1 ТОИБ Лекция 2 Учебные вопросы: 1. Основные составляющие информационной безопасности 2. Важность и сложность проблемы информационной безопасности 3. Основные понятия объектно-ориентированного подхода. Применение объектно- ориентированного подхода к рассмотрению защищаемых систем. 4. Недостатки традиционного подхода к информационной безопасности с объектной точки зрения 5. Основные определения и критерии классификации угроз 6. Наиболее распространенные угрозы доступности. Примеры угроз доступности 7. Вредоносное программное обеспечение 8. Основные угрозы целостности 9. Основные угрозы конфиденциальности 10. Важность законодательного уровня информационной безопасности 11. Обзор российского законодательства в области информационной безопасности 12. Обзор зарубежного законодательства в области информационной безопасности 13. О текущем состоянии российского законодательства в области информационной безопасности
2 ТОИБ Лекция 2 Информационная безопасность Доктрина информационной безопасности Российской Федерации состояние защищенности национальных интересов в информационной сфере, определяемых совокупностью сбалансированных интересов личности, общества и государства Закон Российской Федерации "Об информации, информационных технологиях и о защите информации" состояние защищенности информационной среды общества, обеспечивающее ее формирование, использование и развитие в интересах граждан, организаций, государства
3 ТОИБ Лекция 2 Информационная безопасность защищенность информации и поддерживающей инфраструктуры от случайных или преднамеренных воздействий естественного или искусственного характера, которые могут нанести неприемлемый ущерб субъектам информационных отношений, в том числе владельцам и пользователям информации и поддерживающей инфраструктуры Защита информации комплекс мероприятий, направленных на обеспечение информационной безопасности
4 ТОИБ Лекция 2 Подход к проблемам обеспечения информационная безопасность субъекты информационных отношений Оборотная сторона использования информационных технологий угрозы информационной безопасности интересы субъектов, связанных с использованием информационных систем (ИС) Выявить
5 ТОИБ Лекция 2 системы электро-, водо- теплоснабжения, кондиционирования обслуживающий персонал средства коммуникаций инфраструктура информационной безопасности
6 ТОИБ Лекция 2 Спектр интересов субъектов, связанных с использованием информационных систем Доступность – возможность за приемлемое время получить требуемую информационную услугу Целостность - актуальность и непротиворечивость информации, ее защищенность от разрушения и несанкционированного изменения (статистическая, динамическая) Конфиденциальность – защита от несанкционированного доступа к информации 1 2 3
7 ТОИБ Лекция 2 2. Важность и сложность проблемы информационной безопасности По распоряжению президента США Клинтона в 1996 году была создана Комиссия по защите критически важной инфраструктуры как от физических нападений, так и от атак, предпринятых с помощью информационного оружия. В начале октября 1997 года при подготовке доклада президенту глава вышеупомянутой комиссии Роберт Марш заявил, что в настоящее время ни правительство, ни частный сектор не располагают средствами защиты от компьютерных атак, способных вывести из строя коммуникационные сети и сети энергоснабжения. Американский ракетный крейсер "Йорктаун" был вынужден вернуться в порт из-за многочисленных проблем с программным обеспечением, функционировавшим на платформе Windows NT 4.0 (Government Computer News, июль 1998). Таким оказался побочный эффект программы ВМФ США по максимально широкому использованию коммерческого программного обеспечения с целью снижения стоимости военной техники. Заместитель начальника управления по экономическим преступлениям Министерства внутренних дел России сообщил, что российские хакеры с 1994 по 1996 год предприняли почти 500 попыток проникновения в компьютерную сеть Центрального банка России. В 1995 году ими было похищено 250 миллиардов рублей (ИТАР-ТАСС, AP, 17 сентября 1996 года).
8 ТОИБ Лекция 2 Потери крупнейших компаний, вызванные компьютерными вторжениями, продолжают увеличиваться, несмотря на рост затрат на средства обеспечения безопасности. Согласно результатам исследования Института информационной безопасности и ФБР, в 1997 году ущерб от компьютерных преступлений достиг 136 миллионов долларов, что на 36% больше, чем в 1996 году. Каждое компьютерное преступление наносит ущерб примерно в 200 тысяч долларов. В середине июля 1996 года корпорация General Motors отозвала автомобилей марки Pontiac, Oldsmobile и Buick моделей 1996 и 1997 годов, поскольку ошибка в программном обеспечении двигателя могла привести к пожару. В феврале 2001 года двое бывших сотрудников компании Commerce One, воспользовавшись паролем администратора, удалили с сервера файлы, составлявшие крупный (на несколько миллионов долларов) проект для иностранного заказчика. К счастью, имелась резервная копия проекта, так что реальные потери ограничились расходами на следствие и средства защиты от подобных инцидентов в будущем. В августе 2002 года преступники предстали перед судом. Одна студентка потеряла стипендию в 18 тысяч долларов в Мичиганском университете из-за того, что ее соседка по комнате воспользовалась их общим системным входом и отправила от имени своей жертвы электронное письмо с отказом от стипендии.
9 ТОИБ Лекция 2 В марте 1999 года был опубликован очередной, четвертый по счету, годовой отчет "Компьютерная преступность и безопасность-1999: проблемы и тенденции" (Issues and Trends: 1999 CSI/FBI Computer Crime and Security Survey). В отчете отмечается резкий рост числа обращений в правоохранительные органы по поводу компьютерных преступлений (32% из числа опрошенных); 30% респондентов сообщили о том, что их информационные системы были взломаны внешними злоумышленниками; атакам через Internet подвергались 57% опрошенных; в 55% случаях отмечались нарушения со стороны собственных сотрудников. Примечательно, что 33% респондентов на вопрос "были ли взломаны ваши Web-серверы и системы электронной коммерции за последние 12 месяцев?" ответили "не знаю". В аналогичном отчете, опубликованном в апреле 2002 года, цифры изменились, но тенденция осталась прежней: 90% респондентов (преимущественно из крупных компаний и правительственных структур) сообщили, что за последние 12 месяцев в их организациях имели место нарушения информационной безопасности; 80% констатировали финансовые потери от этих нарушений; 44% (223 респондента) смогли и/или захотели оценить потери количественно, общая сумма составила более 455 млн. долларов. Наибольший ущерб нанесли кражи и подлоги (более 170 и 115 млн. долларов соответственно).
10 ТОИБ Лекция 2 Тревожные результаты содержатся в обзоре InformationWeek, опубликованном 12 июля 1999 года. Лишь 22% респондентов заявили об отсутствии нарушений информационной безопасности. Наряду с распространением вирусов отмечается резкий рост числа внешних атак. В информационном письме Национального центра защиты инфраструктуры США (National Infrastructure Protection Center, NIPC) от 21 июля 1999 года сообщается, что за период с 3 по 16 июля 1999 года выявлено девять проблем с ПО, риск использования которых оценивается как средний или высокий (общее число обнаруженных уязвимых мест равно 17). Среди "пострадавших" операционных платформ – почти все разновидности ОС Unix, Windows, MacOS, так что никто не может чувствовать себя спокойно, поскольку новые ошибки тут же начинают активно использоваться злоумышленниками. Цель злоумышленников - нарушение всех составляющих информационной безопасности – доступности, целостности и конфиденциальности.
11 ТОИБ Лекция 2 4. Основные понятия объектно- ориентированного подхода Класс - это абстракция множества сущностей реального мира, объединенных общностью структуры и поведения. Объект - это элемент класса, то есть абстракция определенной сущности. Инкапсуляция - сокрытие реализации объектов (их внутренней структуры и деталей реализации методов) с предоставлением вовне только строго определенных интерфейсов. Полиморфизм - способность объекта принадлежать более чем одному классу. Наследование - построение новых классов на основе существующих с возможностью добавления или переопределения данных и методов. Структурированный подход О необходимости объектно-ориентированного подхода к информационной безопасности
12 ТОИБ Лекция 2 Объектно-ориентированный подход Верхний уровень 1-й уровень 2-й уровень
13 ТОИБ Лекция 2 5. Применение объектно-ориентированного подхода к рассмотрению защищаемых систем Средства для достижения ИБ: законодательные меры обеспечения информационной безопасности; административные меры (приказы и другие действия руководства организаций, связанных с защищаемыми информационными системами); процедурные меры (меры безопасности, ориентированные на людей); программно-технические меры.
14 ТОИБ Лекция 2
15 ТОИБ Лекция 2 7. Основные определения и критерии классификации угроз Классификация угроз по критериям: по аспекту информационной безопасности (доступность, целостность, конфиденциальность), по компонентам информационных систем, на которые угрозы нацелены (данные, программы, аппаратура, поддерживающая инфраструктура); по способу осуществления (случайные/преднамеренные действия природного/техногенного характера); по расположению источника угроз (внутри/вне рассматриваемой ИС).
16 ТОИБ Лекция 2 Угрозы доступности в классификации по компонентам ИС, на которые они нацелены: отказ пользователей; внутренний отказ информационной системы; отказ поддерживающей инфраструктуры. К пользователям рассматриваются следующие угрозы: нежелание работать с информационной системой (чаще всего проявляется при необходимости осваивать новые возможности и при расхождении между запросами пользователей и фактическими возможностями и техническими характеристиками); невозможность работать с системой в силу отсутствия соответствующей подготовки (недостаток общей компьютерной грамотности, неумение интерпретировать диагностические сообщения, неумение работать с документацией и т.п.); невозможность работать с системой в силу отсутствия технической поддержки (неполнота документации, недостаток справочной информации и т.п.).
17 ТОИБ Лекция 2 Основными источниками внутренних отказов являются: отступление (случайное или умышленное) от установленных правил эксплуатации; выход системы из штатного режима эксплуатации в силу случайных или преднамеренных действий пользователей или обслуживающего персонала; ошибки при (пере)конфигурировании системы; отказы программного и аппаратного обеспечения; разрушение данных; разрушение или повреждение аппаратуры. По отношению к поддерживающей инфраструктуре: нарушение работы (случайное или умышленное) систем связи, электропитания, водо- и/или теплоснабжения, кондиционирования; разрушение или повреждение помещений; невозможность или нежелание обслуживающего персонала и/или пользователей выполнять свои обязанности (гражданские беспорядки, аварии на транспорте, террористический акт или его угроза, забастовка и т.п.). «Обиженные» сотрудники - нынешние и бывшие, стремятся нанести вред организации -"обидчику": испортить оборудование; встроить логическую бомбу, которая со временем разрушит программы и/или данные; удалить данные.
18 ТОИБ Лекция Вредоносное программное обеспечение Грани вредоносного ПО: вредоносная функция; способ распространения; внешнее представление. «Бомбы" предназначаются для: внедрения другого вредоносного ПО; получения контроля над атакуемой системой; агрессивного потребления ресурсов; изменения или разрушения программ и/или данных. По механизму распространения различают: вирусы - код, обладающий способностью к распространению (возможно, с изменениями) путем внедрения в другие программы; "черви" - код, способный самостоятельно, то есть без внедрения в другие программы, вызывать распространение своих копий по ИС и их выполнение (для активизации вируса требуется запуск зараженной программы).