Защита информации в экономических информационных системах

- компьютерную безопасность;

- безопасность данных;

- безопасное программное  обеспечение;

- безопасность коммуникаций.

Компьютерная безопасность обеспечивается комплексом технологических и административных мер, применяемых в отношении аппаратных средств компьютера с целью обеспечения доступности, целостности и конфиденциальности, связанных с ним ресурсов.

Безопасность данных достигается защитой данных от неавторизованных, случайных, умышленных или возникших по халатности модификаций, разрушений или разглашении.

Безопасное программное  обеспечение представляет собой общесистемные и прикладные программы и средства, осуществляющие безопасную обработку данных и безопасно использующие ресурсы системы.

Безопасность коммуникаций обеспечивается принятием мер по предотвращению предоставления неавторизованным лицам информации, которая может быть выдана системой в ответ на телекоммуникационный запрос.

Политика- набор формальных (официально утвержденных либо традиционно сложившихся) правил, которые регламентируют функционирование механизма информационной безопасности.¹

Угроза безопасности информации - события или действия, которые могут привести к искажению, неразрешенному использованию или к разрушению информационных ресурсов управления системы, а также программных и аппаратных средств.

Защита информации (ЗИ) - комплекс мероприятий, направленных на обеспечение важнейших аспектов информационной безопасности: целостности, доступности и, если нужно, конфиденциальности информации и ресурсов, используемых для ввода, хранения, обработки и передачи данных.

Основные предметные направления ЗИ - охрана государственной, коммерческой, служебной, банковской тайн, персональных данных и интеллектуальной собственности.

Система - это совокупность взаимосвязанных элементов, подчиненных единой цели.

Признаками системы  являются следующие:

1. Элементы системы взаимосвязаны и взаимодействуют в рамках системы.
2. Каждый элемент системы может в свою очередь рассматриваться как самостоятельная система, но он выполняет только часть функций системы.
3. Система как целое выполняет определенную функцию, которая не может быть сведена к функциям отдельно взятого элемента.
4. Подсистемы могут взаимодействовать как между собой, так и с внешней средой и изменять при  этом свое содержание или внутреннее строение.

Под системой безопасности будем понимать организованную совокупность специальных органов, служб, средств, методов и мероприятий, обеспечивающих защиту жизненно важных интересов личности, предприятия и государства от внутренних и внешних угроз.

Система защиты информации представляет организованную совокупность специальных органов, средств, методов и мероприятий, обеспечивающих защиту информации от внутренних и внешних угроз

С позиций системного подхода к защите информации предъявляются  определенные требования:

• обеспечение безопасности информации не может быть одноразовым актом. Это непрерывный процесс, заключающийся в обосновании и реализации наиболее рациональных методов, способов и путей совершенствования и развития системы защиты, непрерывном контроле ее состояния, выявления ее узких и слабых мест и противоправных действий;
• безопасность информации может быть обеспечена  лишь при комплексном использовании всего арсенала имеющихся средств защиты во всех структурных элементах экономической системы и на всех этапах технологического цикла обработки информации;
• планирование безопасности информации осуществляется путем разработки каждой службой детальных планов защиты информации в сфере ее компетенции;
• защите подлежат конкретные данные, объективно подлежащие охране, утрата которых может  причинить организации определенный ущерб;
• методы и средства защиты должны надежно перекрывать возможные пути неправомерного доступа к охраняемым секретам;
• эффективность защиты информации означает, что затраты на ее осуществление не должны быть больше возможных потерь от реализации информационных угроз;
• четкость определения полномочий и прав пользователей на доступ к определенным видам информации;
• предоставление пользователю минимальных полномочий, необходимых ему для выполнения порученной работы;
• сведение к минимуму числа общих для нескольких пользователей средств защиты;
• учет случаев и попыток несанкционированного доступа к конфиденциальной информации; обеспечение степени конфиденциальной информации;
• обеспечение контроля целостности средств защиты и немедленное реагирование на их выход из строя.

Система защиты информации, как любая система, должна иметь  определенные виды собственного обеспечения, опираясь на которые она будет  выполнять свою целевую функцию. С учетом этого система защиты информации может иметь:

правовое обеспечение. Сюда входят нормативные документы, положения, инструкции, руководства, требования которых являются обязательными в рамках сферы действия;

организационное обеспечение. Имеется в виду, что реализация защиты информации осуществляется определенными структурными единицами, такими как: служба безопасности, служба режима, служба защиты информации техническими средствами и др.

аппаратное обеспечение. Предполагается широкое использование технических средств, как для защиты информации, так и для обеспечения деятельности собственно системы защиты информации;

информационное обеспечение. Оно включает в себя документированные сведения (показатели, файлы), лежащие в основе решения задач, обеспечивающих функционирование системы. Сюда могут входить как показатели доступа, учета, хранения, так и системы информационного обеспечения расчетных задач различного характера, связанных с деятельностью службы обеспечения безопасности;

программное обеспечение. К нему относятся антивирусные программы, а также программы (или части программ регулярного применения), реализующие контрольные функции при решении учетных, статистических, финансовых, кредитных и других задач;

 

1.2. Виды угроз, объекты и задачи

Угроза информационной безопасности – это возможность реализации воздействия на информацию, обрабатываемую в АС, приводящего к нарушению конфиденциальности, целостности или доступности этой информации, а также возможность воздействия на компоненты АС, приводящего к их утрате, уничтожению или сбою функционирования.²

Угрозы безопасности информационным объектам подразделяются на 4 группы:

1. Угрозы конфиденциальности данных и программ. Реализуются при несанкционированном доступе к данным (например, к сведениям о состоянии счетов клиентов банка), программам или каналам связи. Информация, обрабатываемая на компьютерах или передаваемая по локальным сетям передачи данных, может быть снята через технические каналы утечки.
2. Угрозы целостности данных, программ, аппаратуры. Целостность данных и программ нарушается при несанкционированном уничтожении, добавлении и модификации записей о состоянии счетов, изменении порядка расположения данных, формировании фальсифицированных платежных документов в ответ на законные запросы, при активной ретрансляции сообщений с их задержкой.
3. Угрозы доступности данных. Возникают в том случае, когда объект (пользователь или процесс) не получает доступа к законно выделенным ему ресурсам. Эта угроза реализуется захватом всех ресурсов, блокированием линий связи несанкционированным объектом в результате передачи по ним своей информации или исключением необходимой системной информации.
4. Угрозы отказа от выполнения транзакций. Возникают в том случае, когда легальный пользователь передает или принимает платежные документы, а потом отрицает это, чтобы снять с себя ответственность.

Транзакция — это передача сообщений с подтверждением об их передаче и приеме.

Угрозы могут быть обусловлены:

• естественными факторами (стихийные бедствия — пожар, наводнение, ураган, молния и другие причины);
• человеческими факторами, которые в свою очередь подразделяются на:

– пассивные угрозы (угрозы, носящие случайный, неумышленный характер). Это угрозы, связанные с ошибками процесса подготовки, обработки и передачи информации (научно-техническая, коммерческая, валютно-финансовая документация); с нецеленаправленной “утечкой умов”, знаний, информации (например, в связи с миграцией населения, выездом в другие страны для воссоединения с семьей и т.п.);

– активные угрозы (угрозы, обусловленные умышленными, преднамеренными действиями людей). Это угрозы, связанные с передачей, искажением и уничтожением научных открытий, изобретений, секретов производства, новых технологий по корыстным и другим антиобщественным мотивам (документация, чертежи, описания открытий и изобретений и другие материалы); просмотром и передачей различной документации, просмотром “мусора”; подслушиванием и передачей служебных и других научно-технических и коммерческих разговоров; с целенаправленной “утечкой умов”, знаний, информации (например, в связи с получением другого гражданства по корыстным мотивам);

Способы воздействия  угроз на информационные объекты  подразделяются на:

• информационные;
• программно-математические;
• физические;
• радиоэлектронные;
• организационно-правовые.

К информационным способам относятся:

• нарушение адресности и своевременности информационного обмена, противозаконный сбор и использование информации;
• несанкционированный доступ к информационным ресурсам;
• манипулирование информацией (дезинформация, сокрытие или искажение информации);
• незаконное копирование данных в информационных системах;
• нарушение технологии обработки информации.

Программно-математические способы включают:

• внедрение компьютерных вирусов;
• установку программных и аппаратных закладных устройств;
• уничтожение или модификацию данных в автоматизированных информационных системах.

Физические способы включают:

• уничтожение или разрушение средств обработки информации и связи;
• уничтожение, разрушение или хищение машинных или других носителей информации;
• хищение программных или аппаратных ключей и средств криптографической зашиты информации;
• воздействие на персонал;
• поставку “зараженных” компонентов автоматизированных информационных систем.

Радиоэлектронными способами являются:

• перехват информации в технических каналах ее возможной утечки;
• внедрение электронных устройств перехвата информации в технические средства и помещения;
• перехват, дешифровка и навязывание ложной информации в сетях передачи данных и линиях связи;
• воздействие на парольно-ключевые системы;
• радиоэлектронное подавление линий связи и систем управления.

Организационно-правовые способы включают:

• невыполнение требований законодательства и задержки в принятии необходимых нормативно-правовых положений в информационной сфере;
• неправомерное ограничение доступа к документам, содержащим важную для граждан и организаций информацию.

 

1.3. Классификация вирусов по видам

Компьютерный  вирус — это программный код, встроенный или в другую программу, или в документ, или в определенные области носителя данных и предназначенный для выполнения несанкционированных действий на компьютере.³

Термин "вирус" в  применении к компьютерам был  придуман Фредом Когеном из Университета Южной Калифорнии (США). Слово "вирус" латинского происхождения и означает "яд". Совершенно точных определений компьютерных вирусов не существует, однако можно эти объекты определить следующим образом.⁴

Своим названием компьютерные вирусы обязаны определенному сходству с вирусами биологическими:

• способности к саморазмножению;
• высокой скорости распространения;
• избирательности поражаемых систем (каждый вирус поражает только определенные системы или однородные группы систем);
• наличию в большинстве случаев определенного инкубационного периода.