Контрольные вопросы по безопасности компьютерных сетей для ДГТУ. Часть 4

1. Информационная система есть совокупность технического, программного и организационного обеспечения, а также персонала, предназначенная для того, чтобы своевременно обеспечивать надлежащих людей надлежащей информацией. «Идеальная» информационная система управления предприятием должна автоматизировать все или, по крайней мере, большинство из видов деятельности предприятия. При чем, автоматизация должна быть выполнена не ради автоматизации, а с учетом затрат на нее, и дать реальный эффект в результатах финансово-хозяйственной деятельности предприятия.

• В зависимости от предметной области информационные системы могут весьма значительно различаться по своим функциям, архитектуре, реализации. Однако можно выделить ряд свойств, которые являются общими.
• • Информационные системы предназначены для сбора, хранения и обработки информации, поэтому в основе любой из них лежит среда хранения и доступа к данным.
• • Информационные системы ориентированы на конечного пользователя, не обладающего высокой квалификацией в области вычислительной техники. Поэтому клиентские приложения информационной системы должны обладать простым, удобным, легко осваиваемым интерфейсом, который предоставляет конечному пользователю все необходимые для работы функции и в то же время не дает ему возможность выполнять какие-либо лишние действия.
• Для системы управления информационная система то же самое, что нервная система для человека. Чем выше уровень управления, тем выше уровень абстракции от процесса выпуска продукции и услуг (цеха), тем значимее роль информации как производственного ресурса и инструмента, чем большая доля рабочего времени и прочих ресурсов уходит на обработку информации и подготовки ее к виду, пригодному для анализа и принятия решения. Работа с информацией – самая важная функция бизнеса. Информационная система решает жизненно важные для организации управленческие задачи и с этой целью потребляет ресурсы предприятия.

2. Актуальность проблемы защиты информации связана с ростом возможностей вычислительной техники. Основными факторами, способствующими повышению этой уязвимости, являются:

• • резкое увеличение объемов информации, накапливаемой, хранимой и обрабатываемой с помощью ЭBM и других средств автоматизации;
• • сосредоточение в единых базах данных информации различного назначения и различной принадлежности;
• • резкое расширение круга пользователей, имеющих непосредственный доступ к ресурсам вычислительной системы и находящимся в ней массивам данных;
• • усложнение режимов функционирования технических средств
• • вычислительных систем: широкое внедрение мультипрограммного режима, а также режима разделения времени;
• • автоматизация межмашинного обмена информацией, в том числе и на больших расстояниях.

3. В распределенных ИС возможны все «традиционные» способы несанкционированного вмешательства в их работу и доступа к информации. Кроме того, для них характерны и новые специфические каналы проникновения в систему и несанкционированного доступа к информации, наличие которых объясняется целым рядом особенностей современных ИС.

• Основными особенностями распределенных ИС являются:
• • ¬территориальная разнесенность компонентов системы и наличие
• интенсивного обмена информацией между ними;
• • ¬ широкий спектр используемых способов представления, хранения и протоколов передачи информации;
• • ¬ интеграция данных различного назначения, принадлежащих различным субъектам, в рамках единых баз данных и, наоборот, размещение необходимых некоторым субъектам данных в различных удаленных узлах сети;
• • ¬ абстрагирование владельцев данных от физических структур и места размещения данных;
• • ¬ использование режимов распределенной обработки данных;
• • ¬ участие в процессе автоматизированной обработки информации большого количества пользователей и персонала различных категорий;
• • ¬ непосредственный и одновременный доступ к ресурсам (в том числе и информационным) большого числа пользователей (субъектов) различных категорий;
• • ¬ высокая степень разнородности используемых средств вычислительной техники и связи, а также их программного обеспечения;
• • ¬ отсутствие специальных средств защиты в большинстве типов
• технических средств, широко используемых в ИС.

4. Исходя их тех факторов, которые я перечислил выше, можно привести некоторые причины, по которым происходит обострение проблемы обеспечения ИБ (в некотором роде они буду повторять сами факторы):

• • Возрастание уровня доверия к АСУ — одна из самых главных причин. Главное заблуждение людей, они думают, что машины могут сделать всё за них и им не придется ни в чём разбираться. К сожалению, такая схема автоматически обречена на провал.
• • Бурное развитие информационно-телекоммуникационных сетей (вот тут вы можете почитать интересную статистику по Интернету в России и в мире).
• • Развитие компьютерной грамотности во всех слоях населения. Первая часть населения развивает и применяет различные виды угроз (это профессионалы в своей деятельности), вторая часть, просто за счёт того, что они “якобы” всё знают, начинают применять свои знания не там, где это необходимо, тем самым, открывая лазейки злоумышленникам.
• • Отсутствие нормального законодательно-правового регулирования отношений, возникающих в условиях возникновения “компьютерных преступлений”.

5. Трудноразрешимость проблемы обеспечения безопасности выражена многими обстоятельствами, где-то случайными, где-то закономерными, но в большинстве случаев она связана с человеческим фактором, вот лишь некоторые из обстоятельств:

• • Непонимание того, что необходимо защищать АС, которой пользуется организация. Организация считает, что их информация никому не нужна, либо, что их система надёжна защищена.
• • Неопределенные риски при использовании новых АС. Связано это с неизвестностью того какие угрозы могут оказывать своё влияние на новую АС.
• • Необходимость использовать комплексный подход в защите АС. В большинстве случае защищается отдельная часть АС, либо применяется только одна из мер по защите АС, что является неправильным подход и влечёт лишь пустые расходы в защите АС.
• • Неравные возможности средств и методов защиты и нападения. При защите АС всегда следует понимать, что в большинстве случае злоумышленник имеет больше возможности в нападении, чем мы в защите.
• • Как следствие из предыдущего пункта, недостаточное количество специалистов компьютерной безопасности, и в целом низким количеством людей, которые осведомлены в вопросах безопасности информационных технологий.

6. Риск — оценка опасности определенной угрозы. Риск оценивает насколько опасна та или иная угроза. Как она это делает — отдельный вопрос. В общем случае, риск выражает вероятностно-стоимостную оценку возможных потерь от конкретной угрозы. Как мы видим риск состоит из двух составляющих:

• • вероятность успешной реализации угрозы — всегда измеряется от 0 (провал) до 1 (успех)
• • стоимость потерь, либо по иному ущерба, от реализации угрозы — выражается вероятнее всего в денежном эквиваленте
• Как видно из определения, в формулировке риска участвует всего лишь две составляющие, они же участвуют при расчете суммарной стоимостной оценки информационной безопасности организации. Нетрудно догадаться, что здесь будут участвовать все возможные риски, которые специалист по защите информации примет в расчет. И выражать он будет лишь количественную сторону риска, а он как мы уже убедились состоит еще и из качественной составляющей, выражающейся вероятностью.

7. Риски позволяют на ранней стадии выявить необходимость в применении дополнительных мер по обеспечению безопасности АС. Однако, для того чтобы такая схема работала, следует чётко представлять состав АС организации, тем более если это новая внедренная АС.

• Как мы уже выяснили ранее, риск не может быть один, даже если брать отдельный компонент АС, то на него может быть направлено более одной угрозы. Для того чтобы оценить опасность каждой угрозы используется такое понятие как анализ рисков.
• Анализ рисков — выявление существующих угроз и оценка их опасности.
• Анализ рисков и управление ими состоит из следующих этапов:
• 1. Определение границы автоматизируемой системы, а также методологии (количественный или качественный подход) оценки существующих рисков.
• 2. Идентификация и оценка информационных ресурсов автоматизированной системы.
• 3. Идентификация угроз и оценка вероятностей их реализации.
• 4. Определение риска и выбор средств защиты.
• 5. Внедрение средств защиты и оценка остаточного риска.

8. В сети существует масса требований по оценке целесообразности затрат:

• • Так как практическая оценка рисков в большинстве случаев производится качественным способом, то оценку затрат необходимо производить количественным способом, при этом опираясь на качественные показатели оценки вероятности событий.
• • Вы как представитель безопасности должны максимально прозрачно определять все расходы, используемые в вашем методе оценке затрат, для того чтобы не только вы имели представление о том какие механизмы будут использоваться в защите, а также сколько они стоят и какой будут иметь эффект в будущем, но и например ваше руководство. Это необходимо для того, чтобы в дальнейшем к вам было меньше вопросов по поводу последствий, которые могут произойти в виду двух вещей: вашей некомпетентности как специалиста, либо отсутствия мозгов у руководства, которое не выделило необходимые средства на обеспечение должного уровня защиты данных в организации.
• • Ваш метод должен быть универсальным. Это значит, что вы можете применить данный метод как к оценке расходов на приобретение программного или аппаратного обеспечения, но также и при оценке затрат на обучение внутреннего персонала и др.. Сложная задача, так как необходимо учитывать комплексное подход при обеспечении безопасности, а не какую-либо отдельную часть.
• 9. 1. Организационные затраты (обеспечивают формирование и поддержание звена управления системой защиты информации);
• 2. Затраты на контроль (определяют и подтверждают достигнутый уровень
• защищенности ресурсов автоматизированной системы);
• 3. Внутренние затраты (ликвидируют последствия нарушения политики безопасности автоматизированной системы);
• 4. Внешние затраты (ликвидируют последствия нарушения политики безопасности автоматизированной системы);
• 5. Затраты на техническое обслуживание системы безопасности (мероприятия по предотвращению нарушений политики безопасности информационной системы организации).

10. Под безопасностью понимается способность системы функционировать, не переходя в опасное состояние.

• Под безопасностью ИС понимается защищенность системы от случайного или преднамеренного вмешательства в нормальный процесс ее функционирования, от попыток хищения (несанкционированного получения) информации, модификации или физического разрушения ее «компонентов, то есть способность противодействовать различным возмущающим воздействиям на ИС.
• Под угрозой безопасности информации понимаются события или действия, которые могут привести к искажению, несанкционированному использованию или даже к разрушению информационных ресурсов управляемой системы, а также программных и аппаратных средств.

11. Под определением термина «информационная система» понимается строго организованная структура, объединяющая в себе такие процессы, как сбор, сохранение и передача информации. В данном контексте понятие представляет собой определенный автоматизированный программный порядок заложенных действий, приводящий к конечному результату для конкретных пользователей. Такой подход предполагает лишь общее представление об ИС.

• Определение термина «информационная система» имеет и более широкое значение, оно выражает не только программно-аппаратный смысл системы, но и охватывает другие источники, консолидируя в себе технические и организационные области. Другими словами, ИС — это совокупность процессов, где задействованы компьютерные и человеческие ресурсы с целью приобретения, фильтрации и транспортировки информации.

12. Информационные ресурсы – совокупность данных, организованных для достоверного получения информации. Сегодня под информационными ресурсами часто подразумевают электронные базы данных или ресурсы Интернета. Это связано с тем, что понятие «информационный ресурс» появилось в результате развития программного обеспечения для интеграции информации. Однако, на самом деле, в это понятие может быть включен более широкий спектр данных, составленный на основе различных видов информации.

• В современной науке термин «информация» получил более широкое толкование. Информацией называют сведения, полученные из внешнего мира, и приспособление к ним наших чувств, а также совокупность закодированных данных, необходимых для принятия решения и его реализации. Информацией может быть алгоритм построения системы, обеспечивающей воспроизведение этой информации, функционально связанной со средой своего местоположения.

13. Субъекты информационных отношений — лица, участвующие в создании, передаче, распространении, получении и потреблении информации.

• Субъектами информационных отношений могут быть:
• • Государственные организации и представители;
• • Общественные организации (коммерческие и некоммерческие);
• • Граждане (физические лица).
• В процессе информационных правоотношений субъекты участвуют в:
• • получении информации;
• • обработке информации;
• • создании информационных объектов;
• • хранения данных;
• • распространения и использования информации.
• По отношению к информации (информационным объектам) субъекты могут быть:
• • владельцами информации;
• • обработчиками данных;
• • поставщиками информации (источниками);
• • потребителями информации (пользователями);
• • создателями информационных объектов;
• • и другое.
• Как правило, субъекты информационных отношений заинтересованы в информационной безопасности, которая подразумевает три основных направления:
• • доступность информации;
• • целостность информации;
• • конфиденциальность информации.

14. Конфиденциальность означает, что доступ к информации есть только у того, кто имеет на это право. Например, ваш пароль от электронной почты знаете только вы, и только вы можете читать свои письма. Если кто-то узнает пароль или другим способом получит доступ в почтовый ящик, конфиденциальность будет нарушена.

• Целостность означает, что информация сохраняется в полном объеме и не изменяется без ведома владельца. Например, на вашей электронной почте хранятся письма. Если злоумышленник удалит некоторые или изменит текст отдельных писем, то это нарушит целостность.
• Доступность означает, что тот, кто имеет право на доступ к информации, может ее получить. Например, вы в любой момент можете войти в свою электронную почту. Если хакеры атакуют серверы, почта будет недоступна, это нарушит доступность.

15. Конечной целью создания системы компьютерной безопасности АС является защита всех категорий субъектов, прямо или косвенно участвующих в процессах информационного взаимодействия, от нанесения им ощутимого материального, морального или иного ущерба в результате случайных или преднамеренных нежелательных воздействий на информацию и системы ее обработки и передачи.

• В качестве защищаемых объектов должны рассматриваться информация, все ее носители (отдельные компоненты и автоматизированная система обработки информации в целом) и процессы обработки.
• Целью защиты циркулирующей в АС информации является предотвращение разглашения (утечки), искажения (модификации), утраты, блокирования (снижения степени доступности) или незаконного тиражирования информации.