Введение в информационную безопасность
· Что такое информационная безопасность.
· Уровни решения проблемы информационной безопасности.
· Содержание основных законов Российской Федерации в сфере компьютерного права.
· Уровни защиты информации.
· Меры защиты информационной безопасности.
· Угрозы для информационной безопасности, связанные с подключением к глобальной компьютерной сети Интернет и меры безопасного использования сервисов Интернета.
В связи с массовой информатизацией современного общества все большую актуальность приобретает знание нравственно-этических норм и правовых основ использования средств новых информационных технологий в повседневной практической деятельности. Наглядными примерами, иллюстрирующими необходимость защиты информации и обеспечения информационной безопасности, являются участившиеся сообщения о компьютерных «взломах» банков, росте компьютерного пиратства, распространении компьютерных вирусов.
Число компьютерных преступлений растет, также увеличиваются масштабы компьютерных злоупотреблений. Умышленные компьютерные преступления составляют заметную часть преступлений, но злоупотреблений компьютерами и ошибок еще больше.
Основной причиной потерь, связанных с компьютерами, является недостаточная образованность в области безопасности.
Под информационной безопасностью понимается защищенность информации от случайных или преднамеренных воздействий естественного или искусственного характера, чреватых нанесением ущерба владельцам или пользователям информации.
Цель информационной безопасности - обезопасить ценности системы, защитить и гарантировать точность и целостность информации и минимизировать разрушения, которые могут иметь место, если информация будет модифицирована или разрушена.
На практике важнейшими являются три аспекта информационной безопасности:
· доступность (возможность за разумное время получить требуемую информационную услугу);
· целостность (ее защищенность от разрушения и несанкционированного изменения);
· конфиденциальность (защита от несанкционированного прочтения).
Кроме того, использование информационных систем должно производиться в соответствии с существующим законодательством. Данное положение, разумеется, применимо к любому виду деятельности, однако информационные технологии специфичны в том отношении, что развиваются исключительно быстрыми темпами. Почти всегда законодательство отстает от потребностей практики, и это создает в обществе определенную напряженность. Для информационных технологий подобное отставание законов, нормативных актов, национальных и отраслевых стандартов оказывается особенно болезненным.
Формирование режима информационной безопасности - проблема комплексная. Меры по ее решению можно разделить на четыре уровня:
1. законодательный (законы, нормативные акты, стандарты и т.п.);
2. административный (действия общего характера, предпринимаемые руководством организации);
3. процедурный (конкретные меры безопасности, имеющие дело с людьми);
4. программно-технический (конкретные технические меры).
Информационные технологии и право
Важнейшим аспектом решения проблемы информационной безопасности является правовой. Соответствующее законодательство довольно быстро развивается, стараясь учитывать развитие компьютерной техники и телекоммуникаций, но, естественно, не поспевает в силу разумного консерватизма, предполагающего создание новых правовых механизмов при условии накопления некой «критической массы» правоотношений, требующих урегулирования. В России аналогичное законодательство чаще всего называется «законодательством в сфере информатизации» и охватывает, по разным оценкам, от 70 до 500 нормативно-правовых актов (включая акты, которыми предусматривается создание отраслевых или специализированных автоматизированных систем).
Конституция РФ непосредственно не регулирует отношения в области производства и применения новых информационных технологий, но создает предпосылки для такого регулирования, закрепляя права граждан (свободно искать, получать, передавать, производить и распространять информацию любым законным способом - ст. 29 ч. 4; на охрану личной тайны - ст. 24 ч. 1 и др.) и обязанности государства (по обеспечению возможности ознакомления гражданина с документами и материалами, непосредственно затрагивающими его права и свободы - ст. 24 ч. 2).
Гражданский кодекс РФ (ГК) в большой степени определяет систему правоотношений в рассматриваемой области. Часть первая ГК устанавливает правовые режимы информации - служебная и коммерческая тайна, а также личная и семейная тайна.
Важно различать «информацию» как термин обыденной жизни и как правовую категорию, в которой она не всегда может выступать в силу указанных выше причин. Например, «утечка информации» означает несанкционированный доступ к конфиденциальной информации, «продажа информации» может осуществляться в форме оказания информационных услуг или передачи исключительных прав на использование базы данных, «собственником информации» на самом деле окажется владелец книги или личной библиотеки, служебная или деловая информация в виде приказов, договоров, уставов и т.д. есть не что иное, как документы, находящиеся в документообороте вне отношений собственности. В государственно-правовых отношениях информация выступает в виде государственной тайны, имеющей определенные идентифицирующие признаки.
На уровне действующих законов России в области компьютерного права можно считать в достаточной степени урегулированными вопросы охраны исключительных прав и частично защиты информации (в рамках государственной тайны). Не получили достойного отражения в законодательстве две группы правооотношений: право граждан на доступ к информации, защита информации (в том числе коммерческая и служебная тайны, защита персональных данных). Эти вопросы должны стать предметом разрабатываемых законопроектов.
Доктрина информационной безопасности Российской Федерации
Основой для формирования государственной политики в сфере информации является Доктрина информационной безопасности Российской Федерации, утвержденная 9 сентября 2000 г. Президентом России. Она включает в себя перечень основных видов возможных угроз для информационной безопасности, которые в том числе связаны с телекоммуникационными системами. К числу таких угроз отнесены:
· закупка органами государственной власти импортных средств информатизации, телекоммуникации и связи при наличии отечественных аналогов, не уступающих по своим характеристикам зарубежным образцам;
· вытеснение с отечественного рынка российских производителей средств информатизации, телекоммуникации и связи;
· неспособность предприятий национальных отраслей электронной промышленности производить на базе новейших достижений микроэлектроники передовых информационных технологий конкурентоспособную наукоемкую продукцию, позволяющую обеспечить достаточный уровень технологической независимости России от зарубежных стран, что приводит к вынужденному широкому использованию импортных программно-аппаратных средств при создании и развитии в России информационной инфраструктуры;
· увеличение оттока за рубеж специалистов и правообладателей интеллектуальной собственности;
· нарушение установленного регламента сбора, обработки и передачи информации, преднамеренные действия и ошибки персонала информационных и телекоммуникационных систем, отказ технических средств и сбои программного обеспечения в информационных и телекоммуникационных системах;
· использование не сертифицированных в соответствии с требованиями безопасности средств и систем информатизации и связи, а также средств защиты информации и контроля их эффективности;
· привлечение к работам по созданию, развитию и защите информационных и телекоммуникационных систем организаций и фирм, не имеющих государственных лицензий на осуществление этих видов деятельности.
В качестве некоторых общих методов обеспечения информационной безопасности Доктриной, в частности, предполагаются:
· обеспечение технологической независимости Российской Федерации в важнейших областях информатизации, телекоммуникации и связи, определяющих ее безопасность, и в первую очередь, в области создания специализированной вычислительной техники для образцов вооружения и военной техники;
· законодательное закрепление приоритета развития национальных сетей связи и отечественного производства космических спутников связи.
В числе первоочередных мер, направленных на обеспечение информационной безопасности, в Доктрине, в частности, названы:
· принятие и реализация федеральных программ, предусматривающих формирование общедоступных архивов информационных ресурсов федеральных органов государственной власти и органов государственной власти субъектов Российской Федерации;
· повышение правовой культуры и компьютерной грамотности граждан;
· развитие инфраструктуры единого информационного пространства России [...];
· создание безопасных информационных технологий для систем, используемых в процессе реализации жизненно важных функций общества и государства;
· пресечение компьютерной преступности;
· создание информационно-телекоммуникационной системы специального назначения в интересах федеральных органов государственной власти и органов государственной власти субъектов Российской Федерации;
· обеспечение технологической независимости страны в области создания и эксплуатации информационно-телекоммуникационных систем оборонного назначения.
В число основных организационно-технических мероприятий по защите информации в общегосударственных информационных и телекоммуникационных системах включены:
· лицензирование деятельности организаций в области защиты информации;
· аттестация объектов информатизации по выполнению требований обеспечения защиты информации при проведении работ, связанных с использованием сведений, составляющих государственную тайну;
· сертификация средств защиты информации и контроля эффективности их использования, а также защищенности информации от утечки по техническим каналам систем и средств информатизации и связи.
Основные законы России в области компьютерного права
Кратко рассмотрим основное содержание некоторых законов России в области компьютерного права.
1. Закон «О правовой охране программ для электронных вычислительных машин и баз данных» (от 23.09.92 № 3523-1 с послед, изм. и доп.) продолжает создание механизмов правовой охраны компонентов новых информационных технологий. Впервые предметом правового регулирования стали программы для ЭВМ и базы данных. Последние определены в ст.1 как «объективная форма представления и организации совокупности данных (например, статей, расчетов), систематизированных таким образом, чтобы эти данные могли быть найдены и обработаны с помощью ЭВМ».
Согласно ст. 2 «программы для ЭВМ и базы данных относятся настоящим Законом к объектам авторского права. Программам для ЭВМ предоставляется правовая охрана как произведениям литературы, а базам данных - как сборникам».
Закон регулирует исключительные авторские права на программы для ЭВМ и базы данных (как личные, так и имущественные). Причем «авторское право на программу для ЭВМ или базу 1 данных возникает в силу их создания», а для признания и осуществления авторского права на них «не требуется депонирования, (регистрации или соблюдения иных формальностей» (ст. 4).
Статья 11 однозначно определяет механизм передачи имущественных прав на программу для ЭВМ или базу данных - они могут быть переданы полностью или частично другим физическим или юридическим лицам по договору. Договор заключается в письменной форме и должен включать следующие существенные условия: объем и способы использования программы для ЭВМ или базы данных, порядок выплаты и размер вознаграждения, срок действия договора.
2. Закон «Об авторском праве и смежных правах» (от 09.07.93 № 5351-1 с послед, изм. и доп.). Данный закон наряду с законом «О правовой охране программ г для электронных вычислительных машин и баз данных» составляет законодательство Российской Федерации об авторском праве и смежных правах, применяемое к программам для ЭВМ и базам данных.
Среди объектов охраны закон предусматривает (ст. 7) программы для ЭВМ, причем охрана распространяется на все виды программ (в том числе на операционные системы), которые могут быть выражены на любом языке и в любой форме, включая исходный текст. В той же статье к объектам охраны (как производные, составные произведения) отнесены базы данных. Базы данных определяются в этом законе аналогично закону «О правовой охране программ для электронных вычислительных машин и баз данных».
Закон исключает из объектов авторского права «идеи, методы, процессы, системы, способы, концепции, принципы, открытия, факты» (ст. 6), а также «официальные документы (законы, судебные решения, иные тексты законодательного, административного и судебного характера); сообщения о событиях и фактах, имеющие информационный характер» (ст. 8).
Закон подчеркивает (ст.6), что авторское право на произведение не связано с правом собственности на материальный объект, в котором произведение выражено. Передача права собственности на материальный объект или права владения материальным объектом сама по себе не влечет передачи каких-либо авторских прав на произведение, выраженное в этом объекте, за исключением случаев продажи произведений изобразительного искусства.
В отношении программ для ЭВМ и баз данных рассматриваемый закон как более поздний вносит ряд уточнений:
· не допускается воспроизведение программ для ЭВМ в личных целях без согласия автора и без выплаты авторского" вознаграждения (ст. 18);
· установлены правила свободного воспроизведения программ для ЭВМ и баз данных, декомпилирования программ для ЭВМ (ст. 25).
Примечание. Декомпиляция - процедура восстановления исходной программы из объектного модуля, выполняемого декомпилятором.
В ст. 15 дается исчерпывающий перечень личных неимущественных прав автора в отношении его произведения:
· право авторства;
· право на имя;
· право на обнародование;
· право на защиту репутации автора.
Личные неимущественные права принадлежат автору независимо от его имущественных прав и сохраняются за ним в случае уступки исключительных прав на использование произведения, которые означают (ст. 16) право осуществлять или разрешать следующие действия:
· право на воспроизведение;
· право на распространение;
· право на импорт;
· право на публичный показ;
· право на передачу в эфир;
· право на сообщение для всеобщего сведения по кабелю;
· право на перевод;
· право на переработку.
Передача имущественных прав осуществляется согласно ст. 30 только по авторскому договору (на основе авторского договора о передаче исключительных прав или на основе авторского договора о передаче неисключительных прав).
Размер и порядок исчисления авторского вознаграждения за каждый вид использования произведения устанавливаются в авторском договоре, а также в договорах, заключаемых организациями, управляющими имущественными правами авторов на '-коллективной основе с пользователями.
Закон вводит в ст. 48 понятие «контрафактного экземпляра произведения» (экземпляр, изготовление или распространение которого влечет за собой нарушение авторских и смежных прав) и устанавливает в ст.47 и ст.50 механизм ответственности за подобные действия. В частности, контрафактные экземпляры произведения подлежат конфискации по решению суда.
3. Закон «О государственной тайне» (от 21.07.93 № 5485-1 с послед, изм. и доп.). Настоящий Закон регулирует отношения, возникающие в связи с отнесением сведений к государственной тайне, их рассекречиванием и защитой в интересах обеспечения безопасности Российской Федерации. При этом в качестве носителей сведений, составляющих государственную тайну, рассматриваются «материальные объекты, в том числе физические поля, в которых сведения, составляющие государственную тайну, находят свое отображение в виде символов, образов, сигналов, технических решений и процессов» (ст. 2). В соответствии с этим определением закон применяется и к сведениям, составляющим государственную тайну и хранимым в памяти ЭВМ.
В ст. 10 впервые в отечественном законодательстве было введено понятие «собственник информации» (предприятие, учреждение, организация и граждане). Однако это понятие в рамках закона не нашло своего применения. Информация, составляющая государственную тайну, должна быть выведена за сферу рыночных отношений, поэтому нормы гражданского права к ней неприменимы. В отношении государственной тайны речь может идти не о ее цене, а об оценке «размеров ущерба, наступившего в результате несанкционированного распространения сведений, составляющих государственную тайну, а также ущерба, нанесенного собственнику информации в результате ее засекречивания» (ст. 4, ч. 3).
Важно, что хотя в тексте закона используются как равнозначные два термина «информация» и «сведения», целью правового регулирования является все же защита «сведений, составляющих государственную тайну». Причем в ст. 12 определены реквизиты носителей сведений, составляющих государственную тайну (форма), а в ст. 7 установлены сведения, которые нельзя относить к государственной тайне.
4. Федеральный закон «О связи» (от 16.02.95 № 15-ФЗ с послед, изм. и доп.). Средства связи вместе со средствами вычислительной техники составляют техническую базу обеспечения процесса сбора, обработки, накопления и распространения информации (ст. 1). Сети электросвязи представляют собой технологические системы, обеспечивающие один или несколько видов передач: телефонную, телеграфную, факсимильную передачу данных и других видов документальных сообщений, включая обмен информацией между ЭВМ, телевизионное, звуковое и иные виды радио- и проводного вещания (ст. 2).
Таким образом, закон регулирует обширную область правоотношений, возникающих при передаче информации по каналам связи (при осуществлении удаленного доступа пользователей к базам данных, обмене электронными сообщениями и других ситуациях).
5. Федеральный закон «Об информации, информатизации и защите информации» (от 20.02.95 № 24-ФЗ). Данный закон, называемый авторами «базовым», положил начало формированию новой отрасли законодательства. Поэтому принципиальные решения, закрепленные в законе, требуют пристального рассмотрения.
В ст. 1 определена сфера регулирования правоотношений. Это отношения, возникающие при:
· формировании и использовании информационных ресурсов на основе создания, сбора, обработки, накопления, хранения, поиска, распространения и предоставления потребителю документированной информации;
· создании и использовании информационных технологий и средств их обеспечения;
· защите информации, прав субъектов, участвующих в информационных процессах и информатизации.
Среди объектов регулирования центральное место занимают (ст. 2):
· документированная информация (документ) - зафиксированная на материальном носителе информация с реквизитами, позволяющими ее идентифицировать;
· информационные ресурсы - отдельные документы и отдельные массивы документов, документы и массивы документов в информационных системах (библиотеках, архивах, фондах, банках данных, других информационных системах);
· средства обеспечения автоматизированных информационных систем и их технологий - программные, технические, лингвистические, правовые, организационные средства (программы для электронных вычислительных машин; средства вычислительной техники и связи; словари, тезаурусы и классификаторы; инструкции и методики; положения, уставы, должностные инструкции; схемы и их описания, другая эксплуатационная и сопроводительная документация), используемые или создаваемые при проектировании информационных систем и обеспечивающие их эксплуатацию.
Относительно этих объектов установлены:
· основы правового режима информационных ресурсов (ст. 4);
· состав государственных информационных ресурсов (ст. 7)и порядок их формирования (ст. 8);
· режимы доступа к информационным ресурсам (ст. 10) и порядок их использования (ст. 12.13);
· порядок использования информации о гражданах (персональные данные) как части государственных информационных ресурсов (ст. 11, 14);
· порядок сертификации информационных систем, технологий, средств их обеспечения и лицензирования деятельности по формированию и использованию информационных ресурсов (ст. 19);
· принципы защиты информации и прав субъектов в области информатизации (ст. 20, 21, 22, 23 и 24).
Важнейшим элементом реализуемой в законе концепции является объявление информационных ресурсов объектом права собственности и включение их в состав имущества (ст. 6). Устанавливается право собственности на отдельные документы и отдельные массивы документов, документы и массивы документов в информационных системах (ст. 4), а также право собственности на информационные системы, технологии и средства их обеспечения (ст. 17). Собственник информационных ресурсов, информационных систем, технологий и средств их обеспечения определяется законом как субъект, в полном объеме реализующий полномочия владения, пользования, распоряжения указанными объектами (ст. 2). Это указывает на то, что закон распространяет на все указанные объекты нормы вещного права.
Таким образом, на уровне действующих законов России можно считать в достаточной степени урегулированными вопросы охраны исключительных прав и частично защиту информации (в рамках государственной тайны). Не получили достойного отражения в законодательстве две группы правоотношений: право граждан на доступ к информации, защита информации (в том числе, коммерческая и служебная тайны, защита персональных данных). Эти вопросы должны стать предметом разрабатываемых законопроектов.
Различают четыре уровня защиты информации:
· предотвращение - доступ к информации и технологии имеет только персонал, который получил допуск от собственника информации;
· обнаружение - обеспечивается раннее обнаружение преступлений и злоупотреблений, даже если механизмы защиты были обойдены;
· ограничение - уменьшается размер потерь, если преступление все-таки произошло, несмотря на меры по его предотвращению и обнаружению;
· восстановление - обеспечивается эффективное восстановление информации при наличии документированных и проверенных планов по восстановлению.
Ранее контроль за защитой информации был заботой технических администраторов. Сегодня контроль за информацией стал обязанностью каждого пользователя. Это требует от пользователя новых знаний и навыков. Так, например, хороший контроль за информацией требует понимания возможностей совершения компьютерных преступлений и злоупотреблений, чтобы можно было в дальнейшем предпринять контрмеры против них.
Когда компьютеры появились впервые, они были доступны только небольшому числу людей, которые умели их использовать. Обычно они находились в специальных помещениях, удаленных территориально от помещений, где работали служащие. Сегодня все изменилось. Компьютерные терминалы и настольные компьютеры используются везде. Благодаря современным программам компьютерное оборудование стало дружественным к пользователю, поэтому много людей могут быстро и легко научиться, как его использовать. Этот процесс привел к тому, что произошла «демократизация преступления». Чем больше людей получало доступ к информационным технологиям и компьютерному оборудованию,, тем больше возникало возможностей для совершения компьютерных преступлений.
Компьютерные преступления совершаются людьми из-за личной или финансовой выгоды, развлечений, мести, случайности, вандализма. Но значительно больший ущерб (около 60% всех потерь) наносят не умышленные преступления, а ошибки людей. Предотвращение компьютерных потерь, как из-за умышленных преступлений, так и из-за неумышленных ошибок, требует знаний в области безопасности.
Для уменьшения ущерба от компьютерного преступления очень важно своевременно его обнаружить. Для того чтобы обнаружить компьютерное преступление или уязвимые места в системе информационной безопасности, обращайте внимание на:
· несанкционированные попытки доступа к файлам данных;
· кражи частей компьютеров;
· кражи программ;
· физическое разрушение оборудования;
· уничтожение данных или программ.
Это только самые очевидные признаки, на которые следует обратить внимание при выявлении компьютерных преступлений. Иногда эти признаки говорят о том, что преступление уже совершено или что не выполняются меры защиты. Они также могут свидетельствовать о наличии уязвимых мест - указать, где находится дыра в защите и помочь наметить план действий по устранению уязвимого места. В то время как признаки могут помочь выявить преступление или злоупотребление, меры защиты могут помочь предотвратить его.
Меры защиты - это меры, вводимые для обеспечения безопасности информации: административные руководящие документы (приказы, положения, инструкции), аппаратные устройства или дополнительные программы, основной целью которых является предотвращение преступления и злоупотребления. Меры защиты могут также выполнять функцию ограничения, уменьшая размер ущерба от преступления.
Некоторые технологии по защите информации могут быть встроены в сам компьютер, другие могут быть встроены в программы, некоторые выполняются людьми и являются реализацией указаний руководства, содержащихся в соответствующих руководящих документах.
Принятие решения о выборе уровня сложности технологий для защиты системы требует установления критичности информации и последующего определения адекватного уровня безопасности. Что же такое критические данные? Под критическими данными будем понимать данные, которые требуют защиты из-за вероятности нанесения (риска) ущерба и его величины в том случае, если произойдет случайное или умышленное раскрытие, изменение, или разрушение данных. Этот термин включает в себя данные, чье неправильное использование или раскрытие может отрицательно отразиться на способности организации решать свои задачи, персональные данные и другие данные, защита которых требуется указами Президента РФ, законами РФ и другими подзаконными документами.
Следует внимательно анализировать угрозы безопасности компьютерной системы, т. е. потенциально возможные происшествия, которые могут оказать нежелательное воздействие на саму систему, а также на информацию, хранящуюся в ней. Различают следующие угрозы безопасности.
Угроза раскрытия заключается в том, что информация становится известной тому, кому не следовало бы ее знать. В терминах компьютерной безопасности угроза раскрытия имеет место всякий раз, когда получен доступ к некоторой конфиденциальной информации, хранящейся в вычислительной системе или передаваемой от одной системы к другой. Иногда вместо слова «раскрытие» используются термины «кража» или «утечка».
Угроза целостности включает в себя любое умышленное изменение (модификацию или даже удаление) данных, хранящихся в вычислительной системе или передаваемых из одной системы в другую.
Угроза отказа в обслуживании возникает всякий раз, когда в результате некоторых действий блокируется доступ к некоторому ресурсу вычислительной системы. Реально блокирование может быть постоянным, так чтобы запрашиваемый ресурс никогда не был получен, или оно может вызвать только задержку запрашиваемого ресурса, достаточно долгую для того, чтобы он стал бесполезным.
Чтобы предупреждать и своевременно раскрывать компьютерные преступления, мы должны представлять способы и средства их совершения.
Анализ зарубежных и отечественных отчетов о выявленных компьютерных преступлениях позволяет описать основные технологии их совершения. Лишь немногие из них включают разрушение компьютеров или данных. Только в 3 процентах мошенничеств и 8 процентах злоупотреблений происходило специальное разрушение оборудования, уничтожение программ или данных. В большей части случаев мошенничеств и злоупотреблений использовалась информация — ею манипулировали, ее создавали, ее использовали.
Технологии преступлений и злоупотреблений
При совершении компьютерных преступлений использовались пять основных технологий.
1. Ввод неавторизованной информации.
2. Манипуляции разрешенной для ввода информацией.
3. Манипуляции или неправильное использование файлов с информацией.
4. Создание неавторизованных файлов с информацией.
5. Обход внутренних мер защиты.
Примечание. Авторизация - предоставление определенных полномочий лицу (группе лиц) на выполнение некоторых действий в системе обработки данных.
1. Кража компьютерного времени, программ, информации и оборудования.
2. Ввод неавторизованной информации.
3. Создание неавторизованных файлов с информацией.
4. Разработка компьютерных программ для неслужебного использования.
5. Манипулирование или неправильное использование возможностей по проведению работ на компьютерах.
Основными методами совершения преступления являются:
1. Надувательство с данными является самым распространенным методом при совершении компьютерных преступлений, так как он не требует технических знаний и относительно безопасен. Информация меняется в процессе ее ввода в компьютер или вовремя вывода. Например, при вводе документы могут быть заменены фальшивыми, вместо рабочих дискет подсунуты чужие, и данные могут быть сфальсифицированы.
2. Сканирование является распространенным методом получения информации, который может привести к преступлению. Служащие, читающие файлы других, могут обнаружить там персональную информацию о своих коллегах. Информация, позволяющая получить доступ к компьютерным файлам или изменить их, может быть найдена после просмотра мусорных корзин. Дискеты, оставленные на столе, могут быть прочитаны, скопированы и украдены. Существуют сканирующие программы, которые могут, просматривая лишь остаточную информацию, оставшуюся на компьютере или на носителе информации после выполнения сотрудником задания и удаления своих файлов, получать эту информацию в более полном виде.
3. Метод «троянский конь» предполагает, что пользователь не заметил, что компьютерная программа была изменена таким образом, что включает в себя дополнительные функции. Программа, выполняющая полезные функции, пишется таким образом, что содержит дополнительные скрытые функции, которые будут использовать особенности механизмов защиты системы (возможности пользователя, запустившего программу, по доступу к файлам).
4. Метод «люка» основан на использовании скрытого программного или аппаратного механизма, позволяющего обойти методы защиты в системе. Этот механизм активируется некоторым неочевидным образом. Иногда программа пишется таким образом, что специфическое событие, например, число выполнения определенных процедур, обработанных в определенный день, вызовет запуск неавторизованного механизма.
5. Технология «салями» основана на постепенном изменении компьютерной программы небольшими частями, настолько маленькими, что они незаметны. Например, платежи могут округляться до нескольких центов, и разница между реальной и округленной суммой поступает на специально открытый счет злоумышленника.
6. Технология суперотключения названа по имени программы, использовавшейся в ряде компьютерных центров, обходившей системные меры защиты и использовавшейся при аварийных ситуациях. Владение этим «мастер-ключом» дает возможность в любое время получить доступ к компьютеру и информации, находящейся в нем.
Компьютерное преступление можно предотвратить, а ущерб от возможного нарушения системы информационной безопасности можно сделать минимальным, если внимательно анализировать угрозы безопасности компьютерной системы, т. е. потенциально возможные происшествия, которые могут оказать нежелательное воздействие на саму систему, а также на информацию, хранящуюся в ней.
Возникновение угрозы информационной безопасности становится возможным вследствие некой неудачной характеристики информационной системы, которая делает возможной уязвимость компьютерной системы.
Различают следующие признаки уязвимых мест в информационной безопасности:
1. Не разработаны положения о защите информации или они не соблюдаются. Не назначен ответственный за информационную безопасность.
2. Пароли пишутся на компьютерных терминалах, помещаются в общедоступные места, ими делятся с другими людьми или они появляются на компьютерном экране при их вводе.
3. Удаленные терминалы и микрокомпьютеры оставляются без присмотра в рабочие и нерабочие часы. Данные отображаются на компьютерных экранах, оставленных без присмотра.
4. Не существует ограничений на доступ к информации или на характер ее использования. Все пользователи имеют доступ ко всей информации и могут использовать все функции системы.
5. Не ведется системных журналов и не хранится информация о том, кто и для чего использует компьютер.
6. Изменения в программы могут вноситься без их предварительного утверждения руководством.
7. Отсутствует документация или она не позволяет делать следующее: понимать получаемые отчеты и формулы, по которым получаются результаты; модифицировать программы; готовить данные для ввода; исправлять ошибки; проводить оценку мер защиты и понимать сами данные - их источники, формат хранения, взаимосвязи между ними.
8. Делаются многочисленные попытки войти в систему с неправильными паролями.
9. Вводимые данные не проверяются на корректность и точность или при их проверке много данных отвергается из-за ошибок в них, требуется сделать много исправлений в данных, не делается записей в журналах об отвергнутых транзакциях.
10. Имеют место выходы из строя системы, приносящие большие убытки.
11. Не производится анализ информации, обрабатываемой в компьютере, с целью определения необходимого для нее уровня безопасности.
12. Мало внимания уделяется информационной безопасности, считается, что на самом деле она не нужна.
С целью защиты информации каждый должен знать и осуществлять следующие меры.
Контроль доступа к информации в компьютере и к прикладным программам. Вы должны иметь гарантии того, что только авторизованные пользователи имеют доступ к информации и приложениям.
Требуйте, чтобы пользователи выполняли процедуры входа в компьютер, и используйте это как средство для идентификации в начале работы. Чтобы эффективно контролировать компьютер, может оказаться наиболее выгодным использовать его как однопользовательскую систему.
Другие меры защиты. Пароли - только один из типов идентификации - что-то, что знает только пользователь. Двумя другими типами идентификации, которые тоже эффективны, является что-то, чем владеет пользователь (например, магнитная карта), или уникальные характеристики пользователя (его голос).
Если в компьютере имеется встроенный стандартный пароль (пароль, который встроен в программы и позволяет обойти меры по управлению доступом), обязательно измените его. Сделайте так, чтобы программы в компьютере после входа пользователя в систему сообщали ему время его последнего сеанса и число неудачных попыток установления сеанса после этого. Это позволит своевременно получать информацию о попытках проникновения в защищаемую систему. При защите вашего пароля:
· не делитесь своим паролем ни с кем;
· выбирайте пароль трудно угадываемым;
· попробуйте использовать строчные и прописные буквы, цифры, или выберите знаменитое изречение и возьмите оттуда каждую четвертую букву. А еще лучше позвольте компьютеру самому сгенерировать ваш пароль;
· не используйте пароль, который является вашим адресом, псевдонимом, именем жены, телефонным номером или чем-либо очевидным;
· используйте длинные пароли, так как они более безопасны, лучше всего от 6 до 8 символов;
· не записывайте пароли на столе, стене или терминале, а держите его в памяти;
· периодически меняйте пароли и делайте это не по графику.
Процедуры авторизации. Разработайте процедуры авторизации, которые определяют, кто из пользователей должен иметь доступ к той или иной информации и приложениям, и предусмотрите соответствующие меры по внедрению этих процедур в организации.
Установите порядок в организации, при котором для использования компьютерных ресурсов, получения разрешения доступа к информации и приложениям и получения пароля требуется разрешение тех или иных начальников.
Защита файлов. Помимо идентификации пользователей и процедур авторизации разработайте процедуры по ограничению доступа к файлам с данными:
· используйте внешние и внутренние метки файлов для указания типа информации, который они содержат, и требуемого уровня безопасности;
· ограничьте доступ в помещения, в которых хранятся файлы данных, такие, как архивы и библиотеки данных;
· используйте организационные меры и программно-аппаратные средства для ограничения доступа к файлам только авторизованных пользователей.
Предосторожности при работе. Для этого:
· отключайте неиспользуемые терминалы;
· закрывайте комнаты, где находятся терминалы;
· разворачивайте экраны компьютеров так, чтобы они небыли видны со стороны двери, окон и тех мест в помещениях, которые не контролируются;
· установите специальное оборудование, например, устройства, ограничивающие число неудачных попыток доступа, устройства, обеспечивающие обратный звонок для проверки личности пользователей, использующих телефоны для доступа к компьютеру;
· программируйте терминал отключаться после определенного периода неиспользования;
· если это возможно, выключайте систему в нерабочие часы.
Примечание. Для блокирования неиспользуемого компьютера, нажав одновременно клавиши CTRL, ALT и DEL, а затем кнопку «Блокировка», предотвратите несанкционированный доступ пользователей к компьютеру. Разблокировать его сможет только владелец и члены группы администраторов компьютера. (Для разблокирования компьютера нужно нажать одновременно клавиши CTRL, ALT и DEL, ввести пароль, а затем нажать кнопку «ОК».) Можно также настроить заставку таким образом, чтобы она открывалась и автоматически блокировала компьютер после того, как он простаивал в течение определенного времени.
Блокирование угрозы целостности информации. Вводимая информация должна быть авторизована, полна, точна и подвергаться проверкам на ошибки. Проверяйте точность информации с помощью процедур сравнения результатов обработки с предполагаемыми результатами обработки. Например, можно сравнивать суммы или проверять последовательные номера.
Проводите проверку точности вводимых данных (их корректности), например:
· на нахождение символов в допустимом диапазоне символов (числовом или буквенном);
· на нахождение числовых данных в допустимом диапазоне чисел;
· на корректность связей с другими данными, сравнивающими входные данные с данными в других файлах;
· на разумность, сравнение входных данных с ожидаемыми стандартными значениями;
· ограничения на транзакции, сравнивающие входные данные с административно установленными ограничениями на конкретные транзакции.
О политике безопасности для работы в Интернете
Хотя подключение к Интернету и предоставляет огромные выгоды из-за доступа к колоссальному объему информации, оно же является опасным для сайтов с низким уровнем безопасности. Фундаментальная проблема состоит в том, что Интернет при проектировании и не задумывался как защищенная сеть. Некоторыми его проблемами являются следующие.
· Легкость перехвата данных и фальсификации адресов машин в сети - основная часть трафика Интернета - это нешифрованные данные.
· Многие сайты сконфигурированы таким образом, что предоставляют широкий доступ к себе со стороны Интернета, не учитывая возможность злоупотребления этим доступом; многие сайты не пытаются ограничить доступ к информации о своих компьютерах, которая может помочь злоумышленникам.
Чтобы правильно учесть возможные последствия подключения к Интернету в области безопасности, вы должны иметь четкие ответы на следующие вопросы:
· Могут ли хакеры разрушить внутренние системы?
· Может ли быть скомпрометирована (изменена или прочитана) важная информация организации при ее передаче по Интернету?
· Можно ли помешать работе вашего компьютера через Интернет?
Подключение в Интернет вы должны сделать, исходя из ответов на эти вопросы.
Большинство организаций используют Интернет для распространения информации о себе и своих сервисах. Так как они представляют информацию, а не скрывают ее, они описывают web-сайт как «публичный», на котором не содержится никакой конфиденциальной информации, и оттуда не может исходить никакой угрозы. Проблема заключается в том, что хотя эта информация может быть публично доступной, web-сайт является частью организации и должен быть защищен от вандализма.
Электронная почта, или e-mail - самый популярный вид использования Интернета. С помощью электронной почты в Интернете вы можете послать письмо миллионам людей по всей планете.
Помимо взаимодействия один-один, e-mail может поддерживать списки электронных адресов для рассылки, поэтому человек или организация может послать e-mail всему этому списку адресов людей или организаций. Иногда списки рассылки e-mail имеют элементы, являющиеся указателями на другие списки рассылки, поэтому одно письмо может быть, в конце концов, доставлено тысячам людей.
Разновидностью списков рассылки являются дискуссионные группы на основе e-mail. Их участники посылают письмо центральному серверу списка рассылки, и сообщения рассылаются всем другим членам группы. Это позволяет людям, находящимся в разных временных зонах или на разных континентах, вести интересные дискуссии. При помощи специальных программ люди могут подписаться на список или отписаться от него без помощи человека. Сервера списков рассылки часто предоставляют другие сервисы, такие, как получение архивов, дайджестов сообщений или связанных с сообщениями файлов.
Электронная почта становится все более важным условием ведения повседневной деятельности, поэтому в организации должна быть разработана политика правильного использования электронной почты, чтобы помочь сотрудникам уменьшить риск умышленного или неумышленного неправильного ее использования и чтобы гарантировать, что официальные документы, передаваемые с помощью электронной почты, правильно обрабатываются.
Угрозы, связанные с электронной почтой. Основные протоколы передачи почты обычно не осуществляют надежной аутентификации, что позволяет легко создать письма с фальшивыми адресами. Ни один из этих протоколов не использует криптографию, которая могла бы гарантировать конфиденциальность электронных писем. Хотя существуют расширения этих протоколов, решение использовать их должно быть явно принято как составная часть политики администрации почтового сервера. Некоторые такие расширения используют уже имеющиеся средства аутентификации, а другие позволяют клиенту и серверу согласовать тип аутентификации, который будет использоваться в данном соединении.
Фальшивые адреса отправителя. Адресу отправителя в электронной почте Интернета нельзя доверять, так как отправитель может указать фальшивый обратный адрес или заголовок может быть модифицирован в ходе передачи письма.
Перехват письма. Заголовки и содержимое электронных писем передаются в чистом виде. В результате содержимое сообщения может быть прочитано или изменено в процессе передачи его по Интернету. Заголовок может быть модифицирован, чтобы скрыть или изменить отправителя или для того, чтобы перенаправить сообщение.
Почтовые бомбы. Почтовая бомба - это атака с помощью электронной почты. Атакуемая система переполняется письмами до тех пор, пока она не выйдет из строя. Как это может случиться, зависит от типа почтового сервера и того, как он сконфигурирован.
Угрожающие письма. Так как любой человек в мире может послать вам письмо, может оказаться трудным заставить его прекратить посылать их вам. Люди могут узнать ваш адрес из списка адресов организации, списка лиц, подписавшихся на список рассылки, или писем в Usenet. Если вы указали ваш почтовый адрес какому-нибудь web-сайту, то он может продать ваш адрес «почтовым мусорщикам». Некоторые web-браузеры сами указывают ваш почтовый адрес, когда вы посещаете web-сайт, поэтому вы можете даже не понять, что вы его дали.
Много почтовых систем имеют возможности фильтрации почты, т. е. поиска указанных слов или словосочетаний в заголовке письма или его теле и последующего помещения его в определенный почтовый ящик или удаления. Но большинство пользователей не знает, как использовать механизм фильтрации. Кроме того, фильтрация у клиента происходит после того, как письмо уже получено или загружено, поэтому таким образом тяжело удалить большие объемы писем.
С развитием электронной почты все больше неудобств пользователям создает спам - большой поток непрошеных почтовых сообщений.
Чтобы уберечься от спама:
1. Никогда не указывайте реальный адрес при заполнении регистрационных форм.
2. Заведите специальный почтовый ящик, который будет специально предназначен для спама и разного мусора.
3. Используйте фильтры и специальные программы. Большинство этих программ действует как РОРЗ-прокси между вашим e-mailклиентом и вашим почтовым сервером. При получении почты программа анализирует сообщение, посылает запросы в блок-листы, и, если IP-адрес, с которого было отправлено письмо, обнаруживается там, письмо помечается как спам. Далее на основе этих меток вы можете отфильтровывать сообщения, которые вы действительно хотите получать, от различного мусора.
Защита электронной почты. Можно защитить электронную почту с помощью использования шифрования и присоединения к письмам электронных подписей. Одним из популярных методов является использование шифрования с открытыми ключами.
Важным средством защиты является корректное использование электронной почты. Все служащие должны использовать электронную почту так же, как и любое другое официальное средство организации. Из этого следует, что когда письмо посылается, как отправитель, так и получатель должен гарантировать, что взаимодействие между ними осуществляется согласно принятым правилам. Взаимодействие с помощью почты не должно быть неэтичным, не должно восприниматься как конфликтная ситуация или содержать конфиденциальную информацию.
При работе с электронной почтой необходимо особенно внимательно относиться к письмам с вложениями. Никогда не запускайте вложения от незнакомых людей. Все файлы, которые вы скачиваете из Интернета, будь то электронная почта или другие файлы, необходимо проверять с помощью антивирусной программы.