Угрозы информации и информационным системам

Размещено на http://www.allbest.ru

Размещено на http://www.allbest.ru

Балтийская государственная академия рыбопромыслового флота

Институт прикладной экономики и менеджмента

Кафедра «Информатики и информационных технологий»

Реферативная работа по дисциплине «Информационные технологии в менеджменте» на тему:

«Угрозы информации и информационным системам»

Выполнил: студент группы УБ-21

Воробьёв Д.А.

Калининград -2013 г.



Содержание:

Введение

Общие сведения о видах угроз безопасности информационных систем

Основные угрозы безопасности информации и функционированию информационных систем. Пути несанкционированного доступа к информации

Каналы утечки информации

Наиболее распространённые пути несанкционированного доступа к информации

Промышленный шпионаж

Основные сведенья о защите от информационных угроз

Законодательные методы защиты информации

Организационные методы защиты информации

Технические методы защиты информации

Методы защиты информации от случайных угроз

Методы защиты информации от угроз природного (аварийного) характера

Информационное страхование

Криптография как средство защиты информации

Заключение

угроза информация несанкционированный защита



Введение

В наше время информация является одним из наиболее ценных продуктов человеческой деятельности. В условиях рыночной конкуренции она стала ключевым показателем успешного функционирования фирмы. В настоящее время ни одно предприятие не обходится без использования определенных информационных систем.

Что же такое информация? Её можно определить как знания об окружающем мире которые получают, хранят, обрабатывают (анализируют) и передают люди. Испокон веков информация является объектом незаконных действий. Здесь нужно дать ещё одно определение: что же такое информационная система?

Информационная система - это совокупность знаний которая содержится в базах данных и обрабатывается при помощи программного обеспечения и технических средств.

В 21 веке началось и продолжается бурное развитие информационных технологий и вычислительной техники. Следовательно, развиваются и информационные системы используемые как предприятиями так и отдельными физическими лицами.

Наряду с этим процессом происходит и развитие технологий используемых для кражи или искажения важной информации. Поэтому уже более десятка лет стоит важный вопрос обеспечения безопасности информации и безопасного функционирования информационных систем. В последнее время информационная безопасность стала одной из главных характеристик информационных систем. Существует довольно большой класс систем обработки информации в которых фактор безопасности играет огромную роль (например: банковские системы).

Что же такое безопасность информационных систем?

Безопасность ИС - это защищенность системы от случайного или преднамеренного вмешательства в нормальный процесс её функционирования, от попыток хищения, модификации или физического разрушения её компонентов. Другими словами это способность противодействовать различным негативным воздействиям на ИС.

Предприятия (или фирмы) строят свою деятельность на основе достоверных сведений. Сохранность которых фактически является основополагающим фактором их функционирования. Следовательно, необходимо принимать меры по обеспечению безопасности важной конфиденциальной информации. Методы, которыми может быть нанесено негативное воздействия постоянно совершенствуются, а это означает, что жизненно необходимо совершенствовать механизмы защиты.

Эта тема является актуальной поскольку безопасное функционирование информационных систем является приоритетной задачей как для предприятий независимо от их видов деятельности так и для государственных органов.



Общие сведения о видах угроз безопасности информационных систем

Для начала нужно рассмотреть само понятие угрозы безопасности.

Угроза безопасности информации - это действия или события, которые могут привести к искажению, несанкционированному использованию или даже разрушению информационных ресурсов управляемой системы, а также программных и аппаратных средств.

Среди угроз можно выделить один из обособленных видов: случайные или непреднамеренные. Они возникают из-за выхода из строя аппаратных средств, неправильных действий работников или пользователей информационной системы, непреднамеренных ошибок в программном обеспечении.

Также в отдельную группу можно выделить угрозы обусловленные внешними факторами (такими как стихийные бедствия: пожар, наводнение, ураган, молния и другими).

Выделяют ещё одну группу: умышленных угроз.

Человека нарушающего нормальное функционирование информационных систем обычно называют взломщиком либо «компьютерным пиратом» (хакером).

Умышленные угрозы подразделяют на: активные и пассивные.

Пассивные угрозы нацелены в основном на несанкционированное использование информационных ресурсов, не оказывая при этом влияния на функционирование информационной системы. Например: несанкционированный доступ к базам данных, прослушивание каналов связи и т.д.

Активные угрозы имеют своей целью нарушение нормального функционирования информационных систем путём целенаправленного воздействия на её компоненты. Например: к ним относят искажение сведений в базах данных, вывод из строя компьютера или его операционной системы, разрушение программного обеспечения компьютера, умышленное нарушение работы линий связи. Источником активных угроз могут быть действия взломщиков (хакеров) или деятельность вредоносного программного обеспечения.

Также умышленные угрозы подразделяются на внутренние (возникающие внутри управляемой организации) и внешние (угрозы со стороны внешней среды например спам).

Основные угрозы безопасности информации и функционированию информационных систем. Пути несанкционированного доступа к информации

К основным угрозам безопасности информации и функционированию информационных систем относят:

Утечка конфиденциальной информации - это бесконтрольный выход конфиденциальной информации за пределы информационной системы или круга лиц обладающих ей в соответствии с их служебными полномочиями.

Компрометация информации - это факт доступа постороннего лица к защищённой информации.

Ошибочное использование информационных ресурсов

Несанкционированный обмен информацией между абонентами.

Несанкционированное использование информационных ресурсов.

Отказ от информации - состоит в непризнании получателем или отправителем информации фактов её получения или отправки.

Нарушение информационного обслуживания - задержка с предоставлением информационных ресурсов абоненту.

Незаконное использование привилегий - использование несоответствующего занимаемому положению уровня доступа к информации.

Уход информации по различным, главным образом техническим каналам.

Разглашение конфиденциальной информации.

Несанкционированный доступ к информации - это противоправное преднамеренное овладение конфиденциальной информацией, лицом не имеющим права доступа к охраняемым сведениям.

Промышленный шпионаж - это наносящий ущерб владельцу коммерческой тайны, незаконные сбор, присвоение и передача сведений составляющих коммерческую тайну, лицом не уполномоченным на это владельцем.

Каналы утечки информации

Для начала рассмотрим определение каналы утечки информации - методы или пути утечки информации из информационной системы; нежелательная цепочка носителей информации, один или несколько из которых являются (могут быть) правонарушителем или его специальной аппаратурой. Играют основную роль в защите информации, как фактор информационной безопасности.

Классификация:

Все каналы утечки данных можно разделить на: косвенные и прямые. Косвенные каналы не требуют непосредственного доступа к техническим средствам информационной системы. Прямые же требуют доступа к аппаратному обеспечению и данным информационной системы.

Примеры косвенных каналов утечки:

Кража или утеря носителей информации, исследование не уничтоженного мусора;

Дистанционное фотографирование, прослушивание;

Перехват электромагнитных излучений.

Примеры прямых каналов утечки:

Инсайдеры (человеческий фактор). Утечка информации вследствие несоблюдения коммерческой тайны;

Прямое копирование.

Каналы утечки информации можно также разделить по физическим свойствам и принципам функционирования:

Аккустические-- запись звука, подслушивание и прослушивание.

Акустоэлектрические - получение информации через звуковые волны с дальнейшей передачей ее через сети электропитания.

Виброакустические - сигналы, возникающие посредством преобразования информативного акустического сигнала при воздействии его на строительные конструкции и инженерно-технические коммуникации защищаемых помещений.

Оптические - визуальные методы, фотографирование, видео съемка, наблюдение.

Электромагнитные - копирование полей путем снятия индуктивных наводок.

Радиоизлучения или электрические сигналы от внедренных в технические средства и защищаемые помещения специальных электронных устройств съема речевой информации “закладочных устройств”, модулированные информативным сигналом.

Материальные - информация на бумаге или других физических носителях информации.

Схема утечки информации:

Рис 1.1 (Утечка информации)

Наиболее распространённые пути несанкционированного доступа к информации

Несанкционированный доступ - доступ к информации в нарушение должностных обязанностей сотрудника, доступ к закрытой для публичного доступа информации со стороны лиц, не имеющих права на доступ к этой информации. Также несанкционированным доступом в отдельных случаях называют получение доступа к информации лицом, имеющим право на доступ к этой информации в объёме, превышающем необходимый для выполнения служебных обязанностей.

Последствия несанкционированного доступа к информации

Утечка персональных данных (сотрудников компании и организаций-партнеров),

Утечка коммерческой тайны и инновационных технологий

утечка служебной переписки,

утечка государственной тайны,

полное либо частичное лишение работоспособности системы безопасности компании.

Для предотвращения несанкционированного доступа к информации используются программные и технические средства, например, DLP-системы.

Классификация:

Принудительное электромагнитное облучение (подсветка) линий связи.

Перехват электронных излучений.

Дистанционное фотографирование.

Применение подслушивающих устройств (закладок).

Чтение остаточной информации в памяти системы после выполнения санкционированных запросов.

Перехват акустических излучений и восстановление текста принтера.

Копирование носителей информации с преодолением защиты.

Маскировка под зарегистрированного пользователя.

Маскировка под запросы системы.

Использование программных ловушек.

Незаконное подключение к аппаратуре и линиям связи.

Расшифровка специальными программами зашифрованной информации

Умышленный вывод из строя механизмов защиты.

Информационные инфекции.

Приведённые пути незаконного доступа требуют наличия больших технических знаний и соответствующих аппаратных или программных разработок со стороны взломщика. Причиной возникновения каналов утечки является конструктивные или технологические несовершенства системных решений, либо эксплуатационный износ элементов информационной системы. Все это позволяет взломщикам создать каналы утечки информации.

Однако есть и довольно примитивные пути такие как:

Хищение носителей информации и документальных отходов.

Инициативное сотрудничество.

Принуждение к сотрудничеству со стороны взломщика.

Выпытывание

Подслушивание

Наблюдение и др.

Промышленный шпионаж

Промышленный шпионаж - форма недобросовестной конкуренции, при которой осуществляется незаконное получение, использование, разглашение информации, являющейся коммерческой, служебной или иной охраняемой законом тайной с целью получения преимуществ при осуществлении предпринимательской деятельности, а равно получения материальной выгоды.

Основная цель промышленного шпионажа -- экономия средств и времени, затрачиваемых, чтобы догнать лидирующего конкурента, или не допустить в будущем отставания от конкурента, если тот разработал или разрабатывает новую перспективную технологию, а также чтобы выйти на новые для предприятия рынки.

Это справедливо и в отношении межгосударственной конкуренции, где к вопросам экономической конкурентоспособности добавляются и вопросы национальной безопасности.

Основное отличие промышленного шпионажа от конкурентной разведки в том, что промышленный шпионаж нарушает законодательные нормы, прежде всего, уголовные, в отличии от конкурентной разведки.

Промышленный шпионаж является мощным инструментом государственных разведок, предназначение которых -- прямое нарушение законов иностранных государств в интересах и по поручению своей страны.

На уровне предприятий в последнее время всё чаще делается выбор в пользу конкурентной разведки, в следствии того что предприятие не имеет полномочий государственных разведок, поэтому в случае провала операции промышленного шпионажа рискует быть привлеченным к уголовной ответственности, а также может пострадать их репутация.

По мнению ряда исследователей, во многих случаях предприятия малого и среднего бизнеса к промышленному шпионажу прибегают потому, что не обучены методам конкурентной разведки, а зачастую и вообще не знают об их существовании.

К методам промышленного шпионажа относятся:

Подкуп лица, имеющего доступ к информации коммерческой, служебной, или иной охраняемой законом тайне

Шантаж лиц имеющих доступ к секретной информации.

Кража носителей с информацией, представляющей коммерческую, служебную, или иную охраняемую законом тайну

Внедрение агента на предприятие или в страну конкурента с заданием получить доступ к информации или продукции, которые составляют предмет коммерческой или иной охраняемой законом тайны

Незаконный доступ к коммерчески значимой информации с помощью использования технических средств (прослушивание телефонных линий, незаконное проникновение в компьютерные сети и т. п.).

Основные сведенья о защите от информационных угроз

Для начала нужно понять, что обеспечить полную безопасность информационной системы предприятия невозможно. Но для того чтобы создать наиболее полную защиту информации нужно использовать комплексный подход. Так как использование одного метода защиты информации не может обеспечить надёжность защиты.

Условно методы защиты информации можно разделить на классы:

законодательные;

организационные (административные);

технические;

Более подробно рассмотрим их ниже.

Законодательные методы защиты информации

Определяют, кто должен иметь доступ к защищаемой информации устанавливают ответственность за нарушения установленного порядка. В современном мире существуют законы о защите государственной тайны, авторских прав, положения о праве на тайну личной переписки и другие. Эти законы описывают, кто и при каких условиях имеет, а кто не имеет право доступа к определенной информации. Однако законодательные методы не способны гарантировать выполнение установленных правил, они лишь закрепляют эти правила вместе с мерой ответственности за их нарушение.

На практике нормативные акты устанавливают круг лиц имеющих право на доступ к информации, содержащей государственную тайну. Устанавливается и закрепляется понятие коммерческой тайны и устанавливается ответственность за её разглашение.

Организационные методы защиты информации

Организационные (административные) меры и методы защиты - меры (методы) носящие организационный характер, устанавливающие процесс функционирования системы обработки данных, использование ее ресурсов, деятельность персонала, а также порядок взаимодействия пользователей с системой таким образом, чтобы в наибольшей степени исключить возможность реализации угроз безопасности информации. Эти методы основываются на принципах управления коллективом и предприятием (службой) и принципах законности.

Они включают:

*мероприятия, осуществляемые при проектировании, строительстве и оборудовании вычислительных центров и других объектов систем обработки данных;

*мероприятия по разработке правил доступа пользователей к системным ресурсам (т.е. разрабатывается политика безопасности);

*мероприятия по подбору и подготовке персонала системы;

*организацию пропускного режима и надежной охраны;

*организацию учета, хранения, использования и уничтожения документов и носителей с информацией (в соответствии с законодательством);

*распределение прав доступа к информации персоналу (распределение паролей, ключей шифрования и т.п. в соответствии с должностными обязанностями сотрудника);

*организацию явного и скрытого контроля над работой пользователей;

*мероприятия по осуществлению проектирования, разработки, ремонта и модификации оборудования и программного обеспечения.

Организационные меры - могут использоваться на предприятии когда другие методы и средства защиты отсутствуют или не могут обеспечить требуемый уровень безопасности. Это вовсе не означает, что систему защиты необходимо строить исключительно на их основе.

Достоинства.

*широкий спектр решаемых задач;

*простота реализации;

*быстрота реагирования на несанкционированные действия;

*практически неограниченные возможности модернизации и развития.

Недостатки:

*необходимость использования людей (т.е. наличие человеческого фактора),

*повышенная зависимость от субъективных факторов,

*зависимость от общей организации работ в организации;

Организационные меры необходимы для обеспечения эффективного применения других методов защиты в части, касающейся регламентации действий людей. Также организационные меры необходимо поддерживать техническими и всеми другими средствами. В связи с этим в системе организационного обеспечения компьютерной безопасности выделяют два направления: - первое связанно с реализацией мер организационно - правового характера и второе, связанно с реализацией мер организационно-технического характера.

Рассмотрим практическую сторону применения организационных методов защиты. Помимо установления прав доступа к информации к этой категории относятся и более простые меры обеспечения безопасности. Например: смена замков и ключей от помещений, где находятся хранители информации, установка более надежных железных дверей, установка паролей на компьютеры и периодичное изменение этих паролей, установка на окна железных решёток, создание отдельных зон для работы с секретной или составляющей государственную тайну информацией.

Технические методы защиты информации

В отличие от административных и законодательных методов, имеют своей целью максимально избавиться от человеческого фактора. Соблюдение законодательных мер обуславливается добропорядочностью и страхом перед наказанием. За соблюдением административных мер следят люди, которых можно обмануть, подкупить или запугать. То есть можно избежать точного исполнения установленных правил. В случае применения технических средств защиты злоумышленнику необходимо решить некоторую техническую (математическую, физическую) задачу для получения доступа к информации, что невозможно осуществить, не обладая определёнными техническими знаниями и умениями. В то же время законному пользователю доступен более простой путь, позволяющий работать с предоставленной в его распоряжение информацией без решения сложных задач. К техническим методам защиты можно отнести как замок на сундуке, в котором хранятся книги, так и носители информации, самоуничтожающиеся при попытке неправомерного использования.

Практическое применение технических методов заключается в использовании специализированного программного обеспечения осуществляющего защиту тех или иных информационных ресурсов и каналов передачи информации. Помимо антивирусного программного обеспечения, целью которого является защита информации от негативного воздействия вредоносных программ, могут использоваться и другие программные средства. Например: программы, предназначенные для установки пароля на определённые папки и отдельные файлы (Folder protect 1.8), программные компоненты зашиты от незаконного копирования. Но угрозы информации могут исходить не только от злоумышленников, но и по причине ошибок в программном обеспечении или нарушении нормального функционирования оборудования то необходимо программное обеспечение, которое будет минимизировать такие типы угроз. Программы, создающие Back Up (копии) некоторых файлов или папок в заданные временные интервалы. Программное обеспечение, сканирующее систему на наличие ошибок и исправляющее системные и ошибки и ошибки реестра (например: C Cleaner). Утилиты, производящие дефрагментацию диска (Defragler), что позволяет предотвратить потерю или искажение информации хранящейся на жёстком диске. Утилиты для восстановления удаленной информации (в случае случайного удаления требуемого файла). И много других программ.

Методы защиты информации от случайных угроз

В целях защиты функционирования ИС от случайных воздействий применяются средства повышения надежности аппаратуры и программного обеспечения, а для защиты информации - средства повышения ее достоверности. Для предотвращения аварийной ситуации применяются специальные меры.

Проблема надежности автоматизированных систем решается тремя путями:

повышением надежности деталей и узлов;

построением надежных систем из менее надежных элементов за счет структурной избыточности (дублирование, утроение элементов, устройств, подсистем и т. п.);

применением функционального контроля с диагностикой отказа, увеличивающего надежность функционирования системы.

Задачами функционального контроля системы являются: своевременное обнаружение сбоев, неисправностей и программных ошибок, исключение их влияния на дальнейший процесс обработки информации и указание места отказавшего элемента, блока программы с целью последующего быстрого восстановления системы. Сычев Ю.Н. - «Основы информационной безопасности» Учебно методическое пособие М.:ЕАОИ 2007 г.

Здесь в качестве примера можно привести и другие методы защиты от случайных угроз. Например, необходимо правильно располагать компьютеры в помещении, по возможности стараться расположиться в отдалении от окон, батарей (так как температурное воздействие негативно сказывается на функционировании компонентов компьютера) и других технических узлов, размещать системный блок на некотором расстоянии от пола. Использовать специализированные компьютерные столы. Использовать блоки бесперебойного питания (как способ защиты от скачков напряжения на линии).

Методы защиты информации от угроз природного (аварийного) характера

Защита информации от аварийных ситуаций заключается в создании средств предупреждения, контроля и организационных мер по исключению НСД на комплексе средств автоматизации в условиях отказов его функционирования, отказов системы защиты информации, систем жизнеобеспечения людей на объекте размещения и при возникновении стихийных бедствий.

Хотя аварийные ситуации и редкость, но статистика показывает, что большинство предприятий не имеют средств защиты от них. А в свою очередь аварийные ситуации природного характера наносят огромный ущерб функционированию предприятия и в некоторых случаях полное восстановление информации после наступления таких угроз невозможно.

С практической точки зрения сюда относится довольно обширный ряд методов. Проектирование хранилищ информации, введение систем противопожарной безопасности, повышение сейсмоустойчивости сооружений, использование огнеупорных материалов при строительстве, использование сейфов для хранения важной информации.

Информационное страхование

Создание системы информационной безопасности на основе организационных и технических средств сейчас становится экономически нецелесообразным, поэтому предприятия могут использовать механизм страхования информации.

Активное использование страхования информации предприятиями позволяет сократить затраты и минимизировать риски связанные с потерей информации. Так как потеря информации может привести к огромным потерям или даже банкротству предприятия, то при максимально большом количестве компаний использующих этот механизм страхование может стать инструментом поддерживающим стабильность рынка.

Технология информационного страхования уже довольно долгое время используется на западе но на данный момент в России не получила широкого развития. Хотя страхование является эффективным экономическим инструментом защиты информации. И вместе с другими методами может обеспечить комплексность в обеспечении информационной безопасности.

Криптография как средство защиты информации

Криптография - наука занимающаяся построением и исследованием математических методов преобразования информации (шифрованием). Также существует наука цель которой противоположна - криптоанализ. Его целью является исследование возможности дешифровки без использования ключа к шифру.

Шифрование информации не часто используется на предприятиях это понятие, скорее, относится к государственной сфере, но встречаются и исключения. И если значимость шифрования информации, на каком либо носителе не столь оправданна, то при передаче важной информации по каким либо каналам связи шифрование является единственным методом защиты.

Все шифры разделяют на две группы:

Шифры перестановки - основывается на изменении порядка следования символов в исходном сообщении.

Шифры замены - основываются на замене каждого символа на другой не изменяя их порядок в сообщении.

На практике шифрование применяется редко, исключением являются государственные службы, это очень трудоёмкий процесс и для его осуществлении необходимы специальные навыки и знания Чаще всего шифры применяются для передачи информации содержащей государственную или коммерческую тайну.



Заключение

В настоящее время существует множество видов угроз информации. И представлены они не только вирусными атаками со стороны злоумышленников. Общее черта у них одна.. Все угрозы могут привести к огромным убыткам из-за потери информации. Так как информация сейчас является одним из ключевых факторов успешного функционирования фирмы (предприятия). Исходя из этого разрабатываются все новые и новые методы защиты информации и информационных систем. Необходимо понять что обеспечить полную защиту информации невозможно но достигнуть приемлемого уровня защиты возможно при комплексном подходе к созданию системы защиты. То есть при использовании технических, административных, организационных методов в купе с использованием системы информационного страхования

Размещено на http://www.allbest.ru