Інформаційна складова ризику.

Основні компоненти ризику.

Будь-який ризик пов'язаний хоч би з одним з чотирьох компонентів, які є джерелами і причинами ризиків. До них слід віднести наступні компоненти:

-інформація;

-людина;

-технічні системи;

-природа.

Як правило, об'єктами аналізу і рішення завдань по забезпеченню інформаційної безпеки є компоненти (засоби і інформаційні технології) автоматизованих інформаційних систем (АІС), автоматизованих систем управління(АСУ), телекомунікаційних систем (ТКС), а також інформаційні ресурси (ІР), що накопичуються і оброблювані цими комп'ютерними системами. Проте, з точки зору цілісного розгляду будь-якої організаційної структури незалежно від її функціонального призначення(підприємництво, виробництво, банківська справа, управління і так далі) на предмет вирішення проблеми інформаційної безпеки, потрібно набагато складнішу компонентну картину об'єкту. У літературі зустрічаються спроби знайти узагальнювальний термін для іменування такого роду об'єктів: соціотехнічна система, об'єкт інформатизації або автоматизації і так далі. На нашу думку, цілком досить користуватися терміном " організація" як самостійного об'єкту конкретного виду діяльності При цьому, по-перше, робиться акцент на основне призначення об'єкту, по-друге, коли йдеться про забезпечення інформаційної безпеки очевидно потрібний розгляд усієї інформаційної сфери і впливу інформаційних процесів на основну діяльність об'єкту. Для організації можна виділити, принаймні, два аспекти її інформаційного прояву: внутрішньооб'єктова інформаційна діяльність і зовнішній інформаційний прояв об'єкту. Внутрішньооб'єктова інформаційна діяльність забезпечується і реалізується такими компонентами як автоматизовані процеси і АСУ, АІС, ТКС, ИР, інформаційна підтримка(у тому числі у вигляді технологій роботи з традиційними документами на паперових носіях), інформаційно - аналітична підтримка. Поняття внутрішньооб'єктової інформаційної діяльності, в принципі, цілком тотожно поняттю інформаційної системи організації(ІС) в широкому сенсі, коли вона об'єднує усі види інформаційної діяльності(комп'ютерні і телекомунікаційні системи, традиційне діловодство, зовнішня інформаційно-аналітична підтримка і так далі). Зовнішній інформаційний прояв об'єкту може бути штатним(зовнішня штатна інформаційна взаємодія - повідомлення через ТКС і потоки традиційних документів) і побічним(електромагнітні випромінювання і наведення, спецтехніка, несанкціонована передача відомостей за рахунок людського чинника). Розглядаючи організацію як об'єкт цілісного рішення проблеми інформаційної безпеки, необхідно виявити усі види загроз інформаційного характеру, які можуть деструктивно вплинути на її діяльність. І в цьому випадку, на наш погляд, продуктивно повернутися до тієї класифікації, яку свого часу запропонував професор Герасименко В.А., а саме виділити два основні класи: загрози інформації і інформаційні загрози. Сенс в цьому очевидний. При цьому ми керуватимемося також ширшим розумінням інформаційної безпеки організації, як це пропонує Стрільців А.А. ("Забезпечення інформаційної безпеки Росії", МЦНО, 2002):Інформаційна безпека - неможливість завдання шкоди властивостям об'єкту безпеки, що обумовлюються інформацією(незалежно від виду її формального відображення і часу життя) і інформаційною інфраструктурою. У нашому випадку "об'єктом безпеки" виступає організація, фірма. Усі загрози, що деструктивно впливають на зібрану організацією, інформацію, що зберігається і оброблювану, яка і складає її інформаційні ресурси, а також на засоби і служби реалізації інформаційних технологій, тобто на інформаційну систему (ІС) організації вимагають рішення задачі захисту інформації. Вони складають безліч загроз інформації. Проте інформаційна діяльність на об'єкті не є самоціллю, а частиною основної діяльності організації, що тільки забезпечує. Сама інформація, що входить в ИР організації, її зміст, регламент подання і якість, може бути небезпечним для споживача(керівники, служби, користувачі, об'єкти управління в АСУ і так далі), оскільки на її основі приймаються рішення організаційно-виробничого характеру, здійснюється управління процесами. Отже, інформаційна сфера може бути джерелом загроз для організації, і ці загрози відносяться до інформаційних загроз. Наявність інформаційних загроз вимагає рішення задачі безпеки інформації. Система інформаційної безпеки - сукупність засобів і заходів по забезпеченню захищеності інформації в ІС і мінімізації інформаційних загроз для об'єкту безпеки з боку інформаційної сфери. Захищеність інформації оцінюється показниками(відповідно до "Критеріїв оцінки безпеки інформаційної технології", прийнятими європейськими країнами в 1991 році і введеними у вітчизняну методологію проектування систем захисту інформації - документи Державної технічної комісії):

 

Інформаційна складова ризику.

Інформаційна складова ризику найбільш вагома у випадках використання прогнозної інформації, дефіциту часу на обробку інформації і ухвалення рішення, в умовах активної інформаційної протидії конкурентів або супротивника. На відміну від інших складових ризику інформаційна складова обов'язково є присутньою в кожній ризиковій події. Змінюється лише її відносна величина.

Настанню ризикової події можуть сприяти свідомі або неумисні дії людини. Навіть маючи якісну інформацію, фахівець може прийняти неправильне рішення або виконати неприпустиму дію, яка спричинить реалізацію ризикової події. Значна частина ризикових подій пов'язана з технічними системами, технологічними процесами, отриманими людиною речовинами і іншими об'єктами, що є продуктами людської діяльності. Техногенні аварії, збої і відмови устаткування, екологічні катастрофи далеко не вичерпують повного переліку компонентів цього типу. Природні явища, тваринний і рослинний світ на сьогодні все ще недостатньо добре вивчені людиною. Людина безсила перед цілим рядом стихійних лих. Значна частина з них доки ще не піддається точному і своєчасному прогнозуванню.

 

Показники якості інформації.

Якість инфоормації- сукупність властивостей, що відбивають міру придатності конкретної інформації про об'єкти і їх взаємозв'язки для досягнення цілей, що стоять перед користувачем, при реалізації тих або інших видів діяльності. До складу найбільш загальних параметрів входять: достовірність, своєчасність, новизна, цінність, корисність, доступність.

Якість інформації визначається наступними показниками:

-достовірність;

-актуальність;

-конфіденційність;

-повнота;

-своєчасність отримання;

-форма представлення;

-надмірність

Рис. 1. Схема воздействия информационных рисков на процесс функционирования предприятия

Інформаційні ризики.

Забезпечення інформаційної безпеки - одне з головних завдань сучасного підприємства. Загрозу можуть представляти не лише технічні збої, але і неузгодженість даних в різних облікових системах, яка зустрічається чи не у кожної другої компанії, а також необмежений доступ співробітників до інформації.

Окрім цього ще більше серезную загрозу можуть представляти будь-які форс-мажорні обставини(пожежі, затоплення), що несуть катастрофічні наслідки для існування бізнесу. Як виявити і мінімізувати інформаційні риски(IT- риски)? Інформаційні риски - це небезпека виникнення збитків або збитку в результаті застосування компанією інформаційних технологій. Іншими словами, IT- риски пов'язані із створенням, передачею, зберіганням і використанням інформації за допомогою електронних носіїв і інших засобів зв'язку.

IT- риски можна розділити на дві категорії:

1) риски, викликані просочуванням інформації і використанням її конкурентами або співробітниками в цілях, які можуть пошкодити бізнесу;

2) риски технічних збоїв роботи апаратного і програмного забезпечення, каналів передачі інформації, які можуть привести до збитків.

Мінімізація ІТ - ризиків.

Робота по мінімізації IT- ризиків полягає в попередженні несанкціонованого доступу до даних, а також аварій і збоїв устаткування і програмного забезпечення. Процес мінімізації IT- ризиків слід розглядати комплексно:

1. Спочатку виявляються можливі проблеми, а потім визначається, якими способами їх можна вирішити.

2. Чи зможе компанія в короткий термін інтегрувати існуючі технології роботи з інформацією в системи підприємства, що є об'єктом злиття або придбання?

Наприклад, в компанії встановлена одна або декілька облікових систем, за допомогою яких фінансисти отримують дані для складання консолідованої звітності. При купівлі нового підприємства з'ясовується, що у нього встановлена інша облікова система. Тому у компанії має бути чіткий план трансформації такої звітності в стандарти, прийняті на головному підприємстві. Інакше вона може втратити оперативний контроль над ситуацією.

3. Чи дозволяє організація документообігу компанії в існуючих системах продовжити її діяльність в колишньому режимі у разі відходу ключових співробітників?

4. Ця проблема надзвичайно актуальна для українських компаній, оскільки навіть фінансова і бухгалтерська інформація частенько вводиться і зберігається в довільному виді, не кажучи вже про відомості, що стосуються клієнтів і т. п. Це веде до додаткових витрат часу нових співробітників на " входження" в курс справи і підвищує вірогідність виникнення помилок.

5. Чи забезпечений захист інтелектуальної власності компанії і її клієнтів?

6. Чи має компанія чіткий алгоритм дій в критичній ситуації, наприклад у разі збоїв в роботі комп'ютерних мереж або вірусної атаки?

7. Чи відповідає спосіб роботи інформаційних систем загальним завданням компанії? (Якщо перед компанією стоїть завдання мати загальний центр управління грошовими потоками, а облікові системи, встановлені в різних філіях, не пов'язані між собою, то поставлене завдання не буде вирішено).

Точно визначити можливий збиток від більшості IT- ризиків досить складно, але приблизно оцінити їх цілком можливо.

Як мінімізувати IT- риски?

Як показує досвід багатьох компаній, найбільш успішні стратегії попередження IT- ризиків базуються на трьох основних правилах.

Правило № 1. Доступ співробітників до інформаційних систем і документів компанії має бути різний залежно від важливості і конфіденційності змісту документу.

Правило № 2. Компанія повинна контролювати доступ до інформації і забезпечувати захист вразливих місць інформаційних систем.

Правило № 3. Інформаційні системи, від яких безпосередньо залежить діяльність компанії(стратегічно важливі канали зв'язку, архіви документів, комп'ютерна мережа), повинні працювати безперебійно навіть у разі кризової ситуації або мати можливість оперативного розгортання форс-мажорних обставин на іншому майданчику.

 

 

Якість інформації.

Якість інформації є складним поняттям, його основу складає базова система показників, що включає показники трьох класів:

· - клас видачі(своєчасність, актуальність, повнота, доступність і інші);

· - клас обробки(достовірність, адекватність і інші);

· - клас захищеності(фізична цілісність інформації, логічна цілісність інформації, безпека інформації).

Якість інформації

Якість інформації є одним з найважливіших параметрів для споживача інформації. Воно визначається наступними характеристиками:

1. репрезентативність - правильність відбору інформації в цілях адекватного відображення джерела інформації. Наприклад, в цілях більшої репрезентативності даних про себе абітурієнти прагнуть представити в приймальну комісію якомога більше свідчень, дипломів, посвідчень і іншої інформації, що підтверджує їх високий рівень підготовки, що враховується при зарахуванні у ВНЗ;

2. змістовність - семантична місткість інформації. Розраховується як відношення кількості семантичної інформації до її кількості в геометричній мірі. Це характеристика сигналу, про який говорять, що "думкам в нім тісно, а словам просторо". В цілях збільшення змістовності сигналу, наприклад, використовують для характеристики успішності абітурієнта не повний перелік його атестаційних оцінок, а середній бал по атестату;

3. достатність (повнота) - мінімальний, але достатній склад даних для досягнення цілей, які переслідує споживач інформації. Ця характеристика схожа на репрезентативність, проте різниця полягає в тому, що в даному випадку враховується мінімальний склад інформації, який не заважає ухваленню рішення. Наприклад, абітурієнт - золотий медаліст може не представляти в приймальну комісію свій атестат: диплом, що підтверджує отримання золотої медалі, свідчить про повний набір відмінних оцінок в атестаті;

4. доступність - простота(чи можливість) виконання процедур отримання і перетворення інформації. Ця характеристика застосована не до усієї інформації, а лише до тієї, яка не є закритою. Для забезпечення доступності паперових документів використовуються різні засоби оргтехніки для їх зберігання, а для полегшення їх обробки використовуються засоби обчислювальної техніки;

5. актуальність - залежить від динаміки зміни характеристик інформації і визначається збереженням цінності інформації для користувача у момент її використання. Очевидно, що стосується інформації, яка використовується при зарахуванні, вона актуальна, оскільки саме навчання вже закінчилося, і його результати змінені бути не можуть, а, означає, залишаються актуальними;

6. своєчасність - вступ не пізніше заздалегідь призначеного терміну. Цей параметр також очевидний недавнім абітурієнтам: запізнення з уявленням позитивної інформації про себе при вступі може бути багате незарахуванням;

7. точність - міра близькості інформації до реального стану джерела інформації. Наприклад, неточною інформацією є медична довідка, в якій відсутні дані про перенесені абітурієнтом захворювання;

8. достовірність - властивість інформації відбивати джерело інформації з необхідною точністю. Ця характеристика вторинна відносно точності. У попередньому прикладі отримувана інформація недостовірна;

Одним з найбільш суттєвих показників якості інформації є її безпека.

 

Загрози безпеки інформації.

Під загрозою безпеки інформації розуміється потенційно можлива подія, процес або явище, яке може привести до знищення, втрати цілісності, конфіденційності або доступності інформації. Уся безліч потенційних загроз безпеки інформації в автоматизованих інформаційних системах(АИС) або в комп'ютерних системах(КС) може бути розділена на два класи: випадкові загрози і умисні загрози. Загрози, які не пов'язані з умисними діями зловмисників і реалізуються у випадкові моменти часу, називаються випадковими або неумисними. До випадкових загроз відносяться: стихійні лиха і аварії, збої і відмови технічних засобів, помилки при розробці АИС або КС, алгоритмічні і програмні помилки, помилки користувачів і обслуговуючого персоналу. Реалізація загроз цього класу призводить до найбільших втрат інформації(за статистичними даними - до 80% від збитку, що наноситься інформаційним ресурсам КС будь-якими загрозами). При цьому може відбуватися знищення, порушення цілісності і доступності інформації. Рідше порушується конфіденційність інформації, проте при цьому створюються передумови для зловмисної дії на інформацію. Згідно з тими ж статистичними даними тільки в результаті помилок користувачів і обслуговуючого персоналу відбуваються до 65% випадків порушення безпеки інформації. Слід зазначити, що механізм реалізації випадкових загроз вивчений досить добре і накопичений значний досвід протидії цим загрозам. Сучасна технологія розробки технічних і програмних засобів, ефективна система експлуатації автоматизованих інформаційних систем, що включає обов'язкове резервування інформації, дозволяють значно понизити втрати від реалізації загроз цього класу. Загрози, які пов'язані із зловмисними діями людей, а ці дії носять не просто випадковий характер, а, як правило, є непередбачуваними, називаються умисними.

До умисних загроз відносяться:

традиційне або універсальне шпигунство і диверсії, несанкціонований доступ до інформації, електромагнітні випромінювання і наведення, несанкціонована модифікація структур, шкідницькі програми.

В якості джерел небажаної дії на інформаційні ресурси як і раніше актуальні методи і засоби шпигунства і диверсій. До методів шпигунства і диверсій відносяться: підслуховування, візуальне спостереження, розкрадання документів і машинних носіїв інформації, розкрадання програм і атрибутів систем захисту, підкуп і шантаж співробітників, збір і аналіз відходів машинних носіїв інформації, підпали, вибухи, озброєні напади диверсійних або терористичних груп.

 

 

КСЗІ.

Захист інформації в комп'ютерних системах забезпечується створенням комплексної системи захисту. Комплексна система захисту включає:

- правові методи захисту;

- рганізаційні методи захисту;

- методи захисту від випадкових загроз;

- методи захисту від традиційного шпигунства і диверсій;

- методи захисту від електромагнітних випромінювань і наведень;

- методи захисту від несанкціонованого доступу;

- криптографічні методи захисту;

- методи захисту від комп'ютерних вірусів.

Серед методів захисту є і універсальні, які є базовими при створенні будь-якої системи захисту. Це, передусім, правові методи захисту інформації, які служать основою легітимної побудови і використання системи захисту будь-якого призначення. До числа універсальних методів можна віднести і організаційні методи, які використовуються у будь-якій системі захисту без виключень і, як правило, забезпечують захист від декількох загроз. Методи захисту від випадкових загроз розробляються і впроваджуються на етапах проектування, створення, впровадження і експлуатації комп'ютерних систем. До їх числа відносяться:

- створення високої надійності комп'ютерних систем;

- створення відмовостійких комп'ютерних систем;

- блокування помилкових операцій;

- оптимізація взаємодії користувачів і обслуговуючого персоналу з комп'ютерною системою;

- мінімізація збитку від аварій і стихійних лих;

- дублювання інформації.

При захисті інформації в комп'ютерних системах від традиційного шпигунства і диверсій використовуються ті ж засоби і методи захисту, що і для захисту інших об'єктів, на яких не використовуються комп'ютерні системи. До їх числа відносяться:

- створення системи охорони об'єкту;

- організація робіт з конфіденційними інформаційними ресурсами;

- протидія спостереженню і підслуховуванню;

- захист від зловмисних дій персоналу.

Усі методи захисту від електромагнітних випромінювань і наведень можна розділити на пасивні і активні. Пасивні методи забезпечують зменшення рівня небезпечного сигналу або зниження інформативності сигналів. Активні методи захисту спрямовані на створення перешкод в каналах побічних електромагнітних випромінювань і наведень, що утрудняють прийом і виділення корисної інформації з перехоплених зловмисником сигналів. На електронні блоки і магнітні пристрої, що запам'ятовують, можуть впливати потужні зовнішні електромагнітні імпульси і високочастотні випромінювання. Ці дії можуть призводити до несправності електронних блоків і стирати інформацію з магнітних носіїв інформації. Для блокування загрози такої дії використовується екранування засобів, що захищаються.

Для захисту інформації від несанкціонованого доступу створюються:

- система розмежування доступу до інформації;

- система захисту від дослідження і копіювання програмних засобів.

Початковою інформацією для створення системи розмежування доступу є рішення адміністратора комп'ютерної системи про допуск користувачів до певних інформаційних ресурсів. Оскільки інформація в комп'ютерних системах зберігається, обробляється і передається файлами(частинами файлів), то доступ до інформації регламентується на рівні файлів. У базах даних доступ може регламентуватися до окремих її частин за певними правилами. При визначенні повноважень доступу адміністратор встановлює операції, які дозволено виконувати користувачеві. Розрізняють наступні операції з файлами:

- читання(R);

- запис;

- виконання програм(E).

Операції запису мають дві модифікації:

- суб'єктові доступу може бути дано право здійснювати запис зі зміною утримуваного файлу(W);

- дозвіл дописування у файл без зміни старого вмісту(A).

Система захисту від дослідження і копіювання програмних засобів включає наступні методи:

- методи, що утрудняють причитування скопійованій інформації;

- методи, що перешкоджають використанню інформації.

 

ЗІНСД.

Аналіз систем захисту інформації від несанкціонованого доступу (HСД)показав, що вони забезпечують виконання наступних функцій:– ідентифікація ресурсів, що захищаються, тобто привласнення ресурсам,що захищаються, ідентифікаторів – унікальних ознак, за якими вподальшому система виробляє аутентифікацію;– аутентифікації ресурсів, що захищаються, тобто встановлення їхньоїсправжності на основі порівняння з еталонними ідентифікаторами;– розмежування доступу користувачів до ІС;– розмежування доступу користувачів по операціям над ресурсами(програми, дані, сектори і т.д.), що захищаються, з допомогою програмнихзасобів;адміністрування:– визначення прав доступу до ресурсів, що захищаються,– обробка реєстраційних журналів,– установка системи захисту на ПЕОМ,– зняття системи захисту з ПЕОМ,реєстрації подій:– входу користувача в систему, виходу користувача їх системи,– порушення прав доступу до ресурсів, що захищаються,– реакції на факти невстановлення справжності і порушення прав доступу,тобто ініціалізація відповідних мір на факти HСД і невстановленнясправжності;– контролю цілісності і дієздатності систем захисту;– забезпечення безпеки інформації при проведенні ремонтно-профілактичнихробіт;– забезпечення безпеки інформації в аварійних ситуаціях.Контроль і розмежування доступу до ресурсів виробляється на основітаблиць, що описують права користувачів та інших суб'єктів захисту,таких як задачі, процеси і т.д., по доступу до об'єктів захисту або,інакше кажучи, ресурсам, що захищаються.Процес доступу до ресурсів повинен контролюватися програмними засобамизахисту. Якщо доступ, який запитується щодо ресурсів, які захищаються,не відповідає наявному в таблиці прав доступу, системи захистуреєструють факт HСД та ініціалізують відповідну реакцію.Система розмежування доступу повинна забезпечувати виконання наступнихфункцій:– аутентифікація користувача за паролем і, можливо, за ключовоюдискетою;– розмежування доступу до логічних дисків;– прозорого шифрування логічних дисків;– шифрування вибраних файлів;– розмежування доступу до каталогу і файлів, включаючи посекторнийзахист даних для вибраних файлів і заборона модифікації областей FAT іDIR для вибраних файлів;– дозволу запуску суворо певних для користувача програм;– реєстрації всіх спроб HСД і входу/ виходу користувача в систему;– реакції на HСД;– захисту від відладників. У загальному випадку доцільно використати наступну схему роботи системи розмежування доступу. Вона складається з двох етапів: установки і експлуатації. Під час встановлення системи шифруються таблиці розділів в MBR і логічних дисків в запису EXTENDED BOOT RECORD для відвертання доступу до інформації на логічних дисках при завантаженні з дискети. При необхідності шифруються області даних на логічних дисках. Після цього система готова до експлуатації. У процесі експлуатації MBR виконує завантаження програми первинного налагодження. Програма первинного налагодження дійснює аутентифікацію, встановлює таблицю повноважень по доступу до логічних дисків і HГМД, забезпечує при необхідності установку програми, що реалізує РПШ, і виконує завантаження DOS. Драйвер, що завантажується з файлу CONFIG. SYS, здійснює перехват функцій системи DOS і реалізує розмежування доступу до файлів та каталогу і, при необхідності, до певних нестандартних логічних дисків. У взаємодії з програмою перехвату переривання 13h системи BIOS можна реалізувати і посекторне блокування звернення до HЖМД. Слід зазначити, що при цьому вимагається достатньо великий обсяг пам'яті для зберігання таблиць посекторного розмежування і, отже, комп'ютери, що мають достатні для зберігання цих даних розміри розширеної (EXTENDED) або додаткової (EXPANDED) пам'яті. Командний процесор, що завантажується з файлу CONFIG. SYS, дозволяє запуск суворо певних для даного користувача задач. Розглянута схема розподілу функцій системи розмежування доступу між перерахованими засобами є найбільш раціональною і забезпечує контроль доступу як до всіх логічних, так і до фізичних елементів HЖМД. Слід зазначити, що реалізація цих функцій у повному обсязі вимагає від розробників детального знання принципів побудови файлової системи DOS, а також принципів її функціонування.

На сьогоднішній день не відомі системи, що реалізують у повному обсязі всі вищенаведені вимоги. Розглянемо труднощі, що виникають при виконанні деяких функцій.

Аутентифікація користувача. Для коректної аутентифікації користувача

звичайно вимагається введення паролю, за яким відбувається вибір новажень користувача. Доцільно додатково виконувати аутентифікацію користувача по спеціальній, захищеній від копіювання, дискеті, на якій записуються додаткові дані для організації роботи користувача (ключі шифрування даних, елементів, що описують користувачів в таблицях повноважень; параметри доступу до мережі і т.д.). Цей механізм дозволяє покращити контроль входу в систему, бо знання паролю в низці випадків не достатньою умовою.

Режим прозорого шифрування логічних дисків. Режим прозорого шифрування має сенс використати тільки за наявності відповідної апаратури, оскільки будь-які програмні засоби припускають зберігання ключів в оперативній пам'яті під час виконання шифрування. Отже, ці ключі можуть бути отримані несанкціоновано. Справедливості заради слід зазначити, що доступність ключа залежить від потужності засобів захисту від відладника. Шифрування вибраних файлів. Шифрування вибраних файлів може здійснюватися в прозорому режимі або на вимогу. У випадку режиму на вимогу користувач сам вказує файл, що підлягає зашифровуванню, і вводить конкретні значення ключів. Для отримання відкритого тексту користувач повинен сам виконати аналогічну процедуру розшифрування.

У випадку прозорого режиму користувач вибирає файл або групу файлів, що автоматично повинні розшифровуватися при читанні та зашифровуватись при запису. Цей режим має низку істотних доліків. По-перше, ключі шифрування зберігаються в оперативній пам'яті зі всіма наслідками, що звідси випливають. По-друге, завжди можна отримати відкритий вміст файлу, переписавши його в деякий файл, розташований не в групі файлів прозорого шифрування.

Розмежування доступу до каталогу і файлів. Розмежування доступу до каталогу і файлів включає в себе посекторний захист від читання/ запису, захист від перейменування і переміщення. Для реалізації цієї функції необхідно зберігати таблиці великого обсягу, що описують повноваження по

доступу до кожного сектора, і тіньові таблиці FAT і DIR для перевірки коректності при їх перезапису. У загальному випадку ця проблема уявляється такою, яку важко вирішити через великий обсяг даних, що підлягають зберіганню і обробці у системі розмежування доступу.

Контроль запуску програми. Контроль запуску програми є також проблематичним. Завантаження і виконання програм можуть реалізуватися не засобами DOS, а засобами переривання 13h системи BIOS (зчитування файлу в пам'ять, налагодження таблиці адрес і передача управління цьому файлу). Тому фактично для всіх програм, запуск яких заборонений для користувача, має встановлюватися режим недоступності відповідних файлів. Таким чином функція контролю запуску програм може бути реалізована за рахунок розмежування доступу до файлів. Якщо ж таке розмежування по будь-яким причинам встановити не можна, то неможливо гарантувати санкціонований запуск програми, реалізуючи контроль на рівні DOS.

Захист від відладників. Захист від відладника має реалізуватися на всіх

етапах роботи системи. Найбільш важливим є етап аутентифікації користувача. При її виконанні до завантаження DOS бажано перевірити, що жодна програма не завантажена в пам'ять, а якщо завантажена, то не отримає управління. Для цього необхідно переконатися у виконанні наступних умов:

– усі вектори переривань, що використовуються програмою або апаратурою

вказані на області пам'яті ROM;

– розмір пам'яті в області даних системи BIOS відповідає розміру пам'яті

ПЕОМ;

– система не запущена в режимі віртуального процесора 8086;

– закрита 20-а адресна лінія (А20) на процесорах 80286, 80386, 80486 і

т.д.

 

 

Моделювання загроз.

Термін "моделювання загроз" має безліч значень. Для відповіді на питання "що таке моделювання загроз"? я скористаюся дескриптивним підходом і опишу, як може використовуватися цей термін, замість того, щоб намагатися підібрати для нього одне строге визначення. Отже, розглянемо найбільш поширені значення: термін " загроза" використовується для позначення як зловмисників, тобто людей, що атакують систему, так і ризиків, тобто тих небажаних подій, які можуть статися. Моделювання загроз може відноситися як до методики встановлення вимог до системи("яка прийнята Вами модель загроз"?), так і до методики конструкторського аналізу("дозвольте поглянути на Ваш аналіз моделі загроз"?). Крім того, моделювання загроз може будуватися на розгляді ресурсів, зловмисників або програмного забезпечення. Моделювання загроз, орієнтоване на ресурси, часто включає різні рівні оцінки, апроксимації або ранжирування ризиків. Моделювання загроз з акцентом на зловмисниках іноді включає ранжирування ризиків або оцінку ресурсів, можливостей і мотивацій(виконання таких оцінок представляє украй складне завдання для розробників пакетів програм широкого застосування, оскільки різноманітність варіантів використання тягне і різноманітність загроз, пов'язаних з кожним конкретним застосуванням). Кожен підхід до моделювання загроз має свої сильні і слабкі сторони, на яких я при необхідності зупинятимуся, пояснюючи деякі інші аспекти або описуючи отриманий досвід. Крім того, про моделювання загроз можна говорити стосовно аналізу програмних продуктів, організаційних мереж, систем або навіть промислових секторів. Моделювання протоколів часто виконується з використанням різноманітних формальних методів, іноді званих моделями мережевих загроз. Термін "моделювання мережевих загроз" також використовується при аналізі розгорнутої мережі. Нарешті, моделювання загроз може виконуватися експертами по безпеці з подальшою передачею результатів інженерам, спільно експертами і інженерами або одними інженерами без участі експертів. Фахівці з безпеки можуть засумніватися в цінності останнього підходу. Проте, існує, принаймні, дві причини, по яких варто проводити моделювання загроз без експертів. По-перше, експерти можуть бути просто відсутніми в організації по фінансових або іншим причинам. По-друге, залучення до процесу моделювання людей, які розроблятимуть систему, але які не є фахівцями з безпеки, дозволяє їм відчути свою причетність до захисту системи і набути розуміння моделі безпеки. Моделювання загроз включає безліч різних процедур по виявленню вимог до безпеки системи і по аналізу різних схем захисту. Не існує одного " кращого" або " правильнішого" методу моделювання загроз, навпаки, необхідно поєднувати і комбінувати різні альтернативи для того, щоб досягти явно заданих або прихованих цілей.

Сучасна методологія SDL. Сучасна методологія моделювання загроз в SDL є процесом, що складається з чотирьох етапів, розроблений для того, щоб скоротити об'єм експертних оцінок безпеки, які потрібні інженерам для побудови моделі загроз і упевненості в тому, що усі серйозні загрози дійсно були визначені. Цілями цієї процедури є підвищення рівня безпеки розробок, документування подій, пов'язаних із захистом продуктів, і навчання працівників питанням захисту системи в процесі розробки. Метод включає чотири основні етапи: побудову діаграм, перерахування загроз, зниження ризиків і перевірку.

Моделювання загроз як tabula rasa. Багато фахівців, маючи своє уявлення про те, як повинне виглядати моделювання загроз(термін, що має, як я вже відмітив в розділі 1.1, безліч значень), утілили ці представлення у своїх методологіях і доповненнях до існуючих методів. Найчастіше такі доповнення створюються без урахування і усвідомлення того, які витрати знадобляться на їх впровадження, які приношувані ними вигоди і витрати. Приклад - впровадження методики оцінки ризиків DREAD. Для деяких систем ця методика працює, але при моделюванні загроз з акцентом на програмному забезпеченні методика DREAD починає вводити числові змінні, не задаючи їх області визначення, що призводить до небезпеки прийняти оцінку ризиків за алгоритмічну, тоді як вона такий не являється. Проте, SDL- моделювання загроз в Microsoft явно потребує методики управління рисками, і тому DREAD була впроваджена.

Кількісна оцінка моделей загроз. Сьогодні нами створюється величезна кількість моделей загроз. Існує декілька тривіальних параметрів, які ми МОЖЕМО виміряти кількісно(число елементів, різні заходи повноти і словесного наповнення). Набагато складнішими є питання про те, які параметри ми ПОВИННІ вимірювати і ЧОМУ. Які властивості моделі загроз найточніше показують, чи досягнуті поставлені нами цілі аналізу, забезпечення безпеки і навчання? Говорячи інакше, які параметри системи відповідають певній меті і як вони з цими цілями пов'язані? Які витрати знадобляться для виміру таких параметрів? (Невеликий приклад: в одну з наших груп по обговоренню проблем забезпечення безпеки поступив електронний лист з питанням про те, як розв'язати певну проблему. Декілька чоловік відповіло на нього; після короткого обговорення група вибрала один із запропонованих варіантів. Навряд чи якесь з цих рішень було коли-небудь формальне описано і зафіксовано. Зроблений вибір повністю виправдав себе: ми змогли з невеликими витратами підвищити рівень безпеки. Таким чином, документування рішень, що повторюються, не має особливого сенсу.) Чи існує можливість проаналізувати модель і визначити вірогідність, з якою вона повторюється? Які ще підходи до виміру параметрів можуть бути корисні для розробників і фахівців, що займаються ухваленням рішень?

 

 

Зниження ризиків.