати суб'єкта, що має
доступ (санкціонований або несанкціонований) до роботи зі штатними
засобами захищається об'єкта. Суб'єкти (джерела), дії яких можуть
призвести до порушення безпеки інформації можуть бути як зовнішні, так і
внутрішні. p>
Зовнішні
джерела можуть бути випадковими або навмисними і мати різний рівень
кваліфікації. До них відносяться: p>
1)
кримінальні структури; p>
2)
потенційні злочинці і хакери; p>
3)
несумлінні партнери; p>
4)
технічний персонал постачальників телематичних послуг; p>
5)
представники наглядових організацій та аварійних служб; p>
6)
представники силових структур. p>
Внутрішні
суб'єкти (джерела), як правило, являють собою висококваліфікованих
фахівців в галузі розробки та експлуатації програмного забезпечення та
технічних засобів, знайомі зі специфікою вирішуваних завдань, структури та
основними функціями та принципами роботи програмно-апаратних засобів захисту
інформації, мають можливість використання штатного обладнання і технічних
засобів мережі. До них відносяться: p>
1)
основний персонал (користувачі, програмісти, розробники); p>
2)
представники служби захисту інформації; p>
3)
допоміжний персонал (прибиральники, охорона); p>
4)
технічний персонал (життєзабезпечення, експлуатація). p>
Необхідно
враховувати також, що особливу групу внутрішніх антропогенних джерел
становлять особи з порушеною психікою і спеціально впроваджені та завербовані
агенти, які можуть бути з числа основного, допоміжного та технічного
персоналу, а також представників служби захисту інформації. Дана група
розглядається у складі перерахованих вище джерел загроз, але методи
парирування загрозами для цієї групи можуть мати свої відмінності. p>
Кваліфікація
антропогенних джерел інформації відіграють важливу роль в оцінці їх впливу і
враховується при ранжуванні джерел загроз. p>
2.1.2
Техногенні джерела загроз. P>
Друга
група містить джерела загроз, що визначаються технократичної діяльністю
людини та розвитком цивілізації. Однак, наслідки, викликані такий
діяльністю вийшли з під контролю людини і існують самі по собі. Ці
джерела загроз менш прогнозовані, прямо залежать від властивостей техніки і
тому вимагають особливої уваги. Даний клас джерел загроз безпеки
інформації особливо актуальне в сучасних умовах, тому що в сформованих
умовах експерти очікують різкого зростання числа техногенних катастроф, викликаних
фізичним і моральним старінням технічного парку використовуваного
обладнання, а також відсутністю матеріальних коштів на його оновлення. p>
Технічні
засоби, що є джерелами потенційних загроз безпеці інформації
так само можуть бути зовнішніми: p>
1)
засоби зв'язку; p>
2)
мережі інженерних комунікації (водопостачання, каналізації); p>
3)
неякісні технічні засоби обробки інформації; p>
4)
неякісні програмні засоби обробки інформації; p>
5
) допоміжні засоби (охорони, сигналізації, телефонії); p>
6)
інші технічні засоби, що застосовуються в установі. p>
2.1.3
Стихійні джерела загроз. P>
Третя
група джерел загроз об'єднує, обставини, що становлять непереборну
силу, то є такі обставини, які мають об'єктивний і абсолютний
характер, що поширюється на всіх. До непереборну силу в законодавстві і
договірній практиці відносять стихійні лиха або інші обставини, які
неможливо передбачити або запобігти чи можливо передбачити, але
неможливо запобігти при сучасному рівні людського знання і
можливостей. Такі джерела загроз абсолютно не піддаються прогнозуванню та
тому заходи захисту від них повинні застосовуватися завжди. p>
Стихійні
джерела потенційних загроз інформаційної безпеки як правило є
які не належать до захищаємий об `єкт і під ними маються на увазі перш за все
природні катаклізми: p>
1)
пожежі; p>
2)
землетрусу; p>
3)
повені; p>
4)
урагани; p>
5)
різні непередбачені обставини; p>
6)
нез'ясовні явища; p>
7)
інші форс-мажорні обставини. p>
2.2
Людський фактор як антропогенний джерело загроз. P>
Найчастіше
всього до виникнення значних збитків призводять зловмисні чи помилкові
дії людей, а техногенні джерела, як правило, виступають як
передумови. p>
2.2.1
Зовнішні джерела загроз p>
Хакери
і кримінальні структури. p>
Популярність
такого джерела загроз, як хакери, на жаль, активно підтримується
засобами масової інформації. p>
Особистий
досвід спілкування з хакерами показує, що багато хто з них мають проблеми в
створення повноцінних міжособистісних відносин, і їх деструктивну діяльність
частково можна пояснити потребою в їх компенсації. p>
Важливий
мотив дій хакера - матеріальна вигода. Особливо часто здійснюються спроби
крадіжки номерів кредитних карт, або конфіденційної інформації з подальшим
шантажем з метою здирництва. Сюди ж можна віднести випадки злому фінансових
систем або шахрайства. p>
Поширеним
мотивом дій хакерів є міжнаціональні конфлікти. В якості
прикладів можна навести хакерські "війни" між Вірменією та
Азербайджаном, атаки російських сайтів представниками ісламських країн,
масовані нападу китайських хакерів на сервери Японії, Тайваню, США. p>
Реальна
кваліфікація більшості хакерів нижче, ніж у професійних програмістів.
Іноді спроби зловживань вчиняються особами зі злочинними нахилами,
зовсім не володіють спеціальними знаннями. Але навіть якщо вас дуже вразили
навички комп'ютерного злочинця, не рекомендуємо приймати його на роботу через
наявності деструктивних нахилів. Злом і побудова інформаційних систем --
далеко не одне і теж, а "бомба" усередині організації набагато небезпечніше,
ніж зовні. Це твердження підтверджене особистим знайомством з домашніми
комп'ютерами злочинців, на яких виявлялася конфіденційна інформація
якому розташувались їхніх компаній. p>
Практика
показує, що в більшості випадків хакери, що представляють реальну
небезпека, працюють на замовлення і під контролем організованих кримінальних
структур. p>
Час
від часу з'являються повідомлення про те, як в якості замовників комп'ютерних
злочинів виступають спецслужби різних країн. p>
Недобросовісні
партнери та конкуренти. p>
В
Протягом останніх років поряд з посібниками для хакерів на полицях магазинів у
достатку з'явилися книги з промислового шпигунства, і деякі з них вже
є рекордсменами продажів. У списках послуг охоронно-розшукових структур
присутній отримання інформації і спостереження за конкурентами і партнерами,
подібні функції виконують і власні служби безпеки багатьох компаній.
Ще одним інструментом видобутку відомостей є несумлінні службовці
державних структур. p>
В
як джерело інформації несумлінні партнери та конкуренти використовують
Web-сайти, ЗМІ, матеріали публічних виступів. Для збору інформації в
глобальної мережі все частіше залучаються хакери. p>
Але
найнебезпечнішим для компанії джерелом витоку конфіденційної інформації
є її власні співробітники. p>
Конкуренти
можуть отримувати інформацію в ході бесіди після виступів і на спеціально
організованих переговорах. При відповідній підготовці недоброзичливці
можуть ефективно використовувати сучасні психотехнології, експлуатувати
бажання суб'єкта показати себе впливовим, обізнаним, компетентним,
використовувати шкідливі звички та приховані потреби. p>
В
першу чергу об'єктом впливу стають менеджери та
висококваліфіковані фахівці, так як саме вони обізнані в
найбільшою мірою. p>
Особливо
корисними для несумлінних конкурентів можуть бути звільнені
співробітники, а також співробітники, які отримали запрошення, в тому числі уявне, на
роботу. Знаходяться в штаті працівники також не завжди слідують інтересам
організації. p>
Не
менш небезпечним для компанії може виявитися вплив свідомо помилкової і
модифікованої інформації, що передається по "довірених"
каналах, розповсюджується через ЗМІ, Web-сайти, публічні виступи. p>
2.2.2
Внутрішні джерела загроз. P>
Менеджери. p>
Як
особи, які володіють великими організаційними повноваженнями, найбільшу
потенційну загрозу для інформаційних ресурсів компанії представляють
менеджери. Наприклад, до втрат можуть привести розпорядження надати
користувачеві невиправдано високі права, реалізувати в інформаційній системі
небезпечний, але зручний функціонал. Іноді інформаційні загрози виникають
внаслідок незадовільного виконання керівниками контролюючих
функцій. Відомі випадки, коли продавалося обладнання, з дисків якого не
видалялася конфіденційна інформація компанії та партнерів. p>
Під
уникнути виникнення збитків доцільно зобов'язати менеджерів погоджувати
вирішення питань, пов'язаних з інформаційними ризиками, з керівником служби
інформаційної безпеки. p>
Співробітники. p>
Значною
загрозою інформаційної безпеки компанії є низька кваліфікація
персоналу, недостатня для коректної роботи з корпоративної інформаційної
системою. Особливо небезпечними є некомпетентні співробітники, що видають себе за
грамотних користувачів, або які вважають себе такими. p>
Під
багатьох компаніях відсутній контроль над встановленням на робочих станціях
програмного забезпечення. Не розуміючи можливих наслідків, співробітник може
Встановіть на своєму робочому місці зацікавила його програму або
"патч", істотно знизивши ефективність зусиль по забезпеченню
корпоративної мережевої безпеки. Подібна загроза виникає і в разі
підключення знаходиться в локальній мережі робочої станції до Інтернет через модем
або мобільний телефон, оснащений функцією цифрового зв'язку. p>
Звичайно,
не буде зайвим ще раз згадати про загрози, що виходять від приклеєних до
моніторів стікерів з паролями і практики обміну паролями між працівниками,
виконують схожі функції. p>
В
ряді випадків проблеми безпеки пов'язані з тим, що легальні користувачі
використовують необхідну для роботи інформацію не за призначенням. Причиною може
бути злий умисел, недбалість, нерозуміння наслідків поширення доступних
їм відомостей. Очевидно, що дана проблема нерозв'язна тільки технологічними
заходами. p>
Найбільшу
небезпеку представляють співробітники, ображені на організацію і її керівників.
Тому випадки виникнення явних і прихованих конфліктів, невідповідності
ситуації, що склалася очікуванням співробітників, можуть розглядатися як
потенційні передумови порушень інформаційної безпеки. Особливої
уваги вимагають пов'язані з такими ситуаціями випадки звільнення. Як
зазначалося вище, працівник, який звільнився з компанії з почуттям образи, легко
може стати джерелом інформації для недоброзичливців. p>
IT-фахівці,
адміністратори та особи, які виконують критичні операції. p>
Хочеться
звернути увагу на відбір кандидатів, яким передбачається довірити
виконання операцій, що вимагають більших прав в інформаційній системі. Чи не
менше значення, ніж професійні навички, мають лояльність кандидата і
здатність зберігати відданість інтересам компанії навіть у складних
ситуаціях. З цієї причини особи, на вершині системи цінностей яких знаходиться
матеріальну винагороду, швидше за все, отримають відмову. З особливою
обережністю слід ставитися до кандидатів, занадто часто змінює роботу,
який надав недостовірні відомості, притягуються до адміністративної та
кримінальної відповідальності, що мали психічні або невротичні розлади. p>
Бажано,
щоб окрім співбесіди зі своїм керівником, кандидат зустрівся з
професійним психологом. Часто психолог проводить тестування, яке
виявляє особливості характеру і потенційні можливості кандидата. Також
важливо провести бесіду, в ході якої будуть виявлені система цінностей і
особливості поведінки. Це дозволить переконатися в тому, що кандидат гладко "впишеться"
в корпоративну культуру, зрозуміти, яка система мотивації буде для нього
найбільш придатною. p>
Особливе
увагу слід приділити тому, щоб робота співробудніка в організації
відповідала його очікуванням. Зокрема керівнику слід утриматися від
необгрунтованих обіцянок. Психологічний контракт важливий так само, як формальний.
p>
Традиційною
проблемою, пов'язаною з IT-співробітниками, є контроль і оцінка результатів
діяльності. Небагато керівники здатні сприймати "пташиний"
мова і вникати в суть їх роботи, у тому числі в питання захисту даних. І
небагато володіють глибокими знаннями в IT, компетентні в питаннях управління. p>
Наприклад,
в IТ-підрозділах часто відсутні посадові інструкції і не проводяться
атестації. Іноді IТ-фахівців розглядають як обслуговуючий персонал,
намагаються навантажити додатковою роботою, не визначеною посадовий
інструкцією. Це погіршує виконання прямих обов'язків, викликає
невдоволення, негативно позначається на лояльності, призводить до високої
плинності кадрів. Напевно багатьом відомі випадки, коли звільняється
адміністратор блокує паролі сервера. p>
2.3 Наслідки впливу загроз і види загрозливих
впливів.
p>
Наслідком впливу загроз є порушення
безпеки системи. Розглянемо ці наслідки загроз, а також перелік і
сутність різних видів загрозливих впливів, які є причинами
дискредитації системи захисту інформаційно-обчислювальної мережі або системи.
(Загрозливі дії, що є наслідком випадкових (природних) подій
позначені "*".) p>
2.3.1 (Несанкціоноване) Розтин. p>
Обставина або подія, за допомогою якого
суб'єкт отримав доступ до охоронюваним даними (наприклад, конфіденційним), не
що має насправді прав доступу до них. Наступні загрозливі дії можуть
стати причиною несанкціонованого розкриття: p>
1.1. "Викриття": Загрозлива
дію, за допомогою якого охороняються дані стали доступні безпосередньо
суб'єкту, який не має на це право. Воно включає: p>
1.1.1. "Навмисне викриття":
Умисний допуск до охоронюваним даними суб'єкта, який не має на це право. P>
1.1.2. "Перегляд залишку даних":
Дослідження наявних даних, що залишилися в системі, з метою отримання
несанкціонованого знання охоронюваних даних. p>
1.1.3 .* "Помилка людини": Дія або
бездіяльність людини, що ненавмисно спричинило несанкціоноване
знання суб'єктом охоронюваних даних. p>
1.1.4 .* "Апаратно-програмна помилка":
Помилка системи, яка спричинила за собою несанкціоноване знання суб'єктом
охоронюваних даних. p>
1.2. "Перехоплення": Загрозлива дію,
за допомогою якого суб'єкт має безпосередній несанкціонований доступ
до охоронюваним даними, що циркулюють між повноважними джерелами та
одержувачами. Воно включає: p>
1.2.1. "Крадіжка": Отримання доступу до
охоронюваним даними шляхом крадіжки різних накопичувачів інформації незалежно
від їх фізичної сутності (наприклад, касети з магнітною стрічкою або магнітні
диски та ін.) p>
1.2.2. "Прослуховування (пасивне)":
Виявлення і запис даних, що циркулюють між двома терміналами в системі
зв'язку. p>
1.2.3. "Аналіз випромінювань":
Безпосереднє отримання змісту переданих в системі зв'язку повідомлень
шляхом виявлення та обробки сигналу, що випромінюється системою і
"переносить" дані, але не призначеного для передачі повідомлень. p>
1.3. "Умовивід": Загрозлива
дію, за допомогою якого суб'єкт отримує несанкціонований, але не
прямій, доступ до охоронюваним даними (але не обов'язково до даних, що містяться в
переданих повідомленнях) шляхом осмислення характеристик або "побічні
продуктів "систем зв'язку. Воно включає: p>
1.3.1. "Аналіз трафіку": Отримання
знання охоронюваних даних шляхом спостереження за зміною характеристик системи
зв'язку, яка транспортує дані. p>
1.3.2. "Аналіз сигналів": Не пряме
отримання знання охоронюваних даних, які передаються в системі зв'язку, шляхом
виявлення та аналізу сигналу, що випромінюється системою і "переносить"
дані, але не призначеного для передачі повідомлень. p>
1.4. "Вторгнення": Загрозлива дію,
за допомогою якого суб'єкт забезпечує несанкціонований доступ до
охоронюваним даними шляхом обману засобів забезпечення безпеки системи. Воно
включає: p>
1.4.1. "Посягання": Отримання
несанкціонованого фізичного доступу до охоронюваним даними шляхом обману системних
засобів захисту інформації. p>
1.4.2. "Проникнення": Отримання
несанкціонованого логічного доступу до охоронюваним даними шляхом обману
системних засобів захисту інформації. p>
1.4.3. "Реконструкція": Видобуток
охоронюваних даних шляхом декомпозиції та аналізу конструкції системного
компонента. p>
1.4.4. "Криптоаналіз": Перетворення
зашифрованих даних у відкритий текст (дешифрування) без апріорних знань про
параметри і алгоритм процедури зашифрування. p>
2.3.2 Обман. p>
Обставина або подія, яка може спричинити
за собою отримання повноважним суб'єктом перекручених даних, але сприймаються
їм як вірні. Наступні загрозливі дії можуть спричинити за собою обман: p>
2.1. "Маскарад": Загрозлива дію,
за допомогою якого суб'єкт отримує несанкціонований доступ до системи або
здійснює зловмисне дію, виступаючи в ролі повноважного суб'єкта. p>
2.1.1. "Містифікація": Спроба суб'єкта
здійснити несанкціонований доступ до системи під виглядом повноважного
користувача. p>
2.1.2. "Пристрій для зловмисних дій":
З точки зору "маскараду", будь-яке апаратно-програмний пристрій
або програмне забезпечення (наприклад, "троянський кінь"), яке
нібито призначене для підтримки ефективного та сталого функціонування
системи, але насправді забезпечує несанкціонований доступ до системних
ресурсів або обманює користувача шляхом виконання іншого не коректного
акта. p>
2.2. "Фальсифікація": Загрозлива
дію, за допомогою якого спотворені дані вводять в оману
повноважного суб'єкта. p>
2.2.1. "Підміна": Внесення змін
або заміна дійсних даних на спотворені, які служать для обману
повноважного суб'єкта. p>
2.2.2. "Вставка": Додавання спотворених
даних, які служать для обману повноважного суб'єкта. p>
2.3. "Відмова": Загрозлива дію,
за допомогою якого суб'єкт обманює іншого шляхом помилкового заперечення
відповідальності за будь-яке власне дію. p>
2.3.1. "Помилковий відмову джерела":
Дія, за допомогою якого автор ( "власник") даних заперечує
свою відповідальність за авторство (генерування) цих даних. p>
2.3.2. "Помилковий відмову получаеля":
Дія, за допомогою якого одержувач даних відмовляється від отримання цих
даних та володіння ними. p>
2.3.3 Руйнування. p>
Обставина або подія, що перешкоджає
або перериває коректне функціонування системних служб і реалізацію
необхідних дій. Наступні загрозливі дії можуть викликати руйнування: p>
3.1. "Шкідництво": Загрозлива
дія, яка перешкоджає або перериває функціонування системи шляхом
виведення з ладу її компонентів. p>
3.1.1. "Пристрій для зловмисних
дій ": З точки зору" шкідництва ", будь-яке
апаратно-програмний пристрій або програмне забезпечення (наприклад,
"логічна бомба"), навмисне вбудовується в систему для порушення
її працездатності або знищення її ресурсів. p>
3.1.2. "Фізичне руйнування":
Умисне руйнування системного компонента з метою перешкоджання нормальній
функціонування системи або його переривання. p>
3.1.3 .* "Помилка людини": Дія або
бездіяльність людини, що ненавмисно спричинило за собою вихід з ладу
компоненту системи. p>
3.1.3 .* "Апаратно-програмна помилка":
Помилка, яка або спричинила за собою пошкодження системного компонента, або
призвела до припинення нормального (або повного припинення) функціонування
системи. p>
3.1.4 .* "Природний катаклізм" Будь-яке
природне явище (наприклад, пожежа, повінь, землетрус, блискавка або
смерч), що спричинило за собою вихід з ладу компоненту системи. p>
3.2. "Псування": Загрозлива дію,
яка вносить небажану зміну у функціонування системи шляхом
шкідницького зміни алгоритмів функціонування або даних ситеми. p>
3.2.1. "Підробка": З точки зору
"псування", навмисне спотворення програмного забезпечення, даних або
керуючої інформації системи з метою переривання або перешкоджання
коректного виконання системних функцій. p>
3.2.2. "Пристрій для зловмисних
дій ": З точки зору" псування ", будь-яке апаратно-програмне
пристрій або програмне забезпечення (наприклад, "комп'ютерний
вірус "), навмисно вбудоване в систему з метою зміни алгоритмів і
процедур функціонування системи або її даних. p>
3.2.3 .* "Помилка людини": Дія або
бездіяльність людини, що ненавмисно спричинило за собою спотворення
алгоритмів і процедур функціонування системи або її даних. p>
3.2.4 .* "Апаратно-програмна помилка":
Помилка, яка спричинила за собою зміну алгоритмів і процедур
функціонування системи або її даних. p>
3.2.5 .* "Природний катаклізм" Будь-яке
природне явище (наприклад, могутній електромагнітний імпульс, викликаний
блискавкою), що спричинило за собою спотворення алгоритмів і процедур функціонування
системи або її даних. p>
2.3.4 Захоплення (узурпація). p>
Обставина або подія, в результаті якого
управління службами системи та її функціонування перейшло до незаконного
суб'єкту. Наступні загрозливі дії можуть спричинити за собою
"захоплення": p>
4.1. "Незаконне привласнення":
Загрозлива дію, за допомогою якого суб'єкт присвоює собі функції
несанкціонованого логічного чи фізичного управління системним ресурсом. p>
4.1.1. "Крадіжка служби":
Несанкціоноване використання служби суб'єктом. P>
4.1.2. "Крадіжка функціональних
можливостей ": Незаконне придбання діючих апаратно-програмних
засобів і програмного забезпечення компонентів мережі. p>
4.1.3. "Крадіжка даних": Незаконне
придбання і використання даних. p>
4.2. "Зловживання": Загрозлива
дію, що спричинило за собою виконання системним компонентом будь-яких
функцій або процедур обслуговування, що підривають безпеку системи. p>
4.2.1. "Підробка": З точки зору
"зловживання", навмисне спотворення програмного забезпечення,
даних або керуючої інформації системи з метою примусу системи виконувати
несанкціоновані функції або процедури обслуговування. p>
4.2.2. "Пристрій для зловмисних
дій ": З точки зору" зловживання ", будь-яке
апаратно-програмний пристрій або програмне забезпечення, навмисно
вбудоване в систему з метою виконання або управління несанкціонованими
функцією або процедурою обслуговування. p>
4.2.3. "Порушення дозволеності":
Дія суб'єкта, що забезпечує для нього перевищення дозволених
системних повноважень шляхом виконання несанкціонованої функції. p>
Аналіз представлених загроз і наслідків їх
впливу показує, що кінцевими їх цілями є: інформація
користувачів, що циркулює в інформаційно-обчислювальної мережі або системі --
читання та спотворення (руйнування) інформації та/або порушення процедур
інформаційного обміну; працездатність самої інформаційно-обчислювальної
мережі або системи - читання і спотворення (руйнування) керуючої інформації та/або
порушення процедур управління мережевими (системними) частини та всією мережею
(системою). p>
2.4
Класифікація загроз за ступенем тяжкості наслідків та можливих збитків. P>
За
ступеня тяжкості наслідків погрози бувають: загрози з високою, значною,
середньою і низькою вагою наслідків. p>
Висока
тяжкість означає, що ці загрози можуть призвести до різкого погіршення всіх
фінансово-економічних показників діяльності суб'єкта підприємництва,
що викликає негайне припинення його діяльності або завдають такої
непоправної шкоди, який приведе до цих же наслідків пізніше. У цьому
випадку відбувається ліквідація фірми. p>
Значна
ступінь тяжкості наслідків реалізації загроз припускає можливість нанесення
фірмі таких фінансових втрат, які зроблять негативний вплив на
основні фінансово-економічні показники фірми, на її діяльність в майбутньому
і долаються протягом тривалих термінів часу. p>
Середня
ступінь тяжкості означає, що подолання наслідків здійснення цих загроз
потребує витрат (завдає втрати), порівнянні з поточними витратами фірми і не
вимагає значного часу. p>
Наслідки
реалізації погроз з низьким ступенем наслідків не надають будь-якого
істотного впливу ні на стратегічні позиції фірми, ні навіть на її
поточну діяльність. p>
Прояви
можливих збитків можуть бути різні: p>
1)
моральної і матеріальної шкоди діловій репутації організації; p>
2)
моральний, фізичний чи матеріальний збиток, пов'язаний з розголошенням
персональних даних окремих осіб; p>
3)
матеріал (фінансовий) збиток від розголошення захищається (конфіденційною)
інформації; p>
4)
матеріал (фінансовий) збиток від необхідності відновлення порушених
захищаються інформаційних ресурсів; p>
5)
матеріальні збитки (втрати) від неможливості виконання взятих на себе
зобов'язань перед третьою стороною; p>
6)
моральний і матеріальний збиток від дезорганізації діяльності організації; p>
7)
матеріальний і моральний збитки від порушення міжнародних відносин. p>
Збиток
може бути заподіяна будь-яким суб'єктом і в цьому випадку мається на обличчя
правопорушення, а також бути наслідком незалежних від суб'єкта проявів
(наприклад, стихійних випадків чи інших дій, таких як прояви
техногенних властивостей цивілізації). У першому випадку в наявності вина суб'єкта, яка
визначає заподіяну шкоду як склад злочину, вчинене по злому
умислу (умисне, тобто діяння вчинене з прямим або непрямим умислом)
або з необережності (діяння, вчинене з легковажності, недбалості,
результаті невинного заподіяння шкоди) і заподіяний збиток повинен
кваліфікуватися як склад злочину, передбачений кримінальним правом. p>
Під
другому випадку збиток носить імовірнісний характер і має бути підтверджено, як
мінімум з тим ризиком, який обумовлюється цивільним, адміністративним або
арбітражним правом, як предмет розгляду. p>
В
теорії права під збитком розуміється невигідні для власника майнові
наслідки, які виникли внаслідок правопорушення. Збиток виражається в
зменшенні майна, або в недоотримання доходу, який був би отриманий при
відсутності правопорушення (упущена вигода). p>
При
розгляді в якості суб'єкта, винної у збитках будь-яку особу,
категорія "збиток" справедлива тільки в тому випадку, коли можна
довести, що він заподіяно, тобто діяння особи необхідно кваліфікувати в
термінах правових актів, як склад злочину. Тому, при класифікації
загроз безпеки інформації в цьому випадку доцільно враховувати вимоги
чинного кримінального права, що визначає склад злочину. p>
3
Висновок. P>
Зовнішні
особи мають менше можливостей доступу до ресурсів корпоративної інформаційної
системи, ніж внутрішні користувачі, і являють собою меншу загрозу. У
той же час, на них дуже складно або майже неможливо впливати, тому для
ефективного захисту від зовнішніх загроз необхідно в першу чергу використовувати
внутрішні технічні і організаційні заходи. p>
Ступінь
надійності засобів інформаційної безпеки повинна відповідати
потенційним втрат компанії. Критичність інформації бажано оцінювати
також з точки зору ціни цієї інформації на ринку. p>
Реалізація
зловживання зовнішнім обличчям повинна вимагати від нього великих витрат, ніж
потенційна вигода злочинця. p>
Бажано,
щоб ваша інформаційна система компанії була захищена не гірше, ніж системи
конкурентів. p>
Доступ
до серверів, що зберігають інформацію, повинен бути обмежений не тільки технологічно
і організаційно, а й фізично. Вхід до приміщення обмеженого доступу повинен
контролюватися найбільш жорстко. p>
Інформація
в компанії має бути розділена на кілька рівнів доступу. Співробітник повинен
отримувати доступ тільки до тих відомостей, які необхідні йому для роботи.
Принцип мінімальних повноважень повинен діяти як для електронних, так і
для інших даних. Необхідно затвердити список найбільш критичної інформації,
віднесена до розряду конфіденціал?? ної, співробітники повинні бути ознайомлені з ним
під розпис. Доступ до конфіденційної інформації можливий тільки після
занесення співробітника у відповідний список, що затверджується керівництвом. p>
При
ухваленні рішення про надання доступу до інформації доцільно враховувати
психологічні особливості і компетентність співробітника. p>
Зміни
в поведінці співробітника, що свідчать про невдоволення і розчарування в
зв'язку з подіями, що відбуваються в компанії, можуть розглядатися як причина
обмеження його прав доступу до інформації. Особливої уваги вимагає процес
звільнення співробітника. Розумним рішенням буде обмежити доступ співробітника до
інформації на час проходження випробувального терміну. p>
Робота
та оцінка діяльності персоналу повинна проводитися відповідно до
вимогами положень про підрозділи, посадових інструкцій і регламентів.
Критичні дії з інформацією мають бути максимально визначені, співробітник
не повинен у таких випадках приймати рішень. Він повинен точно знати, до кого
зобов'язаний звернутися у разі виникнення спеціально визначеній або не описаної
інструкцією ситуації. p>
Бажано,
щоб виконання вимог інформаційної безпеки розглядалося в
Як один із критеріїв оцінки роботи, і порушення цих вимог має
приводити до покарання, визначеному внутрішніми нормативними документами.
Поряд з рядовими співробітниками відповідальність за дотримання правил
інформаційної безпеки повинні нести менеджери. p>
Виконання
внутрішніх регулюючих документів в частині, що стосується інформаційної
безпеки, має контролюватися службою інформаційної безпеки. При
це співробітникам необхідно пояснити, що контролюються не люди, а
виробничі процеси, і що такий контроль відповідає їхнім особистим
інтересам, тому що захищає від тиску на них та близьких їм людей з боку кримінальних
структур. p>
Керівник
служби інформаційної безпеки не повинна підкорятися IT-директору зважаючи
відмінності розв'язуваних ними завдань. p>
Бажано,
щоб поряд з підготовкою із захисту даних, керівник служби інформаційної
безпеки пройшов спеціальну підготовку в галузі практичної психології. p>
Корпоративна
культура повинна підтримувати лояльність працівників. Бажано, щоб система
мотивації співробітника відповідала його психологічних особливостей. p>
Якщо
в компанії прийнятий кодекс поведінки, доцільно включити до нього пункти,
визначають очікування компанії щодо звернення співробітника з доступною
йому службовою інформацією. p>
Співробітники
повинні бути проінструктовані про те, як себе вести з партнерами, клієнтами,
раніше невідомими особами, що намагаються отримати після виступів, під час
переговорів, за інших зверненнях, відомості, що становлять комерційну таємницю.
Особливо обережно варто спілкуватися з прямими та непрямими конкурентами,
компаніями, що проводять на ринку агресивну політику. p>
При
передачі пар