Техническая защищенность информационных ресурсов

Техническая защищенность информационных ресурсов

ПРАВОНАРУШЕНИЯ В ОБЛАСТИ ТЕХНИЧЕСКОЙ ЗАЩИЩЕННОСТИ ИНФОРМАЦИОННЫХ СИСТЕМ

Характерные правонарушения, совершаемые путем нарушения технической защиты ИС, подпадают, как правило, под действие Уголовного кодекса (УК) РФ, в который включена специальная глава 28 «Преступления в сфере компьютерной информации». Она впервые появилась в УК и существенно повысила меру ответственности за правонарушения в этой сфере.
Злонамеренное введение в ИС вредоносных программ, приводящих к нарушениям ее работы — так называемых вирусов, — законом трактуется как преступление и наказывается в соответствии с УК РФ, для чего в кодекс введена статья 273 «Создание, использование и распространение вредоносных программ для ЭВМ».

В соответствии с этой статьей создание программ для ЭВМ или внесение изменений в существующие программы, заведомо приводящих к несанкционированному уничтожению, блокированию, модификации либо копированию информации, нарушению работы ЭВМ, системы ЭВМ или их сети, а равно использование или распространение таких программ или машинных носителей с такими программами наказывается лишением свободы на срок до трех лет со штрафом в размере от двухсот до пятисот минимальных размеров оплаты труда или в размере заработной платы или иного дохода осужденного за период от двух до пяти месяцев. Те же деяния, повлекшие по неосторожности тяжкие последствия, наказываются лишением свободы на срок от трех до семи лет.

Как видно, закон сурово карает заражение ИС вирусами. Естественно, кара ужесточается, если оно совершается с умыслом, из корыстных интересов или заранее подготовлено. Тем не менее вирусы «гуляют» по системам, число их множится, поэтому необходимо постоянно проводить в системах работу по выявлению и уничтожению таких программ. Существуют коллективы, разрабатывающие антивирусные программы, которые позволяют снизить риск поражения системы вредоносной программой, срыва работ и потери данных.

Здесь можно отметить, что в борьбе с вирусами важную роль играет правовая основа. Так, вирус I love you (я люблю тебя), запущенный в сети в 2000 г. через электронную почту молодой супружеской четой из Филиппин, поразил во всем мире около 48 млн компьютеров. Довольно быстро виновников вычислили и арестовали. Однако они были отпущены на свободу, поскольку в законодательстве Республики Филиппины нет ни одного правового акта в этой сфере.

Характерным массовым правонарушением в сфере информатизации стало так называемое проникновение, несанкционированный доступ в среду ЭВМ, систем ЭВМ или вычислительных сетей. Это деяние может иметь в своей основе как корыстные, так и чисто профессиональные, но искаженные мотивы. На этой основе возникло движение хакеров (hacker — от hack: разрубить, расколоть, разбить на мелкие куски), которые даже координируют свои атаки на те или иные системы, проводят «чемпионаты мира» и т. д. Наиболее ценятся в их среде успешные проникновения в особо защищаемые системы, их не останавливают ни военные, ни политические, ни разведывательные системы, не говоря о системах банковских и иных коммерческих структур.
Время от времени хакеры объявляют войну, как правило, тому или иному ведомству США, хотя находиться они могут в самых разных частях земного шара и координировать свои действия через Интернет. Например, в феврале 1998 г. были произведены многочисленные атаки на различные сети и компьютерные системы в США и взломаны, в частности, 11 серверов Пентагона. Оказалось, что злоумышленниками оказались два американских школьника. Однако их поимка не положила конец борьбе хакеров против крупнейших правительственных и академических узлов Сети.
Атакам хакеров время от времени подвергаются и системы определенного типа. Так, сообщения о массированном взломе серверов НАСА, ВМФ США, а также локальных сетей в десятках американских университетов поступили 4 марта 1998 г. На сей раз мишенью взломщиков оказались системы, использующие операционную систему Microsoft Windows NT. Как оказалось, компьютеры, на которых эта система установлена, выводятся из строя посылкой довольно нехитрого набора команд с любого адреса в Сети. Фирма уже выпустила программу-заплату, позволяющую обезопасить компьютеры от нападения такого рода, однако не все системные администраторы успевают сразу ставить новые оборонительные модули на свои машины по мере обнаружения новых прорех в безопасности ОС Microsoft Windows NT.

Примеров таких происшествий становится все больше и в России. Для наших хакеров наиболее характерно стремление проникнуть в ИС банковских учреждений. В главе 28 УК РФ введена статья 272 «Неправомерный доступ к компьютерной информации», которая определяет как преступление неправомерный доступ к компьютерной информации, то есть к информации на машинном носителе, в ЭВМ, системе ЭВМ или их сети, если это деяние повлекло уничтожение, блокирование, модификацию либо копирование информации, нарушение работы ЭВМ, системы ЭВМ или их сети. Это означает, что в массе своей хакеры совершают деяния, которые закон определяет как преступления.

Это преступное деяние наказывается штрафом в размере от двухсот до пятисот минимальных размеров оплаты труда или в размере заработной платы или иного дохода осужденного за период от двух до пяти месяцев либо исправительными работами на срок от шести месяцев до одного года, либо лишением свободы на срок до двух лет. То же деяние, совершенное группой лиц по предварительному сговору, наказывается более сурово.
С ростом ценности информации, сосредоточенной в ИС, возрастает цена ошибки персонала и соответственно должна повышаться мера ответственности за соблюдение правил работы в среде ИС, то есть за соблюдение правил эксплуатации таких систем. При серьёзных последствиях нарушение правил эксплуатации приобретает признаки уголовного преступления и наказывается как таковое. В УК РФ этим правонарушениям посвящена статья 274 «Нарушение правил эксплуатации ЭВМ, системы ЭВМ или их сети».

В соответствии с этой статьей вынесенное в название статьи деяние, совершенное лицом, имеющим доступ к ЭВМ, системе ЭВМ или их сети, повлекшее уничтожение, блокирование или модификацию охраняемой законом информации ЭВМ, если это деяние причинило существенный вред, наказывается лишением права занимать определенные должности или заниматься определенной деятельностью на срок до пяти лет либо обязательными работами на срок от ста восьмидесяти до двухсот сорока часов, либо ограничением свободы на срок до двух лет. То же деяние, повлекшее по неосторожности тяжкие последствия, наказывается лишением свободы на срок до четырех лет. Таким образом, закон существенно повысил меру ответственности лиц, имеющих доступ к ресурсам ИС, за соблюдение правил работы с этими ресурсами и за их сохранность.
Правда, в этой статье вызывает некоторые вопросы определение понятия «правила эксплуатации», но в этом направлении можно работать более целенаправленно, имея в виду ту меру ответственности, какую возлагает закон за нарушения этих правил. К правилам эксплуатации ИС или ИР примыкают правила эксплуатации собственно вычислительных центров, связанных с обеспечением энергоснабжения ВЦ, функционированием климатических установок и т. п.

При расследовании происшествий, поблекших потери ИР, может оказаться сложно разделить нарушения правил эксплуатации собственно ЭВМ, системы ЭВМ или их сети от нарушений в сфере эксплуатации обеспечивающих комплексов и средств. Особенно не просто это сделать при так называемых форс-мажорных обстоятельствах: пожарах, катастрофах и т. п.

Таким образом, необходимость неукоснительного соблюдения и сохранения ИР охраняется и стимулируется законом. Наиболее строгие нормы закона (уголовное преследование) распространены теперь и на эту область.

ПОСТРОЕНИЕ РАЦИОНАЛЬНОЙ ЗАЩИТЫ ИС

Необходимо отметить, что защита системы не может быть абсолютной. Она и не должна строиться как абсолютная. Это потребовало бы существенного увеличения затрат на ее создание и эксплуатацию, а также неизбежно привело бы к снижению производительности системы по основным производственным функциям. Защита должна строиться как рациональная, т.е. с оптимальными по некоторому критерию характеристиками, что всегда составляет предмет самостоятельного исследования.

Информационные системы являются сложными и комплексными, поэтому выбор даже рациональной степени защищенности является сложной проблемой, которая может быть, например, проблемой полиоптимизации или векторной оптимизации. Возможны и упрощенные подходы с учетом конкретных особенностей задачи. Для иллюстрации ниже приводится пример анализа условий рациональной защиты информации в базах данных от злонамеренного искажения или порчи.

Предполагается, что проблема защиты собранной регулярным образом на предприятии информации возникает тогда, когда ставится задача обеспечения гарантированной сохранности данных, содержащихся в базах данных, от лиц, желающих ее исправления.
Решение задачи рациональной защищенности данных может достигаться, например, за счет введения системы паролей, использования криптографических методов защиты информации, установления собственных командных процессоров, загрузчиков, создания и загрузки резидентных программ, перехватывающих прерывания и обрабатывающих команду от пользователя с последующей ее блокировкой, если команда окажется запрещенной для данной системы. Возможно также использование установки собственной главной загрузочной записи (MBR) на жестком диске.

Применительно к условиям охраны данных от активных попыток их похищения или порчи с учетом анализа особенностей задачи определяется следующий перечень мер по обеспечению защиты информации :

  • аутентификация пользователя по паролю и, возможно, по ключевой дискете или аппаратному ключу;
  • разграничение доступа к логическим дискам; прозрачное шифрование логических дисков;
  • шифрование файлов с данными;
  • разрешение запусков только строго определенных для каждого пользователя программ;
  • реакция на несанкционированный доступ;
  • регистрация всех попыток несанкционированного доступа в систему и входа/выхода пользователя в систему;
  • создание многоуровневой организации работы пользователя с расширением предоставляемых возможностей при переходе на более высокий уровень;
  • предоставление пользователю минимума необходимых ему функций.

Наиболее эффективны системы защиты, разработка которых ведется параллельно с разработкой защищаемой информационной структуры. При создании систем защиты принято придерживаться следующих принципов :

  1. постоянно действующий запрет доступа; в механизме защиты системы в нормальных условиях доступ к данным должен быть запрещен, запрет доступа при отсутствии особых указаний обеспечивает высокую степень надежности механизма защиты;
  2. простота механизма защиты; это качество необходимо для уменьшения числа возможных неучтенных путей доступа;
  3. перекрытие всех возможных каналов утечки, для чего должны всегда и гарантированно проверяться полномочия любого обращения к любому объекту в структуре данных; этот принцип является основой системы защиты. Задача управления доступом должна решаться на общесистемном уровне, при этом необходимо обеспечивать надежное определение источника любого обращения к данным;
  4. независимость эффективности защиты от квалификации потенциальных нарушителей;
  5. разделение полномочий в сфере защиты и доступа, т.е. применение нескольких разных ключей защиты;
  6. предоставление минимальных полномочий;
  7. максимальная обособленность механизма защиты; для исключения передачи пользователями сведений о системе защиты друг другу рекомендуется при проектировании защиты минимизировать число общих для нескольких пользователей параметров и характеристик механизма защиты;
  8. психологическая привлекательность защиты, для чего тоже важно добиваться, чтобы защита была по возможности простой в эксплуатации.

При построении систем защиты, основанных даже не на всех, а только на некоторых из вышеперечисленных принципов, возникают серьёзные препятствия, связанные с большими затратами на их реализацию. В связи с этим защита и должна быть не абсолютной, а только рациональной, т.е. изначально должна предполагаться в допустимой степени возможность злонамеренного проникновения в базу данных.
Активность посягательств, классификация похитителей, характеристики потока посягательств, ущерб от потери или порчи каждого из элементов информационной структуры, набор вариантов способов защиты, их прочность и стоимость одного сеанса защиты тем или иным способом - все эти данные нужно задать либо определить тем или иным путем.

Оценка возможных суммарных затрат, связанных с функцио¬нированием системы защиты базы данных, включает суммарную стоимость Z работы всех способов защиты во всех возможных их наборах применительно ко всем областям базы данных и сумму возможных потерь П, возникающих при проникновении похитителей через все способы защиты в различных их сочетаниях ко всем областям базы данных; эта оценка определится формулой
SUM = Z + П.
С учетом того, что составляющие Z и П в зависимости от степени защищенности базы данных изменяются противоположным образом, величина SUM может иметь минимум при некоторой комбинации вариантов способов защиты областей базы данных. В связи с этим для построения рациональной структуры системы защиты необходимо ее минимизировать, т.е.
SUM = Z + IJ=> min.
Поиск решения может осуществляться различными методами, например можно отыскивать решение на множестве вариантов комбинаций степеней защиты, т.е. путем перебора их возможных наборов по множеству областей базы данных вложенными циклами по вариантам допустимых способов защиты. Таким путем будут определены индексы защит для каждой из защищаемых областей базы данных, что даст для каждой области один определенный метод или совокупность нескольких методов защиты.

Такой подход позволяет подобрать самый дешевый из допустимых способов защиты для каждой из областей, при котором общая сумма затрат, связанных с функционированием защиты, и потерь, возникающих при несанкционированном доступе, будет минимальной.

Аналогично можно поставить и решить задачу выбора варианта структуры системы защиты в более сложных условиях, выполнив полноразмерный проект такой системы при соответствующих затратах на его выполнение. Если информация в базе данных стоит того, чтобы ее защищать, то и на создание системы защиты придется затратить соразмерные средства.

ЛИТЕРАТУРА

  • Основы информационного менеджмента: Учеб. пособие.-М.: Финансы и статистика, 2004.-336 с.

Wikimedia Foundation. 2010.

Игры ⚽ Нужно решить контрольную?

Полезное


Смотреть что такое "Техническая защищенность информационных ресурсов" в других словарях:

  • Сетевая разведка — получение и обработка данных об информационной системе клиента, ресурсов информационной системы, используемых устройств и программного обеспечения и их уязвимостях, средств защиты, а также о границе проникновения в информационную систему. Сетевая …   Википедия

  • Неправомерный доступ к компьютерной информации — Эта страница требует существенной переработки. Возможно, её необходимо викифицировать, дополнить или переписать. Пояснение причин и обсуждение на странице Википедия:К улучшению/24 марта 2012. Дата постановки к улучшению 24 марта 2012 …   Википедия

  • ГОСТ Р 53114-2008: Защита информации. Обеспечение информационной безопасности в организации. Основные термины и определения — Терминология ГОСТ Р 53114 2008: Защита информации. Обеспечение информационной безопасности в организации. Основные термины и определения оригинал документа: 3.1.19 автоматизированная система в защищенном исполнении ; АС в защищенном исполнении:… …   Словарь-справочник терминов нормативно-технической документации

  • Государственная программа — (Government program) Государственная программа это инструмент государственного регулирования экономики, обеспечивающий достижение перспективных целей Понятие государственной программы, виды государственных федеральных и муниципальных программ,… …   Энциклопедия инвестора

  • Инфраструктура — (Infrastructure) Инфраструктура это комплекс взаимосвязанных обслуживающих структур или объектов Транспортная, социальная, дорожная, рыночная, инновационная инфраструктуры, их развитие и элементы Содержание >>>>>>>> …   Энциклопедия инвестора

  • безопасность — 2.38 безопасность (security): Сочетание доступности, конфиденциальности, целостности и отслеживаемое™ [18]. Источник: ГОСТ Р ИСО/ТС 22600 2 2009: Информатизация здоровья. Управление полномочиями и контроль доступа. Часть 2. Формальные модел …   Словарь-справочник терминов нормативно-технической документации

  • Рынок труда — (Labor market) Рынок труда это сфера формирования спроса и предложения на рабочую силу Определение рынка труда, определение рабочей силы, структура рынка труда, субъекты рынка труда, конъюнктура рынка труда, сущность открытого и скрытого рынка… …   Энциклопедия инвестора

  • ГОСТ Р МЭК 60204-1-2007: Безопасность машин. Электрооборудование машин и механизмов. Часть 1. Общие требования — Терминология ГОСТ Р МЭК 60204 1 2007: Безопасность машин. Электрооборудование машин и механизмов. Часть 1. Общие требования оригинал документа: TN систем питания Испытания по методу 1 в соответствии с 18.2.2 могут быть проведены для каждой цепи… …   Словарь-справочник терминов нормативно-технической документации


Поделиться ссылкой на выделенное

Прямая ссылка:
Нажмите правой клавишей мыши и выберите «Копировать ссылку»