Таксономия нарушений информационной безопасности вычислительной системы и причины обуславливающие их существование

Размещено на http://www.allbest.ru/

МИНОБРНАУКИ РОССИИ

ФЕДЕРАЛЬНОЕ ГОСУДАРСТВЕННОЕ БЮДЖЕТНОЕ

ОБРАЗОВАТЕЛЬНОЕ УЧРЕЖДЕНИЕ

ВЫСШЕГО ПРОФЕССИОНАЛЬНОГО ОБРАЗОВАНИЯ

«САНКТ-ПЕТЕРБУРГСКИЙ ГОСУДАРСТВЕННЫЙ ЭКОНОМИЧЕСКИЙ УНИВЕРСИТЕТ»

КИРОВСКИЙ ФИЛИАЛ

Дисциплина: Информационные технологии в менеджменте

РЕФЕРАТ

На тему: Таксономия нарушений информационной безопасности вычислительной системы и причины обуславливающие их существование

Студент: Казаковцев С.Н.

Специальность: 080200.62у Менеджмент

Отделение: заочное Курс: 3

Преподаватель: Махнёва А.И.

г. Киров

2014г.

Содержание

Введение

1. Классификация источников угроз информационной безопасности

2. Классификация уязвимостей безопасности

3. Причины существования нарушений информационной безопасности

Заключение

Список использованной литературы

Введение

Организация обеспечения безопасности информации должна носить комплексный характер и основываться на глубоком анализе возможных негативных последствий. При этом важно не упустить какие-либо существенные аспекты. Анализ негативных последствий предполагает обязательную идентификацию возможных источников угроз, факторов, способствующих их проявлению и, как следствие, определение актуальных угроз безопасности информации.

В ходе такого анализа необходимо убедиться, что все возможные источники угроз идентифицированы, идентифицированы и сопоставлены с источниками угроз все возможные факторы (уязвимости), присущие объекту защиты, всем идентифицированным источникам и факторам сопоставлены угрозы безопасности информации.

Исходя их данного принципа, моделирование и классификацию источников угроз и их проявлений, целесообразно проводить на основе анализа взаимодействия логической цепочки:

источник угрозы - фактор (уязвимость) - угроза (действие) - последствия (атака).

Под этими терминами будем понимать:

Источник угрозы - это потенциальные антропогенные, техногенные или стихийные носители угрозы безопасности.

Угроза (действие) [Threat]- это возможная опасность (потенциальная или реально существующая) совершения какого-либо деяния (действия или бездействия), направленного против объекта защиты (информационных ресурсов), наносящего ущерб собственнику, владельцу или пользователю, проявляющегося в опасности искажения и потери информации.

Фактор (уязвимость) [Vulnerability]- это присущие объекту информатизации причины, приводящие к нарушению безопасности информации на конкретном объекте и обусловленные недостатками процесса функционирования объекта информатизации, свойствами архитектуры автоматизированной системы, протоколами обмена и интерфейсами, применяемыми программным обеспечением и аппаратной платформой, условиями эксплуатации.

Последствия (атака) - это возможные последствия реализации угрозы (возможные действия) при взаимодействии источника угрозы через имеющиеся факторы (уязвимости).

Как видно из определения, атака - это всегда пара "источник - фактор", реализующая угрозу и приводящая к ущербу. При этом, анализ последствий предполагает проведение анализа возможного ущерба и выбора методов парирования угроз безопасности информации.

1. Классификация источников угроз информационной безопасности

Классификация угроз может быть проведена по множеству признаков. Наиболее распространённые из них.

По природе возникновения принято выделять естественные и искусственные угрозы. Естественными принято называть угрозы, возникшие в результате воздействия на автоматизированные системы объективных физических процессов или стихийных природных явлений, не зависящих от человека. В свою очередь, искусственные угрозы вызваны действием человеческого фактора.

Примерами естественных угроз могут служить пожары, наводнения, цунами, землетрясения и т.д. Неприятная особенность таких угроз -чрезвычайная трудность или даже невозможность их прогнозирования. По степени преднамеренности выделяют случайные и преднамеренные угрозы. Случайные угрозы бывают обусловлены халатностью или непреднамеренными ошибками персонала. Преднамеренные угрозы обычно возникают в результате направленной деятельности злоумышленника.

В качестве примеров случайных угроз можно привести непреднамеренный ввод ошибочных данных, неумышленную порчу оборудования. Пример преднамеренной угрозы проникновение злоумышленника на охраняемую территорию с нарушением установленных правил физического доступа.

В зависимости от источника угрозы принято выделять:

- Угрозы, источником которых является природная среда. Примеры таких угроз - пожары, наводнения и другие стихийные бедствия.

- Угрозы, источником которых является человек. Примером такой угрозы может служить внедрение агентов в ряды персонала автоматизированных систем со стороны конкурирующей организации.

- Угрозы, источником которых являются санкционированные программно-аппаратные средства. Пример такой угрозы некомпетентное использование системных утилит.

- Угрозы, источником которых являются несанкционированные программно-аппаратные средства. К таким угрозам можно отнести, например, внедрение в систему кейлоггеров, Кейлоггер (анг. Keylogger key(stroke) - нажатие на клавишу и англ. logger - регистрирующее устройство) - это программный продукт (модуль) или аппаратное устройство, регистрирующее каждое нажатие клавиши на клавиатуре компьютера. По положению источника угрозы выделяют:

- Угрозы, источник которых расположен вне контролируемой зоны. Примеры таких угроз - перехват побочных электромагнитных излучений (ПЭМИН) или перехват данных, передаваемых по каналам связи; дистанционная фото и видеосъёмка; перехват акустической информации с использованием направленных микрофонов.

- Угрозы, источник которых расположен в пределах контролируемой зоны. Примерами подобных угроз могут служить применение подслушивающих устройств или хищение носителей, содержащих конфиденциальную информацию.

По степени воздействия на автоматизированные системы выделяют пассивные и активные угрозы. Пассивные угрозы при реализации не осуществляют никаких изменений в составе и структуре автоматизированных систем.

Реализация активных угроз, напротив, нарушает структуру автоматизированной системы. Примером пассивной угрозы может служить несанкционированное копирование файлов с данными.

По способу доступа к ресурсам автоматизированных систем выделяют:

- Угрозы, использующие стандартный доступ. Пример такой угрозы -несанкционированное получение пароля путём подкупа, шантажа, угроз или физического насилия по отношению к законному обладателю.

- Угрозы, использующие нестандартный путь доступа. Пример такой угрозы - использование не декларированных возможностей средств защиты. Критерии классификации угроз можно продолжать, однако на практике чаще всего используется следующая основная классификация угроз, основывающаяся на трёх введённых ранее базовых свойствах защищаемой информации:

1. Угрозы нарушения конфиденциальности информации, в результате реализации которых информация становится доступной субъекту, не располагающему полномочиями для ознакомления с ней.

2. Угрозы нарушения целостности информации, к которым относится любое злонамеренное искажение информации, обрабатываемой с использованием автоматизированных систем.

3. Угрозы нарушения доступности информации, возникающие в тех случаях, когда доступ к некоторому ресурсу автоматизированной системе для легальных пользователей блокируется.

2. Классификация уязвимостей безопасности

Угрозы, как возможные опасности совершения какого-либо действия, направленного против объекта защиты, проявляются не сами по себе, а через уязвимости (факторы), приводящие к нарушению безопасности информации на конкретном объекте информатизации.

Уязвимости присущи объекту информатизации, неотделимы от него и обуславливаются недостатками процесса функционирования, свойствами архитектуры автоматизированных систем, протоколами обмена и интерфейсами, применяемыми программным обеспечением и аппаратной платформой, условиями эксплуатации и расположения.

Источники угроз могут использовать уязвимости для нарушения безопасности информации, получения незаконной выгоды (нанесения ущерба собственнику, владельцу, пользователю информации) Кроме того, возможно не злонамеренные действия источников угроз по активизации тех или иных уязвимостей, наносящих вред.

Каждой угрозе могут быть сопоставлены различные уязвимости. Устранение или существенное ослабление уязвимостей влияет на возможность реализации угроз безопасности информации.

Для удобства анализа, уязвимости разделены на классы (обозначаются заглавными буквами), группы (обозначаются римскими цифрами) и подгруппы (обозначаются строчными буквами). Уязвимости безопасности информации могут быть:

- объективными,

- субъективными,

- случайными.

Объективные уязвимости

Объективные уязвимости зависят от особенностей построения и технических характеристик оборудования, применяемого на защищаемом объекте. Полное устранение этих уязвимостей невозможно, но они могут существенно ослабляться техническими и инженерно-техническими методами парирования угроз безопасности информации. К ним можно отнести:

а) сопутствующие техническим средствам излучения

· электромагнитные (побочные излучения элементов технических средств, кабельных линий технических средств, излучения на частотах работы генераторов, на частотах самовозбуждения усилителей)

· электрические (наводки электромагнитных излучений на линии и проводники, просачивание сигналов в цепи электропитания, в цепи заземления, неравномерность потребления тока электропитания)

· звуковые (акустические, виброакустические)

б) активизируемые

· аппаратные закладки (устанавливаемые в телефонные линии, в сети электропитания, в помещениях, в технических средствах)

· программные закладки (вредоносные программы, технологические выходы из программ, нелегальные копии ПО)

в) определяемые особенностями элементов

· элементы, обладающие электроакустическими преобразованиями (телефонные аппараты, громкоговорители и микрофоны, катушки индуктивности, дроссели, трансформаторы и пр.)

· элементы, подверженные воздействию электромагнитного поля (магнитные носители, микросхемы, нелинейные элементы, поверженные ВЧ навязыванию)

г) определяемые особенностями защищаемого объекта

· местоположением объекта (отсутствие контролируемой зоны, наличие прямой видимости объектов, удаленных и мобильных элементов объекта, вибрирующих отражающих поверхностей)

· организацией каналов обмена информацией (использование радиоканалов, глобальных информационных сетей, арендуемых каналов )

Субъективные уязвимости

Субъективные уязвимости зависят от действий сотрудников и, в основном, устраняются организационными и программно-аппаратными методами:

а) ошибки

· при подготовке и использовании программного обеспечения (при разработке алгоритмов и программного обеспечения, инсталляции и загрузке программного обеспечения, эксплуатации программного обеспечения, вводе данных)

· при управлении сложными системами (при использовании возможностей самообучения систем, настройке сервисов универсальных систем, организации управления потоками обмена информации)

· при эксплуатации технических средств (при включении/выключении технических средств, использовании технических средств охраны, использовании средств обмена информацией)

б) нарушения

· режима охраны и защиты (доступа на объект, доступа к техническим средствам)

· режима эксплуатации технических средств (энергообеспечения, жизнеобеспечения)

· режима использования информации (обработки и обмена информацией, хранения и уничтожения носителей информации, уничтожения производственных отходов и брака)

· режима конфиденциальности (сотрудниками в нерабочее время, уволенными сотрудниками).

Случайные уязвимости

Случайные уязвимости зависят от особенностей окружающей защищаемый объект среды и непредвиденных обстоятельств. Эти факторы, как правило, мало предсказуемы и их устранение возможно только при проведении комплекса организационных и инженерно-технических мероприятий по противодействию угрозам информационной безопасности:

а) сбои и отказы

· отказы и неисправности технических средств (обрабатывающих информацию, обеспечивающих работоспособность средств обработки информации, обеспечивающих охрану и контроль доступа)

· старение и размагничивание носителей информации (дискет и съемных носителей, жестких дисков, элементов микросхем, кабелей и соединительных линий)

· сбои программного обеспечения (операционных систем и СУБД, прикладных программ, сервисных программ, антивирусных программ)

· сбои электроснабжения (оборудования, обрабатывающего информацию, обеспечивающего и вспомогательного оборудования)

б) повреждения

· жизнеобеспечивающих коммуникаций (электро-, водо-, газо-, теплоснабжения, канализации, кондиционирования и вентиляции )

· ограждающих конструкций (внешних ограждений территорий, стен и перекрытий зданий, корпусов технологического оборудования).

3. Причины существования нарушений информационной безопасности

Уязвимость защиты (УЗ) -- совокупность причин, условий и обстоятельств, наличие которых в конечном итоге может привести к нарушению нормального функционирования ВС и нарушению безопасности (несанкционированному доступу, ознакомлению, уничтожению или искажению данных).

В 70-х годах были предприняты попытки формального описания и систематизации информации о УЗ. Исследования проводились по проектам RISOS (Исследование безопасности защищенных операционных систем) и РА (Анализ защиты).

Предлагаемые методики поиска ошибок безопасности в операционных системах достаточно ограничены в практическом применении. Это можно объяснить предпринятой попыткой обеспечить универсальность методик, что отрицательно сказалось на возможности их развития и адаптации для новых ОС. С другой стороны усилия исследователей слишком рано были перенаправлены от изучения УЗ в сторону разработки универсальной технологии создания защищенных операционных систем, свободных от подобных ошибок.

К причинам нарушения безопасности ВС относятся:

1) предопределенные на стадии разработки требований выбора модели безопасности, не соответствующей назначению или архитектуре ВС;

2) обусловленные принципами организации системы обеспечения безопасности:

* неправильное внедрение модели безопасности;

* отсутствие идентификации и/или аутентификации субъектов и объектов;

* отсутствие контроля целостности средств обеспечения безопасности;

3) обусловленные реализацией:

* ошибок, допущенных в ходе программной реализации средств обеспечения безопасности;

* наличием средств отладки и тестирования в конечных продуктах;

4) ошибки администрирования.

Предложенный подход к классификации причин нарушения безопасности в отличие от существующих подходов позволяет определить полное множество независимых первопричин нарушений безопасности, не сводимых одна к другой, и образующих ортогональное пространство факторов, которые определяют реальную степень безопасности системы.

Сопоставление таксономии причин нарушений безопасности и классификации источников появления УЗ демонстрирует тот факт, что источником появления наибольшего количества категорий УЗ является неправильное внедрение модели безопасности и ошибки в ходе программной реализации. Это означает, что перечисленные причины являются наиболее значимыми и должны быть устранены в первую очередь.

Сопоставление причин нарушений безопасности и классификации УЗ по этапу внесения показывает, что появление основных причин нарушения безопасности закладывается на этапе разработки, причем в основном на стадии задания спецификаций. Это вполне ожидаемый результат, так как именно этап составления спецификаций является одним из самых трудоемких, а последствия ошибок в спецификациях сказываются на всех последующих этапах разработки и распространяются на все взаимосвязанные компоненты системы.

Заключение

информационный безопасность угроза ошибка

Цель мероприятий в области информационной безопасности - защитить интересы субъектов информационных отношений. Интересы эти многообразны, но все они концентрируются вокруг трех основных аспектов: доступность; целостность; конфиденциальность. Первый шаг при построении системы ИБ организации - ранжирование и детализация этих аспектов. Важность проблематики информационной безопасности объясняется двумя основными причинами: ценностью накопленных информационных ресурсов; критической зависимостью от информационных технологий. Разрушение важной информации, кража конфиденциальных данных, перерыв в работе вследствие отказа - все это выливается в крупные материальные потери, наносит ущерб репутации организации. Проблемы с системами управления или медицинскими системами угрожают здоровью и жизни людей.

Современные информационные системы сложны и, значит, опасны уже сами по себе, даже без учета активности злоумышленников. Постоянно обнаруживаются новые уязвимые места в программном обеспечении. Приходится принимать во внимание чрезвычайно широкий спектр аппаратного и программного обеспечения, многочисленные связи между компонентами. Меняются принципы построения корпоративных информационных систем. Используются многочисленные внешние информационные сервисы; предоставляются вовне собственные; получило широкое распространение явление, обозначаемое исконно русским словом «аутсорсинг», когда часть функций корпоративной информационной системы передается внешним организациям. Развивается программирование с активными агентами.

Успех в области информационной безопасности может принести только комплексный подход, сочетающий меры четырех уровней: законодательного; административного; процедурного; программно-технического. Проблема информационной безопасности - не только (и не столько) техническая; без законодательной базы, без постоянного внимания руководства организации и выделения необходимых ресурсов, без мер управления персоналом и физической защиты решить ее невозможно. Комплексность также усложняет проблематику информационной безопасности; требуется взаимодействие специалистов из разных областей.

Список использованной литературы

1. Айков, Д. Компьютерные преступления [Текст] : руководство по борьбе с компьютерными преступлениями / Д. Айков. -- М. : Мир, 2009. -- 155 с.

2. Баричев, С. В. Криптография без секретов [Текст] / С. В. Баричев. -- М .: Наука, 2008. -- 257 с.

3. Галатенко, В. А. Информационная безопасность [Текст] / В. А. Галатенко. -- М. : Финансы и статистика, 2007. -- 512 с.

4. Герасименко, В. А. Защита информации в автоматизированных системах обработки данных [Текст] / В. А. Герасименко. -- М. : Энергоатомиздат, 2006. -- 314 с.

5. Копылов, В. А. Информационное право [Текст] / В. А. Копылов. -- М. : Финансы и статистика, 2009. -- 198 с.

6. Кураков, Л. П., Смирнов, С. Н. Информация как объект правовой защиты [Текст] / Л. П. Кураков, С. Н. Смирнов. -- М. : Гелиос, 2008. -- 615 с.

7. Ященко, В. В. Введение в криптографию [Текст] / В. В. Ященко. - Спб. : Питер, 2010. - 478 с.

Размещено на Allbest.ru