Защита информации в экономических информационных системах

     Атаки с использованием скрытых каналов  обычно приводят к нарушениям конфиденциальности информации, по характеру воздействия  являются пассивными, нарушение состоит  только в передаче информации. Для  организации «скрытых каналов» может  использоваться как штатное программное  обеспечение, так и специально разработанные  «троянские» или вирусные программы. Атака обычно производится программным  способом.

     «Скрытым  каналом» может явиться передача информации о наличии или отсутствии какого-либо набора данных, его размере, дате создания или модификации и  т.д.

     Также существует большое количество способов организации связи между двумя  процессами системы. Более того, многие операционные системы имеют в  своем распоряжении такие средства, так как они очень облегчают  работу программистов и пользователей. Проблема заключается в том, что  очень трудно отделить неразрешенные  «скрытые каналы» от разрешенных, то есть тех, которые не запрещаются  системной политикой безопасности. В конечном счете все определяется ущербом, который может принести организация «скрытых каналов».

     Отличительными  особенностями «скрытых каналов» является их малая

     пропускная  способность (по ним обычно можно  передавать только небольшое количество информации), большие трудности их организации и обычно небольшой  наносимый ими ущерб.

     «Маскарад».  Под «маскарадом» понимается выполнение каких-либо действий одним пользователем от имени другого пользователя. При этом такие действия другому пользователю могут быть разрешены. Нарушение заключается в присвоении прав и привилегий.

     Цель  «маскарада» – сокрытие каких-либо действий за именем другого пользователя или присвоение прав и привилегий другого пользователя для доступа  к его наборам данных или для  использования его привилегий.

     «Маскарад»  – это способ активного нарушения  защиты системы, он является опосредованным воздействием, то есть воздействием, совершенным  с использованием возможностей других пользователей.

     Примером  «маскарада» может служить вход в систему под именем и паролем  другого пользователя, при этом система  защиты не сможет распознать нарушение. В этом случае «маскараду» обычно предшествует взлом системы или  перехват пароля.

     Другой  пример «маскарада» – присвоение имени другого пользователя в  процессе работы. Это может быть сделано с помощью средств  операционной системы (некоторые операционные системы позволяют изменять идентификатор  пользователя в процессе работы) или  с помощью программы, которая  в определенном месте может изменить определенные данные, в результате чего пользователь получит другое имя. В этом случае «маскараду» может  предшествовать захват привилегий, или  он может быть осуществлен с использованием какой-либо ошибки в системе.

     «Маскарадом»  также называют передачу сообщений  в сети от имени другого пользователя. Способы замены идентификатора могут  быть разные, обычно они определяются ошибками и особенностями сетевых  протоколов. Тем не менее на приемном узле такое сообщение будет воспринято как корректное, что может привести к серьезным нарушениям работы сети. Особенно это касается управляющих сообщений, изменяющих конфигурацию сети, или сообщений, ведущих к выполнению привилегированных операций.

     Наиболее  опасен «маскарад» в банковских системах электронных платежей, где неправильная идентификация клиента может  привести к огромным убыткам. Особенно это касается платежей с помощью  электронных банковских карт. Сам  по себе метод идентификации с  помощью персонального идентификатора (PIN) достаточно надежен, нарушения могут  происходить вследствие ошибок его  использования. Это произойдет, например, в случае утери кредитной карты, при использовании очевидного идентификатора (своего имени, ключевого слова и  т.д.). Поэтому клиентам надо строго соблюдать все рекомендации банка  по выполнению такого рода платежей.

     «Сборка мусора». После окончания работы обрабатываемая информация не всегда полностью удаляется из памяти. Часть данных может оставаться в оперативной памяти, на дисках и лентах, других носителях. Данные хранятся на носителе до перезаписи или уничтожения; при выполнении этих действий на освободившемся пространстве диска находятся их остатки. Хотя прочитать такие данные трудно, однако, используя специальные программы и оборудование, все же возможно. Такой процесс принято называть «сборкой мусора». Он может привести к утечке важной информации.

     «Взлом  системы». Под «взломом системы» понимают умышленное проникновение в систему с несанкционированными параметрами входа, то есть именем пользователя и его паролем (паролями).

     «Взлом  системы» – умышленное, активное воздействие  на систему в целом.

     «Взлом  системы» обычно происходит в интерактивном  режиме. Поскольку имя пользователя не является секретом, объектом «охоты»  обычно становится пароль. Способы  вскрытия пароля могут быть различны: перебор возможных паролей, «маскарад» с использованием пароля другого  пользователя, захват привилегий. Кроме  того, «взлом системы» можно осуществить, используя ошибки программы входа.

     «Люки». Люком называется не описанная в документации на программный продукт возможность работы с этим программным продуктом. Сущность использования люков состоит в том, что при выполнении пользователем некоторых не описанных в документации действий он получает доступ к возможностям и данным, которые в обычных условиях для него закрыты (в частности - выход в привилегированный режим).

     «Люки»  чаще всего являются результатом  забывчивости разработчиков. В частности, отладка программы ведется за счет прямого доступа к отдельным  частям продукта или наборе определенного  сочетания клавиш.

     Вообще  люк (или люки) могут присутствовать в программе в виду того, что  программист:

     а) забыл удалить его;

     б) умышленно оставил его в программе  для обеспечения тестирования или  выполнения оставшейся части отладки;

     в) умышленно оставил его в программе  в интересах облегчения окончательной  сборки конечного программного продукта;

     г) умышленно оставил его в программе  с тем, чтобы иметь скрытое  средство доступа к программе  уже после того, как она вошла  в состав конечного продукта.

     В первом случае «люк» – неумышленная, но серьезная брешь в безопасности системы. Во втором и третьем случаях  «люк» – серьезная экспозиция безопасности системы. Наконец, в последнем  случае «люк» – первый шаг к  атаке системы. В любом случае «люк» – это возможность получить управление системой в обход защиты.

               
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 

     Глава 3. Методы, средства и организация системы защиты информации в экономических информационных системах 

     3.1. Правовые основы обеспечения информационной безопасности.

        Современный этап развития системы обеспечения информационной безопасности государства и общества характеризуется переходом от тотального сокрытия большого объема сведений к  гарантированной защищенности принципиально  важных данных, обеспечивающей:

• конституционные права и свободы граждан, предприятий и организаций в 
  сфере информатизации;
• необходимый уровень безопасности информации, подлежащей защите;
• защищенность систем формирования и использования информационных ресурсов (технологий, систем обработки и передачи информации).

        Ключевым моментом политики государства в данной области  является осознание необходимости  защиты любых информационных ресурсов и информационных технологий, неправомерное  обращение с которыми может нанести  ущерб их собственнику, владельцу, пользователю или иному лицу.

        Нормативные акты правового  регулирования вопросов информатизации и защиты информации в Российской Федерации включают:

• Законы Российской Федерации
• Указы Президента Российской Федерации и утверждаемые этими указами нормативные документы
• Постановления Правительства Российской Федерации и утверждаемые этими постановлениями нормативные документы (Положения, Перечни и т.п.)
• Государственные и отраслевые стандарты
• Положения, Порядки. Руководящие документы и другие нормативные и методические документы уполномоченных государственных органов (Гостехкомиссии России, ФАПСИ, ФСБ).

        Федеральные законы и другие нормативные акты предусматривают:

• разделение информации на категории свободного и ограниченного доступа, причем информация ограниченного доступа подразделяется на:
• отнесенную к государственной тайне
• отнесенную к служебной тайне (информацию для служебного пользования), персональные данные (и другие виды тайн)
• и другую информацию, неправомерное обращение с которой может нанести ущерб ее собственнику, владельцу, пользователю или иному лицу;
• правовой режим защиты информации, неправомерное обращение с которой может нанести ущерб ее собственнику, владельцу, пользователю и иному лицу, устанавливаемый:
• в отношении сведений, отнесенных к государственной тайне, -уполномоченными государственными органами на основании Закона Российской Федерации "О государственной тайне" (от 21.07.93 г. N 5485-1)⁴;
• в отношении конфиденциальной документированной информации - собственником информационных ресурсов или уполномоченным лицом на основании Закона Российской Федерации "Об информации, информатизации и защите информации" (в ред. Федеральных законов от 27.07.2010 N 227-ФЗ, от 06.04.2011 N 65-ФЗ)⁵;
• в отношении персональных данных - отдельным федеральным законом;
• лицензирование деятельности предприятий, учреждений и организаций в области защиты информации;
• аттестование автоматизированных информационных систем, обрабатывающих информацию с ограниченным доступом на соответствие требованиям безопасности информации при проведении работ со сведениями соответствующей степени конфиденциальности (секретности);
• сертификацию средств защиты информации и средств контроля эффективности защиты, используемых в АС;
• возложение решения вопросов организации лицензирования, аттестации и сертификации на органы государственного управления в пределах их компетенции, определенной законодательством Российской Федерации;
• создание автоматизированных информационных систем в защищенном исполнении и специальных подразделений, обеспечивающих защиту информации с ограниченным доступом, являющейся собственностью государства, а также осуществление контроля защищенности информации и предоставление прав запрещать или приостанавливать обработку информации в случае невыполнения требований по обеспечению ее защиты;
• определение прав и обязанностей субъектов в области защиты информации.

        Рассмотренные выше Федеральные законы и другие нормативные акты составляют  правовые основы обеспечения информационной безопасности. 

  3.2. Основные методы  и средства защиты  информации. 

     При разработке АИТ возникает проблема по решению вопроса безопасности информации, составляющей коммерческую тайну, а также безопасности самих  компьютерных информационных систем.

     Каждую  систему защиты следует  разрабатывать индивидуально, учитывая следующие  особенности:

     - организационную структуру организации;

     - объем и характер информационных  потоков (внутри объекта в целом,  внутри отделов, между отделами, внешних);

     - количество и характер выполняемых  операций: аналитических и повседневных;

     - количество и функциональные  обязанности персонала;

     - количество и характер клиентов;

     - график суточной нагрузки.

     Защита  должна разрабатываться для каждой системы индивидуально, но в соответствии с общими правилами. Построение защиты предполагает следующие этапы:

     - анализ риска, заканчивающийся  разработкой проекта системы  защиты и планов защиты, непрерывной работы и восстановления;

     - реализация системы защиты на  основе результатов анализа риска;

     - постоянный контроль за работой  системы защиты и АИС в целом  (программный, системный и административный).

     На  каждом этапе реализуются определенные требования к защите; их точное соблюдение приводит к созданию безопасной системы.

     Для обеспечения непрерывной защиты информации в АИС целесообразно  создать из специалистов группу информационной безопасности. На эту группу возлагаются  обязанности по сопровождению системы  защиты, ведения реквизитов защиты, обнаружения и расследования  нарушений политики безопасности и  т.д.

     Основные  этапы построения системы защиты заключаются в следующем:

     Анализ => Разработка системы защиты (планирование) => Реализация системы защиты => Сопровождение системы защиты.