Фізичний захист інформаційних систем 


Мы поможем в написании ваших работ!



ЗНАЕТЕ ЛИ ВЫ?

Фізичний захист інформаційних систем



Перш за все необхідно забезпечити фізичний захист устаткування від загроз порушення безпеки і небезпек, що представляються навколишнім середовищем. Захист устаткування інформаційних систем (включаючи устаткування, використовуване за межами організації) необхідний як для того, щоб зменшити ризик несанкціонованого доступу до даних, так і для того, щоб не допустити його втрату або ушкодження. Варто також приділити увагу проблемам розміщення устаткування і його утилізації. Можуть знадобитися спеціальні міри для захисту від несанкціонованого доступу й інших небезпек, а також для захисту допоміжного устаткування, наприклад, системи електроживлення і кабельного розведення.

Устаткування інформаційних систем повинне бути так розміщено і захищено, щоб зменшити ризик, зв'язаний із впливом навколишнього середовища і несанкціонованим доступом. Тому пропонуються наступні заходи:

• устаткування слід розміщувати так, щоб по можливості звести до мінімуму зайвий доступ у робочі приміщення. Робочі станції, що підгримують конфіденційні дані, повинні бути розташовані так, щоб вони завжди були під візуальним контролем;

• необхідно розглянути можливість ізоляції областей, що вимагають спеціального захисту, щоб понизити необхідний рівень загальногозахисту;

• заборонити прийом їжі і паління в місцях розміщення комп'ютерного устаткування;

• розглянути можливість використання спеціального захисту, наприклад, клавіатурних мембран, для устаткування в промислових середовищах.

Засоби комп’ютерної техніки необхідно захищати від збоїв у системі електроживлення й інших неполадок в електричній мережі. Джерело живлення повинне відповідати специфікаціям виробника устаткування. Доцільно розглянути необхідність використання резервного джерела живлення. Для устаткування, що підтримує критично важливі виробничі сервіси, рекомендується установити джерело безперебійного живлення. План дій у надзвичайних ситуаціях повинний включати міри, які необхідно прийняти по закінченні терміну придатності джерел безперебійного живлення. Устаткування, що працює з джерелами безперебійного живлення, необхідно регулярно тестувати відповідно до рекомендацій виробника.

Кабелі електроживлення і мережеві кабелі для передачі даних необхідно захищати від розкриття з метою перехоплення інформації й ушкодження. Для зменшення такого ризику в приміщеннях організації пропонується реалізувати наступні захисні заходи:

- Кабелі електроживлення і лінії зв'язку, що йдуть до інформаційних систем, повинні бути проведені під землею (по можливості) чи захищені належним чином за допомогою інших засобів.

- Необхідно розглянути заходи для захисту мережевих кабелів від їхнього несанкціонованого розкриття з метою перехоплення даних і від ушкодження, наприклад, скориставшись екранами або проклавши ці лінії так, щоб вони не проходили через загальнодоступні місця.

Для винятково уразливих чи критично важливих систем, наприклад таких як банківські, варто розглянути необхідність вживання додаткових заходів, таких, як: шифрування даних; установка броньованих екранів і використання приміщень, що замикаються; використання інших маршрутів або середовищ передачі даних.

Інформаційні системи, що підтримують критично важливі сервіси організації, повинні бути розміщені в захищених зонах, обмежених визначеним периметром безпеки, з належним контролем доступу в приміщення і захисні бар'єри. Для зменшення ризику несанкціонованого доступу або ушкодження паперової документації і носіїв інформації, рекомендується задати чіткі правила використання робочого столу.

Для запобігання і виявлення випадків впровадження шкідливого програмного забезпечення, потрібно вживання належних заходів обережності. Зокрема украй важливо вжити заходів обережності для запобігання і виявлення комп'ютерних вірусів на персональних комп'ютерах.

Необхідно реалізувати заходи для виявлення і запобігання проникнення вірусів у системи і процедури інформування користувачів про їхню шкоду. Користувачам варто нагадати, що запобігання вірусів краще, ніж ліквідація наслідків від їхнього проникнення. В основі захисту від вірусів повинні бути знання і розуміння правил безпеки, належні засоби управління доступом до систем і наступні конкретні рекомендації:

• Організація повинна визначити формальну політику, що вимагає дотримання умов ліцензій на використання програмного забезпечення і заборонити використання несанкціонованих програм.

• Противірусні програмні засоби, розроблені постачальником з хорошою репутацією, варто використовувати в такий спосіб:

• програмні засоби виявлення конкретних вірусів (які повинні регулярно оновлюватися і використовуватися відповідно до інструкцій постачальника) варто застосовувати для перевірки комп'ютерів і носіїв інформації на наявність відомих вірусів або як запобіжний захід, або як повсякденна процедура;

• програмні засоби виявлення змін, внесених у дані, повинні бути, за необхідності, інстальовані на комп'ютерах для виявлення змін у виконуваних програмах;

• програмні засоби нейтралізації вірусів варто використовувати з обережністю і тільки в тих випадках, коли характеристики вірусів цілком вивчені, а наслідки від їхньої нейтралізації передбачувані.

• Необхідно проводити регулярну перевірку програм і даних у системах, що підтримують критично важливі виробничі процеси. Наявність випадкових файлів і несанкціонованих виправлень повинна бути виявлена за допомогою формальних процедур.

• Дискети невідомого походження варто перевіряти на наявність вірусів до їхнього використання.

 

Аудит інформаційних систем

Комп’ютерний аудит – це застосування інформаційних технологій як методу і інструменту аудитора в процесі перевірки та проведення ревізії інформації, сформованої в середовищі комп’ютерної інформаційної системи клієнта, на базі оцінки ризиків притаманних такому середовищу.

Для перевірки захищеності інформаційної системи використовують комп’ютерний аудит, тобто безпосередньо здійснюється оцінка поточного стану комп’ютерної системи на відповідність запропонованим вимогам або певному стандарту.

Виділяють різні напрями комп’ютерного аудиту інформаційної системи.

Аудит технічного стану інформаційної системи як напрям комп’ютерного аудиту інформаційної системи спрямований на зменшення втрат, які відбулися внаслідок певних системних збоїв.

З метою проведення оцінки сукупної вартості володіння інформаційною системою, оцінки повернення коштів, вкладених у цю інформаційну систему та розробки оптимальної схеми вкладень, а також порівняння показників досліджуваної інформаційної системи з лідером у цій галузі проводиться аудит ефективності інформаційної системи.

Для побудови ефективної корпоративної системи захисту інформації, адекватної завданням і меті бізнесу проводиться аудит інформаційної безпеки.

У випадку, якщо різного роду державні органи, а також партнери компанії чи підприємства можуть зажадати сертифікації інформаційної системи підприємства з метою відповідності послуг необхідному рівню якості проводиться оціночний аудит інформаційної системи.

Такі напрями комп’ютерного аудиту інформаційної системи сприяє виявленню відхилень інформаційної системи від наявних стандартів і забезпечує формування певних висновків та рекомендацій щодо усунення певних відхилень.

Аудит проектів впровадження та реінжинірингу дає змогу оцінити ризики впровадження реінжинірингу інформаційної системи, строки та плановані ресурси на розробку та впровадження рішень, правильність вибору методів технології, а також виявляє помилки та дає рекомендації щодо підвищення ефективності проекту;

Оціночний аудит програмного забезпечення визначає економічну ефективність від впровадження і експлуатації певного виду програм або комплексу програмних ресурсів.

Аудит безпеки – це процес збору і аналізу інформації про автоматизовані системи, необхідної для подальшого проведення якісної або кількісної оцінки рівня захисту від атак зловмисників.

На нашу думку для забезпечення захисту інформації підприємствам доцільно здійснювати контроль захисту інформаційної системи. Одним із різновидів такого контролю може бути незалежний аудит. Аудит безпеки інформаційної системи дає змогу керівництву підприємства бути впевненим у тому, що їх внутрішньогосподарська інформація буде надійно захищена від несанкціонованого використання її конкурентами та іншими зовнішніми користувачами.

Виділяють наступні види аудиту інформаційної безпеки:

експертний аудит безпеки, в процесі якого виявляються недоліки в системі засобів захисту інформації на основі наявного досвіду експертів, що беруть участь у процедурі обстеження;

інструментальний аналіз захищеності автоматизованої системи, спрямований на виявлення і усунення проблем програмно-апаратного забезпечення програми; оцінка відповідності рекомендаціям Міжнародного стандарту ISO 17799, а також керівних документів;

комплексний аудит, що включає всі вищеперелічені форми проведення перевірки.

При цьому, об’єктом аудиту може виступати як автоматизована система підприємства чи компанії в цілому, так і її окремі складові, в яких проводиться обробка інформації.

Отже, комп’ютерний аудит може виступати засобом оцінки інформаційної системи та захисту інформації на підприємстві. Його проведення відіграє важливе значення у системі контролю інформації сформованої в середовищі

комп’ютерної інформаційної системи клієнта та гарантуванні її безпеки.

Здебільшого, проведення комп’ютерного аудиту інформаційних систем використовується, якщо автоматизована система призначена для обробки конфіденційної чи секретної інформації підприємства. За умов використання підприємством автоматизованої системи збору і обробки інформації потрібно використовувати найкращі засоби захисту інформації, які може запропонувати аудиторська фірма після проведення аудиту.

10.4. Етичні аспекти використання ІС.

Поняття “інформаційна етика” пов’язане із питаннями доступу до інформації, інтелектуальної власності, невтручання у приватне життя громадян, пов’язаних із розвитком інформаційного суспільства.

Основними принципами інформаціної етики є:

prіvacy (таємниця приватного життя) — право людини на автономію й волю в приватному житті, право на захист від вторгнення в неї органів влади й інших людей;

accuracy (точність) — дотримання норм, пов'язаних з точним виконанням інструкцій для експлуатації систем і обробці інформації, чесним і соціально-відповідальним відношенням до своїх обов'язків;

property (приватна власність) — недоторканність приватної власності — основа майнового порядку в економіці. Проходження цьому принципу означає дотримання права власності на інформацію й норм авторського права;

accessіbіlіty (доступність) — право громадян на інформацію, її доступність у будь-який час і в будь-якому місці.

Принципи інформаційної етики можуть бути порушені різними способами – від недбалого використання методів опрацювання інформації, неуважного документування даних до серйозних правопорушень, таких як навмисна фальсифікація, обман, втручання у особисте життя шляхом використання Інтернет. Серед порушень інформаційної етики слід виділити такі, як фабрикація та фальсифікація даних, маніпуляція даними, порушення прав інтелектуальної власності (несанкціоноване використання і присвоєння повідомлень) та ін.

Інформаційна етика – це ціннісно-нормативна система особистості у відповідності з домінуючими функціями, які виконуються у інформаційно-комунікативній сфері соціальної практики.

Інформаційна поведінка особистості взаємопов’язана з інформаційною компетентністю. Компетентність будемо розуміти як здатність людини до розв’язання певного класу завдань і наявність необхідних особистісних якостей у поєднанні із запасом знань і умінь.

Інформаційна компетентність особистості значною мірою пов’язана із комп’ютерною компетентністю, отже йдеться про форму-вання інформаційно-технологічної компетентності особистості. Структура інформаційно-технологічної компетентності має такі компоненти:

1. Комп’ютерна грамотність – сформованість операціональних (функціональних) навичок опрацювання даних, яку можна визначити як здатність використовувати комп’ютерну техніку з метою зберігання, обробки й використання інформації. Комп’ютерна грамотність розуміють як початковий рівень освоєння комп’ютерної техніки, наявність умінь використовувати прості прикладні програми, окремі універсальні та спеціалізовані прикладні програмні засоби.

2. Комп’ютерна компетентність, яка значною мірою визначається сталою внутрішньою мотивацією до освоєння інформаційних технологій, передбачає цілісну систему знань в галузі інформатики, пізнання себе як активного суб’єкта інформаційного суспільства. На цьому рівні діяльність суб’єкта може бути охарактеризована як “комп’ютерна творчість” - розв’язання людиною творчих завдань за допомогою комп’ютера, реалізація творчих проектів у галузі комп’ютерних наук (програмування, системна інтеграція тощо). І в першому, і в другому випадку комп’ютер використовується як допоміжний засіб, здатний узяти на себе частку роботи людини – творця, відтворити модель результату її творчості, або виконати моделювання наслідків її творчої діяльності.

3. Інформаційна компетентність як інтелектуальна особистісна складова у освоєнні інформаційного простору, яка передбачає опанування вмінь сприймати й осмислювати різну інформацію спираючись на інформаційний підхід до дослідження і використання всіх інформаційних феноменів (систем інформаційних комунікацій, інформаційного аспекту стосунків особистості і суспільства, державної інформаційної політики та ін.), на системне уявлення про зміст, сутність і мету інформатизації, забезпечення інформаційної безпеки і екології інформаційного середовища.

 

Комп’ютерна злочинність

Спробуємо коротко окреслити явище, яке як соціологічна категорія отримала назву "комп'ютерна злочинність". Комп'ютерні злочини умовно можна підрозділити на дві великі категорії - злочини, пов'язані з втручанням у роботу комп'ютерів, і, злочини, що використовують комп'ютери як необхідні технічні засоби.

Перерахуємо основні види злочинів, пов'язаних з втручанням в роботу комп'ютерів.

1. Несанкціонований доступ до інформації, що зберігається в комп'ютері. Несанкціонований доступ здійснюється, як правило, з використанням чужого імені, зміною фізичних адрес технічних пристроїв, використанням інформації, що залишилася після вирішення завдань, модифікацією програмного та інформаційного забезпечення, розкраданням носія інформації, встановленням апаратури запису, що підключається до каналів передачі даних.

Несанкціонований доступ до файлів законного користувача здійснюється знаходженням слабких місць в захисті системи. Виявивши їх одного раз, порушник може не поспішаючи дослідити інформацію, що міститься в системі, копіювати її, повертатися до неї багато раз.

Програмісти іноді допускають помилки в програмах, які не вдається виявити в процесі налагодження. Автори великих складних програм можуть не помітити деяких слабкостей логіки. Уразливі місця іноді виявляються і в електронних ланцюгах. Всі ці недбалості, помилки призводять до появи "проломів".

Зазвичай вони все-таки виявляються при перевірці, редагуванні, налагодженні програми, але абсолютно позбавиться від них неможливо.

Буває, що хтось проникає в комп'ютерну систему, видаючи себе за законного користувача. Системи, які не мають засобів автентичної ідентифікації (наприклад за фізіологічними характеристиками: за відбитками пальців, по малюнку сітківки ока, голосу і т. п.), опиняються без захисту проти цього прийому. Самий найпростіший шлях його здійснення:

- Отримати коди і інші ідентифікаційні шифри законних користувачів.

Це може робитися:

- Придбанням (зазвичай підкупом персоналу) списку користувачів із усією необхідною інформацією;

- Виявленням такого документа в організаціях, де не налагоджено

достатній контроль за їх зберіганням;

- Підслуховуванням через телефонні лінії.

У будь-якому комп'ютерному центрі є особлива програма, що застосовується як системний інструмент у разі виникнення збоїв або інших відхилень у роботі комп’ютерів, своєрідний аналог пристосувань, які розміщені в транспорті під написом "розбити скло у випадку аварії". Така програма - потужний і небезпечний інструмент у руках зловмисника.

Несанкціонований доступ може здійснюватися в результаті системної поломки. Наприклад, якщо деякі файли користувача залишаються відкритими, можна отримати доступ до неприналежних частин банку даних.

2. Введення в програмне забезпечення "логічних бомб", які спрацьовують при виконанні певних умов і лише частково або повністю виводять з ладу комп'ютерну систему.

"Тимчасова бомба" - різновид "логічної бомби", яка спрацьовує по досягненні певного моменту часу.

Спосіб "троянський кінь" полягає в таємному введенні в чужу програму таких команд, що дозволяють здійснювати нові, які не планувались власником програми функції, але одночасно зберігати і колишню працездатність.

3. Розробка та розповсюдження комп'ютерних вірусів.

"Троянські коні" типу "зітри всі дані цієї програми, перейти у наступну і зроби те ж саме" мають властивості переходити через комунікаційні мережі з однієї системи в іншу, поширюючись як вірусне захворювання.

Виявляється вірус не відразу: перший час комп'ютер "виношує інфекцію", оскільки для маскування вірус нерідко використовується в комбінації з "логічною бомбою" або "тимчасової бомбою". Вірус спостерігає за всією інформацією, що обробляється і може переміщуватися, використовуючи пересилання цієї інформації. Все відбувається, як якщо б він заразив біле кров'яне тільце і подорожував з ним по організму людини.

4. Злочинна недбалість у розробці, виготовленні та експлуатації програмно-обчислювальних комплексів, що призвела до тяжких наслідків.

Проблема необережності у сфері комп'ютерної техніки накшталт необережнї вини при використанні будь-якого іншого виду техніки, транспорту і т.п.

Особливістю комп'ютерної необережності і те, що безпомилкових програм у принципі не буває. Якщо проект практично у галузі техніки можна виконати з величезним запасом надійності, то в області програмування така надійність дуже умовна. а в ряді випадків майже не досяжна.

5. Підробка комп'ютерної інформації.

Мабуть, цей вид комп'ютерної злочинності є одним з найбільш свіжих. Він є різновидом несанкціонованого доступу з тією різницею, що користуватися ним може, як правило, не сторонній користувач, а сам розробник, який має високу кваліфікацію.

Ідея злочину полягає в підробці вихідний інформації комп'ютерів з метою імітації працездатності великих систем, складовою частиною яких є комп'ютер. При достотачно спритно виконаної підробці найчастіше вдається здати замовнику свідомо несправну продукцію.

6. Розкрадання комп'ютерної інформації.

Якщо "звичайні" розкрадання підпадають під дію існуючого кримінального закону, то проблема розкрадання інформації значно складніша. Власність на інформацію, як і колись, не закріплена в законодавчому порядку.

Розглянемо тепер другу категорію злочинів, в яких комп'ютер є "засобом" досягнення мети. Тут можна виділити розробку складних математичних моделей, вхідними даними у яких є можливі умови проведення злочину, а вихідними даними - рекомендації щодо вибору оптимального варіанту дій злочинця.

Інший вид злочинів з використанням комп'ютерів отримав назву "повітряний змій".

У найпростішому випадку необхідно відкрити в двох банках по невеликому рахунку. Далі гроші переводяться з одного банку в інший і назад з поступово підвищеними сумами. Хитрість полягає в тому, щоб до того, як у банку виявиться, що доручення про переведення не забезпечено необхідною сумою, приходило б повідомлення про переведення в цей банк, так щоб загальна сума покривала вимогу про перший переказ. Цей цикл повторюється велике число разів ("повітряний змій" піднімається все вище і вище) до тих пір, поки на рахунку не виявляється пристойна сума (фактично вона постійно "перескакує" з одного рахунку на інший, збільшуючи свої розміри). Тоді гроші швидко знімаються, а власник рахунку зникає. Цей спосіб вимагає дуже точного розрахунку, але для двох банків його можна зробити і без комп'ютера.

Можна уявити собі створення спеціалізованого комп'ютера-шпигуна, який будучи підключений до мережі, що досліджується, генерує різноманітні запити, фіксує й аналізує отримані відповіді. Поставити перешкоду перед таким хакером практично неможливо. Не важко припустити, що організована злочинність давно прийняла на озброєння комп’ютерну техніку.



Поделиться:


Последнее изменение этой страницы: 2016-04-07; просмотров: 922; Нарушение авторского права страницы; Мы поможем в написании вашей работы!

infopedia.su Все материалы представленные на сайте исключительно с целью ознакомления читателями и не преследуют коммерческих целей или нарушение авторских прав. Обратная связь - 35.173.233.176 (0.047 с.)