Ασφάλεια πληροφοριών και προστασία πληροφοριών. Βασικές έννοιες ασφάλειας πληροφοριών και προστασίας πληροφοριών

Παιδικά είδη 13.07.2019
Επισκόπηση προγράμματος Η έκδοση υπολογιστή του Microsoft Excel Viewer θα επιτρέψει...

Οι ταχέως αναπτυσσόμενες τεχνολογίες πληροφορικής των υπολογιστών επιφέρουν σημαντικές αλλαγές στη ζωή μας. Οι πληροφορίες έχουν γίνει ένα εμπόρευμα που μπορεί να αγοραστεί, να πωληθεί και να ανταλλάσσεται. Επιπλέον, το κόστος των πληροφοριών είναι συχνά εκατοντάδες φορές μεγαλύτερο από το κόστος του συστήματος υπολογιστή στο οποίο είναι αποθηκευμένες.

Η ευημερία και μερικές φορές η ζωή πολλών ανθρώπων εξαρτώνται επί του παρόντος από τον βαθμό ασφάλειας των τεχνολογιών της πληροφορίας. Αυτό είναι το τίμημα που πρέπει να πληρώσετε για την αυξανόμενη πολυπλοκότητα και την ευρεία διανομή των αυτοματοποιημένων συστημάτων επεξεργασίας πληροφοριών.

Κάτω από ασφάλεια πληροφοριώναναφέρεται στην ασφάλεια ενός πληροφοριακού συστήματος από τυχαία ή σκόπιμη παρέμβαση που προκαλεί ζημιά στους κατόχους ή τους χρήστες των πληροφοριών.

Στην πράξη, τρεις πτυχές της ασφάλειας των πληροφοριών είναι πιο σημαντικές:

  • διαθεσιμότητα(η δυνατότητα απόκτησης της απαιτούμενης υπηρεσίας πληροφοριών εντός εύλογου χρονικού διαστήματος)·
  • ακεραιότητα(συνάφεια και συνέπεια των πληροφοριών, προστασία τους από καταστροφή και μη εξουσιοδοτημένες αλλαγές).
  • εμπιστευτικότητα(προστασία από μη εξουσιοδοτημένη ανάγνωση).

Παραβιάσεις της διαθεσιμότητας, της ακεραιότητας και του απορρήτου των πληροφοριών μπορεί να προκληθούν από διάφορες επικίνδυνες επιπτώσεις στα πληροφοριακά συστήματα υπολογιστών.

Οι κύριες απειλές για την ασφάλεια των πληροφοριών

Ένα σύγχρονο πληροφοριακό σύστημα είναι ένα πολύπλοκο σύστημα που αποτελείται από μεγάλο αριθμό στοιχείων διαφορετικού βαθμού αυτονομίας που διασυνδέονται και ανταλλάσσουν δεδομένα. Σχεδόν κάθε στοιχείο μπορεί να εκτεθεί σε εξωτερικές επιρροές ή να αποτύχει. Τα στοιχεία ενός αυτοματοποιημένου πληροφοριακού συστήματος μπορούν να χωριστούν στις ακόλουθες ομάδες:

  • σκεύη, εξαρτήματα- υπολογιστές και τα εξαρτήματά τους (επεξεργαστές, οθόνες, τερματικά, περιφερειακές συσκευές - μονάδες δίσκου, εκτυπωτές, ελεγκτές, καλώδια, γραμμές επικοινωνίας κ.λπ.)
  • λογισμικό- αγορασμένα προγράμματα, πηγή, αντικείμενο, ενότητες φόρτωσης. λειτουργικά συστήματα και προγράμματα συστημάτων (μεταγλωττιστές, σύνδεσμοι, κ.λπ.), βοηθητικά προγράμματα, διαγνωστικά προγράμματα, κ.λπ.
  • δεδομένα- αποθηκευμένο προσωρινά και μόνιμα, σε μαγνητικά μέσα, έντυπα, αρχεία, αρχεία καταγραφής συστήματος κ.λπ.
  • προσωπικό- λειτουργικό προσωπικό και χρήστες.

Οι επικίνδυνες επιπτώσεις σε ένα πληροφοριακό σύστημα υπολογιστή μπορούν να χωριστούν σε τυχαίες και σκόπιμες. Μια ανάλυση της εμπειρίας στο σχεδιασμό, την κατασκευή και τη λειτουργία πληροφοριακών συστημάτων δείχνει ότι οι πληροφορίες υπόκεινται σε διάφορες τυχαίες επιρροές σε όλα τα στάδια του κύκλου ζωής του συστήματος. Αιτιολογικό τυχαίες επιρροέςκατά τη λειτουργία μπορεί να υπάρχουν:

  • καταστάσεις έκτακτης ανάγκης λόγω φυσικών καταστροφών και διακοπές ρεύματος·
  • αστοχίες και δυσλειτουργίες εξοπλισμού.
  • σφάλματα λογισμικού?
  • λάθη στην εργασία του προσωπικού·
  • παρεμβολές στις γραμμές επικοινωνίας λόγω περιβαλλοντικών επιρροών.

Σκόπιμες επιρροές- πρόκειται για στοχευμένες ενέργειες του δράστη. Ο δράστης μπορεί να είναι υπάλληλος, επισκέπτης, ανταγωνιστής ή μισθοφόρος. Οι ενέργειες του δράστη μπορεί να οφείλονται σε διαφορετικά κίνητρα:

  • δυσαρέσκεια των εργαζομένων με την καριέρα του.
  • δωροδοκία;
  • περιέργεια;
  • ανταγωνισμός;
  • την επιθυμία να διεκδικήσει κανείς τον εαυτό του με οποιοδήποτε κόστος.

Μπορείτε να δημιουργήσετε ένα υποθετικό μοντέλο ενός πιθανού παραβάτη:

  • προσόντα του δράστη στο επίπεδο του προγραμματιστή αυτού του συστήματος·
  • ο παραβάτης μπορεί να είναι είτε εξωτερικός είτε νόμιμος χρήστης του συστήματος.
  • ο παραβάτης γνωρίζει πληροφορίες σχετικά με τις αρχές λειτουργίας του συστήματος·
  • ο δράστης επιλέγει τον πιο αδύναμο κρίκο στην άμυνα.

Ο πιο συνηθισμένος και διαφορετικός τύπος παραβιάσεων υπολογιστή είναι μη εξουσιοδοτημένη πρόσβαση(NSD). Η NSD εκμεταλλεύεται οποιοδήποτε σφάλμα στο σύστημα ασφαλείας και είναι δυνατό λόγω αλόγιστης επιλογής μέσων ασφαλείας, εσφαλμένης εγκατάστασης και διαμόρφωσής τους.

Ας ταξινομήσουμε τα κανάλια πληροφοριών που δεν εισάγουν διακρίσεις μέσω των οποίων οι πληροφορίες μπορούν να κλαπούν, να αλλάξουν ή να καταστραφούν:

  • Μέσω ενός ατόμου:
    • κλοπή μέσων αποθήκευσης?
    • ανάγνωση πληροφοριών από την οθόνη ή το πληκτρολόγιο.
    • ανάγνωση πληροφοριών από μια εκτύπωση.
  • Μέσω του προγράμματος:
    • Υποκλοπή κωδικού πρόσβασης?
    • αποκρυπτογράφηση κρυπτογραφημένων πληροφοριών·
    • αντιγραφή πληροφοριών από μέσα αποθήκευσης.
  • Μέσω εξοπλισμού:
    • σύνδεση ειδικά σχεδιασμένου υλικού που παρέχει πρόσβαση σε πληροφορίες·
    • αναχαίτιση πλευρικής ηλεκτρομαγνητικής ακτινοβολίας από εξοπλισμό, γραμμές επικοινωνίας, δίκτυα τροφοδοσίας κ.λπ.

Ιδιαίτερη προσοχή πρέπει να δοθεί στις απειλές στις οποίες ενδέχεται να εκτεθούν τα δίκτυα υπολογιστών. Το κύριο χαρακτηριστικό κάθε δικτύου υπολογιστών είναι ότι τα στοιχεία του είναι κατανεμημένα στο χώρο. Η επικοινωνία μεταξύ των κόμβων δικτύου πραγματοποιείται φυσικά με τη χρήση γραμμών δικτύου και μέσω προγραμματισμού με τη χρήση μηχανισμού μηνυμάτων. Σε αυτήν την περίπτωση, τα μηνύματα ελέγχου και τα δεδομένα που αποστέλλονται μεταξύ των κόμβων δικτύου μεταδίδονται με τη μορφή πακέτων ανταλλαγής. Τα δίκτυα υπολογιστών χαρακτηρίζονται από το γεγονός ότι τα λεγόμενα απομακρυσμένες επιθέσεις. Ο εισβολέας μπορεί να βρίσκεται χιλιάδες χιλιόμετρα από το αντικείμενο που δέχεται επίθεση και όχι μόνο ένας συγκεκριμένος υπολογιστής μπορεί να δεχθεί επίθεση, αλλά και πληροφορίες που μεταδίδονται μέσω καναλιών επικοινωνίας δικτύου.

Διασφάλιση της ασφάλειας των πληροφοριών

Η διαμόρφωση ενός καθεστώτος ασφάλειας πληροφοριών είναι ένα σύνθετο πρόβλημα. Τα μέτρα για την επίλυσή του μπορούν να χωριστούν σε πέντε επίπεδα:

  1. νομοθετική (νόμοι, κανονισμοί, πρότυπα κ.λπ.)·
  2. ηθική και ηθική (όλα τα είδη προτύπων συμπεριφοράς, η μη συμμόρφωση με τα οποία οδηγεί σε πτώση του κύρους ενός συγκεκριμένου ατόμου ή ενός ολόκληρου οργανισμού).
  3. διοικητικές (γενικές ενέργειες που λαμβάνονται από τη διοίκηση του οργανισμού).
  4. φυσικά (μηχανικά, ηλεκτρο- και ηλεκτρονικά-μηχανικά εμπόδια σε πιθανές διαδρομές εισόδου για πιθανούς εισβολείς)·
  5. υλικού και λογισμικού (ηλεκτρονικές συσκευές και ειδικά προγράμματα ασφάλειας πληροφοριών).

Ένα ενιαίο σύνολο όλων αυτών των μέτρων που στοχεύουν στην αντιμετώπιση των απειλών για την ασφάλεια, προκειμένου να ελαχιστοποιηθεί η πιθανότητα πρόκλησης ζημιάς σύστημα προστασίας.

Ένα αξιόπιστο σύστημα προστασίας πρέπει να συμμορφώνεται με τις ακόλουθες αρχές:

  • Το κόστος του προστατευτικού εξοπλισμού πρέπει να είναι μικρότερο από το ποσό της πιθανής ζημιάς.
  • Κάθε χρήστης πρέπει να έχει το ελάχιστο σύνολο προνομίων που απαιτούνται για να λειτουργήσει.
  • Όσο πιο αποτελεσματική είναι η προστασία, τόσο πιο εύκολο είναι για τον χρήστη να εργαστεί μαζί της.
  • Δυνατότητα διακοπής λειτουργίας σε περίπτωση έκτακτης ανάγκης.
  • Οι ειδικοί που εμπλέκονται στο σύστημα προστασίας πρέπει να κατανοούν πλήρως τις αρχές λειτουργίας του και, σε περίπτωση δύσκολων καταστάσεων, να ανταποκρίνονται επαρκώς σε αυτές.
  • Ολόκληρο το σύστημα επεξεργασίας πληροφοριών πρέπει να προστατεύεται.
  • Οι προγραμματιστές του συστήματος ασφαλείας δεν πρέπει να είναι μεταξύ εκείνων που θα ελέγχει αυτό το σύστημα.
  • Το σύστημα ασφαλείας πρέπει να παρέχει αποδεικτικά στοιχεία για την ορθότητα της λειτουργίας του.
  • Τα άτομα που εμπλέκονται στη διασφάλιση της ασφάλειας των πληροφοριών πρέπει να φέρουν προσωπική ευθύνη.
  • Συνιστάται να χωρίζετε τα προστατευόμενα αντικείμενα σε ομάδες, έτσι ώστε η παραβίαση της προστασίας σε μία από τις ομάδες να μην επηρεάζει την ασφάλεια άλλων.
  • Ένα αξιόπιστο σύστημα ασφαλείας πρέπει να είναι πλήρως ελεγμένο και συνεπές.
  • Η προστασία γίνεται πιο αποτελεσματική και ευέλικτη εάν επιτρέπει στον διαχειριστή να αλλάξει τις παραμέτρους της.
  • Τα συστήματα ασφαλείας πρέπει να σχεδιάζονται με την υπόθεση ότι οι χρήστες θα κάνουν σοβαρά λάθη και γενικά θα έχουν τις χειρότερες προθέσεις.
  • Οι πιο σημαντικές και κρίσιμες αποφάσεις πρέπει να λαμβάνονται από τον άνθρωπο.
  • Η ύπαρξη μηχανισμών ασφαλείας θα πρέπει, ει δυνατόν, να αποκρύπτεται από τους χρήστες των οποίων η εργασία παρακολουθείται.

Υλικό και λογισμικό για την ασφάλεια των πληροφοριών

Παρά το γεγονός ότι τα σύγχρονα λειτουργικά συστήματα για προσωπικούς υπολογιστές, όπως τα Windows 2000, τα Windows XP και τα Windows NT, έχουν τα δικά τους υποσυστήματα ασφαλείας, η σημασία της δημιουργίας πρόσθετων εργαλείων ασφαλείας παραμένει. Το γεγονός είναι ότι τα περισσότερα συστήματα δεν είναι σε θέση να προστατεύσουν δεδομένα που βρίσκονται έξω από αυτά, για παράδειγμα κατά την ανταλλαγή πληροφοριών δικτύου.

Τα εργαλεία ασφάλειας πληροφοριών υλικού και λογισμικού μπορούν να χωριστούν σε πέντε ομάδες:

  1. Συστήματα αναγνώρισης χρήστη (αναγνώριση) και πιστοποίησης (authentication).
  2. Συστήματα κρυπτογράφησης δεδομένων δίσκου.
  3. Συστήματα κρυπτογράφησης για δεδομένα που μεταδίδονται μέσω δικτύων.
  4. Ηλεκτρονικά συστήματα ελέγχου ταυτότητας δεδομένων.
  5. Εργαλεία διαχείρισης κρυπτογραφικών κλειδιών.

1. Συστήματα αναγνώρισης και ελέγχου ταυτότητας χρήστη

Χρησιμοποιούνται για τον περιορισμό της πρόσβασης τυχαίων και παράνομων χρηστών στους πόρους του συστήματος υπολογιστή. Ο γενικός αλγόριθμος για τη λειτουργία τέτοιων συστημάτων είναι η λήψη πληροφοριών αναγνώρισης από τον χρήστη, η επαλήθευση της αυθεντικότητάς τους και, στη συνέχεια, η παροχή (ή η μη παροχή) σε αυτόν τον χρήστη τη δυνατότητα να εργαστεί με το σύστημα.

Κατά την κατασκευή αυτών των συστημάτων, προκύπτει το πρόβλημα της επιλογής πληροφοριών βάσει των οποίων εκτελούνται οι διαδικασίες αναγνώρισης και επαλήθευσης ταυτότητας χρήστη. Μπορούν να διακριθούν οι ακόλουθοι τύποι:

  • μυστικές πληροφορίες που έχει ο χρήστης (κωδικός πρόσβασης, μυστικό κλειδί, προσωπικό αναγνωριστικό κ.λπ.) ο χρήστης πρέπει να θυμάται αυτές τις πληροφορίες ή μπορούν να χρησιμοποιηθούν ειδικά μέσα αποθήκευσης γι' αυτό.
  • φυσιολογικές παράμετροι ενός ατόμου (δαχτυλικά αποτυπώματα, μοτίβο ίριδας κ.λπ.) ή χαρακτηριστικά συμπεριφοράς (χαρακτηριστικά εργασίας σε πληκτρολόγιο κ.λπ.).

Εξετάζονται συστήματα που βασίζονται στον πρώτο τύπο πληροφοριών παραδοσιακός. Τα συστήματα που χρησιμοποιούν τον δεύτερο τύπο πληροφοριών ονομάζονται βιομετρική. Πρέπει να σημειωθεί ότι υπάρχει μια διαφαινόμενη τάση ταχείας ανάπτυξης συστημάτων βιομετρικής ταυτοποίησης.

2. Συστήματα κρυπτογράφησης δεδομένων δίσκου

Για να καταστήσει τις πληροφορίες άχρηστες σε έναν αντίπαλο, καλείται ένα σύνολο μεθόδων μετασχηματισμού δεδομένων κρυπτογράφηση[από τα ελληνικά κρυπτός- κρυφό και γραφο- Γραφή].

Τα συστήματα κρυπτογράφησης μπορούν να εκτελούν κρυπτογραφικούς μετασχηματισμούς δεδομένων σε επίπεδο αρχείου ή σε επίπεδο δίσκου. Τα προγράμματα του πρώτου τύπου περιλαμβάνουν αρχειοθέτες όπως τα ARJ και RAR, τα οποία επιτρέπουν τη χρήση κρυπτογραφικών μεθόδων για την προστασία αρχείων αρχειοθέτησης. Ένα παράδειγμα του δεύτερου τύπου συστήματος είναι το πρόγραμμα κρυπτογράφησης Diskreet, μέρος του δημοφιλούς πακέτου λογισμικού Norton Utilities, Best Crypt.

Ένα άλλο χαρακτηριστικό ταξινόμησης των συστημάτων κρυπτογράφησης δεδομένων δίσκου είναι ο τρόπος λειτουργίας τους. Σύμφωνα με τη μέθοδο λειτουργίας, τα συστήματα κρυπτογράφησης δεδομένων δίσκου χωρίζονται σε δύο κατηγορίες:

  • «διαφανή» συστήματα κρυπτογράφησης·
  • συστήματα που καλούνται ειδικά να εκτελέσουν κρυπτογράφηση.

Στα διαφανή συστήματα κρυπτογράφησης (on-the-fly encryption), οι κρυπτογραφικοί μετασχηματισμοί πραγματοποιούνται σε πραγματικό χρόνο, απαρατήρητοι από τον χρήστη. Για παράδειγμα, ένας χρήστης γράφει ένα έγγραφο που έχει προετοιμαστεί σε ένα πρόγραμμα επεξεργασίας κειμένου σε έναν προστατευμένο δίσκο και το σύστημα ασφαλείας το κρυπτογραφεί κατά τη διαδικασία εγγραφής.

Τα συστήματα δεύτερης κατηγορίας είναι συνήθως βοηθητικά προγράμματα που πρέπει να καλούνται ειδικά για να εκτελέσουν κρυπτογράφηση. Αυτά περιλαμβάνουν, για παράδειγμα, αρχειοθέτες με ενσωματωμένη προστασία κωδικού πρόσβασης.

Τα περισσότερα συστήματα που προσφέρουν τον ορισμό κωδικού πρόσβασης για ένα έγγραφο δεν κρυπτογραφούν τις πληροφορίες, αλλά απαιτούν μόνο κωδικό πρόσβασης κατά την πρόσβαση στο έγγραφο. Τέτοια συστήματα περιλαμβάνουν το MS Office, το 1C και πολλά άλλα.

3. Συστήματα κρυπτογράφησης για δεδομένα που μεταδίδονται μέσω δικτύων

Υπάρχουν δύο κύριες μέθοδοι κρυπτογράφησης: η κρυπτογράφηση καναλιού και η κρυπτογράφηση τερματικού (συνδρομητής).

Οταν κρυπτογράφηση καναλιούΌλες οι πληροφορίες που μεταδίδονται μέσω του καναλιού επικοινωνίας, συμπεριλαμβανομένων των πληροφοριών υπηρεσίας, προστατεύονται. Αυτή η μέθοδος κρυπτογράφησης έχει το ακόλουθο πλεονέκτημα - η ενσωμάτωση διαδικασιών κρυπτογράφησης στο επίπεδο σύνδεσης δεδομένων επιτρέπει τη χρήση υλικού, το οποίο συμβάλλει στη βελτίωση της απόδοσης του συστήματος. Ωστόσο, αυτή η προσέγγιση έχει επίσης σημαντικά μειονεκτήματα:

  • Η κρυπτογράφηση δεδομένων υπηρεσίας περιπλέκει τον μηχανισμό δρομολόγησης πακέτων δικτύου και απαιτεί αποκρυπτογράφηση δεδομένων σε ενδιάμεσες συσκευές επικοινωνίας (πύλες, επαναλήπτες κ.λπ.).
  • Η κρυπτογράφηση των πληροφοριών υπηρεσίας μπορεί να οδηγήσει στην εμφάνιση στατιστικών προτύπων σε κρυπτογραφημένα δεδομένα, γεγονός που επηρεάζει την αξιοπιστία της προστασίας και επιβάλλει περιορισμούς στη χρήση κρυπτογραφικών αλγορίθμων.

Κρυπτογράφηση τερματικού (συνδρομητή).σας επιτρέπει να διασφαλίζετε την εμπιστευτικότητα των δεδομένων που μεταδίδονται μεταξύ δύο συνδρομητών. Σε αυτήν την περίπτωση, προστατεύεται μόνο το περιεχόμενο των μηνυμάτων, όλες οι πληροφορίες υπηρεσίας παραμένουν ανοιχτές. Το μειονέκτημα είναι η δυνατότητα ανάλυσης πληροφοριών σχετικά με τη δομή της ανταλλαγής μηνυμάτων, όπως ο αποστολέας και ο παραλήπτης, ο χρόνος και οι συνθήκες μεταφοράς δεδομένων και ο όγκος των δεδομένων που μεταφέρονται.

4. Ηλεκτρονικά συστήματα ελέγχου ταυτότητας δεδομένων

Κατά την ανταλλαγή δεδομένων μέσω δικτύων, προκύπτει το πρόβλημα της ταυτοποίησης του συντάκτη του εγγράφου και του ίδιου του εγγράφου, δηλ. διαπίστωση της γνησιότητας του συγγραφέα και έλεγχος ότι δεν υπάρχουν αλλαγές στο παραληφθέν έγγραφο. Για τον έλεγχο ταυτότητας δεδομένων, χρησιμοποιείται ένας κωδικός ελέγχου ταυτότητας μηνύματος (εισαγωγή imit) ή μια ηλεκτρονική υπογραφή.

Ιμιτόβστακπαράγονται από τα απλά δεδομένα μέσω ενός ειδικού μετασχηματισμού κρυπτογράφησης χρησιμοποιώντας ένα μυστικό κλειδί και μεταδίδονται μέσω του καναλιού επικοινωνίας στο τέλος των κρυπτογραφημένων δεδομένων. Η εισαγωγή πλαστοπροσωπίας επαληθεύεται από τον παραλήπτη, ο οποίος κατέχει το μυστικό κλειδί, επαναλαμβάνοντας τη διαδικασία που είχε πραγματοποιήσει προηγουμένως ο αποστολέας στα λαμβανόμενα δημόσια δεδομένα.

Ηλεκτρονική ψηφιακή υπογραφήαντιπροσωπεύει μια σχετικά μικρή ποσότητα πρόσθετων πληροφοριών επαλήθευσης ταυτότητας που μεταδίδονται μαζί με το υπογεγραμμένο κείμενο. Ο αποστολέας δημιουργεί μια ψηφιακή υπογραφή χρησιμοποιώντας το ιδιωτικό κλειδί του αποστολέα. Ο παραλήπτης επαληθεύει την υπογραφή χρησιμοποιώντας το δημόσιο κλειδί του αποστολέα.

Έτσι, για την υλοποίηση απομιμήσεων χρησιμοποιούνται οι αρχές της συμμετρικής κρυπτογράφησης και για την υλοποίηση ηλεκτρονικής υπογραφής χρησιμοποιείται ασύμμετρη κρυπτογράφηση. Αυτά τα δύο συστήματα κρυπτογράφησης θα μελετήσουμε λεπτομερέστερα αργότερα.

5. Εργαλεία διαχείρισης κρυπτογραφικών κλειδιών

Η ασφάλεια οποιουδήποτε κρυπτοσυστήματος καθορίζεται από τα κρυπτογραφικά κλειδιά που χρησιμοποιούνται. Εάν η διαχείριση κλειδιών δεν είναι ασφαλής, ένας εισβολέας θα μπορούσε να αποκτήσει βασικές πληροφορίες και να αποκτήσει πλήρη πρόσβαση σε όλες τις πληροφορίες ενός συστήματος ή δικτύου.

Διακρίνονται οι ακόλουθοι τύποι λειτουργιών διαχείρισης κλειδιών: δημιουργία, αποθήκευση και διανομή κλειδιών.

Μέθοδοι γενιά κλειδιώνγια τα συμμετρικά και τα ασύμμετρα κρυπτοσυστήματα είναι διαφορετικά. Για τη δημιουργία κλειδιών για συμμετρικά κρυπτοσυστήματα, χρησιμοποιούνται εργαλεία υλικού και λογισμικού για τη δημιουργία τυχαίων αριθμών. Η δημιουργία κλειδιών για ασύμμετρα κρυπτοσυστήματα είναι πιο περίπλοκη, αφού τα κλειδιά πρέπει να έχουν ορισμένες μαθηματικές ιδιότητες. Θα σταθούμε σε αυτό το θέμα με περισσότερες λεπτομέρειες κατά τη μελέτη συμμετρικών και ασύμμετρων κρυπτοσυστημάτων.

Λειτουργία αποθήκευσηπεριλαμβάνει την οργάνωση της ασφαλούς αποθήκευσης, καταγραφής και διαγραφής βασικών πληροφοριών. Για να διασφαλιστεί η ασφαλής αποθήκευση των κλειδιών, κρυπτογραφούνται χρησιμοποιώντας άλλα κλειδιά. Αυτή η προσέγγιση οδηγεί στην έννοια της βασικής ιεραρχίας. Η ιεραρχία κλειδιών περιλαμβάνει τυπικά ένα κύριο κλειδί (δηλαδή ένα κύριο κλειδί), ένα κλειδί κρυπτογράφησης κλειδιού και ένα κλειδί κρυπτογράφησης δεδομένων. Θα πρέπει να σημειωθεί ότι η δημιουργία και αποθήκευση του κύριου κλειδιού είναι ένα κρίσιμο ζήτημα στην κρυπτογραφική ασφάλεια.

Διανομή- η πιο κρίσιμη διαδικασία στη διαχείριση κλειδιών. Αυτή η διαδικασία πρέπει να διασφαλίζει την εμπιστευτικότητα των κλειδιών που διανέμονται, καθώς και να είναι γρήγορη και ακριβής. Τα κλειδιά διανέμονται μεταξύ των χρηστών του δικτύου με δύο τρόπους:

  • χρήση απευθείας ανταλλαγής κλειδιών συνεδρίας.
  • χρησιμοποιώντας ένα ή περισσότερα βασικά κέντρα διανομής.

Κατάλογος εγγράφων

  1. ΠΕΡΙ ΚΡΑΤΙΚΩΝ ΑΠΟΡΡΗΤΩΝ. Νόμος της Ρωσικής Ομοσπονδίας της 21ης ​​Ιουλίου 1993 αριθ. 5485-1 (όπως τροποποιήθηκε από τον ομοσπονδιακό νόμο της 6ης Οκτωβρίου 1997 No. 131-FZ).
  2. ΠΕΡΙ ΠΛΗΡΟΦΟΡΙΩΝ, ΠΛΗΡΟΦΟΡΙΩΝ ΚΑΙ ΠΡΟΣΤΑΣΙΑΣ ΠΛΗΡΟΦΟΡΙΩΝ. Ομοσπονδιακός νόμος της Ρωσικής Ομοσπονδίας της 20ης Φεβρουαρίου 1995 Αρ. 24-FZ. Εγκρίθηκε από την Κρατική Δούμα στις 25 Ιανουαρίου 1995.
  3. ΠΕΡΙ ΝΟΜΙΚΗΣ ΠΡΟΣΤΑΣΙΑΣ ΠΡΟΓΡΑΜΜΑΤΩΝ ΗΛΕΚΤΡΟΝΙΚΩΝ ΥΠΟΛΟΓΙΣΤΙΚΩΝ ΜΗΧΑΝΗΜΑΤΩΝ ΚΑΙ ΒΑΣΕΩΝ ΔΕΔΟΜΕΝΩΝ. Νόμος της Ρωσικής Ομοσπονδίας της 23ης Φεβρουαρίου 1992 Αρ. 3524-1.
  4. ΠΕΡΙ ΗΛΕΚΤΡΟΝΙΚΗΣ ΨΗΦΙΑΚΗΣ ΥΠΟΓΡΑΦΗΣ. Ομοσπονδιακός νόμος της Ρωσικής Ομοσπονδίας της 10ης Ιανουαρίου 2002 Αρ. 1-FZ.
  5. ΠΕΡΙ ΠΝΕΥΜΑΤΙΚΩΝ ΔΙΚΑΙΩΜΑΤΩΝ ΚΑΙ ΣΥΝΑΦΩΝ ΔΙΚΑΙΩΜΑΤΩΝ. Νόμος της Ρωσικής Ομοσπονδίας της 9ης Ιουλίου 1993 Αρ. 5351-1.
  6. ΠΕΡΙ ΦΟΡΕΩΝ ΕΠΙΚΟΙΝΩΝΙΑΣ ΚΑΙ ΕΝΗΜΕΡΩΣΗΣ ΟΜΟΣΠΟΝΔΙΑΚΗΣ ΚΥΒΕΡΝΗΣΗΣ. Νόμος της Ρωσικής Ομοσπονδίας (όπως τροποποιήθηκε με Διάταγμα του Προέδρου της Ρωσικής Ομοσπονδίας της 24ης Δεκεμβρίου 1993 Αρ. 2288· Ομοσπονδιακός νόμος της 7ης Νοεμβρίου 2000 Αρ. 135-FZ.
  7. Κανονισμοί για τη διαπίστευση εργαστηρίων δοκιμών και φορέων πιστοποίησης για εξοπλισμό ασφάλειας πληροφοριών σύμφωνα με απαιτήσεις ασφάλειας πληροφοριών / Κρατική τεχνική επιτροπή υπό τον Πρόεδρο της Ρωσικής Ομοσπονδίας.
  8. Οδηγίες σχετικά με τη διαδικασία επισήμανσης πιστοποιητικών συμμόρφωσης, των αντιγράφων τους και των μέσων πιστοποίησης ασφάλειας πληροφοριών / Κρατική τεχνική επιτροπή υπό τον Πρόεδρο της Ρωσικής Ομοσπονδίας.
  9. Κανονισμοί για την πιστοποίηση αντικειμένων πληροφόρησης σύμφωνα με τις απαιτήσεις ασφάλειας πληροφοριών / Κρατική τεχνική επιτροπή υπό τον Πρόεδρο της Ρωσικής Ομοσπονδίας.
  10. Κανονισμοί για την πιστοποίηση μέσων ασφάλειας πληροφοριών σύμφωνα με απαιτήσεις ασφάλειας πληροφοριών: με προσθήκες σύμφωνα με το διάταγμα της κυβέρνησης της Ρωσικής Ομοσπονδίας της 26ης Ιουνίου 1995 αριθ. 608 «Περί πιστοποίησης μέσων ασφάλειας πληροφοριών» / Κρατική Τεχνική Επιτροπή υπό τον Πρόεδρο Η ρωσική ομοσπονδία.
  11. Κανονισμοί για την κρατική αδειοδότηση δραστηριοτήτων στον τομέα της ασφάλειας πληροφοριών / Κρατική τεχνική επιτροπή υπό τον Πρόεδρο της Ρωσικής Ομοσπονδίας.
  12. Αυτοματοποιημένα συστήματα. Προστασία από μη εξουσιοδοτημένη πρόσβαση σε πληροφορίες. Ταξινόμηση αυτοματοποιημένων συστημάτων και απαιτήσεις για προστασία πληροφοριών: Κατευθυντήριο έγγραφο / Κρατική τεχνική επιτροπή υπό τον Πρόεδρο της Ρωσικής Ομοσπονδίας.
  13. Η έννοια της προστασίας του εξοπλισμού υπολογιστών και των αυτοματοποιημένων συστημάτων από μη εξουσιοδοτημένη πρόσβαση σε πληροφορίες: Καθοδηγητικό έγγραφο / Κρατική τεχνική επιτροπή υπό τον Πρόεδρο της Ρωσικής Ομοσπονδίας.
  14. Εγκαταστάσεις ηλεκτρονικών υπολογιστών. Τείχη προστασίας. Προστασία από μη εξουσιοδοτημένη πρόσβαση σε πληροφορίες. Δείκτες ασφάλειας έναντι μη εξουσιοδοτημένης πρόσβασης σε πληροφορίες: Καθοδηγητικό έγγραφο / Κρατική τεχνική επιτροπή υπό τον Πρόεδρο της Ρωσικής Ομοσπονδίας.
  15. Εγκαταστάσεις ηλεκτρονικών υπολογιστών. Προστασία από μη εξουσιοδοτημένη πρόσβαση σε πληροφορίες. Δείκτες ασφάλειας έναντι μη εξουσιοδοτημένης πρόσβασης σε πληροφορίες: Καθοδηγητικό έγγραφο / Κρατική τεχνική επιτροπή υπό τον Πρόεδρο της Ρωσικής Ομοσπονδίας.
  16. Προστασία δεδομένων. Ειδικές προστατευτικές πινακίδες. Ταξινόμηση και γενικές απαιτήσεις: Καθοδηγητικό έγγραφο / Κρατική Τεχνική Επιτροπή υπό τον Πρόεδρο της Ρωσικής Ομοσπονδίας.
  17. Προστασία από μη εξουσιοδοτημένη πρόσβαση σε πληροφορίες. Όροι και ορισμοί: Καθοδηγητικό έγγραφο / Κρατική Τεχνική Επιτροπή υπό τον Πρόεδρο της Ρωσικής Ομοσπονδίας.

Στην καθημερινή ζωή, η ασφάλεια πληροφοριών (IS) συχνά κατανοείται μόνο ως η ανάγκη καταπολέμησης της διαρροής μυστικών και της διάδοσης ψευδών και εχθρικών πληροφοριών. Ωστόσο, αυτή η κατανόηση είναι πολύ στενή. Υπάρχουν πολλοί διαφορετικοί ορισμοί της ασφάλειας πληροφοριών, οι οποίοι αναδεικνύουν τις επιμέρους ιδιότητές της.

Στον μη ισχύοντα πλέον ομοσπονδιακό νόμο «Περί Πληροφοριών, Πληροφοριών και Προστασίας Πληροφοριών» υπό ασφάλεια πληροφοριώνκατανοητό την κατάσταση ασφάλειας του περιβάλλοντος πληροφοριών της κοινωνίας, διασφαλίζοντας τη διαμόρφωση και ανάπτυξή του προς το συμφέρον των πολιτών, των οργανισμών και του κράτους.

Άλλες πηγές παρέχουν τους ακόλουθους ορισμούς:

Ασφάλεια Πληροφοριών- Αυτό

1) ένα σύνολο οργανωτικών και τεχνικών μέτρων για τη διασφάλιση της ακεραιότητας των δεδομένων και της εμπιστευτικότητας των πληροφοριών σε συνδυασμό με τη διαθεσιμότητά τους σε όλους τους εξουσιοδοτημένους χρήστες;

2) δείκτης που αντικατοπτρίζει την κατάσταση ασφαλείας του συστήματος πληροφοριών·

3) κατάστασηασφάλεια του περιβάλλοντος πληροφοριών;

4) ένα κράτος που διασφαλίζει την ασφάλεια των πόρων και των καναλιών πληροφοριών,καθώς και πρόσβαση σε πηγές πληροφοριών.

Ο V.I Yarochkin πιστεύει ότι Ασφάλεια ΠληροφοριώνΥπάρχει την κατάσταση της ασφάλειας των πόρων πληροφοριών, των τεχνολογιών για το σχηματισμό και τη χρήση τους, καθώς και τα δικαιώματα των υποκειμένων των δραστηριοτήτων πληροφόρησης.

Ένας αρκετά πλήρης ορισμός δίνεται από τους V. Betelin και V. Galatenko, οι οποίοι πιστεύουν ότι

Σε αυτό το σεμινάριο θα βασιστούμε στον παραπάνω ορισμό.

Η ασφάλεια των πληροφοριών δεν περιορίζεται στην προστασία των πληροφοριών και στην ασφάλεια των υπολογιστών. Είναι απαραίτητο να γίνει διάκριση της ασφάλειας των πληροφοριών από την προστασία των πληροφοριών.

Μερικές φορές η ασφάλεια πληροφοριών αναφέρεται στη δημιουργία σε υπολογιστές και υπολογιστικά συστήματα ενός οργανωμένου συνόλου μέσων, μεθόδων και μέτρων που έχουν σχεδιαστεί για την πρόληψη της παραμόρφωσης, της καταστροφής ή της μη εξουσιοδοτημένης χρήσης προστατευμένων πληροφοριών.

Μέτρα για τη διασφάλιση της ασφάλειας των πληροφοριών πρέπει να ληφθούν σε διάφορους τομείς - πολιτική, οικονομία, άμυνα, καθώς και σε διάφορα επίπεδα - κρατικό, περιφερειακό, οργανωτικό και προσωπικό. Επομένως, τα καθήκοντα της ασφάλειας των πληροφοριών σε κρατικό επίπεδο διαφέρουν από τα καθήκοντα που αντιμετωπίζει η ασφάλεια των πληροφοριών σε οργανωτικό επίπεδο.

Το θέμα των σχέσεων πληροφόρησης μπορεί να υποστεί (υποστεί υλικές ή/και ηθικές απώλειες) όχι μόνο από μη εξουσιοδοτημένη πρόσβαση σε πληροφορίες, αλλά και από βλάβη του συστήματος που προκαλεί διακοπή στην εργασία. Η ασφάλεια των πληροφοριών δεν εξαρτάται μόνο από τους υπολογιστές, αλλά και από την υποστηρικτική υποδομή, η οποία περιλαμβάνει ηλεκτρικά, συστήματα παροχής νερού και θερμότητας, κλιματιστικά, επικοινωνίες και, φυσικά, προσωπικό συντήρησης. Η υποστήριξη των υποδομών έχει τη δική της αξία, η σημασία της οποίας δεν μπορεί να υπερεκτιμηθεί.

Μετά τα γεγονότα της 11ης Σεπτεμβρίου 2001, η νομοθεσία των ΗΠΑ, σύμφωνα με τον νόμο Patriot, όρισε την έννοια της «κρίσιμης υποδομής», η οποία νοείται ως «ένα σύνολο φυσικών ή εικονικών συστημάτων και εγκαταστάσεων που είναι σημαντικά για τις Ηνωμένες Πολιτείες σε τέτοιο βαθμό που η αποτυχία ή η καταστροφή τους θα μπορούσε να οδηγήσει σε καταστροφικές συνέπειες στους τομείς της άμυνας, της οικονομίας, της υγείας και της ασφάλειας του έθνους». Η έννοια της υποδομής ζωτικής σημασίας καλύπτει βασικούς τομείς της εθνικής οικονομίας και της οικονομίας των ΗΠΑ όπως η εθνική άμυνα, η γεωργία, η παραγωγή τροφίμων, η πολιτική αεροπορία, οι θαλάσσιες μεταφορές, οι αυτοκινητόδρομοι και οι γέφυρες, οι σήραγγες, τα φράγματα, οι αγωγοί, οι παροχές νερού, η υγειονομική περίθαλψη, οι υπηρεσίες έκτακτης ανάγκης, αρχές δημόσια διοίκηση, στρατιωτική παραγωγή, συστήματα και δίκτυα πληροφοριών και τηλεπικοινωνιών, ενέργεια, μεταφορές, τραπεζικά και χρηματοοικονομικά συστήματα, χημική βιομηχανία, ταχυδρομικές υπηρεσίες.

Σε κοινωνικούς όρους, η ασφάλεια των πληροφοριών περιλαμβάνει την καταπολέμηση της «ρύπανσης» πληροφοριών του περιβάλλοντος και τη χρήση πληροφοριών για παράνομους και ανήθικους σκοπούς.

Επίσης, τα αντικείμενα επιρροής της πληροφορίας και, κατά συνέπεια, της ασφάλειας των πληροφοριών μπορεί να είναι η δημόσια ή η ατομική συνείδηση.

Σε κρατικό επίπεδο, τα υποκείμενα της ασφάλειας των πληροφοριών είναι οι εκτελεστικές, νομοθετικές και δικαστικές αρχές. Μεμονωμένα τμήματα έχουν δημιουργήσει φορείς που ασχολούνται ειδικά με την ασφάλεια των πληροφοριών.

Επιπλέον, θέματα ασφάλειας πληροφοριών μπορεί να είναι:

Πολίτες και δημόσιες ενώσεις.

Μέσα μαζικής ενημέρωσης;

Επιχειρήσεις και οργανισμοί ανεξάρτητα από τη μορφή ιδιοκτησίας τους.

Τα ενδιαφέρονταΤα θέματα ΠΠ που σχετίζονται με τη χρήση πληροφοριακών συστημάτων μπορούν να χωριστούν στις ακόλουθες κύριες κατηγορίες:

Διαθεσιμότητα- τη δυνατότητα απόκτησης της απαιτούμενης υπηρεσίας πληροφοριών εντός εύλογου χρονικού διαστήματος. Τα πληροφοριακά συστήματα δημιουργούνται (αποκτώνται) για την απόκτηση ορισμένων υπηρεσιών (υπηρεσιών) πληροφοριών. Εάν για τον έναν ή τον άλλο λόγο καταστεί αδύνατο για τους χρήστες να λάβουν αυτές τις υπηρεσίες, αυτό προκαλεί βλάβη σε όλα τα θέματα των σχέσεων πληροφοριών. Ο ηγετικός ρόλος της προσβασιμότητας είναι ιδιαίτερα εμφανής σε διάφορους τύπους συστημάτων διαχείρισης: παραγωγή, μεταφορά κ.λπ. Επομένως, χωρίς αντίθεση της προσβασιμότητας με άλλες πτυχές, η προσβασιμότητα είναι το πιο σημαντικό στοιχείο της ασφάλειας των πληροφοριών.

Ακεραιότητα- συνάφεια και συνέπεια των πληροφοριών, προστασία τους από καταστροφή και μη εξουσιοδοτημένες αλλαγές. Η ακεραιότητα μπορεί να χωριστεί σε στατική (εννοείται ως η αμετάβλητη των αντικειμένων πληροφοριών) και σε δυναμική (σχετικά με τη σωστή εκτέλεση πολύπλοκων ενεργειών (συναλλαγές)). Σχεδόν όλα τα κανονιστικά έγγραφα και οι εγχώριες εξελίξεις σχετίζονται με τη στατική ακεραιότητα, αν και η δυναμική πτυχή δεν είναι λιγότερο σημαντική. Ένα παράδειγμα εφαρμογής δυναμικών ελέγχων ακεραιότητας είναι η ανάλυση της ροής των οικονομικών μηνυμάτων για τον εντοπισμό κλοπής, αναδιάταξης ή αντιγραφής μεμονωμένων μηνυμάτων.

Εμπιστευτικότητα- προστασία από μη εξουσιοδοτημένη πρόσβαση. Η εμπιστευτικότητα προστατεύεται από νόμους, κανονισμούς και πολυετή εμπειρία των σχετικών υπηρεσιών. Τα προϊόντα υλικού και λογισμικού σάς επιτρέπουν να κλείσετε σχεδόν όλα τα πιθανά κανάλια διαρροής πληροφοριών.

Στόχοςδραστηριότητες στον τομέα της ασφάλειας των πληροφοριών - προστασία των συμφερόντων των υποκειμένων ασφάλειας πληροφοριών.

Καθήκοντα IS:

1. Διασφάλιση του δικαιώματος του ατόμου και της κοινωνίας στην ενημέρωση.

2. Παροχή αντικειμενικών πληροφοριών.

3. Καταπολέμηση εγκληματικών απειλών στον τομέα των πληροφοριακών και τηλεπικοινωνιακών συστημάτων, της τηλεφωνικής τρομοκρατίας, της νομιμοποίησης εσόδων από παράνομες δραστηριότητες κ.λπ.

4. Προστασία ατόμων, οργανισμών, κοινωνίας και κράτους από πληροφορίες και ψυχολογικές απειλές.

5. Διαμόρφωση εικόνας, καταπολέμηση συκοφαντίας, φημών, παραπληροφόρησης.

Ο ρόλος της ασφάλειας πληροφοριών αυξάνεται όταν εμφανίζεται μια ακραία κατάσταση, όταν οποιοδήποτε αναξιόπιστο μήνυμα μπορεί να οδηγήσει σε επιδείνωση της κατάστασης.

ΕΙΝΑΙ κριτήριο- εγγυημένη ασφάλεια πληροφοριών από διαρροή, παραμόρφωση, απώλεια ή άλλες μορφές απόσβεσης. Οι ασφαλείς τεχνολογίες πληροφοριών πρέπει να έχουν την ικανότητα να αποτρέπουν ή να εξουδετερώνουν τον αντίκτυπο τόσο εξωτερικών όσο και εσωτερικών απειλών για τις πληροφορίες και να περιέχουν επαρκείς μεθόδους και μεθόδους για την προστασία τους.

Μαζί με την πολιτική, οικονομική, στρατιωτική, κοινωνική και περιβαλλοντική ασφάλεια, η ασφάλεια των πληροφοριών αποτελεί αναπόσπαστο μέρος της εθνικής ασφάλειας της Ρωσικής Ομοσπονδίας.

Ως ασφάλεια πληροφοριών της Ρωσικής Ομοσπονδίας νοείται η κατάσταση προστασίας των εθνικών συμφερόντων της Ρωσικής Ομοσπονδίας στη σφαίρα των πληροφοριών, που καθορίζεται από το σύνολο των ισορροπημένων συμφερόντων του ατόμου, της κοινωνίας και του κράτους.

Η σφαίρα πληροφοριών είναι ένα σύνολο πόρων πληροφοριών και υποδομής πληροφοριών του προστατευμένου αντικειμένου.

Το σύνολο των αποθηκευμένων, επεξεργασμένων και μεταδιδόμενων πληροφοριών που χρησιμοποιούνται για την υποστήριξη των διαδικασιών διαχείρισης ονομάζεται πόρος πληροφοριών.

Οι πηγές πληροφοριών περιλαμβάνουν:

· πόροι πληροφοριών των επιχειρήσεων αμυντικής βιομηχανίας, που περιέχουν πληροφορίες σχετικά με τις κύριες κατευθύνσεις ανάπτυξης όπλων, επιστημονικό, τεχνικό και παραγωγικό δυναμικό, όγκους προμηθειών και αποθέματα στρατηγικών τύπων πρώτων υλών και προμηθειών.

· Υποστήριξη πληροφοριών για συστήματα ελέγχου και επικοινωνίας.

· πληροφορίες για έργα θεμελιώδους και εφαρμοσμένης έρευνας εθνικής σημασίας κ.λπ.

Η υποδομή πληροφοριών είναι ένα σύνολο υποσυστημάτων πληροφοριών, κέντρων ελέγχου, υλικού και λογισμικού και τεχνολογιών για τη συλλογή, αποθήκευση, επεξεργασία και μετάδοση πληροφοριών.

Η πληροφοριακή υποδομή περιλαμβάνει:

· πληροφοριακή υποδομή κεντρικών και τοπικών κυβερνητικών φορέων, ερευνητικών ιδρυμάτων.

· πληροφοριακή υποδομή επιχειρήσεων αμυντικής βιομηχανίας και ερευνητικών ιδρυμάτων που εκτελούν κρατικές αμυντικές εντολές ή ασχολούνται με αμυντικά θέματα.

· Λογισμικό και υλικό για αυτοματοποιημένα και αυτόματα συστήματα ελέγχου και επικοινωνίας.

Ως απειλή για την ασφάλεια των πληροφοριών νοείται ένα σύνολο συνθηκών και παραγόντων που δημιουργούν έναν πιθανό ή πραγματικό κίνδυνο που σχετίζεται με διαρροή πληροφοριών και (ή) μη εξουσιοδοτημένες και (ή) ακούσιες επιπτώσεις σε αυτήν. Οι απειλές για την ασφάλεια των πληροφοριών της Ρωσικής Ομοσπονδίας χωρίζονται σε εξωτερικές και εσωτερικές.

Οι εξωτερικές απειλές που αποτελούν τον μεγαλύτερο κίνδυνο για τα παράπλευρα περιουσιακά στοιχεία είναι:

· κάθε είδους δραστηριότητες πληροφοριών ξένων κρατών.

· πληροφορίες και τεχνικές επιρροές (συμπεριλαμβανομένου του ηλεκτρονικού πολέμου, διείσδυσης σε δίκτυα υπολογιστών).

· Σαμποτάζ και ανατρεπτικές δραστηριότητες ειδικών υπηρεσιών ξένων κρατών, που πραγματοποιούνται με μεθόδους ενημέρωσης και ψυχολογικής επιρροής.

· δραστηριότητες ξένων πολιτικών, οικονομικών και στρατιωτικών δομών που στρέφονται κατά των συμφερόντων της Ρωσικής Ομοσπονδίας στον τομέα της άμυνας.

Οι εσωτερικές απειλές που θα αποτελέσουν ιδιαίτερο κίνδυνο στο πλαίσιο επιδείνωσης της στρατιωτικοπολιτικής κατάστασης περιλαμβάνουν:

· παραβίαση των καθιερωμένων κανονισμών για τη συλλογή, επεξεργασία, αποθήκευση και μετάδοση πληροφοριών που βρίσκονται στα κεντρικά γραφεία και τα ιδρύματα των υπηρεσιών επιβολής του νόμου της Ρωσικής Ομοσπονδίας, σε αμυντικές επιχειρήσεις.

· σκόπιμες ενέργειες, καθώς και λάθη προσωπικού πληροφοριακών και τηλεπικοινωνιακών συστημάτων για ειδικούς σκοπούς.

· Αναξιόπιστη λειτουργία συστημάτων πληροφοριών και τηλεπικοινωνιών ειδικού σκοπού.

· πιθανές δραστηριότητες πληροφόρησης και προπαγάνδας που υπονομεύουν το κύρος των δυνάμεων ασφαλείας της Ρωσικής Ομοσπονδίας και τη μαχητική τους ετοιμότητα.

· άλυτα ζητήματα προστασίας της πνευματικής ιδιοκτησίας των επιχειρήσεων της αμυντικής βιομηχανίας, με αποτέλεσμα τη διαρροή των πολυτιμότερων κυβερνητικών πηγών πληροφοριών στο εξωτερικό.

Οι απειλές για την ασφάλεια των εγκαταστάσεων και συστημάτων πληροφοριών και τηλεπικοινωνιών που έχουν ήδη αναπτυχθεί και δημιουργηθεί περιλαμβάνουν:

· παράνομη συλλογή και χρήση πληροφοριών.

· Παραβιάσεις της τεχνολογίας επεξεργασίας πληροφοριών.

· εισαγωγή σε προϊόντα υλικού και λογισμικού εξαρτημάτων που υλοποιούν λειτουργίες που δεν προβλέπονται στην τεκμηρίωση για αυτά τα προϊόντα.

· Ανάπτυξη και διανομή προγραμμάτων που διαταράσσουν την κανονική λειτουργία των συστημάτων πληροφοριών και πληροφοριών και τηλεπικοινωνιών, συμπεριλαμβανομένων των συστημάτων ασφάλειας πληροφοριών.

· καταστροφή, ζημιά, ηλεκτρονικές παρεμβολές ή καταστροφή εγκαταστάσεων και συστημάτων επεξεργασίας πληροφοριών, τηλεπικοινωνιών και επικοινωνιών.

· Επίπτωση στα συστήματα προστασίας με κωδικό πρόσβασης των αυτοματοποιημένων συστημάτων επεξεργασίας και μετάδοσης πληροφοριών.

· Παραβίαση κλειδιών και μέσων προστασίας κρυπτογραφικών πληροφοριών.

· Διαρροή πληροφοριών μέσω τεχνικών καναλιών.

· εισαγωγή ηλεκτρονικών συσκευών που έχουν σχεδιαστεί για την υποκλοπή πληροφοριών σε τεχνικά μέσα επεξεργασίας, αποθήκευσης και μετάδοσης πληροφοριών μέσω καναλιών επικοινωνίας, καθώς και στις εγκαταστάσεις γραφείων κυβερνητικών φορέων, επιχειρήσεων, ιδρυμάτων και οργανισμών, ανεξάρτητα από τη μορφή ιδιοκτησίας.

· καταστροφή, ζημιά, καταστροφή ή κλοπή υπολογιστή και άλλων μέσων αποθήκευσης.

· Υποκλοπή πληροφοριών σε δίκτυα δεδομένων και γραμμές επικοινωνίας, αποκρυπτογράφηση αυτών των πληροφοριών και επιβολή ψευδών πληροφοριών.

· χρήση μη πιστοποιημένων εγχώριων και ξένων τεχνολογιών πληροφοριών, εργαλείων ασφάλειας πληροφοριών, εργαλείων πληροφοριών, τηλεπικοινωνιών και επικοινωνιών στη δημιουργία και ανάπτυξη της ρωσικής υποδομής πληροφοριών.

· μη εξουσιοδοτημένη πρόσβαση σε πληροφορίες που βρίσκονται σε τράπεζες και βάσεις δεδομένων.

· παραβίαση των νομικών περιορισμών στη διάδοση πληροφοριών.

Οι κύριες κατευθύνσεις για τη βελτίωση του συστήματος ασφάλειας πληροφοριών της Ρωσικής Ομοσπονδίας είναι:

· συστηματικός προσδιορισμός των απειλών και των πηγών τους, διάρθρωση των στόχων ασφάλειας πληροφοριών και καθορισμός σχετικών πρακτικών καθηκόντων.

· Πιστοποίηση γενικού και ειδικού λογισμικού, πακέτων εφαρμογών και εργαλείων ασφάλειας πληροφοριών σε υπάρχοντα και πρόσφατα δημιουργημένα αυτοματοποιημένα συστήματα ελέγχου και επικοινωνίας που ενσωματώνουν στοιχεία τεχνολογίας υπολογιστών.

· Συνεχής βελτίωση των εργαλείων ασφάλειας πληροφοριών, ανάπτυξη ασφαλών συστημάτων επικοινωνίας και ελέγχου, αύξηση της αξιοπιστίας ειδικού λογισμικού.

· βελτίωση της δομής των λειτουργικών οργάνων του συστήματος, συντονισμός της αλληλεπίδρασής τους.

Η αξιολόγηση της κατάστασης της ασφάλειας των πληροφοριών βασίζεται σε ανάλυση των πηγών των απειλών (δυνατότητα παραβίασης της ασφάλειας).

Οι δραστηριότητες που στοχεύουν στην πρόληψη της διαρροής προστατευμένων πληροφοριών, των μη εξουσιοδοτημένων και ακούσιων επιπτώσεων σε αυτές ονομάζονται ασφάλεια πληροφοριών. Αντικείμενο προστασίας είναι το μέσο πληροφοριών ή αποθήκευσης ή η διαδικασία πληροφοριών που πρέπει να προστατεύονται.

Η προστασία των πληροφοριών οργανώνεται σε τρεις κατευθύνσεις: από διαρροή, από μη εξουσιοδοτημένη έκθεση και από ακούσια έκθεση (βλ. Εικ. 4.1).

Η πρώτη κατεύθυνση είναι η προστασία πληροφοριών από διαρροή - δραστηριότητες που αποσκοπούν στην αποτροπή της ανεξέλεγκτης διάδοσης προστατευόμενων πληροφοριών ως αποτέλεσμα της αποκάλυψής τους, της μη εξουσιοδοτημένης πρόσβασης σε πληροφορίες και της λήψης προστατευμένων πληροφοριών από τις υπηρεσίες πληροφοριών.

Η προστασία των πληροφοριών από την αποκάλυψη αποσκοπεί στην αποτροπή της μη εξουσιοδοτημένης παράδοσής τους σε έναν καταναλωτή που δεν έχει δικαίωμα πρόσβασης σε αυτές τις πληροφορίες.

Η προστασία των πληροφοριών από μη εξουσιοδοτημένη πρόσβαση αποσκοπεί στο να αποτρέψει το ενδιαφερόμενο μέρος από τη λήψη πληροφοριών κατά παράβαση των δικαιωμάτων ή των κανόνων πρόσβασης σε προστατευόμενες πληροφορίες που καθορίζονται από νομικά έγγραφα ή του κατόχου, του κατόχου των πληροφοριών. Ένα ενδιαφερόμενο μέρος που ασκεί μη εξουσιοδοτημένη πρόσβαση σε προστατευμένες πληροφορίες μπορεί να είναι: το κράτος· οντότητα; μια ομάδα ατόμων, συμπεριλαμβανομένου ενός δημόσιου οργανισμού· ένα ξεχωριστό άτομο.

Η προστασία των πληροφοριών από την τεχνική νοημοσύνη αποσκοπεί στην αποτροπή της απόκτησης πληροφοριών μέσω τεχνικών μέσων.

Η δεύτερη κατεύθυνση είναι η προστασία των πληροφοριών από μη εξουσιοδοτημένη επιρροή - δραστηριότητες που στοχεύουν στην αποτροπή του αντίκτυπου στις προστατευόμενες πληροφορίες κατά παράβαση των καθιερωμένων δικαιωμάτων και (ή) κανόνων αλλαγής πληροφοριών, που οδηγεί σε παραμόρφωση, καταστροφή, αποκλεισμό της πρόσβασης σε πληροφορίες, καθώς και απώλεια, καταστροφή ή αδυναμία λειτουργίας του αποθηκευτικού μέσου.

Η τρίτη κατεύθυνση είναι η προστασία των πληροφοριών από ακούσιες επιπτώσεις - δραστηριότητες που στοχεύουν στην πρόληψη των επιπτώσεων των προστατευμένων πληροφοριών από σφάλματα χρήστη, αστοχία υλικού και λογισμικού συστημάτων πληροφοριών, φυσικά φαινόμενα ή άλλα γεγονότα που οδηγούν σε παραμόρφωση, καταστροφή, αντιγραφή, αποκλεισμό πρόσβασης σε πληροφορίες, καθώς και απώλεια, καταστροφή ή δυσλειτουργία του αποθηκευτικού μέσου.

Οργάνωση ασφάλειας πληροφοριών σημαίνει δημιουργία συστήματος ασφάλειας πληροφοριών, καθώς και ανάπτυξη μέτρων για την προστασία και την παρακολούθηση της αποτελεσματικότητας της ασφάλειας των πληροφοριών (βλ. Εικ. 4.2).

Ρύζι. 4.2. Βασικό σχέδιο ασφάλειας πληροφοριών

Κάτω από ασφάλεια πληροφοριών κατανοούν την κατάσταση ασφάλειας των επεξεργασμένων, αποθηκευμένων και μεταδιδόμενων δεδομένων από παράνομη πρόσβαση, μετατροπή και καταστροφή, καθώς και την κατάσταση ασφάλειας των πόρων πληροφοριών από επιρροές που στοχεύουν στη διατάραξη της απόδοσής τους.

Η φύση αυτών των επιρροών μπορεί να είναι πολύ διαφορετική. Αυτά περιλαμβάνουν απόπειρες εισβολέων, σφάλματα προσωπικού, αστοχία υλικού και λογισμικού και φυσικές καταστροφές (σεισμός, τυφώνας, πυρκαγιά κ.λπ.). Οι κύριες απειλές ασφαλείας στα εταιρικά δίκτυα υπολογιστών αναλύονται λεπτομερώς στην Ενότητα 2.

Η ασφάλεια των πληροφοριών των συστημάτων και των δικτύων υπολογιστών επιτυγχάνεται με τη λήψη ενός συνόλου μέτρων για τη διασφάλιση της εμπιστευτικότητας, της ακεραιότητας, της αξιοπιστίας, της νομικής σημασίας των πληροφοριών, της ταχύτητας πρόσβασης σε αυτές, καθώς και για τη διασφάλιση της ακεραιότητας και της διαθεσιμότητας των πόρων και των στοιχείων των πληροφοριών. το σύστημα ή το δίκτυο. Οι αναφερόμενες βασικές ιδιότητες των πληροφοριών απαιτούν πληρέστερη ερμηνεία.

Εμπιστευτικότητα πληροφοριών – αυτή είναι η ιδιότητά του να είναι προσβάσιμη μόνο σε περιορισμένο κύκλο χρηστών του συστήματος πληροφοριών στο οποίο κυκλοφορούν αυτές οι πληροφορίες. Ουσιαστικά, το απόρρητο των πληροφοριών είναι η ιδιότητά του να είναι γνωστά μόνο σε εξουσιοδοτημένα και επαληθευμένα υποκείμενα του συστήματος (χρήστες, διαδικασίες, προγράμματα). Για άλλα θέματα του συστήματος, οι πληροφορίες θα πρέπει να είναι άγνωστες.

Κάτω από ακεραιότητα των πληροφοριών αναφέρεται στην ιδιότητά του να διατηρεί τη δομή και/ή το περιεχόμενό του κατά τη μετάδοση και την αποθήκευση. Η ακεραιότητα των πληροφοριών διασφαλίζεται εάν τα δεδομένα στο σύστημα δεν διαφέρουν σημασιολογικά από τα δεδομένα στα έγγραφα προέλευσης, δηλαδή εάν δεν έχουν παραμορφωθεί ή καταστραφεί κατά λάθος ή σκόπιμα.

Αξιοπιστία πληροφοριών – μια ιδιότητα που εκφράζεται στην αυστηρή αναγωγή των πληροφοριών στο υποκείμενο που είναι η πηγή τους ή στο υποκείμενο από το οποίο ελήφθησαν.

Νομική σημασία των πληροφοριών σημαίνει ότι το έγγραφο που περιέχει τις πληροφορίες έχει νομική ισχύ.

Κάτω από πρόσβαση στις πληροφορίες σημαίνει εξοικείωση με πληροφορίες και την επεξεργασία τους, ιδίως αντιγραφή, τροποποίηση ή καταστροφή. Γίνεται διάκριση μεταξύ εξουσιοδοτημένης και μη εξουσιοδοτημένης πρόσβασης σε πληροφορίες. Εξουσιοδοτημένη πρόσβαση σε πληροφορίες δεν παραβιάζει τους καθιερωμένους κανόνες ελέγχου πρόσβασης.

Μη εξουσιοδοτημένη πρόσβαση χαρακτηρίζεται από παραβίαση των καθιερωμένων κανόνων ελέγχου πρόσβασης. Ένα άτομο ή μια διαδικασία που έχει μη εξουσιοδοτημένη πρόσβαση σε πληροφορίες παραβιάζει αυτούς τους κανόνες ελέγχου πρόσβασης. Η μη εξουσιοδοτημένη πρόσβαση είναι ο πιο συνηθισμένος τύπος παραβίασης υπολογιστή.

Κανόνες ελέγχου πρόσβασης χρησιμεύουν για τη ρύθμιση των δικαιωμάτων πρόσβασης σε στοιχεία του συστήματος.

Αποτελεσματικότητα πρόσβασης σε πληροφορίες είναι η δυνατότητα μιας πληροφορίας ή κάποιας πηγής πληροφοριών να είναι προσβάσιμη στον τελικό χρήστη σύμφωνα με τις λειτουργικές του ανάγκες.

Ακεραιότητα ενός πόρου ή ενός στοιχείου συστήματος – αυτή είναι η ιδιότητά του να είναι αμετάβλητη με τη σημασιολογική έννοια όταν το σύστημα λειτουργεί υπό συνθήκες τυχαίων ή σκόπιμων παραμορφώσεων ή καταστροφικών επιρροών.

Διαθεσιμότητα ενός πόρου ή ενός στοιχείου συστήματος – αυτή είναι η ιδιότητά του να είναι προσβάσιμη σε νόμιμους χρήστες του συστήματος. Η πρόσβαση σε πληροφορίες και πόρους του συστήματος συνδέεται με μια ομάδα εννοιών όπως αναγνώριση, έλεγχος ταυτότητας, εξουσιοδότηση.

Κάθε αντικείμενο του συστήματος (δίκτυο) συνδέεται με κάποιες πληροφορίες (αριθμός, σειρά χαρακτήρων) που προσδιορίζουν το αντικείμενο. Αυτή η πληροφορία είναι αναγνωριστικό αντικείμενο συστήματος (δίκτυο). Ένα αντικείμενο που έχει καταχωρημένο αναγνωριστικό θεωρείται νομικός (νομικός ).

Αναγνώριση αντικειμένου είναι μια διαδικασία για την αναγνώριση ενός αντικειμένου από το αναγνωριστικό του. Εκτελείται όταν ένα αντικείμενο επιχειρεί να συνδεθεί σε ένα σύστημα (δίκτυο).

Το επόμενο στάδιο αλληλεπίδρασης μεταξύ του συστήματος και του αντικειμένου είναι ο έλεγχος ταυτότητας. Έλεγχος ταυτότητας αντικειμένου – πρόκειται για επαλήθευση της αυθεντικότητας ενός αντικειμένου με ένα δεδομένο αναγνωριστικό. Η διαδικασία ελέγχου ταυτότητας καθορίζει εάν μια οντότητα είναι αυτό που ισχυρίζεται ότι είναι.

Μετά την αναγνώριση και τον έλεγχο ταυτότητας του αντικειμένου, εκτελείται η εξουσιοδότηση.


Εξουσιοδότηση αντικειμένου είναι μια διαδικασία για την παροχή κατάλληλων εξουσιών και διαθέσιμων πόρων συστήματος (δικτύου) σε μια νόμιμη οντότητα που έχει περάσει επιτυχώς την αναγνώριση και τον έλεγχο ταυτότητας.

Κάτω από απειλή για την ασφάλεια για ένα σύστημα (δίκτυο), νοούνται πιθανές επιπτώσεις που μπορούν να βλάψουν άμεσα ή έμμεσα την ασφάλειά του. Ζημιά ασφαλείας συνεπάγεται παραβίαση της κατάστασης ασφαλείας των πληροφοριών που περιέχονται και επεξεργάζονται στο σύστημα (δίκτυο).

Η έννοια της ευπάθειας ενός συστήματος υπολογιστών (δικτύου) συνδέεται στενά με την έννοια της απειλής για την ασφάλεια. Ευπάθεια συστήματος (δίκτυο) είναι οποιοδήποτε χαρακτηριστικό ενός συστήματος υπολογιστή, η χρήση του οποίου μπορεί να οδηγήσει στην υλοποίηση μιας απειλής.

Επίθεση σε σύστημα υπολογιστή (δίκτυο) είναι μια ενέργεια που λαμβάνει ένας εισβολέας για να βρει και να εκμεταλλευτεί μια συγκεκριμένη ευπάθεια συστήματος. Έτσι, μια επίθεση είναι η εφαρμογή μιας απειλής για την ασφάλεια.

Η αντιμετώπιση των απειλών ασφαλείας είναι ο στόχος που έχουν σχεδιαστεί για να επιτύχουν τα εργαλεία ασφαλείας για συστήματα υπολογιστών και δίκτυα. Ασφαλές ή προστατευμένο σύστημα είναι ένα σύστημα με μέτρα ασφαλείας που αντιμετωπίζουν επιτυχώς και αποτελεσματικά τις απειλές ασφαλείας.

Σετ προστατευτικού εξοπλισμού είναι ένα σύνολο εργαλείων δικτύου λογισμικού και υλικού. Δημιουργείται και διατηρείται ένα σύνολο μέσων προστασίας σύμφωνα με την πολιτική που υιοθετείται σε αυτόν τον οργανισμό για τη διασφάλιση της ασφάλειας πληροφοριών του συστήματος.

Πολιτική ασφαλείας είναι ένα σύνολο κανόνων, κανόνων και πρακτικών συστάσεων που ρυθμίζουν τη λειτουργία των μέσων προστασίας ενός συστήματος υπολογιστή (δικτύου) από ένα δεδομένο σύνολο απειλών ασφαλείας.

Τα εταιρικά δίκτυα αναφέρονται σε κατανεμημένα συστήματα υπολογιστών που εκτελούν αυτοματοποιημένη επεξεργασία πληροφοριών. Το πρόβλημα της διασφάλισης της ασφάλειας των πληροφοριών είναι κεντρικό σε τέτοια συστήματα υπολογιστών. Η διασφάλιση της ασφάλειας ενός εταιρικού δικτύου συνεπάγεται την οργάνωση αντιμετώπισης οποιασδήποτε μη εξουσιοδοτημένης εισβολής στη λειτουργία του εταιρικού δικτύου, καθώς και απόπειρες τροποποίησης, κλοπής, απενεργοποίησης ή καταστροφής στοιχείων του, δηλαδή την προστασία όλων των στοιχείων του εταιρικού δικτύου (υλισμικό, λογισμικό, δεδομένα και προσωπικό).

Υπάρχουν δύο προσεγγίσεις στο πρόβλημα της διασφάλισης της ασφάλειας του εταιρικού δικτύου: «κατακερματισμένο» και σύνθετο.

« Αποσπασματικός » μια προσέγγιση αποσκοπεί στην αντιμετώπιση σαφώς καθορισμένων απειλών σε δεδομένες συνθήκες. Παραδείγματα εφαρμογής αυτής της προσέγγισης περιλαμβάνουν: ξεχωριστά εργαλεία ελέγχου πρόσβασης, αυτόνομα εργαλεία κρυπτογράφησης, εξειδικευμένα προγράμματα προστασίας από ιούς κ.λπ. Το πλεονέκτημα αυτής της προσέγγισης είναι η υψηλή επιλεκτικότητά της σε μια συγκεκριμένη απειλή. Το σημαντικό μειονέκτημά του είναι η έλλειψη ενός ενοποιημένου ασφαλούς περιβάλλοντος επεξεργασίας πληροφοριών. Τα κατακερματισμένα μέτρα ασφάλειας πληροφοριών προστατεύουν συγκεκριμένα αντικείμενα του εταιρικού δικτύου μόνο από μια συγκεκριμένη απειλή. Ακόμη και μια ελαφρά τροποποίηση της απειλής οδηγεί σε απώλεια αποτελεσματικότητας προστασίας.

Μια σύνθετη προσέγγιση επικεντρώθηκε στη δημιουργία ενός ασφαλούς περιβάλλοντος επεξεργασίας πληροφοριών σε ένα εταιρικό δίκτυο, συγκεντρώνοντας διάφορα μέτρα για την αντιμετώπιση των απειλών. Η οργάνωση ενός ασφαλούς περιβάλλοντος επεξεργασίας πληροφοριών μας επιτρέπει να εγγυηθούμε ένα ορισμένο επίπεδο ασφάλειας του εταιρικού δικτύου, το οποίο μπορεί να αποδοθεί στα αναμφισβήτητα πλεονεκτήματα μιας ολοκληρωμένης προσέγγισης. Στα μειονεκτήματά του περιλαμβάνονται περιορισμοί στην ελευθερία δράσης των χρηστών του εταιρικού δικτύου, ευαισθησία σε σφάλματα κατά την εγκατάσταση και διαμόρφωση εργαλείων ασφαλείας και πολυπλοκότητα διαχείρισης.

Χρησιμοποιείται μια ολοκληρωμένη προσέγγιση για την προστασία εταιρικών δικτύων μεγάλων οργανισμών ή μικρών εταιρικών δικτύων που εκτελούν κρίσιμες εργασίες ή επεξεργάζονται ιδιαίτερα σημαντικές πληροφορίες. Μια παραβίαση της ασφάλειας των πληροφοριών στα εταιρικά δίκτυα μεγάλων οργανισμών μπορεί να προκαλέσει τεράστια υλική ζημιά τόσο στους ίδιους τους οργανισμούς όσο και στους πελάτες τους. Ως εκ τούτου, τέτοιοι οργανισμοί αναγκάζονται να δώσουν ιδιαίτερη προσοχή στις εγγυήσεις ασφαλείας και να εφαρμόσουν ολοκληρωμένη προστασία. Μια ολοκληρωμένη προσέγγιση ακολουθείται από τις περισσότερες κρατικές και μεγάλες εμπορικές επιχειρήσεις και ιδρύματα. Αυτή η προσέγγιση αντικατοπτρίζεται σε διάφορα πρότυπα.

Μια ολοκληρωμένη προσέγγιση στο πρόβλημα ασφάλειας βασίζεται σε μια πολιτική ασφαλείας που αναπτύχθηκε για ένα συγκεκριμένο εταιρικό δίκτυο.

Κύρια εξαρτήματα. Η σημασία του προβλήματος.

Η ασφάλεια πληροφοριών (IS) θα πρέπει να νοείται ως προστασία των συμφερόντων των υποκειμένων των σχέσεων πληροφοριών. Τα κύρια στοιχεία του περιγράφονται παρακάτω - εμπιστευτικότητα, ακεραιότητα, διαθεσιμότητα. Παρέχονται στατιστικά στοιχεία παραβιάσεων ασφάλειας πληροφοριών και περιγράφονται οι πιο χαρακτηριστικές περιπτώσεις.

Έννοια ασφάλειας πληροφοριών

Η φράση «ασφάλεια πληροφοριών» μπορεί να έχει διαφορετικές έννοιες σε διαφορετικά πλαίσια. Στο Δόγμα Ασφάλειας Πληροφοριών της Ρωσικής Ομοσπονδίας, ο όρος «ασφάλεια πληροφοριών» χρησιμοποιείται με ευρεία έννοια. Αυτό αναφέρεται στην κατάσταση προστασίας των εθνικών συμφερόντων στη σφαίρα της πληροφόρησης, που καθορίζεται από το σύνολο των ισορροπημένων συμφερόντων του ατόμου, της κοινωνίας και του κράτους.

Στο νόμο της Ρωσικής Ομοσπονδίας "Σχετικά με τη συμμετοχή στη διεθνή ανταλλαγή πληροφοριών" η ασφάλεια των πληροφοριών ορίζεται με παρόμοιο τρόπο - ως η κατάσταση ασφάλειας του περιβάλλοντος πληροφοριών της κοινωνίας, που εξασφαλίζει τη διαμόρφωση, χρήση και ανάπτυξή του προς το συμφέρον των πολιτών, των οργανισμών , και το κράτος.

Σε αυτό το μάθημα, η προσοχή μας θα επικεντρωθεί στην αποθήκευση, επεξεργασία και μετάδοση πληροφοριών, ανεξάρτητα από τη γλώσσα (ρωσική ή οποιαδήποτε άλλη) σε κωδικοποίηση, ποια ή ποια είναι η πηγή τους και τι ψυχολογικό αντίκτυπο έχει στους ανθρώπους. Επομένως, ο όρος «ασφάλεια πληροφοριών» θα χρησιμοποιηθεί με στενή έννοια, όπως συνηθίζεται, για παράδειγμα, στην αγγλόφωνη βιβλιογραφία.

Κάτω από ασφάλεια πληροφοριώνθα κατανοήσουμε την ασφάλεια των πληροφοριών και της υποδομής υποστήριξης από τυχαίες ή σκόπιμες επιπτώσεις φυσικής ή τεχνητής φύσης που μπορεί να προκαλέσουν απαράδεκτη ζημιά σε υποκείμενα των σχέσεων πληροφοριών, συμπεριλαμβανομένων των ιδιοκτητών και των χρηστών πληροφοριών και υποδομής υποστήριξης. (Θα εξηγήσουμε τι εννοούμε με την υποστήριξη της υποδομής σε λίγο.)

Προστασία δεδομένωνείναι ένα σύνολο μέτρων που στοχεύουν στη διασφάλιση της ασφάλειας των πληροφοριών.

Έτσι, μια μεθοδολογικά σωστή προσέγγιση στα προβλήματα ασφάλειας πληροφοριών ξεκινά με τον προσδιορισμό των θεμάτων των σχέσεων πληροφοριών και των ενδιαφερόντων αυτών των θεμάτων που σχετίζονται με τη χρήση πληροφοριακών συστημάτων (IS). Οι απειλές για την ασφάλεια των πληροφοριών είναι το μειονέκτημα της χρήσης της τεχνολογίας των πληροφοριών.

Δύο σημαντικές συνέπειες μπορούν να εξαχθούν από αυτή την κατάσταση:

Η ερμηνεία των προβλημάτων που σχετίζονται με την ασφάλεια των πληροφοριών για διαφορετικές κατηγορίες θεμάτων μπορεί να ποικίλλει σημαντικά. Για παράδειγμα, αρκεί να συγκρίνουμε καθεστωτικούς κυβερνητικούς οργανισμούς και εκπαιδευτικά ιδρύματα. Στην πρώτη περίπτωση, «είναι καλύτερα να σπάσουν όλα παρά να ανακαλύψει ο εχθρός έστω και ένα μυστικό κομμάτι», στη δεύτερη, «δεν έχουμε κανένα μυστικό, εφόσον όλα λειτουργούν».

Η ασφάλεια των πληροφοριών δεν περιορίζεται στην προστασία από μη εξουσιοδοτημένη πρόσβαση σε πληροφορίες, είναι μια θεμελιωδώς ευρύτερη έννοια. Το θέμα των σχέσεων πληροφόρησης μπορεί να υποφέρει (να υποστεί απώλειες ή/και να λάβει ηθική βλάβη) όχι μόνο από μη εξουσιοδοτημένη πρόσβαση, αλλά και από βλάβη του συστήματος που προκαλεί διακοπή στην εργασία. Επιπλέον, για πολλούς ανοιχτούς οργανισμούς (για παράδειγμα, εκπαιδευτικούς), η πραγματική προστασία από μη εξουσιοδοτημένη πρόσβαση σε πληροφορίες δεν είναι στην πρώτη θέση από άποψη σημασίας.

Επιστρέφοντας στα ζητήματα της ορολογίας, σημειώνουμε ότι ο όρος «ασφάλεια υπολογιστών» (ως ισοδύναμο ή υποκατάστατο της ασφάλειας πληροφοριών) μας φαίνεται πολύ στενός. Οι υπολογιστές είναι μόνο ένα από τα συστατικά των συστημάτων πληροφοριών και, παρόλο που η προσοχή μας θα επικεντρωθεί κυρίως στις πληροφορίες που αποθηκεύονται, επεξεργάζονται και μεταδίδονται μέσω υπολογιστών, η ασφάλειά τους καθορίζεται από ολόκληρο το σύνολο των στοιχείων και, πρώτα απ 'όλα, από τα πιο αδύναμα σύνδεσμος, το οποίο είναι συντριπτικά στις περισσότερες περιπτώσεις αποδεικνύεται ότι είναι ένα άτομο (που, για παράδειγμα, έγραψε τον κωδικό πρόσβασής του σε ένα "γύψο μουστάρδας" κολλημένο στην οθόνη).

Σύμφωνα με τον ορισμό της ασφάλειας πληροφοριών, δεν εξαρτάται μόνο από τους υπολογιστές, αλλά και από την υποστηρικτική υποδομή, η οποία περιλαμβάνει ηλεκτρικά, συστήματα παροχής νερού και θερμότητας, κλιματιστικά, επικοινωνίες και, φυσικά, προσωπικό συντήρησης. Αυτή η υποδομή έχει τη δική της αξία, αλλά θα μας ενδιαφέρει μόνο πώς επηρεάζει την απόδοση των λειτουργιών που προβλέπονται από το σύστημα πληροφοριών.

Λάβετε υπόψη ότι στον ορισμό της ασφάλειας πληροφοριών, το ουσιαστικό "ζημία" προηγείται από το επίθετο "απαράδεκτο". Προφανώς, είναι αδύνατο να ασφαλιστεί κανείς έναντι όλων των τύπων ζημιών, πολύ λιγότερο είναι αδύνατο να γίνει αυτό με οικονομικά εφικτό τρόπο όταν το κόστος του προστατευτικού εξοπλισμού και των μέτρων δεν υπερβαίνει το ποσό της αναμενόμενης ζημιάς. Αυτό σημαίνει ότι πρέπει να υπομείνεις κάτι και να υπερασπίζεσαι τον εαυτό σου μόνο από όσα δεν μπορείς να συμβιβαστείς. Μερικές φορές μια τέτοια απαράδεκτη ζημιά είναι επιβλαβής για την ανθρώπινη υγεία ή το περιβάλλον, αλλά πιο συχνά το όριο του απαράδεκτου έχει μια υλική (νομισματική) έκφραση και ο στόχος της προστασίας των πληροφοριών είναι να μειωθεί το μέγεθος της ζημίας σε αποδεκτές τιμές.

Κύρια στοιχεία ασφάλειας πληροφοριών

Η ασφάλεια των πληροφοριών είναι ένας πολύπλευρος, θα έλεγε κανείς ακόμη και πολυδιάστατος, τομέας δραστηριότητας στον οποίο μόνο μια συστηματική, ολοκληρωμένη προσέγγιση μπορεί να φέρει επιτυχία.

Το εύρος των ενδιαφερόντων των θεμάτων που σχετίζονται με τη χρήση πληροφοριακών συστημάτων μπορεί να χωριστεί στις ακόλουθες κατηγορίες: εξασφάλιση προσιτότητα, ακεραιότηταΚαι μυστικότηταπληροφοριακούς πόρους και υποστηρικτικές υποδομές.

Μερικές φορές τα κύρια στοιχεία της ασφάλειας πληροφοριών περιλαμβάνουν προστασία από μη εξουσιοδοτημένη αντιγραφή πληροφοριών, αλλά, κατά τη γνώμη μας, αυτή είναι μια πολύ συγκεκριμένη πτυχή με αμφίβολες πιθανότητες επιτυχίας, επομένως δεν θα την επισημάνουμε.

Ας εξηγήσουμε τις έννοιες της διαθεσιμότητας, της ακεραιότητας και της εμπιστευτικότητας.

Διαθεσιμότητα είναι η δυνατότητα απόκτησης της απαιτούμενης υπηρεσίας πληροφοριών σε εύλογο χρονικό διάστημα. Ακεραιότητα σημαίνει τη συνάφεια και τη συνέπεια των πληροφοριών, την προστασία τους από καταστροφή και μη εξουσιοδοτημένες αλλαγές.

Τέλος, το απόρρητο είναι η προστασία από μη εξουσιοδοτημένη πρόσβαση σε πληροφορίες.

Τα πληροφοριακά συστήματα δημιουργούνται (αποκτώνται) για την απόκτηση ορισμένων υπηρεσιών πληροφοριών. Εάν για τον ένα ή τον άλλο λόγο καταστεί αδύνατη η παροχή αυτών των υπηρεσιών στους χρήστες, αυτό προφανώς προκαλεί βλάβη σε όλα τα θέματα των σχέσεων πληροφοριών. Επομένως, χωρίς να αντιπαραβάλλουμε την προσβασιμότητα με άλλες πτυχές, την αναδεικνύουμε ως το πιο σημαντικό στοιχείο ασφάλειας πληροφοριών.

Ο ηγετικός ρόλος της προσβασιμότητας είναι ιδιαίτερα εμφανής σε διάφορους τύπους συστημάτων διαχείρισης - παραγωγή, μεταφορά κ.λπ. Εξωτερικά λιγότερο δραματικές, αλλά και πολύ δυσάρεστες συνέπειες - υλικές και ηθικές - μπορεί να προκληθούν από τη μακροχρόνια μη διαθεσιμότητα υπηρεσιών πληροφόρησης που χρησιμοποιούνται από μεγάλο αριθμό ατόμων (πώληση σιδηροδρομικών και αεροπορικών εισιτηρίων, τραπεζικές υπηρεσίες κ.λπ.) .

Η ακεραιότητα μπορεί να χωριστεί σε στατική (εννοείται ως η αμετάβλητη των αντικειμένων πληροφοριών) και σε δυναμική (σχετικά με τη σωστή εκτέλεση πολύπλοκων ενεργειών (συναλλαγές)). Οι δυναμικοί έλεγχοι ακεραιότητας χρησιμοποιούνται, ειδικότερα, κατά την ανάλυση της ροής των οικονομικών μηνυμάτων για τον εντοπισμό κλοπής, αναδιάταξης ή αντιγραφής μεμονωμένων μηνυμάτων.

Η ακεραιότητα αποδεικνύεται ότι είναι η πιο σημαντική πτυχή της ασφάλειας των πληροφοριών σε περιπτώσεις όπου οι πληροφορίες χρησιμεύουν ως «οδηγός δράσης». Συνταγές φαρμάκων, συνταγογραφούμενες ιατρικές διαδικασίες, το σύνολο και τα χαρακτηριστικά των συστατικών, η πρόοδος μιας τεχνολογικής διαδικασίας - όλα αυτά είναι παραδείγματα πληροφοριών, η παραβίαση της ακεραιότητας των οποίων μπορεί να είναι κυριολεκτικά θανατηφόρα. Η διαστρέβλωση των επίσημων πληροφοριών, είτε πρόκειται για κείμενο νόμου είτε για τη σελίδα διακομιστή Web ενός κυβερνητικού οργανισμού, είναι επίσης δυσάρεστη. Η εμπιστευτικότητα είναι η πιο ανεπτυγμένη πτυχή της ασφάλειας των πληροφοριών στη χώρα μας. Δυστυχώς, η πρακτική εφαρμογή μέτρων για τη διασφάλιση της εμπιστευτικότητας των σύγχρονων συστημάτων πληροφοριών στη Ρωσία αντιμετωπίζει σοβαρές δυσκολίες. Πρώτον, οι πληροφορίες σχετικά με τεχνικά κανάλια διαρροής πληροφοριών είναι κλειστές, επομένως οι περισσότεροι χρήστες δεν μπορούν να πάρουν μια ιδέα για τους πιθανούς κινδύνους. Δεύτερον, υπάρχουν πολυάριθμες νομικές και τεχνικές προκλήσεις που εμποδίζουν την προσαρμοσμένη κρυπτογραφία ως πρωταρχικό μέσο διασφάλισης της ιδιωτικής ζωής.

Εάν επιστρέψουμε στην ανάλυση των ενδιαφερόντων διαφόρων κατηγοριών θεμάτων πληροφοριακών σχέσεων, τότε σχεδόν για όλους όσους χρησιμοποιούν πραγματικά την τεχνολογία των πληροφοριών, η προσβασιμότητα έρχεται πρώτη. Σχεδόν εξίσου σημαντική είναι η ακεραιότητα - τι νόημα έχει μια υπηρεσία πληροφοριών εάν περιέχει παραμορφωμένες πληροφορίες;

Τέλος, πολλοί οργανισμοί έχουν επίσης εμπιστευτικά ζητήματα (ακόμη και τα εκπαιδευτικά ιδρύματα που αναφέρονται παραπάνω προσπαθούν να μην αποκαλύπτουν πληροφορίες σχετικά με τους μισθούς των εργαζομένων) και μεμονωμένους χρήστες (για παράδειγμα, κωδικούς πρόσβασης).

Οι πιο συνηθισμένες απειλές:

Η κατανόηση των πιθανών απειλών, καθώς και των τρωτών σημείων ασφαλείας που συνήθως εκμεταλλεύονται αυτές οι απειλές, είναι απαραίτητη για την επιλογή των πιο οικονομικά αποδοτικών λύσεων ασφαλείας.

Βασικοί ορισμοί και κριτήρια ταξινόμησης απειλών

Απειλή- αυτή είναι μια πιθανή ευκαιρία για παραβίαση της ασφάλειας των πληροφοριών με συγκεκριμένο τρόπο.

Μια προσπάθεια υλοποίησης μιας απειλής ονομάζεται επίθεσηκαι αυτός που κάνει μια τέτοια προσπάθεια - παρείσακτος. Καλούνται οι πιθανοί επιτιθέμενοι πηγές απειλής.

Τις περισσότερες φορές, η απειλή είναι συνέπεια της παρουσίας τρωτών σημείων στην προστασία των πληροφοριακών συστημάτων (όπως η ικανότητα μη εξουσιοδοτημένων ατόμων να έχουν πρόσβαση σε κρίσιμο εξοπλισμό ή σφάλματα στο λογισμικό).

Το χρονικό διάστημα από τη στιγμή που καθίσταται δυνατή η εκμετάλλευση ενός αδύναμου σημείου μέχρι τη στιγμή που το κενό κλείσει ονομάζεται παράθυρο κινδύνουσυνδέονται με αυτήν την ευπάθεια. Όσο υπάρχει το παράθυρο κινδύνου, είναι δυνατές επιτυχείς επιθέσεις στο IP.

Εάν μιλάμε για σφάλματα στο λογισμικό, τότε το παράθυρο κινδύνου "ανοίγει" με την εμφάνιση μέσων εκμετάλλευσης του σφάλματος και εξαλείφεται όταν εφαρμόζονται ενημερώσεις κώδικα για τη διόρθωσή του.

Για τα περισσότερα τρωτά σημεία, το παράθυρο κινδύνου υπάρχει για σχετικά μεγάλο χρονικό διάστημα (αρκετές ημέρες, μερικές φορές εβδομάδες), καθώς κατά τη διάρκεια αυτής της περιόδου πρέπει να συμβούν τα ακόλουθα γεγονότα:

πρέπει να γνωστοποιούνται τα μέσα για την εκμετάλλευση του κενού ασφαλείας·

πρέπει να εκδοθούν τα κατάλληλα patches.

Οι ενημερώσεις κώδικα πρέπει να εγκατασταθούν στην προστατευμένη IP.

Έχουμε ήδη επισημάνει ότι αναδύονται συνεχώς νέα τρωτά σημεία και μέσα για την εκμετάλλευσή τους. Αυτό σημαίνει, πρώτον, ότι υπάρχουν σχεδόν πάντα παράθυρα κινδύνου και, δεύτερον, ότι τέτοια παράθυρα πρέπει να παρακολουθούνται συνεχώς και να εκδίδονται και να εφαρμόζονται ενημερώσεις κώδικα το συντομότερο δυνατό.

Σημειώστε ότι ορισμένες απειλές δεν μπορούν να θεωρηθούν ως αποτέλεσμα κάποιων σφαλμάτων ή εσφαλμένων υπολογισμών. υπάρχουν από την ίδια τη φύση της σύγχρονης IP. Για παράδειγμα, υπάρχει κίνδυνος διακοπής ρεύματος ή των παραμέτρων του που υπερβαίνουν τα αποδεκτά όρια λόγω της εξάρτησης του υλικού IC από τροφοδοτικό υψηλής ποιότητας.

Ας δούμε τις πιο κοινές απειλές στις οποίες εκτίθενται τα σύγχρονα συστήματα πληροφοριών. Η κατανόηση των πιθανών απειλών, καθώς και των τρωτών σημείων που συνήθως εκμεταλλεύονται αυτές οι απειλές, είναι απαραίτητη για την επιλογή των πιο οικονομικά αποδοτικών λύσεων ασφάλειας. Υπάρχουν πάρα πολλοί μύθοι στον τομέα της τεχνολογίας πληροφοριών (θυμηθείτε το ίδιο «Πρόβλημα 2000»), οπότε η άγνοια σε αυτή την περίπτωση οδηγεί σε υπερβάσεις κόστους και, ακόμη χειρότερα, στη συγκέντρωση πόρων όπου δεν χρειάζονται ιδιαίτερα, λόγω της αποδυνάμωση πραγματικά ευάλωτων κατευθύνσεων.

Ας τονίσουμε ότι η ίδια η έννοια της «απειλής» συχνά ερμηνεύεται διαφορετικά σε διαφορετικές καταστάσεις. Για παράδειγμα, για έναν έντονα ανοιχτό οργανισμό, οι απειλές για την ιδιωτική ζωή μπορεί απλώς να μην υπάρχουν - όλες οι πληροφορίες θεωρούνται δημόσιες. Ωστόσο, στις περισσότερες περιπτώσεις, η παράνομη πρόσβαση αποτελεί σοβαρό κίνδυνο. Με άλλα λόγια, οι απειλές, όπως όλα τα άλλα στην ασφάλεια των πληροφοριών, εξαρτώνται από τα συμφέροντα των υποκειμένων των σχέσεων πληροφοριών (και από το ποια ζημία είναι απαράδεκτη γι' αυτά).

Θα προσπαθήσουμε να δούμε το θέμα από τη σκοπιά μιας τυπικής (κατά τη γνώμη μας) οργάνωσης. Ωστόσο, πολλές απειλές (για παράδειγμα, φωτιά) είναι επικίνδυνες για όλους.

Οι απειλές μπορούν να ταξινομηθούν σύμφωνα με διάφορα κριτήρια:

σχετικά με την πτυχή της ασφάλειας των πληροφοριών (διαθεσιμότητα, ακεραιότητα, εμπιστευτικότητα), κατά της οποίας στρέφονται κυρίως οι απειλές·

από στοιχεία πληροφοριακών συστημάτων που στοχεύουν απειλές (δεδομένα, προγράμματα, υλικό, υποδομή υποστήριξης).

με μέθοδο υλοποίησης (τυχαίες/εσκεμμένες ενέργειες φυσικής/ανθρωπογενούς φύσης)·

κατά τοποθεσία της πηγής απειλής (εντός/εκτός του εν λόγω IS).

Θα χρησιμοποιήσουμε το πρώτο (για την πτυχή της ασφάλειας των πληροφοριών) ως κύριο κριτήριο, με τη συμμετοχή και των άλλων εάν είναι απαραίτητο.

Κορυφαίες απειλές απορρήτου

Οι εμπιστευτικές πληροφορίες μπορούν να χωριστούν σε πληροφορίες θέματος και υπηρεσίας. Οι πληροφορίες υπηρεσίας (για παράδειγμα, κωδικοί πρόσβασης χρήστη) δεν σχετίζονται με μια συγκεκριμένη θεματική περιοχή, διαδραματίζουν τεχνικό ρόλο σε ένα σύστημα πληροφοριών, αλλά η αποκάλυψή τους είναι ιδιαίτερα επικίνδυνη, καθώς είναι γεμάτη με μη εξουσιοδοτημένη πρόσβαση σε όλες τις πληροφορίες, συμπεριλαμβανομένων των πληροφοριών του θέματος.

Ακόμη και αν οι πληροφορίες είναι αποθηκευμένες σε υπολογιστή ή προορίζονται για χρήση υπολογιστή, οι απειλές για το απόρρητό τους μπορεί να μην είναι υπολογιστικού και τεχνικού χαρακτήρα.

Πολλοί άνθρωποι πρέπει να ενεργούν ως χρήστες όχι ενός, αλλά ενός αριθμού συστημάτων (υπηρεσίες πληροφοριών). Εάν χρησιμοποιούνται επαναχρησιμοποιήσιμοι κωδικοί πρόσβασης ή άλλες εμπιστευτικές πληροφορίες για την πρόσβαση σε τέτοια συστήματα, τότε πιθανότατα αυτά τα δεδομένα θα αποθηκευτούν όχι μόνο στο κεφάλι, αλλά και σε ένα σημειωματάριο ή σε κομμάτια χαρτιού, τα οποία συχνά ο χρήστης αφήνει στην επιφάνεια εργασίας ή ακόμα και απλά χάνει. Και το θέμα εδώ δεν είναι η έλλειψη οργάνωσης των ανθρώπων, αλλά η αρχική ακαταλληλότητα του συστήματος κωδικών πρόσβασης. Είναι αδύνατο να θυμάστε πολλούς διαφορετικούς κωδικούς πρόσβασης. Οι συστάσεις για την τακτική (εάν είναι δυνατόν, συχνή) αλλαγή απλώς επιδεινώνουν την κατάσταση, αναγκάζοντας τη χρήση απλών σχημάτων εναλλαγής ή ακόμη και προσπαθώντας να περιορίσουμε το θέμα σε δύο ή τρεις εύκολα απομνημονευόμενους (και εξίσου εύκολους να μαντέψεις) κωδικούς πρόσβασης.

Η περιγραφόμενη κατηγορία τρωτών σημείων μπορεί να ονομαστεί η τοποθέτηση εμπιστευτικών δεδομένων σε ένα περιβάλλον όπου δεν παρέχεται (και συχνά δεν μπορεί να παρασχεθεί) με την απαραίτητη προστασία. Η απειλή είναι ότι κάποιος δεν θα αρνηθεί να μάθει τα μυστικά που του ζητούν τα χέρια. Εκτός από τους κωδικούς πρόσβασης που είναι αποθηκευμένοι σε σημειωματάρια χρηστών, αυτή η κλάση περιλαμβάνει τη μετάδοση εμπιστευτικών δεδομένων σε καθαρό κείμενο (σε συνομιλία, σε γράμμα, μέσω δικτύου), γεγονός που καθιστά δυνατή την υποκλοπή δεδομένων. Μπορούν να χρησιμοποιηθούν διάφορα τεχνικά μέσα για μια επίθεση (ακροακρόαση ή υποκλοπή συνομιλιών, παθητική υποκλοπή δικτύου, κ.λπ.), αλλά η ιδέα είναι η ίδια - η πρόσβαση στα δεδομένα τη στιγμή που είναι λιγότερο προστατευμένα.

Η απειλή της υποκλοπής δεδομένων θα πρέπει να λαμβάνεται υπόψη όχι μόνο κατά την αρχική διαμόρφωση του IS, αλλά επίσης, πολύ σημαντικό, κατά τη διάρκεια όλων των αλλαγών. Πολύ επικίνδυνη απειλή είναι οι... εκθέσεις, στις οποίες πολλοί οργανισμοί, χωρίς να το ξανασκεφτούν, στέλνουν εξοπλισμό από το δίκτυο παραγωγής, με όλα τα δεδομένα που είναι αποθηκευμένα σε αυτές. Οι κωδικοί πρόσβασης παραμένουν οι ίδιοι κατά την απομακρυσμένη πρόσβαση, συνεχίζουν να μεταδίδονται σε καθαρό κείμενο. Αυτό είναι κακό ακόμη και μέσα στο ασφαλές δίκτυο ενός οργανισμού. σε ένα ενιαίο εκθεσιακό δίκτυο είναι πολύ σοβαρή δοκιμασία της ειλικρίνειας όλων των συμμετεχόντων.

Ένα άλλο παράδειγμα αλλαγής που συχνά ξεχνιέται είναι η αποθήκευση δεδομένων σε εφεδρικά μέσα. Για την προστασία των δεδομένων σε πρωτεύοντα μέσα, χρησιμοποιούνται προηγμένα συστήματα ελέγχου πρόσβασης. Τα αντίγραφα συχνά απλώς βρίσκονται σε ντουλάπες και είναι προσβάσιμα από πολλούς.

Η υποκλοπή δεδομένων είναι μια πολύ σοβαρή απειλή και εάν το απόρρητο είναι πραγματικά κρίσιμο και τα δεδομένα μεταδίδονται μέσω πολλών καναλιών, η προστασία του μπορεί να είναι πολύ δύσκολη και δαπανηρή. Τα τεχνικά μέσα υποκλοπής είναι καλά ανεπτυγμένα, προσβάσιμα, εύχρηστα και ο καθένας μπορεί να τα εγκαταστήσει, για παράδειγμα, σε καλωδιακό δίκτυο, επομένως αυτή η απειλή πρέπει να λαμβάνεται υπόψη όχι μόνο σε σχέση με εξωτερικές αλλά και εσωτερικές επικοινωνίες.

Η κλοπή υλικού αποτελεί απειλή όχι μόνο για τα εφεδρικά μέσα, αλλά και για τους υπολογιστές, ιδιαίτερα τους φορητούς υπολογιστές. Οι φορητοί υπολογιστές συχνά αφήνονται χωρίς επίβλεψη στη δουλειά ή στο αυτοκίνητο και μερικές φορές απλώς χάνονται.

Επικίνδυνη μη τεχνική απειλή για το απόρρητο αποτελούν οι μέθοδοι ηθικής και ψυχολογικής επιρροής, όπως π.χ μεταμφίεση -την εκτέλεση ενεργειών υπό το πρόσχημα ενός ατόμου με εξουσιοδότηση πρόσβασης σε δεδομένα (βλ., για παράδειγμα, το άρθρο του Ire Winkler "Assignment: Espionage" στο Jet Info, 1996, 19).

Οι δυσάρεστες απειλές που είναι δύσκολο να αμυνθούν περιλαμβάνουν: κατάχρηση εξουσίας.Σε πολλούς τύπους συστημάτων, ένας προνομιούχος χρήστης (για παράδειγμα, ένας διαχειριστής συστήματος) μπορεί να διαβάσει οποιοδήποτε (μη κρυπτογραφημένο) αρχείο, να αποκτήσει πρόσβαση στην αλληλογραφία οποιουδήποτε χρήστη κ.λπ. Ένα άλλο παράδειγμα είναι η ζημιά που προκαλείται κατά τη συντήρηση. Συνήθως, ο μηχανικός σέρβις λαμβάνει απεριόριστη πρόσβαση στον εξοπλισμό και έχει τη δυνατότητα να παρακάμψει τους μηχανισμούς προστασίας λογισμικού.

Αυτές είναι οι κύριες απειλές που προκαλούν τη μεγαλύτερη ζημιά στα υποκείμενα των σχέσεων πληροφόρησης.



Συνιστούμε να διαβάσετε