Информационная безопасность

1.Червь (worm) – это программа, которая тиражируется на жестком диске, в памяти компьютера и распространяется по сети Интернет. Особенностью червей, отличающих их от других вирусов, является то, что они не несут в себе никакой вредоносной нагрузки, кроме саморазмножения, целью которого является замусоривание памяти и, как следствие, затормаживание работы операционной системы.

2.Троян, или «троянский конь» (trojans) – это программа,

которая находится внутри другой, как правило, абсолютно безобидной программы. При запуске этой программы в систему инсталлируется программа, написанная с целью нанесения ущерба компьютеру путем выполнения несанкционированных пользователем действий: кражи, порчи или удаления конфиденциальных данных, нарушения работоспособности компьютера или использования его ресурсов в неблаговидных целях.

Таким образом, троянские программы являются одним из самых опасных видов вредоносного программного обеспечения, поскольку в них заложена возможность самых разнообразных злоумышленных действий (прил. Г).

3.Зомби (zombie) – это программа-вирус, которая после проникновения в компьютер, подключенный к сети Интернет, управляется извне и используется злоумышленниками для организации атак на другие компьютеры. Зараженные таким образом компьютеры-зомби могут объединяться в сети, через которые рассылается огромное количество нежелательных сообщений электронной почты, а также распространяются вирусы и другие вредоносные программы.

4.Шпионская программа (spyware) – это программный про-

дукт, установленный или проникший на компьютер без согласия его владельца с целью получения практически полного доступа

ккомпьютеру, сбора и отслеживания личной или конфиденциальной информации.

61

elib.pstu.ru

Эти программы, как правило, проникают на компьютер при помощи сетевых червей, троянских программ или под видом рекламы (adware).

Одной из разновидностей шпионских программ являются фишинг-рассылки.

5.Фишинг (phishing) – это почтовая рассылка, имеющая своей целью получение конфиденциальной финансовой информации. Такое письмо, как правило, содержит ссылку на сайт, являющийся точной копией интернет-банка или другого финансового учреждения. Пользователь обычно не догадывается, что находится на фальшивом сайте, и спокойно выдает злоумышленникам информацию о своих счетах, кредитных карточках, паролях и т.д.

6.Фарминг – это замаскированная форма фишинга, заключающаяся в том, что при попытке зайти на официальный сайт интернет-банка или коммерческой организации пользователь автоматически перенаправляется на ложный сайт, который очень трудно отличить от официального сайта.

Как и в случае фишинга, основной целью злоумышленников, использующих фарминг, является завладение личной финансовой информацией пользователя. Отличие заключается только в том, что вместо электронной почты мошенники используют более изощренные методы направления пользователя на фальшивый сайт.

7.Мобильные вирусы – это компьютерные (программные) вирусы, разработанные злоумышленниками специально для распространения через мобильные устройства, такие как смартфоны и карманные компьютеры. Чаще всего мобильные вирусы

распространяются с помощью SMS- и MMS-сообщений, а также по каналу Bluetooth14.

14 Bluetooth – это технология беспроводной связи по протоколу

WPAN (Wireless Personal Area Network), обеспечивающая взаимодей-

ствие и обмен информацией персональных компьютеров с периферийными устройствами: принтерами, мониторами, клавиатурой, мышкой и т.д., а также цифровых и аналоговых электронных устройств, для связи с компьютером или между собой.

62

elib.pstu.ru

Основной целью создания и распространения мобильных вирусов является несанкционированный доступ к личным данным владельцев сотовых телефонов и компьютеров, а также незаконное обогащение путем дистанционной организации звонков и рассылки SMS и MMS с чужих мобильных телефонов на платные номера.

Учитывая, что на сегодняшний день не существует официальной классификации программных вирусов, мобильные вирусы часто называют мобильными зловредами, мобильными вредоносными программами, мобильными угрозами и т.д.

8. Вредоносная программа (malware) – программное обес-

печение, разработанное специально для нанесения вреда компьютеру. Чаще всего такое вредительство осуществляется несанкционированным проникновением в компьютер пользователя, целью которого может быть воровство личных данных, уничтожение файлов, внесение изменений в регистры, нарушающие нормальную работу операционной системы и многие другие преступные действия.

Термин «вредоносная программа» является наиболее общим понятием, которое может применяться к любым вирусам, червям, троянам, шпионским программам и другим компьютерным зловредам.

Угроза отказа оборудования

Несмотря на высокую степень надежности современного оборудования, стопроцентной надежности никогда не достичь. Здесь можно привести две основные причины:

–злонамеренное повреждение оборудования, приводящее к отказу;

–«естественные» случаи, такие как короткое замыкание, перегрев и чрезмерная влажность.

Против первой причины можно защититься, если гаранти-

ровать физическую защищенность компьютерного оборудования и возможность работы с ним только уполномоченных лиц.

Во втором случае жизненно важно гарантировать установление приборов, управляющих температурой и влажностью, в

63

elib.pstu.ru

месте расположения оборудования. Компьютерное оборудование (и средства, содержащие резервную информацию) должно также защищаться от пожара.

Угроза ошибок или сбоев программного обеспечения

Ошибки и сбои программного обеспечения, несомненно, угрожают целостности одного из наиболее ценных ресурсов современных организаций – информации. Искажение или уничтожение этой информации также угрожает деловой непрерывности и поэтому представляет большой интерес с точки зрения безопасности. Плохая информация – неточная, несвоевременная или противоречивая – опасна для бизнеса.

Никто не может с уверенностью сказать, будут ли все программы из сложного комплекса программного обеспечения всегда правильно работать при любом мыслимом стечении обстоятельств. Процесс создания и тестирования программного обеспечения, свободного от ошибок, остается для руководства серьезной проблемой контроля качества.

Таковы основные угрозы, на долю которых приходится львиная доля урона, наносимого информационным системам. В следующем подразделе рассмотрим способы противостояния угрозам.

8.2. Управление рисками

Обеспечение ИБ основано на формировании подхода к управлению рисками, создании комплексной системы обеспечения ИБи проведения аудита системыуправления ИБ (см. рис. 2).

На результаты бизнеса влияют различные внешние и внутренние факторы, относящиеся к категории риска. Влияние это выражается в отрицательном воздействии на одну или одновременно несколько групп активов организации. Например, сбой сервера влияет на доступность хранящейся на сервере информации, а его ремонт отвлекает людские ресурсы, создавая их дефицит на определенном участке работ и вызывая дезорганиза-

64

elib.pstu.ru

цию бизнес-процессов, при этом временная недоступность клиентских сервисов может негативно повлиять на имидж компании.

У каждой организации есть основные и вспомогательные активы. Вокруг основных активов построен бизнес организации. Например, бизнес организации может быть основан на владении и использовании материальных активов, таких как земля, недвижимость, оборудование. Он может быть основан на разработке программного обеспечения, информационных продуктов, электронной коммерции или на консалтинге, обучении и т.п.

Риски основных активов чреваты потерей бизнеса и невосполнимыми потерями для организации, поэтому на этих рисках в первую очередь должно быть сосредоточено внимание владельцев бизнеса. Риски вспомогательных активов обычно приводят к восполнимому ущербу и не являются основным приоритетом в системе управления организации. Обычно управлением такими рисками занимаются специально назначаемые люди, либо эти риски передаются сторонней организации, например аутсорсеру или страховой компании. Для организации это скорее вопрос эффективности управления, нежели выживания.

Поскольку риски информационной безопасности являются основными далеко не для всех организаций, практикуются три основных подхода к управлению этими рисками, различающиеся глубиной и уровнем формализма.

Для некритичных систем, когда информационные активы являются вспомогательными, а уровень информатизации невысок, что характерно для большинства современных российских компаний, существует минимальная необходимость в оценке рисков. В таких организациях следует вести речь о некотором базовом уровне ИБ, определяемом существующими нормативами и стандартами, лучшими практиками, опытом, а также тем, как это делается в большинстве других организаций. Однако существующие стандарты, описывая некоторый базовый набор требований и механизмов безопасности, всегда оговаривают не-

65

elib.pstu.ru

обходимость оценки рисков и экономической целесообразности применения тех или иных механизмов контроля для того, чтобы выбрать из общего набора требований и механизмов те из них, которые применимы в конкретной организации.

Для критичных систем, в которых информационные активы не являются основными, однако уровень информатизации бизнес-процессов очень высок и информационные риски могут существенно повлиять на основные бизнес-процессы, оценку рисков применять необходимо, однако в данном случае целесообразно ограничиться неформальными качественными подходами к решению этой задачи, уделяя особое внимание наиболее критичным системам.

Когда же бизнес организации построен вокруг информаци-

онных активов и риски информационной безопасности являют-

ся основными, для оценки этих рисков необходимо применять формальный подход и количественные методы.

Во многих компаниях одновременно несколько видов активов могут являться жизненно важными, например в случае, когда бизнес диверсифицирован или компания занимается созданием информационных продуктов и для нее могут быть одинаково важны и людские, и информационные ресурсы. В этом случае рациональный подход заключается в проведении высокоуровневой оценки рисков с целью определения того, какие системы подвержены рискам в высокой степени и какие имеют критическое значение для ведения деловых операций, с последующим проведением детальной оценки рисков для выделенных систем. Для всех остальных некритичных систем целесообразно ограничиться применением базового подхода, принимая решения по управлению рисками на основании существующего опыта, экспертных заключений и лучшей практики.

Стратегия управления рисками разных классов может быть основана на следующих подходах:

– уменьшение риска. Многие риски могут быть существенно уменьшены путем использования весьма простых и дешевых

66

elib.pstu.ru

контрмер. Например, грамотное управление паролями снижает риск несанкционированного доступа;

–уклонение от риска. От некоторых классов рисков можно уклониться. Например, вынесение web-сервера организации за пределы локальной сети позволяет избежать риска несанкционированного доступа в локальную сеть со стороны web-клиен- тов;

–изменение характера риска. Если не удается уклониться от риска или эффективно его уменьшить, можно принять некоторые меры страховки. Например, можно застраховать оборудование от пожара или заключить договор с поставщиками оборудования о сопровождении и компенсации ущерба, вызванного нештатными ситуациями;

–принятие риска. Многие риски не могут быть уменьшены до пренебрежимо малой величины. На практике после принятия стандартного набора контрмер ряд рисков уменьшается, но остается все еще значимым. Необходимо знать остаточную величину риска.

Для уменьшения риска можно воспользоваться различными средствами контроля физического доступа, например запрещение доступа в места, где размещено компьютерное оборудование всем, кроме уполномоченных пользователей, и логического доступа путем использования идентификаторов пользователей и паролей.

8.3. Стандарты информационной безопасности

Стандарты информационной безопасности – это обязательные или рекомендуемые к выполнению документы, в которых определены подходы к оценке уровня ИБ и установлены требования к безопасным информационным системам (прил. Д).

Стандарты в области информационной безопасности выполняют следующие важнейшие функции:

– выработка понятийного аппарата и терминологии в области ИБ;

67

elib.pstu.ru

–формирование шкалы измерений уровня ИБ;

–согласованная оценка продуктов, обеспечивающих ИБ;

–повышение технической и информационной совместимости продуктов, обеспечивающих ИБ;

–накопление сведений о лучших практиках обеспечения информационной безопасности и их предоставление различным группам заинтересованной аудитории – производителям средств ИБ, экспертам, ИТ-директорам, администраторам и пользователям информационных систем;

–нормотворчество – придание некоторым стандартам юридической силы и установление требования их обязательного выполнения.

Основными областями стандартизации информационной безопасности являются следующие:

–аудит ИБ;

–модели ИБ;

–методы и механизмы обеспечения ИБ;

–криптография;

–безопасность межсетевых взаимодействий;

–управление ИБ.

Британский стандарт BS 7799 стал стандартом де-факто в области построения систем управления информационной безопасностью. Положения этого стандарта на добровольной основе применяет множество компаний в десятках стран мира. Сертификация системы управления ИБ на соответствие стандарту BS 7799 позволяет убедиться владельцам информационных ресурсов, партнерам в том, что подсистема ИБ построена правильно и функционирует эффективно.

BS 7799 не является техническим стандартом. Он, например, не предписывает использование каких-то определенных способов шифрования данных или устройств защиты от сбоев питания. Стандарт определяет общую организацию, классификацию данных, системы доступа, направления планирования,

68

elib.pstu.ru

ответственность сотрудников, использование оценки риска в контексте ИБ.

Этот стандарт дает компании инструмент, позволяющий управлять конфиденциальностью, целостностью и сохранностью важного актива компании – информации, и может с одинаковым успехом применяться в компаниях разного размера – от индивидуальных предпринимателей до предприятий с численностью сотрудников в десятки тысяч человек.

BS 7799 может использоваться для защиты любых видов информации, включая финансовую, кадровую информацию, информацию по поставщикам, любые другие данные компании и, что немаловажно, информацию, принадлежащую вашим партнерам/клиентам, – одним словом, все, что является значимым информационным ресурсом любой компании и все, что уязвимо для угроз безопасности.

Таким образом, основную цель Стандарта можно сформулировать как создание общей методологии для разработки, внедрения и оценки эффективности СУИБ, применимой как в условиях коммерческих компаний, так и в условиях государственных и некоммерческих структур.

Стандарт BS 7799 защищает:

–конфиденциальность – защита информации от несанкционированного доступа;

–целостность – защита информации от несанкционированного изменения, обеспечение ее точности и полноты;

–доступность – возможность пользоваться информацией, когда это требуется (работоспособность системы);

Важно, что данный стандарт не концентрируется лишь на конфиденциальности. В коммерческих организациях с точки зрения возможных материальных потерь целостность и доступность данных зачастую более критичны.

69

elib.pstu.ru

С основными положениями стандарта можно познакомить-

ся на сайте «Искусство управления информационной безопасностью»15

Базовый уровень ИБ

Во многих информационных системах требования в области ИБ не являются жесткими: недоступность системы может составлять несколько десятков часов в год, степень конфиденциальности сведений не очень высока. Примерами таких систем являются практически все офисные системы, системы поддержки принятия решений для приложений, где не требуется высокая оперативность. Практические правила обеспечения режима ИБ в подобных случаях обычно основываются на концепции базового уровня ИБ.

Базовый уровень обеспечивается совокупностью проверенных практикой правил обеспечения ИБ на всех этапах жизненного цикла информационной технологии. Эти правила носят комплексный характер, т.е. охватывают административный, процедурный, программно-технический уровни и все этапы жизненного цикла информационной технологии. Достоинством подобного подхода является сравнительно низкая трудоемкость и ориентация на проверенные стандартные решения. Недостатком является отсутствие оценок параметров, характеризующих режим ИБ. При подобном подходе можно упустить из виду специфические для конкретной информационной системы классы угроз.

В последнее время появились национальные и ведомственные стандарты, в которых определены требования к базовому уровню безопасности информационных технологий.

Таким образом, для обеспечения базового уровня ИБ используется упрощенный подход к анализу рисков, при котором

15 URL: http://www.iso27000.ru.

70

elib.pstu.ru