Зміст
Вступ
1. Теоретичні відомості
2. Дослідження об’єкта захисту інформації
2.1 Опис інформації, яка захищається, їївластивості, особливості інформації, як об’єкта права власності, джерелапоходження інформації
2.2 Визначення інформаційної системидосліджуваного об’єкта. Інформаційні ресурси, інформаційні потоки. Структурнасхема інформаційної системи
2.3 Місце розташування об’єкту захистуінформації, схема приміщення, де розташовується об’єкт
3. Проведення аналізу захищеності об’єкта
3.1 Видиможливих погроз
3.2 Характерпоходження погроз
3.3 Класиканалів несанкціонованого одержання інформації
3.4 Моделізагроз
3.5 Можливімоделі порушника
3.6 Потенційноможливі сценарії злочинних дій кожної моделі порушника
Висновок
Списоквикористаної літератури
Вступ
В наш час є загальновизнаним те, щозадоволення все зростаючих потреб сучасного суспільства при постійномузбільшенні народонаселення земної кулі вимагає різкого підвищення ефективностіусіх сфер суспільної діяльності. При цьому найважливішою та неодмінною умовоютакого підвищення ефективності виступає адекватне підвищення ефективностівикористання інформаційних ресурсів. Іншими словами, для сучасного суспільствапроблема інформаційного забезпечення всіх сфер діяльності по своїй значимостіта актуальності перевершує проблему подальшої індустріалізації виробництва, щодонедавна вважалася однієї із центральних. Підкреслюючи цю обставину, говорять,що сучасне суспільство вступає в постіндустріальний період свого розвитку, щоза загальною думкою можна назвати інформаційним.
У зв'язку із цим проблемивдосконалювання систем інформаційного забезпечення вважаються одними з найбільшактуальних і невідкладних завдань суспільства. В інтересах їх рішення в останніроки ведуться досить інтенсивні й великомасштабні дослідження й розробки.
Разомз тим інтенсифікація інформаційних процесів породжує також ряд досить серйознихпроблем, без рішення яких взагалі не можливо говорити про ефективністьінформатизації. Однією з найбільш гострих проблем зазначеного плану виступаєпроблема надійного захисту інформації, тобто попередження її перекручування абознищення, несанкціонованої модифікації, злочинного одержання та використання.Особливої гостроти проблема захисту набуває у зв'язку із масовоюкомп'ютеризацією інформаційних процесів, широким впровадженнямінформаційно-обчислювальних мереж з доступом до їх ресурсів маси користувачів.
Першимзавданням, що постає на шляху вирішення проблеми організації надійного захистуінформації є проведення аналізу захищеності об’єкта захисту інформації, щовключає в себе дослідження характеру потоків інформації, що циркулює в об’єкті,її властивостей, можливих загроз для неї та характеру їх виникнення, оцінкаструктури інформаційної системи, яка слугує для накопичення, зберігання,використання та видачі інформації, визначення каналів витоку інформації в данійінформаційній системі. На основі даного аналізу можлива побудова моделі загрозта потенційно можливих сценаріїв злочинних дій.
Наоснові проведених досліджень в подальшому стає можливим організація та побудованадійних систем захисту інформації.
Вданих методичних матеріалах викладені основні напрямки проведення аналізузахищеності об’єкта захисту інформації. Для набуття практичних навичоквирішення цієї задачі студенту пропонується виконати курсову роботу попроведенню аналізу захищеності певного об’єкта захисту інформації. Курсоваробота складається із двох частин: в першій частині необхідно дослідити об’єктзахисту інформації, друга частина присвячена безпосередньо аналізу захищеностіоб’єкта.
інформаційна захищенність система
1. Теоретичні відомості
Забезпеченнябезпечної діяльності необхідне для будь – яких підприємств і установ, починаючивід державних організацій і закінчуючи маленькою яткою, що займаєтьсяроздрібною торгівлею. Різниця полягає в тому, які засоби і методи й у якомуобсязі потрібні для забезпечення їх безпеки.
Першніж приступити до аналізу сучасного стану проблеми інформаційної безпеки,розглянемо проблеми безпеки взагалі. Спочатку необхідно визначити, що підлягаєзахисту і якими основним принципами слід користуватися при організації захисту.За сформованою історичною і міжнародною практикою безпеки об’єктами захисту з урахуваннямїх пріоритетів є:
- особа
- інформація
- матеріальніцінності
Якщопріоритет збереження безпеки особи є природнім, то
пріоритетінформації над матеріальними цінностями вимагаю більш докладного розгляду. Цестосується не тільки інформації, що становить державну чи комерційну таємницю,а й відкритої інформації.
Ринковівідносини з їх невід’ємною частиною – конкуренцією обов’язково вимагаютьпротидії зовнішнім і внутрішнім впливам. Об’єкти захисту більшою чи меншоюмірою, залежно від цілей зловмисника (ЗЛ) і від конкретних умов, можутьзазнавати різних нападів чи загроз опинитися в ситуації, в якій вони зоб’єктивних причин наражаються на небезпеку.
Поняття«безпечна діяльність» будь – якого підприємства чи організації включає:
- фізичнубезпеку, під якою розуміється розуміється забезпечення захисту від загрозижиттю людей
- економічнубезпеку
- інформаційнубезпеку (ІБ)
- матеріальнубезпеку, тобто збереження матеріальних цінностей від усякого роду загроз –починаючи від їх крадіжок і закінчуючи загрозами пожежі та інших стихійних лих
Незупиняючись детально на загрозах фізичної і матеріальної безпеки, відзначимотісний зв'язок між економічною і інформаційною безпекою.
Яквважають західні фахівці, витік 20% комерційної інформації в 60 випадках із 100призводить до банкрутства фірми. Жодна, навіть процвітаюча фірма не проіснуюбільш, як три доби, якщо її інформація, що становить комерційну таємницю, станевідомою. Таким чином економічна та інформаційна безпека виявляються тісновзаємопов’язаними.
Завданнябезпеки – яких видів доводиться вирішувати щоразу при розгляді різноманітнихаспектів людської діяльності. Але, як бачимо, всі безпеки тісно пов’язані з ІБ,і, більше того, їх неможливо забезпечити без забезпечення ІБ.
Безпекаінформації (ІБ) (information security)– стан інформації, у якому забезпечується збереження визначених політикоюбезпеки властивостей інформації. Автоматизована система (АС) – організаційно –технічна система, що об’єднує обчислювальну систему, фізичне середовище,персонал і оброблювану інформацію. Захист інформації в АС – діяльність, якаспрямована на забезпечення безпеки оброблюваної в АС інформації та АС в ціломуі дозволяє запобігти або ускладнити можливість реалізації загроз, а такожзнизити величину потенційних збитків унаслідок реалізації загроз. Комплекснасистема захисту інформації (КСЗІ) – сукупність організаційних і технічнихзаходів, програмно – апаратних засобів, які забезпечують захист в АС.
Інформація– це результат відображення та обробки в людській свідомості різноманіттянавколишнього світу, відомостей про предмети, що оточують людину, явищаприроди, діяльність людей і т. п..
Зтакого визначення випливає, що будь – яка інформація може бути важливою. Однакякщо обмежитись поняттям комп’ютерної системи (КС), що зараз дуже актуально, томожна дати більш просте визначення інформації – це все, що може бутипредставлене в КС. Відразу ж виникає питання про форми та види представленняінформації в КС.
Звичайновиділяють такі види представлення інформації, як букви, символи, цифри, слова,тексти, малюнки, схеми, формули, таблиці, плани, графіки, креслення, алгоритмиі т. п. З цих видів можуть створюватися більш складні види та структурипредставлення інформації: команди, повідомлення, довідки, рішення, інструкції,масиви, файли, томи і т. п.
Інформація,що втілена і зафіксована в певній матеріальній формі, називаєтьсяповідомленням. Повідомлення можуть бути безперервними (аналоговими) ідискретними (цифровими).
Безперервнеповідомлення представляється деякою фізичною величиною (електричною напругою,струмом і т. п.), зміни якої відображають перебіг певного процесу. Фізичнавеличина, що передає безперервне повідомлення, може набувати будь – якихзначень і змінюватися в довільні моменти часу. Таким чином, у безперервномуповідомленні скінченої довжини може міститися велика кількість інформації.
Длядискретних повідомлень характерна наявність фіксованого набору деякихелементів, з яких у дискретні моменти часу формуються різні послідовностіелементів. Важливою є не фізична природа елементів, а те, що набір елементівскінчений, і тому будь – яке дискретне повідомлення скінченої довжини передаєскінчене число значень деякої величини, а отже, кількість інформації в такомуповідомлені скінченна. При дискретній формі представлення інформації окремимелементам її можуть бути присвоєні числові (цифрові) значення. У таких випадкахмаємо цифрову інформацію.
Елементи,з яких складається дискретне повідомлення, називають буквами чи символами.Набір цих букв (символів) утворює алфавіт. Число символів в алфавітіназивається об’ємом алфавіту. Дискретне повідомлення можна розбити на груписимволів, що називаються словами. Зі слів можуть формуватися більш складніструктури (записи, файли, томи і т. п.), але тут ці поняття розглядаються, томущо не є істотними для подальшого розвитку. Зауважимо, що найбільш простим єдвійковий алфавіт.
Звичайнов КС інформація представляється двійковим алфавітом, що фізично реалізуєтьсясигналом, здатним приймати два добре помітних значення, наприклад електричнунапругу низького і високого рівня, протилежні значення напруженості магнітногополя і т. п. Найважливішою вимогою до фізичних аналогів двійкового алфавіту єможливість надійного розпізнання двох різних значень сигналу, що при описіфункціонування схем позначають символами 0 (нуль) і 1 (одиниця).
Інформаціяв КС піддається різним процесам: введення, збереження, обробка, виведеня.
Введенняінформації в КС може здійснюватися з перфокарт, перфострічок, магнітнихстрічок, барабанів, дискет, дисків, клавіатури, спеціальних пультів і т. п.Збереження інформації здійснюється на запам’ятовуючих пристроях — оперативнихзапам’ятовуючих пристроях, різних регістрів пам’яті, магнітних стрічках,барабанах, дисках, дискетах і т. п. Обробляється у КС інформація відповідно доприйнятого в даній системі порядку (ОС, ПЗ і т. п.). Для виведення інформації єбагато каналів (візуальний, звук, друк та ін.).
Найбільшзагальним інформаційними процесами, що відбуваються в АСОД, є такі:
- інформаційно– довідкове забезпечення
- інформаційнезабезпечення задач
- обслуговуванняінформаційних баз
Усівони реалізуються персоналом за допомогою апаратних засобів, ПЗ таінформаційних баз АСОД.
Крімпредставлення в КС, цікаво і важливо подивитися на інформацію з інших точокзору. Зокрема, виявляється, що інформація – це товар і, отже, є об’єктомтоварних відносин. В Україні інформаційні відносини регулюються кількомазаконами, у тому числі і Законом «Про інформацію». Зокрема, у цьому законі встатті 18 подано класифікацію видів інформації:
- статистичнаінформація
- масоваінформація
- інформаціяпро діяльність органів державної влади й органів місцевого та регіональногосамоврядування
- правоваінформація
- інформаціяпро особу
- інформаціядовідково – енциклопедичного характеру
- соціологічнаінформація
Оскількиінформацію можна продати, купити, інформувати, вкрасти і т. д., то з цьоговипливає, що вона повинна якимось чином оцінюватися. Далі, інформація, якоюобмінюється людина через машину з іншою людиною чи машиною, може бути важливоюі, отже, є предметом захисту. Однак захисту підлягає не будь – яка інформація,а тільки та, котра має ціну, тобто цінна інформація. Цінною ж стає таінформація, володіння якою дасть змогу її дійсному чи потенційному власникуодержати будь – який виграш: моральний, матеріальний, політичний і т. д.Оскільки в суспільстві завжди існують люди, які бажають мати якісь переваги надіншими, то у них може виникнути бажання незаконним шляхом одержати інформацію,а в її власника виникає бажання її захищати. Цінність інформації є критеріємпри прийнятті будь – якого рішення про її захист. Хоча було багато різних спробформалізувати процес оцінки інформації з використанням методів теоріїінформації та аналізу рішень, цей процес залишається дуже суб’єктивним.
Дляоцінки потрібен розподіл інформації на категорії не тільки відповідно до їїцінності, а й за важливістю. За рівнем важливості можна розділити інформацію накатегорії таким чином:
- життєвоважлива незамінна інформація, наявність якої необхідна для функціонуваннясистеми
- важливаінформація – інформація, що може бути замінена чи відновлена, але процес їївідновлення важкий і пов'язаний з великими втратами
- кориснаінформація – інформація, яку важко відновити, однак система може доситьефективно функціонувати і без неї
- несуттєваінформація – інформація, без якої система продовжує існувати
Хочаздається, що такий розподіл легко застосувати, на практиці віднесенняінформації до однієї з цих категорій може являти собою досить складне завдання,тому що та сама інформація може бути використана різними підрозділами системи,кожен з яких може віднести одну і ту ж інформацію до різних категорійважливості. Категорія важливості, як і цінність інформації, звичайно змінюєтьсяз часом і залежить від рівня її значущості для різних груп споживачів іпотенційних порушників.
Існуютьвизначення груп осіб, пов’язаних з обробкою інформації: власник – організаціячи особа, що постачає інформацію; ЗЛ – організація чи особа; що прагненезаконно одержати інформацію. Для цих груп значущість однієї і тієї ж інформаціїможе бути різною. Наприклад:
- оперативнаінформація деякого підприємства (список замовлень на даний тиждень і графіквиробництва) важлива для власника, а для джерела (замовника) чи порушника немає цінності
- інформаціяпро перспективи розвитку ринку може бути важливою для порушника, а для джерелачи власника, що завершили її аналіз уже не важлива
Наведенікатегорії важливості цілком узгоджуються з існуючим принципом розподілуінформації за рівнями таємності (або секретності). Рівень таємності – цеадміністративні чи законодавчі заходи, що відповідають мірі відповідальностіконкретної особи за витік конкретної інформації, регламентованої спеціальнимидокументами, з урахуванням державних, воєнно – стратегічних, комерційних,службових чи особистих інтересів. Такою інформацією може бути державна,військова, комерційна, службова чи особиста таємниця. Рівень таємностівизначається грифом, що присвоюється тій чи іншій інформації. В Україні вдержавних структурах встановлені такі рівні (грифи) таємності: несекретно, дляслужбового користування, таємно, цілком таємно (Н, ДСК, Т, ЦТ). Аналогічнатермінологія існує в більшості країн світу: unclassified,confidential, secret,top secret(U, C,S, TS).Така класифікація дає можливість визначити просту порядкову лінійну шкалуцінності інформації: Н
Слід,однак, додати, що, як показала практика, у багатьох випадках захищати потрібноне тільки секретну інформацію. І несекретна інформація, що піддананесанкціонованим ознайомленням чи модифікації, може призвести до витоку чивтрати пов’язаної з нею секретної інформації, а також до невиконання АС функційобробки секретної інформації. Існує також можливість витоку інформації шляхоманалізу сукупності несекретних відомостей. Усе це лише підтверджує тезу проскладність класифікації інформації, яку необхідно захищати.
Якбуло раніше зазначено, останнім часом інформація стала найважливішим ресурсом,випереджаючи за важливістю навіть сировинні та енергетичні ресурси. Але дляефективного її використання необхідно вміти оцінювати значимість її длявиконання відповідної діяльності, тобто оцінювати інформацію як об’єкт праці.Для такої оцінки потрібні показники двох видів:
- щохарактеризують інформацію як ресурс для забезпечення процесу отриманнярозв’язків задач різного роду
- щохарактеризують інформацію як об’єкт звичайної праці
Змістпоказників першого виду визначається важливістю інформації в процесірозв’язання задач, а також кількістю і складом інформації, якавикористовується. Під кількістю інформації тут розуміється об’єм відомостей,які використовуються в процесі використання задач, причому не абсолютний їхоб’єм, а їх достатність для інформаційного забезпечення конкретних задач, їхадекватність задачам. Отже, показники першого виду можуть бути такими:
· важливість – це узагальнений показник,який характеризує значимість інформації з точки зору задач, для яких вонавикористовується, а також із точки зору організації її обробки. Тут оцінка можебути здійснюватися за: важливістю самих задач для даної діяльності; ступенемважливості інформації для ефективного виконання відповідних завдань; рівнемвитрат при небажаній зміні інформації; рівнем витрат на відновлення інформації.Слід зазначити, що для деяких видів інформації важливість можна досить точнооцінювати за так званим коефіцієнтом важливості, обчислення якого здійснюєтьсяна основі математичних, лінгвістичних або неформально – евристичних моделей
· повнота – це показник, що характеризуєміру достатності інформації для розв’язання відповідної задачі. Для кількісноговираження цього показника також відомі формальні і неформальні моделіобчислення коефіцієнту повноти
· адекватність – це ступінь відповідностіінформації дійсному стану тих об’єктів, які вона відображає. Адекватністьзалежить від об’єктивності генерування інформації по об’єкт, а також відтривалості часу між моментом генерування та моментом оцінки адекватності. Зазначимощо для оцінки адекватності також відомі формальні і неформальні моделі, якідозволяють отримати її кількісні оцінки
· релевантність – це показник, щохарактеризує відповідність її проблемам задачі, яка розв’язується. Відомийкоефіцієнт релевантності – це відношення обсягу релевантної інформації дозагального її обсягу. Існують моделі його обчислення
· толерантність – показник, щохарактеризує зручність сприйняття та використання інформації в процесірозв’язання певної задачі. Це поняття є дуже широким, невизначеним ісуб’єктивним, а отже, формальних методів його оцінки поки що на має
Якщоповернутися до показників другого виду, то слід зазначити, що для нихінформація виступає як:
- сировина,яку добувають чи обробляють
- напівфабрикат,що виникає в процесі обробки сировини
- продуктдля використання
Тобтотут маємо звичайний виробничий ланцюжок: добування сировини – переробка таотримання напівфабрикатів – їх переробка для отримання кінцевого продукту.Нагадаємо, що при цьому всі стадії переробки інформації мають задовольнитипоказники першого виду. Зрозуміло, що тут найбільш важливими є форма або спосібпредставлення інформації, а також її об’єм. Отже, як показники другого видуможуть виступати: 1) спосіб або система кодування інформації, тобто ефективністькодування; 2) об’єм кодів, що відображають дану інформацію. Відзначимо, щометоди визначення цих показників досить повно розроблені в теорії інформації.
Такимчином, необхідний рівень захисту інформації слід визначати з урахуваннямзначень усіх розглянутих вище показників, а також грифів таємності.
Насамкінецьзвернемо увагу на розбіжність між визначеною вище таємністю і безпекоюінформації. Безпека інформації – це захист інформації від негативних впливів нанеї, і вона має відношення до технологічних процедур забезпечення захисту.Таємність інформації – це статус інформації, який фіксується залежно від їїважливості і вимагає певного рівня її захищеності. Отже, це поняття маєвідношення до людей, окремих осіб, які відповідають за інформацію і вирішують,яку інформацію можна розкрити, а яку приховати від інших людей.
Фактичносфера безпеки інформації – не захист інформації, а захист прав власності нанеї. Щоб переконатися в цьому, розглянемо особливості інформаційної власності.
Історичнотрадиційним об’єктом права власності є матеріальний об’єкт, а це означає, щоправо власності фактично було речовим правом.
Інформаціяж не є матеріальним об’єктом, інформація – це знання, тобто відображеннядійсності у свідомості людини (причому правильне чи помилкове відображення –неістотно, важливо, що у свідомості). І тільки згодом інформація можевтілюватися в матеріальні об’єкти зовнішнього світу. Однак не будучиматеріальним об’єктом, інформація нерозривно пов’язана з матеріальним носієм:це – мозок людини чи відчужені від людини матеріальні носії, такі як книга,дискета та інші види «пам'яті» (запам’ятовуючі пристрої).
Можливо,з філософської точки зору можна говорити про інформацію як деяку абстрактнусубстанцію, що існую сама по собі. Але з конкретної, матеріальної точки зору нізбереження, ні передача інформації поки що без матеріального носія неможливі.Унаслідок цього можна сформулювати такі особливості інформації як об’єктавласності.
1. Інформація як об’єкт права власностіможе копіюватися (тиражуватися) за допомогою матеріального носія. Матеріальнийоб’єкт права власності, як відомо, копіювати неможливо (принаймні поки що).Справді, якщо розглянути дві однакові речі (одяг, автомобіль, тощо), то вонискладаються з однакових структур, але все – таки вони різні (чим детальніше їхрозглядати, тим більш вони будуть розрізнятися). Тим часом інформація прикопіюванні залишається тою ж, це те саме знання.
2. Інформація, як об’єкт права власностілегко переміщується до іншого суб’єкта права власності без очевидного (принаймніпомітного) порушення права власності на інформацію. Переміщення ж матеріальногооб’єкта від одного суб’єкта (без його згоди) до іншого неминучи спричиняєвтрату первісним суб’єктом права власності на цей об’єкт, тобто відбуваєтьсяочевидне порушення його права власності.
3. Небезпека копіювання і переміщенняінформації збільшується тим, що вона, як правило, відчужувала від власника,тобто обробляється та зберігається в сфері доступності великого числасуб’єктів, що не є суб’єктами права власності на цю інформацію (автоматизованісистеми, мережі ЕОМ і т. п.).
Крімвідзначених особливостей інформації як об’єкта власності в іншому, мабуть, вонанічим не відрізняється від традиційних об’єктів права власності.
Справді,право власності, як відомо, включає три правомочності власника, що становлять уцілому зміст права власності: право розпорядження, право володіння, правокористування. Стосовно інформації можна сказати, що суб’єкт права власності наінформацію може передати частину своїх прав (право розпорядження), не втрачаючиїх сам, іншим суб’єктам, наприклад власнику матеріального носія інформації (це– володіння чи користування) чи користувачу (це – користування і, можливо,володіння).
Дляінформації право розпоряджання передбачає виключне право (ніхто іншим, крімвласника) визначати, кома ця інформація може бути надана (у володіння чикористування). Право володіння передбачає володіння цією інформацією внезмінному вигляді. Право користування передбачає право використовувати цюінформацію у своїх інтересах.
Такимчином, до інформації, крім суб’єкта права власності на неї, можуть мати доступі інші суб’єкти права власності як законно, санкціоновано, так і (внаслідоквідзначених особливостей) незаконно, не санкціоновано. Тому виникає дужескладна система взаємин між різними суб’єктами права власності. Ці взаєминиповинні регулюватися та охоронятися, тому що відхилення від них тягнутьпорушення прав власності на цю інформацію. Реалізацією права власності наінформацію звичайно займається певна інфраструктура (державна чи приватна).
Які для будь – якого іншого об’єкта власності, для інформації така інфраструктураскладається з ланцюжка: законодавча влада – судова влада – виконавча влада(закон – суд – покарання). Тому, незважаючи на ряд особливостей, інформаціяпоряд з матеріальними об’єктами може і повинна розглядатися законом як об’єктправа власності.
Будь– який закон про власність з метою захисту прав власника, зафіксувавши суб’єктита об’єкти права власності, повинен регулювати відносини між людьми. Особливостірегулювання цих відносин залежать від специфіки об’єктів права власності. Увипадку інформаційної власності закон повинен регулювати відносини суб’єктів, атакож суб’єктів і об’єктів права власності на інформацію з метою захисту правяк власника, так і законних власників і користувачів інформації для захистуінформаційної власності від розголошення, витоку, обробки (копіювання,модифікації чи знищення) інформації.
ВУкраїні прийнято закони «Про інформацію» і «Про захист інформації вавтоматизованих системах». У першому законі в статті 39 установлено, щоінформаційна продукція та інформаційні послуги громадян і юридичних осіб, щозаймаються інформаційною діяльністю, можуть бути об’єктами товарних відносин,регульованих цивільним і іншим законодавством. Інакше кажучи, інформація – цетовар. Інформаційна продукція (стаття 40) – це матеріалізований результатінформаційної діяльності, призначений для задоволення інформаційних потребгромадян, державних органів, підприємств, закладів і організацій. Інформаційнапослуга (стаття 41) – це здійснення у визначеній законом формі інформаційноїдіяльності з доставки інформаційної продукції до споживачів з метою задоволенняїхніх інформаційних потреб.
Поняття«комерційної таємниці» у нашій країні поки що в законодавчих актах невизначено. Для розуміння цього поняття подамо його визначення, щовикористовувалося в нормативних актах інших країн. Зокрема, у статті 33 закону«Про підприємства СРСР» від 1 січня 1991 року дається таке визначення:
1. Під комерційною таємницею підприємстварозуміються відомості, що не є державними секретами і пов’язані з виробництвом,технологією, керуванням, фінансами та іншою діяльністю підприємства,розголошення (передача, витік) яких може завдати шкоду його інтересам
2. Склад і обсяг відомостей, що становлятькомерційну таємницю, визначаються керівником підприємства
Якісаме відомості можуть вважатися комерційною таємницею? Наприклад, 5 грудня 1991року уряд Росії прийняв постанову № 35 «Про перелік відомостей, що можутьстановити комерційну таємницю». В основному перелік подібних відомостей відомийіз законів про банківську діяльність в інших країнах. Проте для прикладунаведемо перелік відомостей із згаданої постанови, у якому вони групуються затематичним принципом. Звичайно, відомості, що включені в даний перелік, можутьбути комерційною таємницею тільки з урахуванням особливостей конкретногопідприємства (організацій).
1. Відомостіпро фінансову діяльність:
· прибуток,кредити, товарообіг
· фінансовізвіти і прогнози
· комерційнізадуми
· фондзаробітної плати
· вартістьосновних і оборотних грошей
· кредитніумови платежу
· банківськірахунки
· плановіі звітні калькуляції
2.Інформація про ринок:
· ціни,знижки, умови договорів, специфікації продуктів
· обсяг,історія, тенденції виробництва і прогноз для конкретного продукту
· ринковаполітика і плани
· маркетинг і стратегія цін
· відносини зі споживачами і репутація
· чисельність і розміщення торговихагентів
· канали і методи збуту
· політика збуту
· програма реклами
3.Відомості про виробництво і продукцію:
· відомості про технічний рівень, техніко– економічні характеристики виробів, що розробляються
· відомості про плановані термінистворення розроблюваних виробів
· відомості про модифікацію і модернізаціюраніше відомих технологій, процесів, устаткування
· виробничі потужності
· стан основних і оборотних фондів
· організація виробництва
· розміщення і розмір виробничих приміщеньі складів
· перспективні плани розвитку виробництва
· технічні специфікації існуючої іперспективної продукції
· схеми і креслення окремих вузлів,готових виробів, нових розробок
· відомості про стан програмного ікомп’ютерного забезпечення
· оцінка якості й ефективності
· номенклатура виробів
· спосіб упакування
· доставка
4.Відомості про наукові розробки:
· новітехнічні методи, нові технічні, технологічні і фізичні принципи, плановані довикористання продукції підприємства
· програмиНТР
· новіалгоритми
· оригінальніпрограми
5.Відомості про матеріально – технічне забезпечення:
· відомостіпро склад торгових клієнтів, представників і посередників
· потребив сировині, матеріалах, комплектуючих вузлах і деталях, джерела задоволення цихпотреб
· транспортніі енергетичні потреби
6.Відомості про персонал підприємства:
· чисельністьперсоналу
· визначенняосіб, що приймають рішення
7.Відомості про принципи керування підприємством:
· відомостіпро застосовувальні і перспективні методи керування виробництвом
· відомостіпро факти ведення переговорів, предмети і цілі нарад і засідань органівкерування
· відомостіпро плани підприємства щодо розширення виробництва
· умовипродажу і злиття фірм
8.Інші відомості:
· важливіелементи системи безпеки, кодів і процедур доступу до інформаційних мереж іцентрів
· принципиорганізації захисту комерційної таємниці
Убагатьох країнах існують закони, що регламентують банківську діяльність. У нихвизначне поняття «банківської таємниці». Під банківською таємницею мається наувазі обов’язок кредитної установи зберігати таємницю операції клієнтів,убезпечення банківських операцій від ознайомлення з ними сторонніх осіб,насамперед конкурентів того чи іншого клієнта, таємницю щодо рахунків. Упідсумку комерційна таємниця банку включає таємницю самого банку та йоговкладника. В Україні подібного закону поки що не має.
2. Дослідження об’єкта захисту інформації
Об‘єктом захисту інформації являєтьсякомп‘ютер у бухгалтерії кредитної спілки «MikeLarsson Encorporated».
Кредитна спілка – це юридична форма кооперуванняфізичних осіб з метою більш ефективного використання вільних грошових засобівучасників на основі взаємного кредитування, тобто шляхом видачі споживацьких такомерційних кредитів.
Кредитні спілки створюються на кооперативній основі з метоюзалучення особистих заощаджень громадян для взаємного кредитування. Кредитніспілки спеціалізуються, в основному, на обслуговуванні малозабезпечених верствнаселення. Пасивні операції їх формуються за рахунок пайових внесків у формікупівлі особистих акцій, за якими виплачуються відсотки, а також кредитівбанків. Активні операції – 90 % усіх активів складають короткострокові позики,а інша частина формується за рахунок вкладів у цінні папери як приватні, так ідержавні.
2.1 Опис інформації, яка захищається, їївластивості, особливості інформації, як об’єкта права власності, джерелапоходження інформації
Форма кредитування не нова на сучасному банківському ринку. Але вполітиці, яку проводять банки, існують певні недоліки: нерозвинені механізмикредитування приватних осіб, малого бізнесу тощо. До сьогоднішнього часу цясфера поповнюється із приватних позичок і заповнюється далеко не на 100відсотків. Виділяються такі етапи діяльності кредитних союзів: 1)залучення капіталів учасників; 2)аналіз і вибір об’єктів інвестування; 3)надання кредиту; 4)повернення кредиту.
РозпорядженняПрозатвердження Змін до Положення про внесенняінформації про кредитні спілкидо Державного реєстру фінансових установ
Керівникта головний бухгалтер кредитної спілки повинні відповідати Професійним вимогам докерівників та головних бухгалтерів фінансових установ, затверджених розпорядженням
Держфінпослугвід 13.07.2004 N 1590 ( z0955-04 ), зареєстрованим у Міністерстві юстиції України02.08.2004 за N 955/9554 (із змінами).
Програмнезабезпечення та спеціальне технічне обладнання кредитних спілок, пов'язане знаданням фінансових послуг, повинні відповідати Вимогам до програмногозабезпечення та спеціального технічного обладнання кредитних спілок, пов'язаногоз наданням фінансових послуг, затвердженим розпорядженням Держфінпослуг від03.06.2005 N 4122 ( z0707-05 ), зареєстрованим у Міністерстві юстиції України04.07.2005 за N 707/10987 (із змінами).
Кредитнаспілка зобов'язана мати окреме приміщення з обмеженим доступом та сейф длязберігання грошей (грошових коштів) і документів, що унеможливлює їх викрадення(пошкодження)".
2.2 Визначення інформаційноїсистеми досліджуваного об’єкта. Інформаційні ресурси, інформаційні потоки.Структурна схема інформаційної системи
Інформаційна система — це організаційно впорядкована сукупність інформаційних ресурсів, технічнихзасобів, технологій, що реалізують інформаційні процеси в традиційному абоавтоматизованому режимі для задоволення інформаційних потреб користувачів.Інформаційна система досліджуваного об'єктамає певну структуру, склад та порядок функціонування.
Сруктура інформаційної системи:
- Користувачі:працівники фірми, керівництво.
- Інформаційніресурси: документи, база даних фірми, база знань фахівців організації,розміщена на сервері фірми.
- Носіїінформації: фізична пам’ять комп'ютерів працівників та серверу фірми, зовнішнінакопичувачі, документи, деяке обладнання мережі.
- Засобипередачі інформації: все обладнання мережі, а саме: Ethernet карти, комутатори,концентратори, кабелі (вита пара, волоконно оптичні),ip телефонія,маршрутизатори.
Структурна схемаінформаційної системи
/>
2.3 Місце розташування об’єктузахисту інформації, схема приміщення, де розташовується об’єкт
Об‘єктом захисту інформації являєтьсякомп‘ютер у бухгалтерії кредитної спілки «MikeLarsson Encorporated».
Кредитна спілка – це юридична форма кооперуванняфізичних осіб з метою більш ефективного використання вільних грошових засобівучасників на основі взаємного кредитування, тобто шляхом видачі споживацьких такомерційних кредитів.
Кредитні спілки створюються на кооперативній основі з метоюзалучення особистих заощаджень громадян для взаємного кредитування. Кредитніспілки спеціалізуються, в основному, на обслуговуванні малозабезпечених верствнаселення. Пасивні операції їх формуються за рахунок пайових внесків у формікупівлі особистих акцій, за якими виплачуються відсотки, а також кредитівбанків. Активні операції – 90 % усіх активів складають короткострокові позики,а інша частина формується за рахунок вкладів у цінні папери як приватні, так ідержавні.
Схема приміщення кредитної спілки «MiLE»
/>
3 Проведення аналізузахищеності об’єкта
Вимога 1. Політика безпеки.
Система повинна підтримувати точно визначену політикубезпеки. Можливість здійснення суб'єктами доступу до об'єктів повиннавизначатися на підставі їхньої ідентифікації і набору правил керуваннядоступом. Там, де це необхідно, повинна використовуватися політика мандатногокерування доступом, що дозволяє ефективно реалізувати розмежування доступу доінформації різного рівня конфіденційності.
Вимога2. Мітки.
З об'єктами повинні бути асоційовані мітки безпеки, щовикористовуються як вихідна інформація для процедур контролю доступу. Дляреалізації мандатного керування доступом система повинна забезпечуватиможливість присвоювати кожному об'єкту мітку чи набір атрибутів, що визначаютьступінь конфіденційності (гриф таємності) об'єкта і режими доступу до цьогооб'єкта.
Вимога3. Ідентифікація й автентифікація.
Усі суб'єкти повинні мати унікальні ідентифікатори.Контроль доступу повинен здійснюватися на підставі результатів ідентифікаціїсуб'єкта й об'єкта доступу, підтвердження дійсності їхніх ідентифікаторів(автентифікації) і правил розмежування доступу. Дані, що використовуються дляідентифікації й автентифікації, повинні бути захищені від несанкціонованогодоступу, модифікації і знищення і повинні бути асоційовані з всіма активнимикомпонентами комп'ютерної системи, функціонування яких критично з поглядубезпеки.
Вимога4. Реєстрація й облік.
Для визначення ступеня відповідальності користувачівза дії в системі всі події, які відбуваються в ній, що мають значення з поглядубезпеки, повинні відслідковуватися і реєструватися в захищеному протоколі.Система реєстрації повинна здійснювати аналіз загального потоку подій івиділяти з нього тільки ті події, що впливають на безпеку, для скороченняобсягу протоколу і підвищення ефективності його аналізу. Протокол подій повиненбути надійно захищеним від несанкціонованого доступу, модифікації і знищення.
Вимога5. Безперервність захисту.
Усі засоби захисту (у т.ч. і ті, що реалізують данувимогу) повинні бути захищені від несанкціонованого втручання і/чи відключення,причому цей захист повинний бути постійним і безупинним у будь-якому режиміфункціонування системи захисту і КС у цілому. Дана вимога поширюється на весьжиттєвий цикл комп'ютерної системи. Крім того, його виконання є однією зключових аксіом, що використовуються для формального доказу безпеки системи.
Вимога6. Місце збереження.
Усі дані, що стосуються даної організації маютьзберігатися в певних місцях, доступ до яких мають лише ті користувачі, яківідповідають за зберігання, цілісність, розповсюдження, видачу цих даних. Тутможна прослідкувати певну ієрархію, тобто доступ до даних збільшується ізпідняттям по «кар’єрній драбині».
3.1 Види можливих погроз.Характер походження погроз
Комп‘ютеру у бухгалтерії кредитноїспілки «MiLE»найбільше можуть загрожувати наступні погрози:
· Стихійнілиха і аварії(може привести до повної втрати бази данних членів кредитноїспілки «MiLE», тому бажано всі базизаписати на носій пам‘яті та сховати у внутрішньому сейфі)
· Збоїі відмови устаткування(може привести до помилок розрахунків у програмі обробкирахунків вкладників та кредиторів)
· Наслідкипомилок проектування і розробки компонентів АС(може привести до помилокрозрахунків у програмі обробки рахунків вкладників та кредиторів)
· Помилкиексплуатації(проведення інструктажів з техніки безпеки, інакше наслідки можутьбути такі ж, як і у вище описаних загрозах)
· Навмиснідії зловмисників і порушників(зловмисники можуть заволодіти цінною інформацією,такою, як – реквізити вкладників, номери рахунків кредитної спілки «MiLE»у банках, логін та пароль користувача – володіючи такою інформацією зловмисникиможуть наважитися на пограбування як самих вкладників(адже будуть знати їхімена, суми вкладів та дату закінчення договору), так і кредитної спілки «MiLE»шляхом входу в систему через відомий логін-пароль та зміни даних договору(сумивнеску, наприклад)
За природою виникнення:
· Природнізагрози (загрози, що викликані впливами на АС та її компоненти об’єктивнихфізичних процесів або стихійних природних явищ, що не залежать від людини).
· Штучнізагрози (загрози, що викликані діяльністю людини).
За принципом НСД:
Фізичний доступ:
· подоланнярубежів територіального захисту і доступ до незахищених інформаційнихресурсів(може призвести до втрати важливих документів);
· розкраданнядокументів і носіїв інформації(може призвести до втрати договору звкладником(кредитором) через відсутність документальних підтверджень йоговкладу(кредиту));
· перехопленняелектромагнітних випромінювань.
Логічний доступ:
· доступз використанням засобів комп’ютерної системи.
· Порушенняконфіденційності (розкриття інформації).
· Порушенняцілісності (повне або часткове знищення інформації, її спотворення,фальсифікація, дезінформація).
· Порушеннядоступності (відмова в обслуговуванні).
За характером впливу
· Активні(в ході реалізації загрози вносяться зміни в АС).
· Пасивний(спостереження).
За режимом НСД
· Припостійній участі людини (в інтерактивному режимі), можливе застосуваннястандартного ПЗ.
· Безособистої участі людини (у пакетному режимі), найчастіше для цьогозастосовується спеціалізоване ПЗ.
За типом (причиною появи)використовуваних вразливостей:
· Недолікиполітики безпеки.
· Помилкиадміністративного керування.
· Недолікиалгоритмів захисту.
· Помилкиреалізації алгоритмів захисту.
За способом впливу на об'єкт атаки
· Безпосереднійвплив.
· Впливна систему дозволу.
· Використаннянаосліп.
За шляхом НСД
· Прямийстандартний шлях доступу;
· Використанняслабкостей політики безпеки;
· Використаннянедоліків адміністративного керування.
· Прихованийнестандартний шлях доступу;
· Недокументованіособливості системи;
· Прихованіканали.
За станом кінцевого об'єкта атаки
· Зберігання(як правило, об’єкт знаходиться на зовнішніх носіях).
· Обробка(як правило, об’єкт знаходиться в оперативній пам'яті).
· Передача(як правило, об’єкт знаходиться в лінії зв'язку)
За наявністю зворотного зв'язку
· Іззворотним зв'язком (атакуючий отримує відповідь системи на його вплив).
· Беззворотного зв'язку (атакуючий не отримує відповіді).
За рівнем моделі OSI, на якомуздійснюється вплив:
· фізичний;
· канальний;
· мережний;
· транспортний;
· сеансовий;
· представницький;
· прикладний.
Всі ці можливі загрози у фінансовійустанові Кредитна спілка «MiLE»можуть призвести до втрати важливих фінансових документів, реквізитіввкладників(кредиторів), що саме по собі може призвести до великих грошовихвтрат, оприлюднення компрометуючої інформації, пограбування чи тиск навкладників, що може призвести до статті кримінального кодексу «Злочиннахалатність».
3.2Класи каналів несанкціонованого одержання інформації
До першого класу відносяться каналивід джерела інформації при НСД до нього:
- крадіжканосія інформації(носій інформації може містити документацію кредитної спілки «MiLE»);
- копіюванняінформації з носіїв (магнітних, лазерних та ін.) – може призвести до занесенняневідомих вірусів чи троянських програм на комп‘ютер бухгалтера, що саме пособі може призвести до втрати великої кількості даних;
- підслуховуваннярозмов (в тому числі аудіо запис) – зловмисники можуть дізнатися яккомпрометуючі данні, так і логін-пароль користувача бухгалтерського ПК, що можепризвести до втрати чи можливого виправлення деяких документів/договорів;
- установказакладних пристроїв та передача інформації з їх допомогою;
- вивідуванняінформації в обслуговуючого персоналу на об’єкті(можна дізнатись точнерозташування комп‘ютера та предметів інтер‘єру у бухгалтерії для зручноговстановлення закладних пристров, або, якщо прослушка буде відбуватися черезвікна приміщення – можна втратити таємність деяких документів, може бутирозсекречені таємниці спілки);
- фотографуванняабо відео зйомка інформації в приміщенні(перед знищенням документу він можебути знятий камерою та пізніше оприлюднений);
До другого класу відносять каналиіз засобів обробки інформації при НСД до них:
- зняттяінформації з приладів електронної пам’яті;
- введенняпрограмних продуктів, що дозволяють отримати інформацію;
- копіюванняінформації з технічних засобів відображення(фотографування з моніторів тощо);
До третього класу відносять каналивід джерела інформації без:
- отриманняінформації по акустичних каналах (в системах вентиляції,);
- отриманняінформації по віброакустичних каналах (з використанням акустичних датчиків,лазерних пристроїв);
- використаннятехнічних засобів оптичної розвідки (біноклів, оптичних труб та ін.);
- використаннятехнічних засобів оптико-електронної розвідки (зовнішніх телекамер, пристроївнічного спостереження);
- оглядвідходів і сміття;
- вивідуванняінформації у службового персоналу за межами об’єкту;
- вивченнявідкритої інформації, що вийшла за межі об’єкта (публікації, рекламні проспектита ін.);
До четвертого класу відносятьсяканали із засобів обробки інформації без НСД до них:
· електромагнітневипромінювання;
· паразитичнагенерація підсилювальних каскадів, паразитична
модуляція високочастотнихгенераторів низькочастотним сигналом, який має конфіденційну інформацію;
· електромагнітневипромінювання ліній зв’язку;
· підключеннядо ліній зв’язку;
· зняттянаводок електричних сигналів з ліній зв’язку;
· зняттянаводок з системи живлення;
· зняттянаводок з системи заземлення;
· зняттянаводок з системи тепло подачі;
· використаннявисокочастотного нав’язування;
· зняттяз ліній, що виходять за межі об’єкту, сигналів, утворених на технічних засобахза рахунок акустично-електричних перетворень;
· зняттявипромінювання оптоволоконних ліній зв’язку;
Всіці загрози будуть онульовані при правильному розміщенні комп‘ютера вприміщенні, при перевірці та докладному інструктажу персоналу, при недопусканнів приміщення бухгалтерії посторонніх людей, при повній професійностіпрацівників серверної кімнати в цілому.
3.3Моделі загроз
Джерела погроз (розумієтьсябезпосередній виконавець погрози в плані її негативної дії на інформацію):
· люди;
· технічнізасоби;
· моделі,алгоритми, програми;
· технологічнісхеми обробки;
· зовнішнясереда
3.4Можливі моделі порушника
Внутрішні порушники:
· відвідувачі;
· співробітникивідділів, що супроводжують ПЗ;
· технічнийперсонал, що обслуговує офіс;
· співробітникислужби безпеки;
· працівникифінансового відділу;
· керівники.
Зовнішні порушники.
Кваліфікація порушника:
Для аналізу загроз приймається висока кваліфікація.
Повноваження порушника в АС:
· запускфіксованого набору задач (програм);
· створенняі запуск власних програмних засобів;
· керуванняфункціонуванням і внесення змін у конфігураціюсистеми;
· підключеннячи зміна конфігурації апаратних засобів
3.5Потенційно можливі сценарії злочиннихдій кожної моделі порушника
1). Відвідувачі.
Не виключена можливість того, що відвідувач офісукредитної спілки може бути зловмисником. При вході в офіс порушник може одразузнати місце розташування офіса бухгалтера, внутрішню обстановку у ньому(успільниках може бути працівник кредитної спілки), і, направляючись добухгалтера з давно підготовленим питанням та, будучи чудовим психологом,задурюючи голову працівникові і відволікаючи його увагу від своєї персони –непомітно встановити підслуховуючий пристрій(відеокамеру) у давно задуманемісце або за допомогою фотокамери сфотографувати розкладені на робочому столідокументи. Не виключено, що серед звичайних паперів може лежати такожлогін-пароль для входу в систему та доступу до бухгалтерських файлів, або ждізнатися дуже цінну інформацію щодо цього під час прослуховування(відеозапису)відбуваючих у офісі подій та, підбурюючи свого спільника — працівникатехнічного персоналу чи простого клерка на вхід в офіс бухгалтера у час, колитой відсутній та перегляду чи редагування конфіденційних даних власниківрахунків, що може призвести до великих фінансових збитків спілки.
2). Співробітники відділів, що супроводжують ПЗ.
Вся інформація, збережена на комп‘ютері бухгалтера,зберігається на спеціальних накопичувачах, які називаються Raid-масиви, ізгодом інформація з ПК бухгалтера може бути видалена
Працівник серверного відділу, якого не влаштовувалазаробітна плата, просто відкрив ці файли та відредагував на свій устрій –відкривши договір свого близького друга(спільника) та змінивши сумму вкладу(абозменшивши суму кредиту), після чого система вже буде нараховувати більшукількість грошових відсотків, що призведе до фінансових збитків спілки.
3). технічний персонал, що обслуговує офіс,співробітники служби безпеки, працівники фінансового відділу.
Можуть дізнатися конфіденційну інформацію, щозберігається на комп‘юторі бухгалтера, після чого або провернути фінансовіафери самотушки, або за допомогою спільників, або оприлюднитиконфіденційну(компрометуючу) інформацію.
Висновок
Під час проведенної курсової роботи явивчав можливість захисту інформації комп‘ютера у бухгалтерії, що стоїтьокремо, розглянув модель можливого порушника (зловмисника), який міг би завдатифінансових збитків як самій кредитній спілці «MiLE»,так і ії вкладникам (кредиторам). Сконструював структурну схему інформаційноїсистеми, з урахуванням правил безпеки. Розробив схему приміщення, кредитноїспілки, та розташував в ньому комп’ютери таким чином, щоб звичайний персонал таробітники фірми, які не мають необхідного рівня доступу, не мали змогизаволодіти та змінити інформацію, яка належить безпосередньо бухгалтеру.Здійснив опис інформації, яка захищається, визначив її властивості, описавособливості інформації, як об’єкта права власності, визначив джерела походженняінформації. Дав визначення інформаційної системи досліджуваного об’єкта. Провіваналіз захищеності об’єкта, описав види можливих погроз, визначив характерпоходження погроз, описав класи каналів несанкціонованого одержання інформації,сформував моделі загроз, побудував всі можливі моделі порушника, визначитипотенційно можливий сценарій злочинних дій для кожної моделі порушника.
Списоквикористаної літератури
1. http://www.klerk.ru/soft/all/?71490
2. http://www.refine.org.ua/pageid-2333-1.html
3. http://mndc.naiau.kiev.ua/Gurnal/9text/g9_23.htm
4. Громов В.И Васильєв В.А «ЭНЦИКЛОПЕДИЯКОМПЬЮТЕРНОЙ БЕЗОПАСНОСТИ»(сборник)/Санкт-Петербург-2003р
5. МалюкА.А. – «Інформаційна безпека»