Сервер аутентифікації Kerberos. 1 страница

Зміст

Перелік скорочень………………………...7

Вступ………………………………………………………8

Розділ 1. Поняття інформаційної безпеки…………….17

Поняття інформаційної безпеки……………….……….17

Основні складові інформаційної безпеки…...…………19

Важливість і складність проблеми інформаційної безпеки……………21

Розділ 2. Поширення об'єктно-орієнтованого підходу на інформаційну безпеки…….25

2.1. Про необхідність об'єктно-орієнтованого підходу до інформаційної безпеки……..…25

2.2. Основні поняття об'єктно-орієнтованого підходу.…...26

2.3. Застосування об'єктно-орієнтованого підходу до розгляду систем, що захищають…...29

2.4. Недоліки традиційного підходу до інформаційної безпеки з об'єктної точки зору……..33

Розділ 3. Найпоширеніші загрози……………………..36

Основні визначення і критерії загроз……………..…...36

Найпоширеніші загрози доступності……………..…...38

Деякі приклади загроз доступності..………………... 40

Шкідливе програмне забезпечення..………………... 42

Основні загрози цілісності…………………………... 45

Основні загрози конфіденційності…………………... 47

Розділ 4. Адміністративний рівень інформаційної безпеки......... ..50

Основні поняття…………………..…………………... 50

Політика безпеки……………….……………………... 51

Програма безпеки……………………………………... 56

Синхронізація програми безпеки з життєвим циклом систем………………57

Розділ 5. Керування ризиками......…………………... 61

Основні поняття………………......…………………... 61

Підготовчі етапи керування ризиками……………... 63

5.3. Основні етапи керування ризиками.………………... 65

Розділ 6. Процедурний рівень інформаційної безпеки…...70

Основні класи заходів процедурного рівня…………… 70

Керування персоналом………...……………………... 70

Фізичний захист………………..………………………..73

Підтримка працездатності…….……………………... 76

Реагування на порушення режиму безпеки………... 79

Планування відновлювальних робіт………………... 81

Розділ 7. Основні програмно-технічні заходи………….. 85

Основні поняття програмно-технічного рівня інформаційної безпеки……....85

Особливості сучасних інформаційних систем, істотні з погляду безпеки…..... 88

Архітектура безпеки………….……………………... 90

Розділ 8. Ідентифікація й аутентифікація, керування доступом……………….94

Ідентифікація й аутентифікація……………………... 94

Парольна аутентифікація……………………... 96

Одноразові паролі……………………... 97

Ідентифікація аутентифікація за допомогою біометричних даних………100

Керування доступом. Основні поняття……………………... 102

Рольове керування доступом……………………... 106

Керування доступом в Jаvа-середовищі……………………... 11 і

8.8.Можливий підхід до керування доступом у розподіленому об'єктному

середовищі……………………... 113

Розділ 9. Протоколювання й аудит, шифрування, контроль цілісності…… 117

Протоколювання й аудит. Основні поняття…………117

Активний аудит. Основні поняття…………………... 119

Функціональні компоненти й архітектура………... 122

Шифрування……………………... 124

Контроль цілісності……………………... 128

Цифрові сертифікати……………………... 131

Розділ 10. Екранування та аналіз захищеності………... 133

Екранування. Основні поняття…………………... 133

Архітектурні аспекти……………………... 135

Класифікація міжмережевих екранів……………………... 139

Аналіз захищеності…….…………………... 143

Розліт 11. Забезпечення високої доступності…………... 145

Доступність. Основні поняття……………………... 145

Основні заходи забезпечення високої доступності...148

Відмовостійкість і зона ризику…………………... 149

Забезпечення відмовостійкості…………………... 151

Програмне забезпечення проміжного шару……... 154

Забезпечення обслуговування……………………... 155

Розділ 12. Тунелювання й керування…………………... 157

Тунелювання,.................................. ……………………... 157

Керування. Основні поняття……………………... 158

Можливості типових систем……………………... 161

Післямова……………………... 165

Література.... ,…………... 166

Додатки……………………... 167

Перелік скорочень

ІБ - інформаційна безпека;

ІС - інформаційна система;

ПЗ - програмне забезпечення;

ПЗП - постійний запам'ятовуючий пристрій;

АБС - автоматизована банківська система;

ОС - операційна система;

ПЕМІН - побічні електромагнітні випромінювання і наведення;

СУБД- системи управління базами даних;

РКД - рольове керування доступом;

ПРД - правила розмежування доступу;

ЕЦП - електронний цифровий підпис;

МЕ - міжмережевий екран;

ПЗ ПШ - програмне забезпечення проміжного шару.

Вступ

Мета заходів в області інформаційної безпеки - захистити інтереси суб'єктів інформаційних відносин. Інтереси ці різноманітні, але всі вони концентруються навколо трьох основних аспектів:

* доступність;

* цілісність;

* конфіденційність.

Перший крок при побудові системи ІБ організації - ранжування й деталізація цих аспектів.

Важливість проблематики ІБ пояснюється двома основними причинами:

* цінністю накопичених інформаційних ресурсів;

* критичною залежністю від інформаційних технологій.

Руйнування важливої інформації, крадіжка конфіденційних даних, перерва у роботі внаслідок відмови - все це виливається у великі матеріальні втрати, завдає шкоди репутації організації. Проблеми з системами керуванняабо медичними системами загрожують здоров'ю й життю людей.

Сучасні інформаційні системи складні й, виходить, небезпечні вже саміпо собі, навіть без обліку активності зловмисників. Постійно виявляються новіуразливі місця в програмному забезпеченні. Доводиться брати до увагинадзвичайно широкий спектр апаратного й програмного забезпечення, численнізв'язки між компонентами.

Змінюються принципи побудови корпоративних ІС. Використовуютьсячисленні зовнішні інформаційні сервіси; надаються зовні власні; отрималоширокого поширення явище, позначене російським словом "аутсорсинг", количастина функцій корпоративної ІС передається зовнішнім організаціям.Розвивається програмування з активними агентами.

Підтвердженням складності проблематики ІБ є паралельний (і доситьшвидкий) ріст витрат на захисні заходи й кількості порушень ІБ у сполученні зростом середнього збитку від кожного порушення. (Остання обставина - щеодин довід на користь важливості ІБ.)

Успіх в області інформаційної безпеки може принести тількикомплексний підхід, що уособлює в собі заходи чотирьох рівнів:

* законодавчого;

* адміністративного;

* процедурного;

* програмно-технічного.

Проблема ІБ - не тільки (і не стільки) технічна; без законодавчої бази, безпостійної уваги керівництва організації й виділення необхідних ресурсів, беззаходів керування персоналом і фізичного захисту вирішити її неможливо.Комплексність також ускладнює проблематику ІБ; необхідна взаємодіяфахівців з різних галузей.

Як основний інструмент боротьби зі складністю пропонується об'єктно-орієнтований підхід. Інкапсуляція, успадкування, поліморфізм, виділенняграней об'єктів, варіювання рівня деталізації - все це універсальні поняття,знання яких необхідно всім фахівцям з інформаційної безпеки.

Законодавчий рівень є найважливішим для забезпечення інформаційноїбезпеки. Необхідно всіляко підкреслювати важливість проблеми ІБ;сконцентрувати ресурси на найважливіших напрямках досліджень;скоординувати освітню діяльність; створити й підтримувати негативневідношення до порушників ІБ - все це функції законодавчого рівня.

На законодавчому рівні особливої уваги заслуговують правові акти йстандарти.

Головне завдання засобів адміністративного рівня - сформувати програмуробіт в області інформаційної безпеки й забезпечити її виконання, виділяючинеобхідні ресурси й контролюючи стан справ.

Основою програми є політика безпеки, що відбиває підхід організації дозахисту своїх інформаційних активів.

Розробка політики й програми безпеки починається з аналізу ризиків,першим етапом якого, у свою чергу, є ознайомлення з найпоширенішимизагрозами.

Головні загрози - внутрішня складність 1С, ненавмисні помилки штатнихкористувачів, операторів, системних адміністраторів й інших осіб, щообслуговують інформаційні системи.

На другому місці по розміру збитку стоять крадіжки й підробки.

Реальну небезпеку представляють пожежі й інші аварії підтримуючоїінфраструктури.

У загальному числі порушень росте частка зовнішніх атак, але основнийзбиток як і раніше наносять "свої".

Для переважної більшості організацій досить загального знайомства зризиками; орієнтація на типові, апробовані рішення дозволить забезпечитибазовий рівень безпеки при мінімальних інтелектуальних і поміркованихматеріальних витратах.

Розробка програми й політики безпеки може бути прикладомвикористання поняття рівня деталізації. Вони повинні підрозділятися на кількарівнів, що трактують питання різного ступеня специфічності. Важливимелементом програми є розробка й підтримка в актуальному стані карти ІС.

Безпеку неможливо додати до системи; її потрібно закладати із самогопочатку й підтримувати до кінця.

Заходи процедурного рівня орієнтовані на людей (а не на технічні засоби)і підрозділяються на наступні види:

* керування персоналом;

* фізичний захист;

* підтримка працездатності;

* реагування на порушення режиму безпеки;

* планування відновлювальних робіт.

На цьому рівні застосовуються важливі принципи безпеки:

* безперервність захисту в просторі й часі;

* поділ обов'язків;

* мінімізація привілеїв.

Тут також застосовуються об'єктний підхід і поняття життєвого циклу.Перший дозволяє розділити контрольовані сутності (територію, апаратуру йт.д.) на відносно незалежні підоб'єкти, розглядаючи їх з різним ступенемдеталізації й контролюючи зв'язок між ними.

Поняття життєвого циклу корисно застосовувати не тільки доінформаційних систем, але й до співробітників. На етапі ініціації повинен бутирозроблений опис посади з вимогами до кваліфікації й виділених комп'ютернихпривілеїв; на етапі установки необхідно провести навчання, у тому числі зпитань безпеки; на етапі виведення з експлуатації варто діяти акуратно, недопускаючи завдання збитків скривдженими співробітниками.

Інформаційна безпека багато в чому залежить від акуратного веденняпоточної роботи, що включає:

* підтримку користувачів;

* підтримку програмного забезпечення;

* конфігураційне керування;

* резервне копіювання;

* керування носіями;

* документування;

* регламентні роботи.

Елементом повсякденної діяльності є відстеження інформації в областіІБ; як мінімум, адміністратор безпеки повинен підписатися на списокрозсилання по нових пробілах у захисті (і вчасно ознайомлюватися з вхіднимиповідомленнями).

Потрібно, однак, заздалегідь готуватися до неординарних подій, тобто допорушень ІБ. Заздалегідь продумана реакція на порушення режиму безпекипереслідує три головні цілі:

* локалізація інциденту й зменшення нанесеної шкоди;

* виявлення порушника;

* попередження повторних порушень.

Виявлення порушника - процес складний, але перший і третій пунктиможна й потрібно ретельно продумати й відпрацювати.

У випадку серйозних аварій необхідне проведення відбудовних робіт.Процес планування таких робіт можна розділити на наступні етапи:

* виявлення критично важливих функцій організації, установленняпріоритетів;

* ідентифікація ресурсів, необхідних для виконання критично важливихфункцій;

* визначення переліку можливих аварій;

* розробка стратегії відбудовних робіт;

* підготовка до реалізації обраної стратегії;

* перевірка стратегії.

Програмно-технічні заходи, тобто заходи, спрямовані на контролькомп'ютерних сутностей - устаткування, програм й/або даних, утворюютьостанній і найважливіший рубіж інформаційної безпеки.

На цьому рубежі стають очевидними не тільки позитивні, але й негативнінаслідки швидкого прогресу інформаційних технологій. По-перше, додатковіможливості з'являються не тільки у фахівців з ІБ, але й у зловмисників. По-друге, інформаційні системи увесь час модернізуються, перебудовуються, доних додаються недостатньо перевірені компоненти (у першу чергу програмні),що утрудняє дотримання режиму безпеки.

Заходи безпеки доцільно розділити на наступні види:

* превентивні, перешкоджаючі порушенням ІБ;

* заходи виявлення порушень;

* локалізуючі, звужуючі зону впливу порушень;

* заходи щодо виявлення порушника;

* заходи відновлення режиму безпеки.

У продуманій архітектурі безпеки всі вони повинні мати місце.Із практичної точки зору важливими також є наступні принципиархітектурної безпеки:

* безперервність захисту в просторі й часі, неможливість оминути захиснізасоби;

* наслідування визнаним стандартам, використання апробованих рішень;

* ієрархічна організація ІС із невеликою кількістю сутностей на кожномурівні;

* посилення найслабшої ланки;

* неможливість переходу в небезпечний стан;

* мінімізація привілеїв:

* поділ обов'язків:

* ешелонованість оборони;

* розмаїтність захисних засобів;

* простота й керованість інформаційної системи.

Центральним для програмно-технічного рівня є поняття сервісу безпеки. До числа таких сервісів входять: ідентифікація й аутентифікація;

* керування доступом;

* протоколювання й аудит;

* шифрування;

* контроль цілісності;

* екранування;

* аналіз захищеності;

* забезпечення відмовостійкості;

* забезпечення безпечного відновлення;

* тунелювання;

* керування.

Ці сервіси повинні функціонувати у відкритому мережевому середовищі зрізнорідними компонентами, тобто бути стійкими до відповідних загроз, а їхнєзастосування повинне бути зручним для користувачів й адміністраторів.Наприклад, сучасні засоби ідентифікації/аутентифікації повинні бути стійкимидо пасивного й активного прослуховування мережі й підтримувати концепціюєдиного входу в мережу.

Виділимо найважливіші моменти для кожного з перерахованих сервісівбезпеки:

1. Кращими є криптографічні методи аутентифікації, реалізованіпрограмним або апаратно-програмним способом. Парольний захист ставанахронізмом, біометричні методи мають потребу в подальшій перевірці вмережевому середовищі.

2. В умовах, коли поняття довіреного програмного забезпеченнявідходить у минуле, стає анахронізмом і найпоширеніша - похідна(дискреційна) - модель керування доступом. У її термінах неможливо навітьпояснити, що таке "троянська" програма. В ідеалі при розмежуванні доступуповинна враховуватися семантика операцій, але поки для цього є тількитеоретична база. Ще один важливий момент - простота адміністрування вумовах великої кількості користувачів, і ресурсів, і безперервних змінконфігурації. Тут може допомогти рольове керування. Протоколювання й аудитповинні бути всепроникаючими й багаторівневими, з фільтрацією даних припереході на більш високий рівень. Це необхідна умова керованості. Бажанезастосування засобів активного аудиту, однак потрібно усвідомлюватиобмеженість їхніх можливостей і розглядати ці засоби як один з рубежівешелонованої оборони, причому не найнадійніший. Варто конфігурувати їхтаким чином, щоб мінімізувати кількість фіктивних тривог і не робитинебезпечних дій при автоматичному реагуванні.

Усе, що пов'язано до криптографією, складно не стільки з технічної,скільки з юридичної точки зору; для шифрування це складніш у декілька разів.Даний сервіс є інфраструктурним, його реалізація повинна мати місце на всіхапаратно-програмних платформах і задовольняти жорстким вимогам, якістосуються не тільки безпеки, але й продуктивності. Поки ж єдиним доступнимвиходом є застосування вільно розповсюджуваного ПЗ.

Надійний контроль цілісності також базується на криптографічнихметодах з аналогічними проблемами й методами їхнього вирішення. Можливо,прийняття Закону про електронний цифровий підпис змінить ситуацію накраще, буде розширений спектр реалізацій. На щастя, до статичної цілісності єй не криптографічні підходи, засновані на використанні запам'ятовуючихпристроїв, дані на які доступні тільки для читання. Якщо в системі розділитистатичну й динамічну складові й помістити першу в ПЗП або на компакт-диск,можна в зародку придушити загрози цілісності. Розумно, наприклад,записувати реєстраційну інформацію на пристрої з одноразовим записом: тодізловмисник не зможе "приховати сліди".

Аналіз захищеності - це інструмент підтримки безпеки життєвого циклу.Схожість його з активним аудитом - еврестичність, необхідність практичнобезперервного відновлення бази знань і роль не найнадійнішого, аленеобхідного захисного рубежу, на якому можна розташувати вільнорозповсюджуваний продукт.

Місія забезпечення інформаційної безпеки складна, у багатьох випадкахнездійсненна, проте завжди шляхетна.

Автори висловлюють щиру подяку доктору юридичних наук, професоруКузьмічову Володимиру Сергійовичу «Київський національний університетвнутрішніх справ», доктору політичних наук, професору Сосніну ОлександруВасильовичу «дипломатична академія України при Міністерстві закордоннихсправ України» та доктору технічних наук, професору Козловському ВалеріюВікторовичу «інститут спеціального зв'язку та захисту інформації Національноготехнічного університету «КПІ» за уважне та доброзичливе рецензування тазауваження, яке сприяло значному поглибленню та покращенню підручника.

Крім того, автори висловлюють подяку за співробітництво співробітникамСлужби безпеки України та Державної служби спеціального зв'язку та захистуінформації.

З огляду на те, що у підручнику вперше систематизовано викладаютьсяпитання інформаційної безпеки, він не може бути без недоліків, тому авторибудуть щиро вдячні за висловлені зауваження та пропозиції щодо покращенняйого.

Розділ1

Поняття інформаційної безпеки. Основні складові. Важливість проблеми

1.1. Поняття інформаційної безпеки

Словосполучення "інформаційна безпека" у різних контекстах може матирізне значення.

У даному курсі наша увага буде зосереджена на зберіганні, обробці тапередачі інформації незалежно від того, якою мовою (російською чи якою-небудь іншою) вона закодована, хто або що є її джерелом та який психологічнийвплив вона має на людей. Тому термін "інформаційна безпека" використовуєтьсяу вузькому змісті, так, як це прийнято, наприклад, в англомовній літературі.

Під інформаційною безпекою ми будемо розуміти захищеністьінформації й інфраструктурою, яка її підтримує від випадкових або навмиснихвпливів природного або штучного характеру, які можуть завдати неприйнятноїшкоди суб'єктам інформаційних відносин, у тому числі власникам ікористувачам інформації й підтримуючої інфраструктури. ( Далі ми пояснимо,що варто розуміти під підтримуючою інфраструктурою.)

Захист інформації - це комплекс заходів, спрямованих на забезпеченняінформаційної безпеки.

Таким чином, правильний з методологічної точки зору підхід до проблемінформаційної безпеки починається з виявлення суб'єктів інформаційнихвідносин й інтересів цих суб'єктів, пов'язаних з використанням інформаційнихсистем (ІС). Загрози інформаційної безпеки - це зворотний бік використанняінформаційних технологій.

Із цього положення можна вивести два важливі висновки:

1 Трактування проблем, пов'язаних з інформаційною безпекою, длярізних категорій суб'єктів може істотно розрізнятися. Для ілюстрації доситьзіставити режимні державні організації й навчальні інститути. У першомувипадку "нехай краще все зламається, ніж ворог довідається хоч одинсекретний біт", у другому - "так немає в нас ніяких секретів, аби тільки всепрацювало".

2 Інформаційна безпека не зводиться винятково до захисту віднесанкціонованого доступу до інформації, це принципово більш широкепоняття. Суб'єкт інформаційних відносин може постраждати (зазнати збитківй/або одержати моральний збиток) не тільки від несанкціонованого доступу,але й від поломки системи, що викликала перерву в роботі. Більше того, длябагатьох відкритих організацій (наприклад, навчальних) власне захист віднесанкціонованого доступу до інформації стоїть по важливості аж ніяк не напершому місці.

Повертаючись до питань термінології, відзначимо, що термін"комп'ютерна безпека" (як еквівалент або замінник ІБ) видається нам занадтовузьким. Комп'ютери - тільки одна зі складових інформаційних систем, і хочанаша увага буде зосереджена в першу чергу на інформації, що зберігається,обробляється й передається за допомогою комп'ютерів, її безпека визначаєтьсявсією сукупністю складових й, у першу чергу, найслабшою ланкою, якою впереважній більшості випадків є людина, яка (написала, наприклад, свій парольна "гірчичнику", наклеєному на монітор).

Відповідно до визначення інформаційної безпеки, вона залежить не тількивід комп'ютерів, але й від інфраструктури, яка її підтримує, до якої можнавіднести системи електро-, водо- і теплопостачання, кондиціонери, засобикомунікацій і, звичайно, обслуговуючий персонал. Ця інфраструктура маєсамостійну цінність, але нас цікавити не лише те, як вона впливає на виконанняінформаційною системою запропонованих їй функцій.

Звернемо увагу, що у визначенні ІБ перед іменником "збиток" стоїтьприкметник "неприйнятний". Вочевидь, застрахуватися від усіх видів збитківнеможливо, тим більше неможливо зробити це економічно доцільним чином, коливартість захисних засобів і заходів не перевищує розмір очікуваного збитку.Виходить, із чимось доводиться миритися й захищатися потрібно тільки від того, зчим змиритися ніяк не можна. Іноді таким неприпустимим збитком є нанесенняшкоди здоров'ю людей або стану навколишнього середовища, але частіше порігнеприйнятності має матеріальне (грошове) вираження, а метою захистуінформації стає зменшення розмірів збитків до припустимих значень.

1.2. Основні складові інформаційної безпеки

Інформаційна безпека - багатогранна, можна навіть сказати, багатомірнаобласть діяльності, у якій успіх може принести лише систематичний,комплексний підхід.

Спектр інтересів суб'єктів, пов'язаних з використанням інформаційнихсистем, можна розділити на наступні категорії: забезпечення доступності,цілісності й конфіденційності інформаційних ресурсів і підтримуючоїінфраструктури.

Іноді в сукупність основних складових ІБ включають захист віднесанкціонованого копіювання інформації, але, на наш погляд, це занадтоспецифічний аспект із сумнівними шансами на успіх, тому ми не будемо йоговиділяти.

Пояснимо поняття доступності, цілісності й конфіденційності.

Доступність - це можливість за прийнятний час одержати необхіднуінформаційну послугу.

Під цілісністю мається на увазі актуальність і несуперечність інформації, їїзахищеність від руйнування й несанкціонованої зміни.

Нарешті, конфіденційність - це захист від несанкціонованого доступу доінформації.

Інформаційні системи створюються (купуються) для одержання певнихінформаційних послуг. Якщо з тих або інших причин надати ці послугикористувачам стає неможливо, це, мабуть, завдає шкоди всім суб'єктамінформаційних відносин. Тому, не протиставляючи доступність іншимаспектам, ми виділяємо її як найважливіший елемент інформаційної безпеки.

Особливо яскраво провідна роль доступності виявляється в різного родусистемах керування - виробництвом, транспортом і т.п. Зовні меншдраматичні, але також досить неприємні наслідки - і матеріальні, і моральні -може бути тривала недоступність інформаційних послуг, якими користуєтьсявелика кількість людей (продаж залізничних та авіаквитків, банківськіпослуги й т.п.).

Цілісність можна підрозділити на статичну (що розуміється як незмінністьінформаційних об'єктів) і динамічну (яка стосується коректного виконанняскладних дій (транзакцій)). Засоби контролю динамічної цілісностізастосовуються, зокрема, при аналізі потоку фінансових повідомлень із метоювиявлення крадіжки, перевпорядкування або дублювання окремих повідомлень.

Цілісність виявляється є найважливішим аспектом ІБ у тих випадках, колиінформація слугує "керівництвом до дії". Рецептура ліків, запропонованімедичні процедури, набір і характеристики комплектуючих виробів, хідтехнологічного процесу - все це приклади інформації, порушення цілісностіякої може виявитися в буквальному значенні смертельним. Неприємно йперекручування офіційної інформації, будь-то текст закону або сторінка Web-сервера якої-небудь урядової організації.

Конфіденційність - найпроблемніший у нас у країні аспект інформаційноїбезпеки. На жаль, практична реалізація засобів по забезпеченнюконфіденційності сучасних інформаційних систем натрапляє в Україні насерйозні труднощі. По-перше, відомості про технічні канали витоку інформації єзакритими, так що більшість користувачів позбавлені можливості скластиуявлення про потенційні ризики. По-друге, на шляху використовуваноїкриптографії як основного засобу забезпечення конфіденційності стоятьчисленні законодавчі перепони й технічні проблеми.

Якщо повернутися до аналізу інтересів різних категорій суб'єктівінформаційних відносин, то майже для всіх, хто реально використовує ІС, напершому місці стоїть доступність. Практично не поступається їй по важливостіцілісність - який сенс в інформаційній послузі, якщо вона містить перекрученівідомості?

Нарешті, конфіденційні моменти є також у багатьох організацій (навіть узгадуваних вище навчальних інститутах намагаються не розголошувативідомості про зарплату співробітників) і окремих користувачів (наприклад,паролі).

1.3. Важливість і складність проблеми інформаційної безпеки

Інформаційна безпека є одним з найважливіших аспектів інтегральноїбезпеки, на якому б рівні ми не розглядали останню - національному,галузевому, корпоративному або персональному.

Для ілюстрації цього положення обмежимося декількома прикладами.

* За розпорядженням президента США Клінтона (від 15 липня 1996 року,номер 13010) була створена Комісія із захисту критично важливоїінфраструктури як від фізичних нападів, так і від атак, початих за допомогоюінформаційної зброї. На початку жовтня 1997 року при підготовці доповідіпрезидентові глава вищезгаданої комісії Роберт Марш заявив, що в цей час ніуряд, ні приватний сектор не мають у своєму розпорядженні засобів захистувід комп'ютерних атак, здатних вивести з ладу комунікаційні мережі й мережіенергопостачання.

* Американський ракетний крейсер "Йорктаун" був змушений повернутисяв порт через численні проблеми із програмним забезпеченням, щофункціонувало на платформі Windows NT 4.0 (Government ComputerNews, липень 1998). Таким виявився побічний ефект програми ВМФ СШАпо максимально широкому використанню комерційного програмногозабезпечення з метою зниження вартості військової техніки.

* Заступник начальника керування по економічних злочинах Міністерствавнутрішніх справ Росії повідомив, що російські хакери з 1994 по 1996 ріквчинили майже 500 спроб проникнення в комп'ютерну мережуЦентрального банку Росії. В 1995 році ними було викрадено 250 мільярдіврублів (ІТАР-ТАРС, АР, 17 вересня 1996 року).

* Як повідомив журнал Internet Week від 23 березня 1998 року, втратинайбільших компаній, викликані комп'ютерними вторгненнями,продовжують збільшуватися, незважаючи на ріст витрат на засобизабезпечення безпеки. Відповідно до результатів спільного дослідження

Інституту інформаційної безпеки й ФБР. в 1997 році збиток відкомп'ютерних злочинів досяг 136 мільйонів доларів, що на 36% більше,ніж в 1996 році. Кожен комп'ютерний злочин завдає шкоди приблизно в200 тисяч доларів.

* У середині липня 1996 року корпорація General Motors відкликала 292860автомобілів марки Pontiac, Oldsmobile й Buick моделей 1996 й 1997 років,оскільки помилка в програмному забезпеченні двигуна могла спричинитипожежу.

* У лютому 2001 року двоє колишніх співробітників компанії CommerceOne, скориставшись паролем адміністратора, видалили із серверафайли, що становили великий (на кілька мільйонів доларів) проект дляіноземного замовника. На щастя, була резервна копія проекту, так щореальні втрати обмежилися витратами на наслідок і засоби захисту відподібних інцидентів у майбутньому. У серпні 2002 року злочинці посталиперед судом.

* Одна студентка втратила стипендію в 18 тисяч доларів у Мічиганськомууніверситеті через те, що її сусідка по кімнаті скористалася їх спільнимсистемним паролем і відправила від імені своєї жертви електронний лист ізвідмовою від стипендії.

Зрозуміло, що подібних прикладів безліч, можна згадати й інші випадки -недоліків в порушеннях ІБ немає й не передбачається. Чого коштує одна тільки"Проблема 2000" - сором і ганьба програмного співтовариства!

При аналізі проблематики, пов'язаної з інформаційною безпекою, необхідновраховувати специфіку даного аспекту безпеки, що полягає у тому, щоінформаційна безпека є складовою частиною інформаційних технологій -області, що розвивається надзвичайно високими темпами. Тут важливі нестільки окремі рішення (закони, навчальні курси, програмно-технічні засоби),що перебувають на сучасному рівні, скільки механізми генерації нових рішень,що дозволяють жити в темпі технічного прогресу.