Виды угроз информационной безопасности ЭИС. Методы и ср-ва защиты информации

под угрозой безопасности информации понимается действие или событие, которое может привести к разрушению, искажению или не­санкционированному использованию информационных ресурсов, включая хранимую, передаваемую и обрабатываемую информацию, а также программные и аппаратные средства. Угрозы принято делить на случайные, или непреднамеренные, и умышленные. Источником первых могут быть ошибки в програм­мном обеспечении, выходы из строя аппаратных средств, непра­вильные действия пользователей или администрации и т.п. Умыш­ленные угрозы, в отличие от случайных, преследуют цель нанесе­ния ущерба пользователям АЙТ и, в свою очередь, подразделяются на активные и пассивные. Пассивные угрозы, как правило, направлены на несанкциониро­ванное использование информационных ресурсов, не оказывая при этом влияния на ее функционирование. Пассивной угрозой является, например, попытка получения информации, циркули­рующей в каналах, посредством их прослушивания. Активные угрозы имеют целью нарушение нормального процес­са функционирования посредством целенаправленного воздействия на аппаратные, программные и информационные ресурсы. К ак­тивным угрозам относятся, например, разрушение или радиоэлек­тронное подавление линий связи, вывод из строя ПЭВМ или ее операционной системы, искажение сведений в базах данных или в системной информации в компьютерных технологиях и т«д. Ис­точниками активных угроз могут быть непосредственные действия злоумышленников, программные вирусы и т.п.

К основным угрозам безопасности информации относят: • раскрытие конфиденциальной информации; компрометация информации;

несанкционированное использование информационных ре­сурсов, ошибочное использование информационных ресурсов; несанкционированный обмен информацией; отказ от информации и отказ в обслуживании

Рассмотрим основное содержание представленных средств и методов зашиты информации, которые составляют основу меха­низмов зашиты. Препятствие - метод физического преграждения пути зло­умышленнику к защищаемой информации (к аппаратуре, носите­лям информации и т.д.). Управление доступом — метод защиты информации регулирова­нием использования всех ресурсов компьютерной информацион­ной системы банковской деятельности (элементов баз данных, программных и технических средств). Управление доступом вклю­чает следующие функции защиты.

• идентификацию пользователей, персонала и ресурсов систе­мы (присвоение каждому объекту персонального идентифика­тора); опознание (установление подлинности) объекта или субъекта по предъявленному им идентификатору; проверку полномочий (проверка соответствия дня недели, времени суток, запрашиваемых ресурсов и процедур установ­ленному регламенту); разрешение и создание условий работы в пределах установ­ленного регламента;

• регистрацию (протоколирование) обращений к защищаемым ресурсам; реагирование (сигнализация, отключение, задержка работ, от­каз в запросе) при попытках несанкционированных действий.

Маскировка — метод защиты информации^лутем ее криптогра­фического закрытия. Этот метод защиты широко применяется за рубежом как при обработке, так и при хранении информации, в том числе на дискетах. При передаче информации по каналам свя­зи большой протяженности этот метод является единственно на­дежным. Регламентация - метод защиты информации, создающий такие условия автоматизированной обработки, хранения и передачи за­щищаемой информации, при которых возможности несанкциони­рованного доступа к ней сводились бы к минимуму.

Принуждение - такой метод защиты, при котором пользователи и персонал системы вынуждены соблюдать правила обработки, пе­редачи и использования защищаемой информации под угрозой ма­териальной, административной или уголовной ответственности. Побуждение - такой метод защиты, который побуждает пользо­вателя и персонал системы не разрушать установленные порядки за счет соблюдения сложившихся моральных и этических норм (как регламентированных, так и неписаных). Рассмотренные методы обеспечения безопасности реализуются на практике за счет применения различных средств защиты, таких, как технические, программные, организационные, законодатель­ные и морально-этические.

К основным средствам защиты, используемым для создания механизма защиты, относятся следующие:

• Технические средства реализуются в виде эле ктрячес ких, элек­тромеханических и электронных устройств. Вся совокупность тех­нических средств делится на аппаратные и физические. Под аппа­ратными техническими средствами принято понимать устройства, встраиваемые непосредственно в вычислительную технику или устройства, которые сопрягаются с подобной аппаратурой по стан­дартному интерфейсу. Физические средства реализуются в виде автономных уст­ройств и систем. Например, замки на дверях, гае размешена аппа­ратура, решетки на окнах, элеяронно-меданнческое оборудование охранной сигнализации. Проераммные средства представляют из себя программное обеспечение, специально предназначенное для выполнения функ­ций защиты информации. Организационные средства защиты представляют собой орга­низационно-технические и органпэационно-правовые мероприя­тия, осуществляемые в процессе создания и эксплуатации вычис­лительной техники, аппаратуры телекоммуникаций для обеспече­ния зашиты информации. Организационные мероприятия охваты­вают все структурные элементы аппаратуры на всех этапах их жиз­ненного цикла (строительство помещений, проектирование ком­пьютерной информационной системы банковской деятельности, монтаж и наладка оборудования, испытания, эксплуатация). Морально-этические средства защиты реализуются в виде все­возможных норм, которые сложились традиционно или складыва­ются по мере распространения вычислительной техники и средств связи в обществе. Эти нормы большей частью не являются обяза­тельными как законодательные меры, однако, несоблюдение их ведет обычно к потере авторитета и престижа человека.