Содержание
Основы информационной 6езопасности
Информационные технологии и право
Уровни защиты информации
Признаки компьютерных преступлений и меры защиты от них
Технологии компьютерных преступлений и злоупотреблений
Методы совершения компьютерных преступлений
Признаки уязвимых мест в информационной безопасности
Меры защиты информационной безопасности
Понятие пароля
1. Основы информационной 6езопасности
В связи с массовой информатизацией современного общества все большую актуальность приобретает знание нравственно-этических норм и правовых основ использования средств новых информационных технологий в повседневной практической деятельности. Наглядными примерами, иллюстрирующими необходимость защиты информации и обеспечения информационной безопасности, являются участившиеся сообщения о компьютерных "взломах" банков, росте компьютерного пиратства, распространении компьютерных вирусов.
Число компьютерных преступлений растет, также увеличиваются масштабы компьютерных злоупотреблений. Умышленные компьютерные преступления составляют заметную часть преступлений. Но злоупотреблений компьютерами и ошибок еще больше.
Основной причиной потерь, связанных с компьютерами, является недостаточная образованность в области безопасности.
Под информационной безопасностью понимается защищенность информации от случайных или преднамеренных воздействий естественного или искусственного характера, чреватых нанесением ущерба владельцам или пользователям информации.
Целью информационной безопасности является обезопасить ценности системы, защитить и гарантировать точность и целостность информации, минимизировать разрушения, которые могут иметь место, если информация будет модифицирована или разрушена.
На практике важнейшими являются три аспекта информационной безопасности:
доступность - возможность за разумное время получить требуемую информационную услугу;
целостность - ее защищенность от разрушения и несанкционированного изменения;
конфиденциальность — защита от несанкционированного прочтения.
Кроме того, информационные системы должны использоваться в соответствии с существующим законодательством. Данное положение, разумеется, применимо к любому виду деятельности, однако информационные технологии специфичны в том отношении, чет развиваются исключительно быстрыми темпами. Почти всегда законодательство отстает от потребностей практики, и это создает в обществе определенную напряженность. Для информационных технологий подобное отставание законов, нормативных; актов, национальных и отраслевых стандартов оказывается особенно болезненным.
Формирование режима информационной безопасности — проблема комплексная. Меры по ее решению можно разделить на четыре уровня:
1. Законодательный (законы, нормативные акты, стандарты и т.п.).
2. Административный (действия общего характера, предпринимаемые руководством организации),
3. Процедурный (конкретные меры безопасности, имеющие дело с людьми),
4. Программно-технический (конкретные технические меры).
2. Информационные технологии и право
Важнейшим аспектом решения проблемы информационной безопасности являетcя правовой.
Соответствующее законодательство довольно быстра развивается, в нем стараются учитывать развитие компьютерной техники и телекоммуникаций, но, естественно, не успевают в силу разумного консерватизма, предполагающего создание новых правовых механизмов при условии накопления некой "критической массы" правоотношений, требующих урегулирования. В России аналогичное законодательство чаще всего называется "законодательством в сфере информатизации" и охватывает, по разным оценкам, от 70 до 500 нормативно-правовых актов.
Конституцией РФ непосредственно не регулируются отношения в области производства и применения новых информационных технологий, но создаются предпосылки для такого регулирования, закрепляя права граждан (свободно искать, получать, передавать, производить и распространять информацию любым законным способом; на охрану личной тайны и др.) и обязанности государства (по обеспечению возможности ознакомления гражданина с документами и материалами, непосредственно затрагивающими его права и свободы).
Гражданский кодекс РФ (ПС) в большей степени определяет систему правоотношений в рассматриваемой области. Часть первая ГК устанавливает правовые режимы информации — служебная и коммерческая тайна, а также личная и семейная тайна.
На уровне действующих законов России в области компьютерного права можно считать в достаточной степени урегулированными вопросы охраны исключительных прав и частично защиты информации (в рамках государственной тайны). Не получили достойного отражения в законодательстве две группы правоотношений: право граждан на доступ информации, защита информации (в том числе коммерческая и служебная тайны, защита персональных данных). Эти вопросы должны стать предметом разрабатываемых законопроектов.
Значительный пласт "компьютерного права" составляют Указы Президента РФ. которые касаются, прежде всего, вопросов формирования государственной политики в сфере информатизации, создания системы правовой информации и информационно-правового сотрудничества с государствами СНГ, обеспечения информацией органов государственной власти, мер по защите информации (в частности, шифрования).
3. Уровни защиты информации.
Различают 4 уровня защиты информации:
предотвращение — доступ к информации и технологии только для персонала, который имеет допуск от собственника информации;
обнаружение — обеспечивается раннее обнаружение преступлений и злоупотреблений, даже если механизмы защиты были обойдены;
ограничение — уменьшается размер потерь, если преступление все-таки произошло, несмотря на меры по его предотвращению и обнаружению;
восстановление — обеспечивается эффективное восстановление информации при наличии документированных и проверенных планов по восстановлению.
Вчера контроль защиты информации был заботой технических администраторов. Сегодня контроль информации стал обязанностью каждого пользователя. Это требует от пользователя новых знаний и навыков. Так, например, хороший контроль над информацией требует понимания возможностей совершения компьютерных преступлений и злоупотреблений, чтобы можно было в дальнейшем предпринять контрмеры против них.
Когда компьютеры впервые появились, они были доступны только небольшому числу людей, которые умели их использовать. Обычно они помещались в специальных помещениях, удаленных территориально от помещений, где работали служащие. Сегодня все изменилось. Компьютерные терминалы и настольные компьютеры используются везде. Благодаря современным программам компьютерное оборудование стало дружественным к пользователю, поэтому много людей могут быстро и легко научиться тому, как его использовать. Этот процесс привел к тому, что произошла "демократизация преступления". Чем больше людей получало доступ к информационной технологии и компьютерному оборудованию, тем больше возникало возможностей для совершения компьютерных преступлений.
Люди совершают компьютерные преступления по разным причинам: из-за лично или финансовой выгоды, развлечений, мести, случайности, вандализма.
Но значительно больший ущерб (около 60% всех потерь) наносят не умышленные преступления, а ошибки людей. Предотвращение компьютерных потерь, как умышленных преступлений, так и из-за неумышленных ошибок требует знаний в области безопасности.
4. Признаки компьютерных преступлений и меры защиты от них
Для уменьшения ущерби от компьютерного преступления очень важно своевременно
его обнаружить. Для того, чтобы обнаружить компьютерное преступление или уязвимые места в системе информационной безопасности следует обращать внимание на:
несанкционированные попытки доступа к файлам данных;
кражи частей компьютером;
кражи программ;
физическое разрушение оборудование;
уничтожение данных или программ.
В то время как признаки могут помочь выявить преступление или злоупотребление, меры защиты могут помочь предотвратить его.
Меры защиты - это меры, вводимые для обеспечения безопасности информации; административные руководящие документы (приказы, положения, инструкции), аппаратные устройства или дополнительные программы, основной целью которых является предотвращение преступления и злоупотреблений, не позволяющее им произойти. Меры защиты могут также выполнять функцию ограничения, уменьшая размер ущерба от преступления.
Некоторые технологии по защите информации могут быть встроены в сам компьютер, другие могут быть встроены в программы, некоторые же выполняются людьми и являются реализацией указаний руководства, содержащихся в соответствующих руководящих документах.
Принятие решения о выборе уровня сложности технологий для защиты системы требует установления критичности информации и последующего определения адекватного уровня безопасности. Под критическими данными понимаются данные, которые требуют защиты из-за вероятности нанесения (риска) ущерба и его величины в том случае, если произойдет случайное или умышленное раскрытие, изменение или разрушение данных. Этот термин включает в себя данные, чье неправильное использование или раскрытие может отрицательно отразиться на способности организации решать свои задачи, на персональных данных и других данных, защита которых требуется указами Президента РФ, законами РФ и другими подзаконными документами.
5. Технологии компьютерных преступлений и злоупотреблений
Чтобы предупреждать и своевременно раскрывать компьютерные преступления, необходимо представлять способы и средства их совершения. Анализ зарубежных и отечественных отчетов о выявленных компьютерных преступлениях позволяет описать технологии их совершения. Лишь немногие включают разрушение компьютеров данных. Только в 3% мошенничеств и 8% злоупотреблений происходило специальное разрушение оборудования, уничтожение программ или данных. В большей часта случаев мошенничеств и злоупотреблений использовалась информация — ею манипулировали, ее создавали, ее использовали.
Освоение технологии, использовавшиеся при совершении компьютерных преступлений:
Мошенничества
Ввод неавторизованной информации (Авторизация – предоставление определенных полномочий лицу (группе лиц) на выполнение некоторых действий в системе обработки данных).
Манипуляция разрешенной для ввода информацией.
Манипуляции или неправильное использование файлов с информацией.
Создание неавторизованных файлов с информацией.
Обход внутренних мер защиты.
Злоупотребления
Кража компьютерного времени, программ, информации и оборудования.
Ввод неавторизованной информации.
Создание неавторизованных файлов с информацией.
Разработка компьютерных программ для неслужебного использования.
Манипулирование или неправильное использование возможностей по проведению работ на компьютерах.
6. Методы совершения компьютерных преступлений
Основными методами совершения преступления являются:
1. Надувательство с данными является самым распространенным методом при совершении компьютерных преступлений, так как он не требует технических знаний и относительно безопасен. Информация меняется в процессе ее ввода в компьютер или во время вывода. Например, при вводе документы могут быть заменены фальшивыми, вместо рабочих дискет подсунуты чужие, и данные могут быть сфальсифицированы.
2. Сканирование является распространенным методом получения информации, который может привести к преступлению. Служащие, читающие файлы других, могут обнаружить там персональную информацию о своих коллегах. Информация, позволяющая получить доступ к компьютерным файлам или изменить их, может быть найдена после просмотра мусорных корзин. Дискеты, оставленные на столе, могут быть прочитаны, скопированы или украдены. Существуют сканирующие программы, которые могут, просматривая лишь остаточную информацию, оставшуюся на компьютере или на носителе информации после выполнения сотрудником задания и удаления файлов, получать эту информацию в более полном виде.
3. Метод "троянский конь" предполагает, что пользователь не заметил изменения компьютерной программы таким образом, что та включает в себя дополнительные функции. Программа, выполняющая полезные функции, пишется таким образом, что содержит дополнительные скрытые функции, которые будут использовать особенности механизмов защиты системы (возможности пользователя, запустившего программу, по доступу к файлам).
4. Метод "люка" основан на использовании скрытого программного или аппаратного механизма, позволяющего обойти методы защиты в системе. Этот механизм активируется некоторым неочевидным образом. Иногда программа пишется таким образом, что специфическое событие, например, число выполнения определенных процедур, обработанных в определенный день, вызовет запуск неавторизованного механизма.
5. Технология "салями" основана на постепенном изменении компьютерной программы небольшими частями, настолько маленькими, что они незаметны. Например, платежи могут округляться до нескольких центов, и разница между реальной и округленной суммой поступать на специально открытый счет злоумышленника.
6. Технология суперотключения названа по имени программы, использовавшейся в ряде компьютерных центров, обходившей системные меры защиты и использовавшейся при аварийных ситуациях. Владение этим "мастер-ключом" дает возможность в любое время получить доступ к компьютеру и информации, находящейся в нем.
7. Признаки уязвимых мест в информационной безопасности
Компьютерное преступление можно предотвратить, а ущерб от возможного нарушения системы информационной безопасности можно сделать минимальным, если внимательно анализировать систему информационной безопасности на уязвимость и предпринимать меры для укрепления обнаруженных уязвимых мест.
Различают следующие признаки уязвимых мест в информационной безопасности:
1. Не разработаны положения о защите информации или они не соблюдаются. Не назначен ответственный за информационную безопасность.
2. Пароли пишутся на компьютерных терминалах, помещаются в общедоступные места, ими делятся с другими людьми, или они появляются на компьютерном экране при их вводе.
3. Удаленные терминалы и микрокомпьютеры оставляются без присмотра в рабочие и нерабочие часы. Данные отображаются на компьютерных экранах, оставленных без присмотра.
4. Не существует ограничений на доступ к информации, или на характер ее использования. Все пользователи имеют доступ ко всей информации и могут использовать все функции системы.
5. Не ведется системных журналов, и не хранится информация о том, кто и для чего использует компьютер.
6. Изменения в программы могут вноситься без их предварительного утверждения руководством.
7. Отсутствует документация или она не позволяет понимать получаемые отчеты и формулы, по которым получаются результаты, модифицировать программы, готовить данные для ввода, исправлять ошибки, производить оценку мер защиты и понимать сами данные — их источники, формат хранения, взаимосвязи между ними.
8. Делаются многочисленные попытки войти в систему с неправильными паролями.
9. Вводимые данные не проверяются на корректность и точность, или при их проверке много данных отвергается из-за ошибок в них, требуется сделать много исправлений в данных, не делается записей в журналах об отвергнутых транзакциях.
10. Имеют место выходы из строя системы, приносящие большие убытки.
11. Не производится анализ информации, обрабатываемой в компьютере, с целью определения необходимого для ее уровня безопасности.
12.Мало внимания уделяется информационной безопасности, считается, что на самом деле она не нужна.
8. Меры защиты информационной безопасности
С целью защиты информации каждый должен знать и осуществлять следующие меры:
1. Контроль доступа как к информации в компьютере, так и к прикладным программам. Надо иметь гарантии того, что только авторизованные пользователи имеют доступ к информации и приложениям.
Необходимо требовать, чтобы пользователи выполняли процедуры входа в компьютер, и использовать это как средство для идентификации в начале работы. Чтобы эффективно контролировать компьютер, может оказаться наиболее выгодным использовать его как однопользовательскую систему.
Нужно использовать уникальные пароли для каждого пользователя, которые не являются комбинациями личных данных пользователей, для аутентификации личности пользователя. Внедряются меры защиты при администрировании паролей и проводится знакомство пользователей с наиболее общими ошибками, позволяющими совершиться компьютерному преступлению.
2. Процедуры авторизации. Администратор должен разработать процедуры авторизации, которые определяют, кто из пользователей должен иметь доступ к той или иной информации и приложениям, и предусмотреть соответствующие меры по внедрению тих процедур в организации.
В организации устанавливается порядок, при котором для использования компьютерных ресурсов, получения разрешения доступа к информации и приложениям и получения пароля требуется разрешение руководства.
3. Защита файлов. Разрабатываются процедуры по ограничению доступа к файлам с иными:
используются внешние и внутренние метки файлов для указания типа информации, который они содержат, и требуемого уровня безопасности;
ограничивается доступ в помещения, в которых хранятся файлы данных, иисие, как архивы и библиотеки данных;
используются организационные меры и программно-аппаратные средства для ограничения доступа к файлам только авторизованных пользователей;
4. Защита целостности информации. Вводимая информация должна быть авторизована, полна, точна и должна подвергаться проверкам на ошибки. Необходимо проверять точность информации с помощью процедур сравнения результатов обработки с предполагаемыми результатами обработки.
5. Защита системных программ. Если программное обеспечение используется совместно, необходимо защищать его от скрытой модификации. Меры защиты при разработке программ должны включать процедуры внесения изменений в программу, ее приемки и тестирования до ввода в эксплуатацию.
6. Становление мер защиты более адекватными с помощью привлечения организаций, занимающихся тестированием информационной безопасности. При разработке мер защиты в прикладных программах необходимо консультироваться с ними при определении необходимости тестов и проверок при обработка критических данных.
7. Рассмотрение вопроса о коммуникационной безопасности. Данные, передаваемые по незащищенным линиям, могут быть перехвачены.
9. Понятие пароля
Пароли - один из типов идентификации - что-то, что знает только пользователь. Двумя другими типами идентификации, которые тоже эффективны, является что-то, чем владеет пользователь (например, магнитная карта), Или уникальные характеристики пользователя (его голос).
Если в компьютере имеется встроенный стандартный пароль, надо обязательно изменить его. Устанавливают, чтобы программы в компьютере после входы пользователя в систему сообщали ему время его последнего сеанса и число неудачных попыток установления сеанса после этого. Это позволит своевременно получать информацию о попытках проникновения в защищаемую систему.
При защите пароля необходимо соблюдать следующие меры:
Не делиться своим паролем ни с кем;
Выбирать пароль трудно угадываемым;
Можно позволить компьютеру самому сгенерировать пароль;
Не использовать пароль, который является адресом пользователя, его псевдонимом, именем родственников, телефонным номером или чем-либо очевидным;
Использовать длинные пароли, так как они более безопасны, лучше всего от 6 до 8 символов;
Обеспечить неотображаемость пароля на экране компьютера при его вводе;
Обеспечить отсутствие паролей в распечатках;
Пароли нигде не записывать, а держать в памяти;
Серьезно относиться к администрированию паролей;
Периодически менять пароли и делать это не по графику;
Шифровать или что-нибудь еще с файлами паролей, хранящимися в компьютере, для защиты их от неавторизованного доступа;
Назначать на должность администратора паролей только самого надежного человека;
Не использовать один и тот же пароль для всех сотрудников в группе;
Менять пароли, когда человек увольняется;
Заставлять людей расписываться за получение паролей;
Становить и внедрить правила работы с паролями и обеспечить, чтобы все знали их.