Размещено на http://www.allbest.ru/

Некоторые особенности реагирования на неправомерный доступ к компьютерной информации

Мишин Д.С., Третьяков О.В.

ВВЕДЕНИЕ

Существенным признаком развития современного общества является рост объемов обмена информацией в различных сферах человеческой деятельности. Развитие и повсеместное внедрение информационно-телекоммуникационных сетей в нашей стране началось сравнительно недавно, но, несмотря на это, уже сейчас подобные сети обладают высокой скоростью обмена информацией и степенью взаимодействия, что обосновывает их применение.

Данные, хранящиеся и обрабатываемые, в информационных сетях объединяются в информационные ресурсы по мере усиления важности которых возрастает ценность и спрос на них на рынках. В Доктрине Информационной Безопасности Российской Федерации [1] говорится:

«Современный этап развития общества характеризуется возрастающей ролью информационной сферы, представляющей собой совокупность информации, информационной инфраструктуры, субъектов, осуществляющих сбор, формирование, распространение и использование информации, а также системы регулирования возникающих при этом общественных отношений».

Научно-техническая революция и формирование новых рынков (данных, информации, знаний, информационных технологий) вызывают сохранение устойчивой тенденции, связанной с возрастанием числа нарушений безопасности информации на всех стадиях ее обработки, хранения и передачи. На этом фоне особую актуальность приобретают проблемы, связанные с обеспечением безопасности в информационном пространстве.

Нарушения безопасности информации, в основном, связаны с доступом к компьютерной информации в обход существующих средств защиты и причины их роста кроются в высокой латентности. В нашей стране, при рассмотрении подобных деяний, в основном, оперируют понятием несанкционированный доступ, определенном в Руководящем документе Федеральной службы по техническому и экспортному контролю. Однако в данном документе дается следующее понятие:

«Несанкционированный доступ определяется как доступ к информации, нарушающий установленные правила разграничения доступа, с использованием штатных средств, предоставляемых средствами вычислительной техники или автоматизированными системами».[2]

Где «под штатными средствами понимается совокупность программного, микропрограммного и технического обеспечения средствами вычислительной техники или автоматизированными системами».[2]

Представленное определение указывает, что под несанкционированным доступом понимается нарушения безопасности информации посредством штатных средств вычислительной техники или автоматизированных систем. Следовательно, к данной категории нельзя отнести инциденты связанные с использованием специально созданных вредоносных программ, получение информации посредством снятия побочных электромагнитных излучений и т.д.

Несколько позже, при принятии Уголовного Кодекса РФ, Законодателем было предложено иное понятие нарушения информационной безопасности:

Неправомерный доступ к компьютерной информации - это несанкционированное собственником или иным законным пользователем информации проникновение к ней, в том числе с возможностью ознакомление, которое позволяет распоряжаться этой информацией (уничтожать, блокировать, модифицировать и т.д.) и создающее опасность, как для самой информации, так и для интересов собственника или иного законного пользователя.[3]

На фоне постоянного совершенствования процедур нарушения безопасности информации в вычислительных сетях наиболее целесообразным кажется использование определения данного в Уголовном Кодексе РФ. Оно отражает не совершение инцидента посредством использования штатных технических или программных средств вычислительной техники, а классифицирует само деяние, связанное с нарушением информационной безопасности, совершаемые с корыстным умыслом или по неосторожности. Исходя из этого, следует приложить максимум усилий для обнаружения попыток, реагированию на нарушение информационной безопасности и анализа рабочих станций с целью выявления и документирования следов подобных деяний.

АЛГОРИТМ ОБНАРУЖЕНИЯ И РЕАГИРОВАНИЯ НА ПОПЫТКУ НЕПРАВОМЕРНОГО ДОСТУПА

неправомерный доступ информационный безопасность

Обнаружение попытки неправомерного доступа должно повлечь за собой не только быстрый и продуманный ответ, с целью предотвращения дальнейших потерь, но и эффективное использование специальных процедур для преследования и идентификации злоумышленника. Осуществлять формирование доказательной базы инцидента должен специально подготовленный специалист в области информационной безопасности, так как в противном случае может быть случайно модифицировано ценное доказательство или неидентифицирован важный признак неавторизированной, незаконной активности в течение анализа процесса совершения неправомерного доступа к компьютерной информации.

Любая попытка совершения подобных деяний включает в себя три этапа: подготовка, реализация и завершение атаки. При этом первый этап, заключающийся, в основном, в сборе информации об используемой в информационно-телекоммуникационной сети системе обеспечения безопасности и подборе программно-технических средств ее преодоления, осуществляется заранее. На втором этапе осуществляется непосредственно реализация неправомерного доступа, плавно перетекающая в фазу завершения атаки, выполняемую с целью сокрытия следов. Можно предложить способ вычисления степени опасности атаки:

(1)

где - подготовка атаки,

- реализация атаки,

- завершение атаки

Существующие механизмы защиты, реализованные в межсетевых экранах, серверах аутентификации, системах разграничения доступа и т.д. являются средствами блокирующими, а не упреждающими. В абсолютном большинстве случаев традиционные механизмы защищают от атак, которые уже находятся в процессе реализации или завершения. В этом случае и даже если удается предотвратить ту или иную атаку, то намного более эффективным было бы упреждение и устранение самих предпосылок реализации вторжений. Комплексная система обеспечения информационной безопасности должна работать на всех трех этапах осуществления атаки, так как защита на этапах подготовки и завершения атаки не менее важна, чем в период ее реализации. Ведь обнаружение вторжения во время подготовки позволяет своевременно предотвратить ее, а правильное сохранение следов противоправного деяния позволяет разработать рациональные меры по устранению дальнейших попыток реализовать аналогичную атаку. Эффективность системы обеспечения информационной безопасности должна быть выше опасности инцидента связанного с неправомерным доступом к компьютерной информации.

(2)

Если принять эффективность обеспечения информационной безопасности за 1, то, следовательно, вероятность возникновения успешной атаки должна быть меньше 1. Отсюда следует, что реакция на инцидент, связанный с неправомерным доступом к компьютерной информации, является сложной задачей, которую можно решить с использованием специально разработанной методики с учетом предполагаемых действий правонарушителя.

На первом этапе осуществляется подготовка к неправомерным действиям и формирование алгоритма реагирования на инцидент на основе информации о его процедурах. Доскональная проработка этого вопроса позволяет наиболее эффективно противодействовать рассматриваемым попыткам.

Обнаружение инцидентов, связанных с неправомерным доступом к компьютерной информации, осуществляется при содействии установленного на объектах информационно-телекоммуникационной сети программного обеспечения. Системы обеспечения информационной безопасности должны не только обнаруживать известные атаки и предупреждать о них, но и распознавать непонятные источники информации об атаках, при этом, снижая нагрузку на персонал, давая возможность управления собой не экспертами в данной области. К подобным системам целесообразно отнести системы обнаружения атак.

Факт неправомерного доступа может быть обнаружен различными программно-техническими и организационными средствами. К программно-техническим можно отнести систему обнаружения атак и брандмаузеры (firewall), формирующими сообщения об опасных ситуациях в файлах отчета (журналах регистрации). В течение этого процесса происходит фиксирование даты и времени, природы инцидента, оборудования и программного обеспечения, участвующем в нем. То есть, осуществляется обнаружение и регистрация факта неправомерного доступа к компьютерной информации, формируется файл отчета.

Следующим этапом является реализация мероприятий реагирования на инцидент. Использование в информационно-телекоммуникационной сети системы обнаружения атак позволяет производить ответные действия в режиме реального времени, так как в ней уже сформирован примерный алгоритм реагирования на нештатные ситуации, включающий в себя несколько этапов (рис. 1). На первом проверяется информация об инциденте и сетевые журналы, а на втором этапе осуществляется реализация мероприятий безопасности и изоляция инцидента.

На основе зарегистрированного факта осуществляется предупреждение администратора сети, а в отдельных случаях системой принимается решения на полную остановку обмена данными. Происходит реализация мероприятий по реагированию на нарушение информационной безопасности, изоляция попытки неправомерного доступа, фиксирование доказательной базы.

Целью заключительного этапа является создание как можно более полного набора документов. Применение системы обнаружения атак позволяет формировать необходимые документы, начиная с первой фазы вторжения и формировать отчет о происшедшем инциденте. Основываясь на файлах отчета, есть возможность осуществить поиск и наказание лица или группы лиц виновных в инциденте, выработать рекомендации по совершенствованию мер защиты в используемой информационно-телекоммуникационной сети.

Размещено на http://www.allbest.ru/

Рисунок 1 Примерная блок-схема алгоритма реагирования системы обнаружения атак на нештатные ситуации

ЗАКЛЮЧЕНИЕ

Постоянное совершенствование процедур неправомерного доступа не приводит к уменьшению количества следов подобных деяний. Не смотря на то, что практически не существует двух абсолютно идентичных инцидентов, остается возможным построение эффективной системы безопасности в информационно-телекоммуникационной сети.

В современных информационных сетях следы неправомерного доступа, в большинстве случаев, остаются на жестком диске рабочей станции и корректное копирование данных позволяет более полно оценить действия злоумышленника. При этом для проведения эффективного анализа нет необходимости использовать программные средства с обилием параметров, так как это может вызвать путаницу. Методика реагирования на инциденты требует тщательного анализа случаев нарушения информационной безопасности.

ЛИТЕРАТУРА

1. Доктрина информационной безопасности Российской Федерации [Текст] // Российская газета. 2000, 28 сентября

2. Руководящий документ «Концепция защиты средств вычислительной техники и автоматизированных систем от несанкционированного доступа к информации» [Текст] Утвержден решением Государственной технической комиссии при Президенте Российской Федерации от 30 марта 1992 г.

3. Уголовный кодекс Российской Федерации [Текст]/ Принят Государственной Думой РФ 24 мая 1996г. М.: ТК Велби, 2005. с.192.

4. Мишин, Д.С. Теоретические основы развития информационно-телекоммуникационной среды (организационно-правовые и социокультурные аспекты) [Текст] / Д.С. Мишин, С.В. Скрыль, О.В. Третьяков, А.В. Чуев. - Орел: ОрЮИ МВД России, 2005.

5. Усов, А.И. Судебно-экспертное исследование компьютерных средств и систем [Текст]: учебное пособие / А.И. Усов. М: «Экзамен», 2003.

6. Мишин Д.С., Еременко А.В. Методы и системы обнаружения атак в компьютерных сетях [Текст] / Д.С. Мишин, А.В. Еременко // «Вестник информационных и компьютерных технологий» № 10. 2006.

Размещено на Allbest.ru