Вопрос. Информационная безопасность в финансовых системах
Информационное пространство (инфосфера) — сфера человеческой деят-ти, связанная с созданием, преобразованием и потреблением информации и включающая в себя: индивидуальное и общественное сознание; информационные рес-ы, т.е. информ-ную инфраструктуру (комплекс организационных структур, технических ср-в, программного и другого обеспечения для формирования, хранения, обработки и передачи информации), а также собственно инф-цию и ее потоки. Информ-ная война — информационное противоборство с целью нанесения ущерба важным структурам противника, подрыва его политической и соц-ой систем, а также дестабилизации общ-ва и государства противника. Информ-ная безопасность включает: состояние защищенности информационного пространства, обеспечивающее его формирование и развитие в интересах граждан, организаций и государства; состояние инфраструктуры, при котором инф-ция используется строго по назначению и не оказывает негативного воздействия на систему при ее использовании; состояние информации, при котором исключается или существенно затрудняется нарушение таких ее свойств, как секретность, целостность и доступность; экон-ую составляющую (структуры управления в эк-ой сфере, включая системы сбора, накопления и обработки информации в интересах управления пр-венными структурами, системы общеэкономического анализа и прогнозирования хозяйственного развития, системы управления и координации в промышленности и на транспорте, системы управления энергосистем, централизованного снабжения, системы принятия решения и координации действий в чрезвычайных ситуациях, информационные и телекоммуникационные системы); фин-ую составляющую (информационные сети и базы данных банков и банковских объединений, системы фин-ого обмена и фин-ых расчетов). Понятие информ-ой безопасности в узком смысле этого слова подразумевает: надежность работы компьютера; сохранность ценных данных; защиту информации от внесения в нее изменений неуполномоченными лицами; сохранение тайны переписки в электронной связи. На сегодняшний день сформулировано три базовых принципа информ-ой безопасности, задачей которой является обеспечение:
Конфиденциальность компьютерной информации — это свойство информации быть известной только допущенным и прошедшим проверку (авторизацию) субъектам системы (пользователям, программистам и т.д.). Целостность ресурса системы - свойство ресурса быть неизменным в семантическом смысле при функционировании системы. доступность ресурса системы -свойство ресурса быть доступным для использования авторизированными субъектами системы в любое время.
Систему обеспечения безопасности информации можно разбить на следующие подсистемы: Компьютерная безопасность обеспечивается комплексом технологических и административных мер, применяемых в отношении аппаратных ср-в компьютера с целью обеспечения доступности, целостности и конфиденциальности связанных с ним рес-ов.Безопасность данных достигается защитой данных от неавторизованных, случайных, умышленных или возникших по халатности модификаций, разрушений или разглашении.Безопасное программное обеспечение представляет собой общесистемные и прикладные программы и ср-ва, осуществляющие безопасную обработку данных и безопасно использующие рес-ы системы.Безопасность коммуникаций обеспечивается принятием мер по предотвращению предоставления неавторизованным лицам информации, которая может быть выдана системой в отчет на телекоммуникационный запрос.
Виды угрозинформ. объектам подразделяются на 4 группы: Угрозы конфиденциальности данных и программ. Реализуются при несанкционированном доступе к данным (например, к сведениям о состоянии счетов клиентов банка), программам или каналам связи. Инф-ция, обрабатываемая на компьютерах или передаваемая по локальным сетям передачи данных, может быть снята через технические каналы утечки. Угрозы целостности данных, программ, аппаратуры. Целостность данных и программ нарушается при несанкционированном уничтожении, добавлении и модификации записей о состоянии счетов, изменении порядка расположения данных, формировании фальсифицированных платежных документов в ответ на законные запросы, при активной ретрансляции сообщений с их задержкой. Угрозы доступности данных. Возникают в том случае, когда объект (пользователь или процесс) не получает доступа к законно выделенным ему ресурсам. Эта угроза реализуется захватом всех рес-ов, блокированием линий связи несанкционированным объектом в результате передачи по ним своей информации или исключением необходимой системной информации. Угрозы отказа от выполнения транзакций. Возникают в том случае, когда легальный пользователь передает или принимает платежные документы, а потом отрицает это, чтобы снять с себя ответственность.
Компьютерный вирус — это программный код, встроенный или в другую программу, или в документ, или в определенные области носителя данных и предназначенный для выполнения несанкционированных действий на компьютере.
Компьютерные вирусы подразделяются на: программные люки; троянские кони; логические бомбы; файловые вирусы; загрузочные вирусы; макровирусы.
Люком называется не описанная в документации на программный продукт возможность работы с этим программным продуктом. Сущность использования люков состоит в том, что при выполнении пользователем некоторых не описанных в документации действий он получает доступ к возможностям и данным, которые в обычных условиях для него закрыты (в частности, выход в привилегированный режим). Троянским конем называются функции, реализуемые программой, но не описанные в документации. Человек, знающий эту функцию, может заставить работать программу непредсказуемым для окружающих способом. Логической бомбой называют участок программы, который реализует некоторые действия при наступлении определенных условий. Эти условием может быть, например, наступление какой-то даты или появление какого-то имени файла. Файловые вирусы внедряются в:выполняемые программы — файлы типа ЕХЕ и СОМ (вирус получает управление при запуске зараженной программы); резидентные модули операционной системы и драйверы устройств с расширением SYS (активация вируса происходит при загрузке операционной системы);объектные файлы и библиотеки, вирус из которых будет встраиваться в написанную пользователем программу при сборке выполняемой программы. Загрузочные вирусы. От файловых вирусов загрузочные вирусы отличаются методом распространения. Они поражают не программные файлы, а определенные системные области магнитных носителей (гибких и жестких дисков). На включенном компьютере они мо. временно располагаться в оперативной памяти. Макровирусы. Эта особая разновидность вирусов поражает документы, выполненные в некоторых прикладных программах, имеющих ср-ва для исполнения так называемых макрокоманд.
Методами обеспечения зашиты информации на предприятии являются следующие: Препятствие- метод физического преграждения пути злоумышленнику к защищаемой информации (к аппаратуре, носителям информации и т.п.). Управление доступом -метод защиты информации регулированием использования всех рес-ов автоматизированной информ-ой системы предприятия. Маскировка- метод защиты информации в автоматизированной информ-ой системе предприятия путем ее криптографического закрытия. Регламентация -метод защиты информации, создающий такие условия автоматизированной обработки, хранения и передачи информации, при которых возможность несанкционированного доступа к ней сводилась бы к минимуму. Принуждение- метод защиты информации, при котором пользователи и персонал системы вынуждены соблюдать правила обработки, передачи и использования защищаемой информации под угрозой материальной, административной или уголовной ответственности. Побуждение - метод защиты информации, который побуждает пользователей и персонал системы не нарушать установленные правила за счет соблюдения сложившихся моральных и этических норм.Указанные выше методы обеспечения информ-ой безопасности реализуются с помощью следующих основных ср-в: физических, аппаратных, программных, аппаратно-программных, криптографических, организационных, законодательных и морально-этических. Физические ср-ва защиты предназначены для внешней охраны территории объектов, защиты компонентов автоматизированной информ-ой системы предприятия и реализуются в виде автономных устройств и систем. Аппаратные ср-ва защиты — это электронные, электромеханические и др. устройства, непоср-венно встроенные в блоки автоматизированной информ-ой системы или оформленные в виде самостоятельных устройств и сопрягающиеся с этими блоками. Они предназначены для внутренней защиты структурных элементов ср-в и систем вычислительной техники: терминалов, процессоров, периферийного оборудования, линий связи и т.д. Программные ср-ва защиты предназначены для выполнения логических и интеллектуальных функций защиты и включаются либо в состав программного обеспечения автоматизированной информ-ой системы, либо в состав ср-в, комплексов и систем аппаратуры контроля. Аппаратно-программные ср-ва защиты — ср-ва, в которых программные (микропрограммные) и аппаратные части полностью взаимосвязаны и неразделимы. Криптографические ср-ва — ср-ва защиты с помощью преобразования информации (шифрование). Организационные ср-ва — организационно-технические и организационно-правовые мероприятия по регламентации поведения персонала. Законодательные ср-ва — правовые акты страны, которые регламентируют правила использования, обработки и передачи информации ограниченного доступа и которые устанавливают меры ответственности за нарушение этих правил. Морально-этические ср-ва — нормы, традиции в обществе, например: Кодекс профессионального поведения членов Ассоциации пользователей ЭВМ в США.Защита информации на предприятии должна строиться по следующим основным направлениям: Защита аппаратуры и носителей информации от похищения, повреждения и уничтожения. Защита информ-ных рес-ов от несанкционированного использования. Защита от утечки по побочным каналам электромагнитных излучений и наводок. Защита информации в каналах связи и узлах коммутации. Защита юридической значимости электронных документов. Защита автоматизированных систем от компьютерных вирусов и незаконной модификации.