Інформаційні системи і технології в банках - Страхарчук А. Я. - Основні типи загроз

Створення комплексу заходів безпеки з метою отримання можливості реалізації ефективних заходів захисту вимагає, перш за все, визначення факторів загроз і втрат, яких вони завдають.

Система захисту - сукупність правових і морально-етичних норм, організаційних (адміністративних) заходів та програмно-технічних засобів, які спрямовані на протидію загрозам для системи і метою яких є мінімізація можливих збитків користувачів і власників системи.

Створення надійної системи захисту можна розподілити на чотири основні етапи:

- аналіз можливих загроз;

- розробка (планування) системи захисту;

- реалізація системи захисту;

- супроводження системи захисту під час експлуатації on-line-системи.

Оскільки як сама інформаційна система, так і система захисту - це динамічні системи, у процесі впровадження та експлуатації оn-line - системи слід постійно аналізувати достатність системи захисту та можливість виникнення загроз, які не були враховані на попередньому етапі. Тому процес створення системи захисту є постійним і потребує уваги та безперервного ретельного аналізу роботи системи.

Аналіз можливих загроз - це ідентифікація і вибір з усієї безлічі можливих впливів на систему лише таких, які реально можуть виникати і завдавати значних збитків.

На етапі розробки (планування) система захисту формується як єдина сукупність заходів різного плану для протидії можливим загрозам, а саме:

- правові заходи; закони, укази та інші нормативні документи, які регламентують правила роботи з інформацією, що обробляється, накопичується та зберігається в системі, а також відповідальність за порушення цих правил;

- морально-етичні заходи: норми поведінки учасників системи та обслуговуючого персоналу;

- адміністративні заходи: заходи організаційного характеру, які регламентують процес функціонування системи щодо обробки інформації, використання її ресурсів, діяльність персоналу тощо. До них можна віднести: розроблення правил обробки інформації, відбір персоналу, організацію обліку, організацію розподілу доступу і зберігання паролів, криптографічних ключів; організацію підготовки користувачів і персоналу та контроль за їхньою роботою; сертифікацію технічних та програмних засобів тощо;

- технічні (апаратно-програмні та програмні) засоби захисту, які самостійно або в комплексі з іншими засобами забезпечують функції захисту: ідентифікацію й автентифікацію користувачів, розподіл доступу, реєстрацію основних подій роботи системи, криптографічні функції та ін. На етапі реалізації системи захисту виготовляють, обладнують, встановлюють і настроюють засоби захисту, які були заплановані на попередньому етапі.

Основні типи загроз

Для створення системи захисту перш за все слід проаналізувати типи загроз, ідентифікувати найуразливіші місця в системі та збитки, які можуть виникати під час порушення системи захисту.

Перед початком розроблення системи захисту треба провести аналіз можливих загроз для системи. Це, як правило, ідентифікація загроз та атак, відповідно до їхньої класифікації.

Усі загрози можна поділити, згідно з їхніми характеристиками, на такі класи.

За цілями реалізації:

- загрози порушення конфіденційності інформації;

- загрози порушення цілісності (повна або часткова компрометація інформації; дезінформація; несанкціоноване знищення або модифікація інформації чи програмного забезпечення);

- загрози порушення (часткового або повного) працездатності системи.

За принципом впливу на систему:

- за допомогою доступу до об'єктів системи (файлів, даних, каналів звязку);

- за допомогою прихованих каналів (у тому числі через роботу з пам'яттю).

За причинами появи помилок у системі захисту:

- некоректність системи захисту, що призведе до дій, які можна розглядати як несанкціоновані, при тому, що система захисту не розрахована на їх припинення або недопущення;

- помилки адміністрування системи;

- помилки в алгоритмах програм, зв'язках між ними тощо, які виникають на етапі проектування;

- помилки реалізації алгоритмів, тобто помилки програмування, які виникають на етапі реалізації або тестування програмного забезпечення.

За об'єктом атаки:

- загрози, що впливають на систему загалом;

- загрози, що впливають на об'єкти системи з порушенням конфіденційності, цілісності або функціонування об'єктів системи (дані, програми, устаткування системи, канали передачі даних);

- загрози, що впливають на суб'єкти системи (процеси, користувачів);

- загрози, що впливають на канали передачі даних, причому як на пакети даних, що передаються, так і на самі канали передачі даних.

За засобами атаки, які використовують:

- за допомогою штатного програмного забезпечення;

- за допомогою спеціально розробленого програмного забезпечення.

Найпоширенішою загрозою для безпеки інформаційних систем є несанкціонований доступ (НСД), тобто отримання користувачем доступу до об'єкта, на який він не має дозволу (зокрема несанкціонований доступ з однієї мережі до іншої). За характером впливу, НСД є активним впливом, в якому може бути використана якась помилка в системі захисту. Це може бути здійснено за допомогою стандартного (штатного) або спеціально розробленого програмного забезпечення. НСД може стосуватися як усієї системи, так і окремих її елементів. Для реалізації НСД використовують два способи: подолання системи захисту або спостереження за процесами та аналіз інформації.

Досить часто виникає така загроза безпеці, як незаконне використання привілеїв. Найчастіше для цього використовують штатне програмне забезпечення, яке функціонує в позаштатному режимі. Деякі захищені системи мають засоби, які можуть функціонувати в умовах порушення системи безпеки. Такі засоби дуже важливі, коли доводиться вирішувати питання в надзвичайних ситуаціях, і їх використовують системні адміністратори, системні програмісти, які мають для цього свої певні набори привілеїв. Незаконне захоплення привілеїв можливе за наявності помилок у самій системі або за недбалого ставлення до керування всією системою і розподілом привілеїв зокрема.

Інша загроза безпеки - виконання будь-яких дій одним користувачем від імені іншого користувача, якому ці дії дозволені. До цього типу загроз належить також передача повідомлень від імені іншого користувача ("маскарад"). Цьому часто передує перехоплення пароля або порушення системи захисту.

Досить небезпечною загрозою є вірусні атаки будь-якого типу. Вони можуть призводити до повної зупинки системи, повної або часткової модифікації програмного забезпечення системи, модифікації або порушення даних, викрадення інформації.



Схожі статті




Інформаційні системи і технології в банках - Страхарчук А. Я. - Основні типи загроз

Предыдущая | Следующая