Информационная безопасность

 

   Оценка рисков нарушения информационной  безопасности проводится для  всех информационных активов.  Анализ рисков включает идентификацию  и вычисление уровней (мер)  рисков на основе оценок, присвоенных  ресурсам, угрозам и уязвимостям  ресурсов.

Основной  способ оценки рисков – это тщательно  спланированные интервью, с использованием опросников, в которых участвуют  необходимые структурные подразделения. По окончании анализа рисков составляется отчет, который предоставляется  высшему руководству организации.

Результаты  проведения оценки представлены в таблице (Таблица 6).

 

 

 

Таблица 6

Результаты  оценки рисков информационным активам  организации

Риск	Актив	Ранг риска
1	Персональные данные о сотрудниках	8
2	Кадровый учет	7
3	Персональные компьютеры	6
4	Почтовый сервер	5
5	Сервера баз данных	4
6	Оборудование для обеспечения связи	2
7	Учетная Система	3
8	Windows 7	1

 

 

3. Характеристика комплекса задач, задачи и обоснование

необходимости совершенствования  системы обеспечения информационной безопасности и защиты информации на предприятии.

1. Выбор комплекса задач обеспечения информационной

безопасности и  защиты информации исходя из выполняемых  предприятием задач и существующих рисков.

 

Угроза – совокупность условий и факторов, создающих потенциальную или реально существующую опасность нарушения конфиденциальности, доступности и (или) целостности информации.

Если говорить об угрозах информационно-технического характера, можно выделить такие  элементы как кража информации, вредоносное  ПО, хакерские атаки, СПАМ, халатность сотрудников, аппаратные и программные  сбои, финансовое мошенничество, кража  оборудования.

Согласно статистике применительно  к этим угрозам, можно привести следующие  данные (по результатам исследований, проведённых в России компанией  InfoWath):

• Кража информации – 64%
• Вредоносное ПО – 60%
• Хакерские атаки – 48%
• Спам – 45%
• Халатность сотрудников – 43%
• Аппаратные и программные сбои – 21%
• Кража оборудования – 6%
• Финансовое мошенничество – 5%

Как видно, из приведенных данных, наиболее распространены кража информации и вредоносное ПО. В настоящее время широкое развитие получили такие угрозы информационной безопасности, как хищение баз данных, рост инсайдерских угроз, применение информационного воздействия на различные информационные системы, возрос ущерб наносимый злоумышленником. Среди внутренних угроз безопасности информации выделяют нарушение конфиденциальности информации, искажение, утрата информации, сбои в работе оборудования и информационных систем, кража оборудования. И опять же, опираясь на статистику, наибольшее распространение имеют нарушения конфиденциальности и искажение. Так или иначе, утечка информации происходит по каналам утечки. Большую часть в данном аспекте представляет, так называемый «человеческий фактор». То есть сотрудники организации, что не удивительно, потому что кто, как не они имеют достаточно полномочий и возможностей для завладения информацией. Но совсем не обязательно похищать информацию с целью, например, последующей продажи. Если сотруднику захочется подпортить репутацию компании, или нанести какой либо ущерб в силу каких-то обстоятельств (понижение по должности, сокращение, разногласия с руководством и т.д.), в полнее достаточно исказить информацию представляющую ценность для организации, в следствии чего, данная информация может потерять свою актуальность и ценность, или же окажется просто недостоверной, не подлинной, что может обернуться, например, обманутыми клиентами, партнерами. К счастью, таких «ущемленных» сотрудников не так много. Если же говорить о мотивах, побудивших человека, сотрудника организации к таким шагам, первое место занимает кража денег с электронных счетов (изменение программ по начислению заработной платы и зачислению её на индивидуальные счета, создание файлов с вымышленными вкладчиками, изъятие в хранилищах кредитно-финансовых учреждений банковских карт и PIN кодов к ним, фальсификацию в базе данных фирм информации о клиентах). Но и не обходится без фальсификации информации, или повреждения программного обеспечения, вывод из работы сайтов и прочее. Наиболее опасным являются неумышленные действия персонала. Примером может являться, уже обыденная вещь для современного человека – «флешка», или USB накопитель на основе Flash-memory. Нередко, сотрудники организации используют «флешки» в работе. Или из самых лучших побуждений, человек, может взять некоторую информацию домой, для того чтобы поработать над ней (к примеру, подготовка какой либо отчетности или других документов). В данном случае велик процент утечки информации из-за потери самого носителя – «флешки», в силу ее габаритных характеристик.

Наиболее распространены следующие атаки:

Подслушивание (sniffing) – для подслушивания в компьютерных сетях используют сниффер. Сниффер пакетов представляет собой прикладную программу, которая перехватывает все сетевые пакеты, передаваемые через определенный домен.

Перехват пароля, передаваемого  по сети в незашифрованной форме, путем «подслушивания» канала является разновидностью атаки подслушивания  канала, которая называется password sniffing.

Изменение данных. Злоумышленник, получивший возможность прочитать  данные, может их изменить. Данные в  пакете могут быть изменены, даже если злоумышленник ничего не знает ни об отправителе, ни о получателе.

Анализ сетевого трафика. Целью атак такого типа является подслушивание  каналов связи и анализ передаваемых данных и служебной информации для  изучения топологии и архитектуры  построения системы, получения критической  пользовательской информации. Атакам такого типа подвержены такие протоколы, как FTP или Telnet.

Подмена доверенного субъекта. Большая часть сетей и операционных систем используют IP-адрес компьютера, для того чтобы определять, тот ли это адресат, который нужен. Иногда возможно некорректное присвоение IP-адреса. Такой способ атаки называется фальсификацией адреса(IP-spoofing).

Посредничество. Подразумевает  активное подслушивание, перехват и  управление передаваемыми данными  невидимым промежуточным узлом.

Посредничество в обмене незашифрованными ключами (атака man-in-the-middle). Такие атаки проводятся с целью кражи информации, перехвата текущей сессии и получения доступа к частным сетевым ресурсам, для анализа трафика и получения информации о сети и ее пользователях, для проведения атаки типа DoS, искажения передаваемых данных и ввода несанкционированной информации в сетевые сессии.

Перехват сеанса (session hijacking). По окончании начальной процедуры аутентификации соединение, установленное законным пользователем, переключается злоумышленником на новый хост, а исходному серверу выдается команда разорвать соединение.

Отказ в обслуживании (Denial of Service, DoS). Эта атака делает сеть организации недоступной для обычного использования за счет превышения допустимых пределов функционирования сети, операционных систем или приложения.

Парольные атаки. Такие  атаки предусматривают завладение паролем и логином законного  пользователя. Злоумышленники могут проводит парольные атаки, используя следующие методы:

• Подмена IP-адреса (IP-спуфинг);
• Подслушивание (сниффинг);
• Простой перебор.

Эти методы позволяют завладеть  паролем и логином пользователя, если  они передаются открытым текстом  по незащищенному каналу.

Угадывание ключа. Криптографический  ключ представляет собой код или  число, необходимое для расшифровки  защищенной информации. Ключ, к которому получает доступ атакующий, называется скомпрометированным. Атакующий использует скомпрометированный ключ для получения  доступа к защищенным передаваемым данным без ведома отправителя и получателя. Ключ дает возможность расшифровывать и изменять данные.

Сетевая разведка – это  сбор информации о сети с помощью  общедоступных данных и приложений. Сетевая разведка проводится в форме  запросов DNS, эхо-тестирования (ping sweep) и сканирования портов.

Злоупотребление доверием представляет собой злонамеренное  использование отношения доверия, существующих в сети.

Компьютерные вирусы, сетевые  «черви», программа «троянский конь». Вирусы представляют собой вредоносные  программы, которые внедряются в  другие программы для выполнения определенной нежелательной функции  на рабочей станции конечного  пользователя.

 

Специфичные угрозы безопасности.

Поскольку у всех сотрудников  магазина есть свободный доступ в  Интернет, самыми частыми и опасными угрозами являются компьютерные вирусы.

Компью́терный ви́рус — разновидность компьютерных программ, отличительной особенностью которых является способность к размножению (саморепликация). В дополнение к этому вирусы могут без ведома пользователя выполнять прочие произвольные действия, в том числе наносящие вред пользователю и/или компьютеру. По этой причине вирусы относят к вредоносным программам.

Заражение программы, как  правило, выполняется таким образом, чтобы вирус получил управление раньше самой программы. Для этого  он либо встраивается в начало программы, либо имплантируется в ее тело так, что первой командой зараженной программы  является безусловный переход на компьютерный вирус, текст которой  заканчивается аналогичной командой безусловного перехода на команду вирусоносителя, бывшую первой до заражения. Получив  управление, вирус выбирает следующий  файл, заражает его, возможно, выполняет  какие-либо другие действия, после чего отдает управление вирусоносителю.

"Первичное" заражение  происходит в процессе поступления  инфицированных программ из памяти  одной машины в память другой, причем в качестве средства  перемещения этих программ могут  использоваться как магнитные  носители (дискеты), так и каналы  вычислительных сетей. Вирусы, использующие  для размножения сетевые средства, принято называть сетевыми. Цикл  жизни вируса обычно включает  следующие периоды: внедрение,  инкубационный, репликации (саморазмножения)  и проявления. В течение инкубационного  периода вирус пассивен, что усложняет  задачу его поиска и нейтрализации.  На этапе проявления вирус  выполняет свойственные ему целевые  функции, например необратимую  коррекцию информации в компьютере  или на магнитных носителях.

Физическая структура  компьютерного вируса достаточно проста. Он состоит из головы и, возможно, хвоста. Под головой вируса понимается его  компонента, получающая управление первой. Хвост - это часть вируса, расположенная  в тексте зараженной программы отдельно от головы. Вирусы, состоящие из одной  головы, называют несегментированными, тогда как вирусы, содержащие голову и хвост - сегментированными.

К числу наиболее характерных признаков заражения компьютера вирусами относятся следующие:

• некоторые ранее исполнявшиеся программы перестают запускаться или внезапно останавливаются в процессе работы;
• увеличивается длина исполняемых файлов;
• быстро сокращается объём свободной дисковой памяти;
• на носителях появляются дополнительные сбойные кластеры, в которых вирусы прячут свои фрагменты или части повреждённых файлов;
• замедляется работа некоторых программ;
• в текстовых файлах появляются бессмысленные фрагменты;
• наблюдаются попытки записи на защищённую дискету;
• на экране появляются странные сообщения, которые раньше не наблюдались;
• появляются файлы со странными датами и временем создания (несуществующие дни несуществующих месяцев, годы из следующего столетия, часы, минуты и секунды, не укладывающиеся в общепринятые интервалы и т. д.);
• операционная система перестаёт загружаться с винчестера;
• появляются сообщения об отсутствии винчестера;
• данные на носителях портятся.

Наиболее существенные признаки компьютерных вирусов позволяют  провести следующую их классификацию.

1. По среде обитания различают вирусы сетевые, файловые, загрузочные и файлово-загрузочные.

2. По способу заражения выделяют резидентные и нерезидентные вирусы.

3. По степени воздействия вирусы бывают неопасные, опасные и очень опасные;

4. По особенностям алгоритмов вирусы делят на паразитические, репликаторы, невидимки, мутанты, троянские, макро-вирусы.

Загрузочные вирусы заражают загрузочный сектор винчестера или дискеты и загружаются каждый раз при начальной загрузке операционной системы.