Сучасна ситуація в сфері інформаційної безпеки, категорії інформаційної безпеки та нормативна база

Системи захисту інформації

Моделювання процесів створення й оцінки ефективності

Підготував студент

Групи П-9-32

Бондар Тарас

 

Зміст

Вступ.

1. Сучасна ситуація в сфері інформаційної безпеки, категорії інформаційної безпеки та нормативна база.

2. Системний підхід у створенні механізмів захисту інформаційних систем, постановка задачі моделювання процесів створення систем захисту інформації.

3. Модель представлення системи інформаційної безпеки та вимоги до моделі.

4. Опис підходу до формування моделі захисту інформації.

Висновок.

Література.

 

Вступ

Чому питання захисту інформації є актуальним і важливим сьогодні? Наведемо деякі факти.

Перші злочини з використанням комп'ютерної техніки з'явилися в Росії в 1991 р., коли були викрадені 125,5 тис. доларів США у Внєшекономбанку СРСР. Увесь світ облетіла кримінальна справа за обвинуваченням Левина й ін., що вчинили розкрадання грошей з банківських рахунків на великій відстані з використанням ЕОМ.
У 2003 році в Росії було порушено 1602 кримінальні справи по ст.272 («Неправомірний доступ до комп'ютерної інформації») і 165 ("Заподіяння майнового збитку шляхом обману і зловживання довірою") КК РФ. Це складає 76% від загального числа порушених кримінальних справ по злочинах у сфері комп'ютерної інформації.
Як випливає з представлених даних, кількість злочинів, що зареєстровані у сфері комп'ютерної інформації являє собою стабільно зростаючу криву, динаміка росту якої складає порядку 400% щорічно.
Джерело: Центр дослідження проблем комп'ютерної злочинності

Найбільший неядерний вибух території Радянського Союзу і викликаний ним пожежа, які можна було спостерігати з космосу, був спровокований ЦРУ США і викликаний спеціально залишеною помилкою в програмному забезпеченні.
Виписки з мемуарів, що готуються до друку, американських військових приводить сьогодні Washington Post.
Томас Рид пише, що на початку 1982 року США продали Радянському Союзу технології для газопроводів, включаючи програмне забезпечення, що викликало влітку того ж року грандіозний вибух на газопроводі в Сибірі, який зафіксували американські супутники. Метою цієї диверсії є спроба заблокувати постачання радянського газу в Західну Європу, що була одним з основних джерел надходження вільно конвертованої валюти, і в такий спосіб знищити економіку СРСР, пише Washington Post.
На сайті міжнародної правоохоронної організації "Інтерпол" (13 грудня 2004 г) користувачами Інтернету була виявлена вразливість, що дозволяла будь-якому бажаючому створити в рамках сайту сторінку з довільною фотографією і підписом до неї.
Щоб скористатися цим, потрібно було сформувати адресний рядок (URL) виду: http://www.interpol.int/Viewer/viewphoto.asp?ImageName=[адресфотографії]&Text=[довільний текст]. Фотографія може бути будь-яка і знаходитися в довільному місці в Інтернеті. Текст також може бути довільний.
При заході за допомогою браузера по сформованому таким способом адресі на справжній сторінці сайту Інтерполу з'являлася зазначена користувачем довільна фотографія і введений ним текст. Таку сторінку можна було легко прийняти за реально розміщену на сайті цієї організації.
У такий спосіб можна було, наприклад, фальсифікувати повідомлення про те, що когось нібито розшукує Інтерпол - це могло бути використане в різних цілях - наприклад, для розиграшів. Користувачі Інтернету після перших повідомлень про "діру" займалися підробленням оголошень на сайті протягом майже всього дня в п'ятницю, однак після 19:00 у п'ятницю програмісти сайту interpol.int змінили вразливий скрипт. У результаті стало неможливим розміщення зображень, узятих з довільних сайтів крім сайту "Інтерполу". Можливість розмістити довільний текст, у той же час, залишилася.

Єврокомісія наполягає на виділенні 50 млн. євро на боротьбу зі спамом – непотрібним користувачу розсиланням повідомлень по електронній пошті в Інтернеті. Ці засоби необхідно виділити в рамках спеціальної чотирирічної програми, яку планується розпочати вже в 2005 році.
18.03.04 Європейський Парламент проголосував за введення закону про Інтелектуальну Власність в Інтернеті. У даний момент відповідна директива спрямована всім країнам-учасницям, що повинні будуть у найближчі два роки змінити відповідним чином місцеве законодавство.
Самі похмурі прогнози про те, що спам уб'є електронну пошту в її нинішньому виді, починають збуватися. Один з найбільших інтернет-провайдерів США Comcast на кілька днів блокував для своїх клієнтів переписування з Росією, звідки приходило занадто багато листів зі спамом. Доні від 11.03.04.
Австралію визнали п'ятою у світі по кількості кіберзлочинів
Австралія стала місцем здійснення більшості злочинів у сфері інформаційної безпеки в азіатсько-тихоокеанському регіоні. Доні від 18.03.04.

 

Сучасна ситуація в сфері інформаційної безпеки, категорії інформаційної безпеки та нормативна база

 

Сучасна ситуація в сфері інформаційної безпеки

Останнім часом повідомлення про атаки на інформацію, про хакерів і комп'ютерні зломи наповнили всі засоби масової інформації. Що ж таке "атака на інформацію"? Дати визначення цій дії насправді дуже складно, оскільки інформація, особливо електронна, представлена сотнями різних видів. Інформацією можна вважати й окремий файл, і базу даних, і один запис у ній, і цілий програмний комплекс. І всі ці об'єкти можуть піддатися і піддаються атакам з боку деякої соціальної групи осіб.

При збереженні, підтримці і наданні доступу до будь-якого інформаційного об'єкта його власник, або уповноважена ним особа, накладає явно або самоочевидно набір правил по роботі з нею. Навмисне їхнє порушення класифікується як атака на інформацію.

З масовим впровадженням комп'ютерів в усі сфери діяльності людини обсяг інформації, збереженої в електронному виді, виріс у тисячі раз. І тепер скопіювати за півхвилини і віднести дискету з файлом, що містить план випуску продукції, набагато простіше, ніж переписувати сотні паперів. А з появою комп'ютерних мереж навіть відсутність фізичного доступу до комп'ютера перестало бути гарантією цілісності інформації.

Які можливі наслідки атак на інформацію? У першу чергу, звичайно, нас будуть цікавити економічні втрати:

1. 1. Розкриття комерційної інформації може привести до серйозних прямих збитків на ринку.

2. 2. Звістка про крадіжку великого обсягу інформації серйозно впливає на репутацію фірми, приводячи до втрат в обсягах торгових операцій.

3. 3. Фірми-конкуренти можуть скористатися крадіжкою інформації, якщо та залишилася непоміченої, для того щоб цілком розорити фірму, нав'язуючи їй фіктивні або свідомо збиткові угоди.

4. 4. Підміна інформації як на етапі передачі, так і на етапі збереження у фірмі може привести до величезних збитків.

5. 5. Багаторазові успішні атаки на фірму, що надає будь-який вид інформаційних послуг, знижують довіру до фірми в клієнтів, що позначиться на обсязі доходів.

Природно, комп'ютерні атаки можуть принести і величезний моральний збиток. Поняття конфіденційного спілкування давно вже стало притчею. Зрозуміло, що ніякому користувачу комп'ютерної мережі не хочеться, щоб його листи крім адресата одержували ще 5-10 чоловік або, наприклад, весь текст, що набирається на клавіатурі ЕОМ, копіювався в буфер, а потім, при підключенні до Інтернету, відправлявся на визначений сервер. А саме так і відбувається в тисячах і десятках тисяч випадків.

Кілька цікавих цифр про атаки на інформацію. Якщо у комерційній організації відбувається витік більш 20% важливої внутрішньої інформації, то вона в 60 випадках з 100 банкрутує. Стверджують також, що 93% компаній, що залишилися без доступу до власної інформації на термін більш 10 днів, покинули бізнес, причому половина з них заявила про свою неспроможність негайно.

Існує безліч суб'єктів і структур, дуже зацікавлених у чужій інформації і готових заплатити за це високу ціну. Так, вартість пристроїв підслуховування, що продаються тільки в США, становить в середньому близько 900 млн. дол. у рік. Сумарні втрати, нанесені організаціям, проти яких здійснювалося прослуховування, складають щорічно в США близько 8 млрд. дол. Але ж існують і, відповідно, здобуваються пристрої для несанкціонованого доступу до інформації і по інших каналах: проникнення в інформаційні системи, перехоплення і дешифрування повідомлень і т.д. У результаті, за даними SANS Institute, середній розмір збитку від однієї атаки в США на корпоративну систему для банківського і ІТ-секторів економіки складає біля півмільйона доларів.

 

Категорії інформаційної безпеки

 

Інформація з погляду інформаційної безпеки має наступні категорії:

• конфіденційність – гарантія того, що конкретна інформація доступна тільки тому колу осіб, для кого вона призначена; порушення цієї категорії називається розкраданням або розкриттям інформації
• цілісність – гарантія того, що інформація зараз існує в її вихідному виді, тобто при її збереженні або передачі не було зроблено несанкціонованих змін; порушення цієї категорії називається фальсифікацією повідомлення
• автентичність – гарантія того, що джерелом інформації є саме та особа, що заявлена як її автор; порушення цієї категорії також називається фальсифікацією, але вже автора повідомлення
• апельованість – досить складна категорія, але часто застосовувана в електронній комерції – гарантія того, що при необхідності можна буде довести, що автором повідомлення є саме заявлена людина, і не може бути ніхто інший; відмінність цієї категорії від попередньої в тому, що при підміні автора, хтось інший намагається заявити, що він автор повідомлення, а при порушенні апельованісті – сам автор намагається "відхреститися" від своїх слів, підписаних ним один раз.

У відношенні до інформаційних систем застосовуються інші категорії:

• надійність – гарантія того, що система поводиться в нормальному і позаштатному режимах так, як заплановано
• точність – гарантія точного і повного виконання всіх команд
• контроль доступу – гарантія того, що різні групи осіб мають різний доступ до інформаційних об'єктів, і ці обмеження доступу постійно виконуються
• контрольованість – гарантія того, що в будь-який момент може бути зроблена повноцінна перевірка будь-якого компонента програмного комплексу
• контроль ідентифікації – гарантія того, що клієнт, підключений у даний момент до системи, є саме тим, за кого себе видає
• стійкість до спеціальних збоїв – гарантія того, що при спеціальному внесенні помилок у межах заздалегідь обговорених норм система буде поводитися так, як обговорено заздалегідь.

Нормативна база.

Обґрунтуванню критеріїв і створенню методології оцінки інформаційної безпеки приділена значна увага. В даний час можна виділити наступні документи, що внесли серйозний теоретичний і практичний внесок у розв’язання задач інформаційної безпеки:

1. 1. Критерії оцінки захищеності комп'ютерних систем, що відомі як "Жовтогаряча книга".

2. 2. Європейські критерії оцінки безпеки інформаційних технологій. Дані критерії розроблені з урахуванням виявлених недоліків і обмежень при використанні "Жовтогарячої книги" і є виправленими і доповненими стосовно першого.

3. 3. Канадські критерії оцінки безпеки надійних комп'ютерних систем.

4. 4. Федеральні критерії США, розроблені за замовленням уряду США і спрямовані на усунення обмежень, незручностей практичного застосування і недоліків "Жовтогарячої книги".

5. 5. Міжнародний стандарт ISO/IEC 15408 - "Критерії оцінки безпеки інформаційних технологій", або Єдині критерії.

6. 6. Робочий проект стандарт СЕМ-97/017 - "Загальна методологія оцінки безпеки інформаційних технологій".

Перераховані нормативні документи, і особливо останні два, вносять суттєвий вклад у формування єдиної міжнародної науково-методологічної бази вирішення проблеми інформаційної безпеки в продуктах і інформаційних технологіях. Аналіз цих документів підтверджує той факт, що для вирішення задач забезпечення інформаційної безпеки, поряд з формальними методами моделювання процесів і оцінки ефективності функціонування систем необхідно широко використовувати методи декомпозиції і структуризації компонентів систем і процесів, неформальні методи оцінки ефективності функціонування і прийняття рішень. Це означає, що апарат системного аналізу необхідно використовувати на всіх етапах життєвого циклу систем захисту інформації.
Але існуючі стандарти і документи на їхній основі не дають відповідей на ряд ключових питань.

1. 1. Як створити інформаційну систему, щоб вона була захищеною на необхідному рівні, що об'єктивно перевіряється?

2. 2. Як практично сформувати режим безпеки і підтримувати його в умовах постійно змінного зовнішнього оточення і структури самої системи?

3. 3. Який реальний рівень безпеки і наскільки ефективна система захисту інформації?