Защита информации в экономических информационных системах

Копирование компьютерной информации – изготовление и устойчивое запечатление второго и последующих экземпляров базы данных, файлов в любой материальной форме, а также их запись на машинный носитель, в память ЭВМ.

Отказ в обслуживании представляет собой весьма существенную и распространенную угрозу, источником которой является сама АИС. Подобный отказ особенно опасен в ситуациях, когда задержка с предоставлением ресурсов абоненту может привести к тяжелым для него последствиям. Так, отсутствие у пользователя данных, необходимых для принятия решения, в течение периода, когда это решение еще может быть эффективно реализовано, может стать причиной его нерациональных действий.¹

Каждая из угроз по разному  воздействует на информационные системы.

Способы воздействия угроз  на информационные объекты подразделяются на:

а) информационные;

б) программно-математические;

в) физические;

г) радиоэлектронные;

д) организационно-правовые.

К информационным способам относятся:

– нарушение адресности и своевременности информационного  обмена,

противозаконный сбор и использование  информации;

– несанкционированный доступ к информационным ресурсам;

– манипулирование информацией (дезинформация, сокрытие или сжатие

информации);

– нарушение технологии обработки информации.

Программно-математические способы включают:

– внедрение компьютерных вирусов;

– установка программных  и аппаратных закладных устройств;

– уничтожение или модификацию  данных в автоматизированных

информационных системах.

Физические  способы включают:

– уничтожение или разрушение средств обработки информации и  связи;

– уничтожение, разрушение или хищение машинных или других носителей

информации;

– хищение программных  или аппаратных ключей и средств  криптографической защиты информации;

– воздействие на персонал;

– перехват, дешифровка и  навязывание ложной информации в  сетях передачи

данных и линиях связи;

– воздействие на парольно-ключевые системы;

Радиоэлектронными способами являются:

– перехват информации в  технических каналах ее возможной  утечки;

– внедрение электронных  устройств перехвата информации в технические средства и помещения;

– перехват, дешифровка и  навязывание ложной информации в  сетях передачи данных и линиях связи;

– радиоэлектронное подавление линий связи и систем управления.

Организационно-правовые способы включают:

– невыполнение требований законодательства о задержке в принятии

необходимых нормативно-правовых положений в информационной сфере;

– неправомерное ограничение  доступа к документам, содержащим важную для граждан и организаций  информацию.

Суть подобных угроз сводится, как правило, к нанесению того или иного ущерба предприятию.

Проявления возможного ущерба могут быть самыми различными:

- моральный и материальный  ущерб деловой репутации организации;

- моральный, физический  или материальный ущерб, связанный  с

разглашением персональных данных отдельных лиц;

- материальный (финансовый) ущерб от разглашения защищаемой

(конфиденциальной) информации;

- материальный (финансовый) ущерб от необходимости восстановления  нарушенных защищаемых информационных  ресурсов;

- материальный ущерб (потери) от невозможности выполнения  взятых на себя обязательств  перед третьей стороной;

- моральный и материальный  ущерб от дезорганизации в  работе всего

предприятия.

Непосредственный вред от реализованной угрозы, называется воздействием угрозы.

Идентификация угроз предполагает рассмотрение воздействий и последствий  от реализации угроз. Обычно воздействие  угроз приводит к раскрытию, модификации, разрушению информации или отказу в  информационном обслуживании. Более  значительные долговременные последствия  реализации угрозы приводят к потере бизнеса, нарушению тайны, гражданских  прав, потере адекватности данных, потере человеческой жизни и иным долговременным эффектам.

Знание возможных угроз, а также уязвимых мест защиты, необходимо, чтобы выбрать наиболее экономичные  средства обеспечения безопасности. Самыми частыми и опасными, с точки  зрения размеров ущерба, являются не угрозы даже, а непреднамеренные ошибки пользователей, операторов, системных администраторов  и других, обслуживающих информационные системы лиц.

 

1.2 Воздействие  вредоносных программ

Программы с потенциально опасными последствиями названы  в Уголовном кодексе РФ "вредоносные  программы".

 Такая программа (осмысленный  набор инструкций для какого-либо 

процессора) может выполнять  следующие функции:

• скрывать признаки своего присутствия в программной среде ОИ;
• обладает способностью к самодублированию, ассоциированию себя с другими программами и/или переносу своих фрагментов в иные (не занимаемые изначально указанной программой) области оперативной или внешней памяти;
• обладает способностью разрушать (искажать произвольным образом) код программ (отличных от нее) в оперативной памяти ОИ;
• обладает способностью переносить (сохранять) фрагменты информации из
• оперативной памяти в некоторых областях оперативной или внешней памяти прямого доступа (локальных или удаленных);
• имеет потенциальную возможность искажать произвольным образом, блокировать и/или подменять выводимой во внешнюю память или в канал связи массив информации, образовавшийся в результате работы прикладных программ или уже находящиеся во внешней памяти массивы данных, либо изменять их параметры.

         Вредоносные программы можно  условно разделить на:

• компьютерные "вирусы";
• программы типа "программный червь " или "троянский конь" и фрагменты
• программ типа "логический люк";
• программные закладки или разрушающие программные воздействия (РПВ) - обобщенный класс программ (в смысле отсутствия конкретных признаков) с потенциально опасными последствиями.

«Троянский  конь» – программа, выполняющая в дополнение к основным (проектным и документированным) не описанные в документации действия. Аналогия с древнегреческим «троянским конем» таким образом, вполне оправдана – в не вызывающей подозрений оболочке таится угроза.

Опасность «троянского коня»  заключается в дополнительном блоке  команд, тем или иным образом вставленном  в исходную безвредную программу, которая  затем предлагается (дарится, продается, подменяется) пользователем. Этот блок команд может срабатывать при  наступлении некоторого условия (даты, времени и т.д., либо по команде  извне).

Наиболее опасные действия «троянский конь» может выполнять, если запустивший ее пользователь обладает расширенным набором привилегий. В этом случае злоумышленник, составивший  и внедривший «троянского коня», и сам этими привилегиями не обладающий, может выполнить несанкционированные  привилегированные функции чужими руками.

Вирус – это программа, которая может заражать другие программы путем включения в них своей, возможно модифицированной, копии, причем последняя сохраняет способность к дальнейшему размножению.

Своим названием компьютерные вирусы обязаны определенному сходству с вирусами биологическими:

- способностями к саморазмножению;

- высокой скорости распространения;

- избирательности поражаемых  систем (каждый вирус поражает  только

определенные системы  или однородные группы систем);

- наличию в большинстве  случаев определенного инкубационного

периода;

- способности «заражать»  еще незараженные системы;

- трудности борьбы с  вирусами и т.д.

В последнее время к  этим особенностям, характерным для  вирусов компьютерных и биологических, можно добавить еще и постоянно  увеличивающуюся быстроту появления модификаций и новых поколений вирусов, что можно объяснить идеями злоумышленников определенного склада ума.

Программа, внутри которой  находится вирус, называется «зараженной». Когда такая программа начинает работу, то сначала управление получает вирус. Вирус находит и «заражает» другие программы, а также выполняет  какие-нибудь вредные действия.

Процесс заражения вирусом  программных файлов можно представить

следующим образом. В зараженной программе код последней изменяется таким образом, чтобы вирус получил  управление первым, до начала работы программы- вирусоносителя. При передаче управления вирусу он каким-либо способом находит  новую программу и выполняет  вставку собственной копии в  начало или добавление ее в конец  этой, обычно еще не зараженной, программы. Если вирус записывается в конец  программы, то он корректирует код программы  с тем, чтобы получить управление первым. После этого управление передается программе-вирусоносителю, и та нормально  выполняет свои функции. Более изощренные вирусы могут для получения управления изменять системные области накопителя (например, сектор каталога), оставляя длину и содержимое заражаемого  файла без изменений.

Загрузочные вирусы. От файловых вирусов загрузочные вирусы отличаются методом распространения. Они поражают не программные файлы, а определенные системные области магнитных носителей (гибких и жестких дисков). На включенном компьютере они могут временно располагаться в оперативной памяти.

Обычно поражение происходит при попытке загрузки компьютера с магнитного носителя, системная  область которого содержит загрузочный  вирус. Так, например, при попытке  загрузить компьютер с гибкого  диска происходит сначала проникновение  вируса в оперативную память, а  затем в загрузочный сектор жестких  дисков. Далее этот компьютер сам  становится источником распространения  загрузочного вируса.

Макровирусы. Эта особая разновидность вирусов поражает документы, выполненные в некоторых прикладных программах, имеющих средства для исполнения так называемых макрокоманд. В частности, к таким документам относятся документы текстового процессора Microsoft Word. Заражение происходит при открытии файла документа в окне программы, если в ней не отключена возможность исполнения макрокоманд.

«Червь» – программа, распространяющаяся через сеть и не оставляющая своей копии на магнитном носителе. «Червь» использует механизмы поддержки сети для определения узла, который может быть заражен. Затем с помощью тех же механизмов передает свое тело или его часть на этот узел и либо активизируется, либо ждет для этого подходящих условий.

Захватчики  паролей. Это программы специально предназначены для воровства паролей. При попытке входа имитируется ввод имени и пароля, которые пересылаются владельцу программы-захватчика, после чего выводится сообщение об ошибке ввода и управление возвращается операционной системе. Пользователь, думающий, что допустил ошибку при наборе пароля, повторяет вход и получает доступ к системе. Однако его имя и пароль уже известны владельцу программы-захватчика. Перехват пароля может осуществляться и другим способом - с помощью воздействия на программу, управляющую входом пользователей в систему и ее наборы данных.

 «Скрытые  каналы». «Скрытые каналы» – пути передачи информации между процессами системы, нарушающие системную политику безопасности. В среде с разделением доступа к информации пользователь может не получить разрешение на обработку интересующих его данных, однако может придумать для этого обходные пути. Практически любое действие в системе каким-то образом затрагивает другие ее элементы, которые при этом могут изменять свое состояние. При достаточной наблюдательности и знании этих связей можно получить прямой или опосредованный доступ к данным. «Скрытые каналы» могут быть реализованы различными путями, в частности при помощи программных закладок («троянских коней»).

Атаки с использованием скрытых  каналов обычно приводят к нарушениям конфиденциальности информации, по характеру  воздействия являются пассивными, нарушение  состоит только в передаче информации. Для организации «скрытых каналов» может использоваться как штатное  программное обеспечение, так и  специально разработанные «троянские»  или вирусные программы. Атака обычно производится программным способом.

«Скрытым каналом» может  явиться передача информации о наличии  или отсутствии какого-либо набора данных, его размере, дате создания или модификации и т.д.