Обеспечение целостности информации при передаче

Данные можно изменить в процессе их передачи по сетевым соединениям, но для этого должна быть выполнена атака перехвата. При наличии механизмов сильной идентификации и аутентификации атакам перехвата можно противостоять, а технологии шифрования позволяют предотвратить большинство типов атак на модификацию.

12. Доступность информации и механизмы ее обеспечения.

Служба обеспечения доступности информации поддерживает ее готовность к работе, позволяет обращаться к компьютерным системам, хранящимся в этих системах данным и приложениям.

Резервные копии. Для сохранения важной информации самым простым способом является создание ее резервных копий и размещение их в безопасном месте. Это могут быть копии на бумаге либо на электронных носителях (например, на магнитных лентах). Резервные копии предотвращают полную потерю информации при случайном или преднамеренном уничтожении файлов. Безопасным местом для хранения резервных копий являются сейфы или изолированные помещения, в которые ограничен физический доступ лиц.

Переключение по отказу. Переключение по отказу (fail-over) обеспечивает восстановление информации и сохранение производительности. Системы, настроенные подобным образом, способны обнаруживать неисправности и восстанавливать рабочее состояние (выполнение процессов, доступ к информации или соединениям) автоматически с помощью резервных аппаратных средств. Переключение по отказу еще называется прямым восстановлением, поскольку не требует настройки. Резервная система располагается на том же рабочем месте, что и основная, чтобы незамедлительно включиться в работу при возникновении сбоя в исходной системе. Это наименее дорогостоящий вариант для большинства систем переключения по отказу.

13. В каких случаях используются механизмы достоверности, неотказуемости и неизменяемости информации?

Достоверность информации. Информация достоверна, если она отражает истинное положение дел. Достоверность информации — важнейший показатель качес­тва информации. она искажается в результате дезинформирования и под действием помех. Так как использование ложной (искажен­ной) информации может нанести в общем случае больший ущерб, чем ее отсутствие, то выявлению достоверности добытой инфор­мации ее пользователь уделяет большое внимание. В реальной жизни, в условиях жесткой конкуренции, когда приходится принимать серьезные решения, достоверность информации очень важна. Гипотетическая лживость полученной информации грозит серьезными последствиями для репутации компании или СМИ, которые их распространяют.

Неотказуемость – неотрекаемость от авторства информации, а также факта её отправки или получения. Неотказуемость можно гарантировать электронно-цифровой подписью и другими криптографическими средствами и протоколами. Неотказуемость актуальна, например, в системах электронных торгов, где она обеспечивает ответственность друг перед другом продавцов и покупателей. Существует обширный класс приложений, для которых сервис неотказуемости является обязательный (например, финансовые транзакции). Кроме того, сервис неотказуемости важен для приложений, в которых необходимо обеспечивать подотчетность действий пользователя для каждой совершенной транзакции, в частности, если эти транзакции совершаются через сетевую среду с использованием различных компонент приложения.
Неизменяемость. Данные не были изменены при выполнении любой операции над ними, будь то передача, хранение или представление.

14. Понятия «безопасность» и «информационная безопасность. Различные точки зрения на эти термины.

Информационная безопасность не имеет точного определения и, что совсем печально, не имеет в литературе единого предмета исследования.

Возьмем, например, определение понятия «безопасность» в Доктрине информационной безопасности РФ, которое следует из определения в федеральном законе «О безопасности» от 5 марта 1992 года:

«Безопасность — состояние защищенности жизненно важных интересов личности, общества и государства от внутренних и внешних угроз».

«Информационная безопасность РФ — состояние защищенности ее национальных интересов в информационной сфере, определяющейся совокупностью сбалансированных интересов личности, общества и государства».

Определять «безопасность» через «защищенность» не совсем корректно, поскольку эти слова синонимы, а поэтому данные определения являются тавтологиями. Безопасность есть некоторое состояние объекта, которое можно определить, выделив соответствующие качественные характеристики.

Стандартизированные определения

Информационная безопасность ^[2] — защита конфиденциальности, целостности и доступности информации.

1. Конфиденциальность: свойство информационных ресурсов, в том числе информации, связанное с тем, что они не станут доступными и не будут раскрыты для неуполномоченных лиц.

2. Целостность: неизменность информации в процессе ее передачи или хранения.

3. Доступность: свойство информационных ресурсов, в том числе информации, определяющее возможность их получения и использования по требованию уполномоченных лиц.

Безопасность информации (данных) определяется отсутствием недопустимого риска, связанного с утечкой информации по техническим каналам, несанкционированными и непреднамеренными воздействиями на данные и (или) на другие ресурсы автоматизированной информационной системы, используемые в автоматизированной системе.

Информационная безопасность — защищенность информации и поддерживающей инфраструктуры от случайных или преднамеренных воздействий естественного или искусственного характера, которые могут нанести неприемлемый ущерб субъектам информационных отношений. Поддерживающая инфраструктура — системы электро-, тепло-, водо-, газоснабжения, системы кондиционирования и т. д., а также обслуживающий персонал. Неприемлемый ущерб — ущерб, которым нельзя пренебречь.

15. Какие направления включает в себя комплекс мер по защите информации?

Физическая защита

Физический доступ к носителю информации, как правило, дает возможность получить доступ и к самой информации. Воспрепятствовать в таком случае может лишь криптография, да и то не всегда. Прежде всего следует позаботиться о физической сохранности вашей компьютерной техники и носителей. Наиболее сложно осуществить физическую защиту линий связи.

Электромагнитная защита

Практически любой электронный прибор как сам излучает электромагнитные колебания, так и может воспринимать электромагнитные поля извне. При помощи таких полей возможен как дистанционный съём информации с ваших компьютеров, так и целенаправленное воздействие на них. Электромагнитные поля могут быть экранированы любым проводящим материалом. Металлический корпус, металлическая сетка, обёртка из фольги станут защитой от электромагнитных волн. Разумется, экранировать помещение будет очень дорого.

Человеческий фактор

Как правило, человек является наименее надёжным звеном в системе ЗИ. Из всех известных удачных попыток преступлений в сфере компьютерной информации подавляющее большинство было совершено при помощи сообщников в учреждении, которое подвергалось атаке. Попытаться свести к минимуму человеческий фактор в системах ЗИ.

Криптографическая защита

Цель криптографической системы заключается в том, чтобы зашифровать осмысленный исходный текст (также называемый открытым текстом), получив в результате совершенно бессмысленный на взгляд шифрованный текст (шифртекст, криптограмма).

Активная защита

Этот вид защиты - самый эффективный в тех случаях, когда точно известен источник угрозы для вашей информации. Если это так, то предпринимаются активные мероприятия против попыток получить доступ к вашей информации. Например, следующие:

- поиск и выведение из строя устройств для скрытого съёма вашей информации;

- выявление и задержание лиц, устанавливающих такие устройства или совершающих иные незаконные действия по доступу к вашей информации;

- выявление возможных каналов утечки или несанкционированного доступа к вашей информации и направление по таким каналам дезинформации;

- создание ложных потоков информации с целью маскировки истинных потоков и отвлечения сил противника на их дешифровку;

- демонстрации противнику возможностей вашей защиты (не обязательно истинных) для создания у него впечатления бесперспективности преодолеть вашу защиту;

- контрразведывательные мероприятия с целью получить сведения о том, как именно противник получает доступ к вашей информации и соответствующего противодействия.

Прочие меры

Естественно, в комплекс мер защиты информации входит и размещение соответствующего оборудования и оргструктур в специально оборудованных (в идеале - специально построенных) для этого помещениях.

16. Понятие «угрозы информационной безопасности». Статистика и примеры угроз. Проблемы моделирования угроз.

Угрозы ИБ объекта защиты можно разделить на внутренние и внешние.

Внутренние угрозы:

• неквалифицированная внутренняя политика компании по организации информационных технологий и управлению безопасностью;
• отсутствие соответствующей квалификации персонала по обеспечению деятельности и управлению объектом защиты;
• преднамеренные и непреднамеренные действия персонала по нарушению безопасности;
• предательство персонала;
• техногенные аварии и разрушения, пожары.

Внешние угрозы:

• негативные воздействия недобросовестных конкурентов и государственных структур;
• преднамеренные и непреднамеренные действия заинтересованных структур и физических лиц (сбор информации, шантаж, угрозы физического воздействия и др.);
• утечка конфиденциальной информации на носителях информации и по каналам связи;
• несанкционированное проникновение на объект защиты;
• несанкционированный доступ к носителям информации и каналам связи с целью хищения, искажения, уничтожения, блокирования информации;
• стихийные бедствия и другие форс-мажорные обстоятельства;
• преднамеренные и непреднамеренные действия поставщиков услуг по обеспечению безопасности и поставщиков технических и программных продуктов.

Если говорить об угрозах информационно-технического характера, можно выделить такие элементы как кража информации, вредоносное ПО, хакерские атаки, СПАМ, халатность сотрудников, аппаратные и программные сбои, финансовое мошенничество, кража оборудования.
Согласно статистике применительно к этим угрозам, можно привести следующие данные (по результатам исследований, проведённых в России компанией InfoWath):

· Кража информации – 64%

· Вредоносное ПО – 60%

· Хакерские атаки – 48%

· Спам – 45%

· Халатность сотрудников – 43%

· Аппаратные и программные сбои – 21%

· Кража оборудования – 6%

· Финансовое мошенничество – 5%

Проблемы:

1. Моделирование угроз Многие дополнения создаются без учета и осознания того, какие затраты потребуются на их внедрение, каковы приносимые ими выгоды и издержки;

2. Сложность Сложность этапов сильно различается и варьируется от «описать сценарии использования» до «определить типы угроз». И если первое задание большинство инженеров должно выполнить, то второе, скорее всего, окажется не под силу неэкспертам, да и среди экспертов вызовет существенные разногласия. Описания методологий изобилуют специальными терминами, что еще больше усложняет их понимание.

3. Жизненность Моделирование угроз может показаться сильно оторванным от реальной разработки программного обеспечения.

4. Неэффективное представление людей в модели угроз приводит к таким проблемам, как фишинг, когда сочетание трех уровней слабой аутентификации отрывает двери для мошенников. Моделирование пользователей представляет собой крайне сложную задачу, однако если эта задача не решается, то неизбежно возникают серьезные проблемы с безопасностью системы.

5. проблемы проектирования, вызванные человеческим фактором, возникающие при разработке методов, процедур и инструментов моделирования систем безопасности.

17. Понятие «уязвимость информационной системы». Примеры уязвимостей.

В компьютерной безопасности, термин уязвимость (англ. vulnerability) используется для обозначения недостатка в системе, используя который, можно нарушить её целостность и вызвать неправильную работу. Уязвимость может быть результатом ошибок программирования, недостатков, допущенных при проектировании системы, ненадежных паролей, вирусов и других вредоносных программ, скриптовых, а также SQL-инъекций.

Метод информирования об уязвимостях является одним из пунктов спора в сообществе компьютерной безопасности. Некоторые специалисты отстаивают немедленное полное раскрытие информации об уязвимостях, как только они найдены. Другие советуют сообщать об уязвимостях только тем пользователям, которые подвергаются наибольшему риску, а полную информацию публиковать лишь после задержки или не публиковать совсем. Такие задержки могут позволить тем, кто был извещён, исправить ошибку при помощи разработки и применения патчей, но также могут и увеличивать риск для тех, кто не посвящён в детали.

Существуют инструментальные средства, которые могут помочь в обнаружении уязвимостей в системе. Хотя эти инструменты могут обеспечить аудитору хороший обзор возможных уязвимостей, существующих в системе, они не могут заменить участие человека в их оценке.

Для обеспечения защищённости и целостности системы необходимо постоянно следить за ней: устанавливать обновления, и использовать инструменты, которые помогают противодействовать возможным атакам. Так как новые уязвимости находят непрерывно, единственный путь уменьшить вероятность их использования против системы — постоянная бдительность.

Примеры уязвимостей

Распространённые типы уязвимостей включают в себя:

§ Нарушения безопасности доступа к памяти, такие как:

§ Переполнения буфера

§ Висящие указатели

§ Ошибки проверки вводимых данных, такие как:

§ ошибки форматирующей строки

§ Неверная поддержка интерпретации метасимволов командной оболочки

§ SQL-инъекция

§ Инъекция кода

§ E-mail инъекция

§ Обход каталогов

§ Межсайтовый скриптинг в веб-приложениях

§ Состояния гонки, такие как:

§ Ошибки времени-проверки-ко-времени-использования

§ Гонки символьных ссылок

§ Ошибки путаницы привилегий, такие как:

§ Подделка межсайтовых запросов в веб-приложениях

§ Эскалация привилегий, такие как:

§ Shatter attack

18. Информационные риски: определение, особенности, методы измерения.

Информационные риски – это вероятность ущерба вследствие применения компанией или предприятием информационных технологий, которые сокращенно называют IT или ИТ. Использование информационных технологий связано со всеми этапами работы с информацией в электронном виде – от создания до передачи и хранения.

К информационным рискам относятся следующие виды:

• нарушение права собственности на информацию;
• утрата и порчи информации;
• предоставление искаженной, недостоверной информации;
• создание некачественных систем обработки и хранения информации;
• нарушение правил формирования и обработки информации;
• несвоевременное предоставление, отказ предоставить информацию;
• нарушение правил получения и предоставления информации.

Анализ информационных рисков — это процесс комплексной оценки защищенности информационной системы с переходом к количественным или качественным показателям рисков. При этом риск — это вероятный ущерб, который зависит от защищенности системы. Итак, из определения следует, что на выходе алгоритма анализа риска можно получить либо количественную оценку рисков (риск измеряется в деньгах), либо — качественную (уровни риска; обычно: высокий, средний, низкий).

Оценка рисков:

19. Механизмы анализа и обработки информационных рисков.

Анализ информационных рисков — это процесс комплексной оценки защищенности информационной системы с переходом к количественным или качественным показателям рисков. При этом риск — это вероятный ущерб, который зависит от защищенности системы. Итак, из определения следует, что на выходе алгоритма анализа риска можно получить либо количественную оценку рисков (риск измеряется в деньгах), либо — качественную (уровни риска; обычно: высокий, средний, низкий).

Кроме того, анализ рисков также отличается по используемому подходу; обычно условно выделяют два уровня анализа рисков: базовый и полный. Для базового анализа рисков достаточно проверить риск невыполнения требований общепринятого стандарта безопасности (обычно ISO 17799) с получением на выходе качественной оценки уровня рисков (высокий, средний, низкий). Основное отличие полного анализа рисков от базового состоит в необходимости построения полной модели анализируемой информационной системы. Модель должна включать: виды ценной информации, объекты ее хранения; группы пользователей и виды доступа к информации; средства защиты (включая политику безопасности), виды угроз.