Структура и состав автоматизированных информационных систем

2. Преднамеренные угрозы – несанкционированное  получение информации и несанкционированная манипуляция данными, ресурсами и самими системами (например, попадание накопителей на жестких (оптических) дисках и магнитных лентах в руки посторонних лиц часто приводит к утечке конфиденциальной информации).

 Сегодня, например, повсеместное  распространение мобильных накопителей информации — таких как flash-диски, винчестеры с USB интерфейсом и т.д. обусловило появление нового класса угроз информационной безопасности. Несанкционированное использование таких устройств нелояльными сотрудниками может привести к утечке информации из корпоративной сети. Единственной альтернативой физическому отключению USB-портов может быть использование специальной системы защиты информации.

 Большинство специалистов в области информационной безопасности считают мобильные накопители главной угрозой бизнеса сегодня (рис. 2) [3].

Рис. 2. Самые популярные каналы утечки

 Электронная почта  достаточно долго занимала лидирующие  позиции в рейтинге самых опасных  каналов утечки. Причина в том, что мобильные накопители являются менее заметными: крошечные запоминающие устройства, способные вмещать десятки гигабайтов данных, объем, сравнимый с возможностями жестких дисков. Их вместимость, мобильность и простота подключения — главные причины распространения как оружия инсайдеров. С другой стороны, за электронной почтой на большинстве предприятий зорко наблюдает служба безопасности. А также, очевидно, сложно таким образом переслать большой массив данных.

Просто запретить использование мобильных накопителей не всегда возможно, так как очень часто «флэшки» требуются по производственной необходимости. Это что-то вроде кухонного ножа: с одной стороны — самое распространенное орудие бытовых убийств, а с другой — незаменимый помощник в хозяйстве. Так что вариант с заклеиванием USB-порта ленточкой с голографической наклейкой здесь неуместен. Впрочем, сегодня уже есть широкий выбор специализированного ПО, способного предотвратить утечку программным способом, без таких экзотических средств.

Классификация угроз  безопасности может быть осуществлена разделением угроз на связанные  с внутренними и внешними факторами [2].

 Множество непреднамеренных  угроз, связанных с внешними (по  отношению к бизнесу) факторами,  обусловлено влиянием воздействий, неподдающихся предсказанию (например, угрозы связанные со стихийными бедствиями, техногенными, политическими, экономическими, социальными факторами, развитием информационных и коммуникационных технологий, другими внешними воздействиями).

 К внутренним непреднамеренным относят угрозы, связанные с отказами вычислительной и коммуникационной техники, ошибками программного обеспечения, персонала, другими внутренними непреднамеренными воздействиями. Отдельно следует выделить угрозы связанные с преднамеренными ошибками, возникающие за пределами бизнеса. К таким угрозам относят следующее:

• несанкционированный доступ к информации, хранящейся в системе;
• отрицание действий, связанных с манипулированием информацией (например, несанкционированная модификация, приводящая к нарушению целостности данных);
• ввод в программные продукты и проекты “логических бомб”, которые срабатывают при выполнении определенных условий или по истечении определенного периода времени и частично или полностью выводят из строя компьютерную систему;
• разработка и распространение компьютерных вирусов;
• небрежность в разработке, поддержке и эксплуатации программного обеспечения, приводящие к краху компьютерной системы;
• изменение компьютерной информации и подделка электронных подписей;
• хищение информации с последующей маскировкой (например, использование идентификатора, не принадлежащего пользователю, для получения доступа к ресурсам системы);
• перехват (например, нарушение конфиденциальности данных и сообщений);
• отрицание действий или услуги (отрицание существования утерянной информации);
• отказ в предоставлении услуги (комплекс нарушений, вызванных системными ошибками, несовместимостью компонент и ошибками в управлении).

 Под несанкционированным  доступом (НСД) к ресурсам информационной  системы понимаются действия по использованию, изменению и уничтожению исполняемых модулей и массивов данных системы, проводимые субъектом, не имеющим права на подобные действия.

 К сожалению, приходится  констатировать, что унифицированный  подход к классификации угроз  информационной безопасности отсутствует. И это вполне объяснимо, так как при всем том многообразии информационных систем, направленных на автоматизацию множества технологических процессов, которые затрагивают различные сферы человеческой деятельности, жесткая систематизация и классификация угроз неприемлема.

 Наиболее приемлемой  в настоящее время можно считать  следующую классификацию (рис. 3).

Рис. 3. Классификация угроз информационной безопасности

Как видно из рисунка, по составу и последствиям ПЗ представляются в виде преступлений, мошенничеств и хулиганств.

Под компьютерным преступлением (КП) следует понимать комплекс противоправных действий, направленных на несанкционированный  доступ, получение и распространение  информации, осуществляемых с использованием средств вычислительной техники, коммуникаций и ПО.

Компьютерное мошенничество  отличается от других видов компьютерных нарушений тем, что его целью  является незаконное обогащение нарушителя.

Компьютерное хулиганство, на первый взгляд, является безобидной демонстрацией интеллектуальных способностей, но последствия подобных действий могут быть весьма серьезными, поскольку они приводят к потере доверия пользователей к вычислительной системе, а также к краже данных, характеризующих личную или коммерческую информацию.

 По типу реализации  можно различать программные  и непрограммные злоупотребления.  К программным относят злоупотребления,  которые реализованы в виде  отдельного программного модуля  или модуля в составе программного  обеспечения. К непрограммным  относят злоупотребления, в основе которых лежит использование технических средств для подготовки и реализации компьютерных преступлений (например, несанкционированное подключение к коммуникационным сетям, съём информации с помощью специальной аппаратуры и др.).

 Компьютерные злоумышленники преследуют различные цели и для их реализации используют широкий набор программных средств. Исходя из этого, представляется возможным объединение программных злоупотреблений по целям в две группы: тактические и стратегические. К тактическим относят злоупотребления, которые преследуют достижение ближайшей цели (например, получение пароля, уничтожение данных и др.). К группе стратегических относятся злоупотребления, реализация которых обеспечивает возможность получения контроля над технологическими операциями преобразования информации, влияние на функционирование компонентов ИС (например, мониторинг системы, вывод из строя аппаратной и программной среды и др.).

 По характеру возникновения  различают непреднамеренные и  преднамеренные злоупотребления. Непреднамеренные угрозы связаны со стихийными бедствиями и другими неподдающимися предсказанию факторами, сбоями и ошибками вычислительной техники и программного обеспечения, а также ошибками персонала. Преднамеренные угрозы обусловлены действиями людей и ориентированы на несанкционированное нарушение конфиденциальности, целостности и/или доступности информации, а также использование ресурсов в своих целях.

 При реализации  угроз безопасности информационные  и коммуникационные технологии  могут выступать в качестве объекта преступления, средства преступления, средства подготовки преступления или среды совершения преступления.

 По месту возникновения  угроз безопасности ЭИС можно  различать угрозы, возникающие в  пределах ЭИС и угрозы, возникающие  во внешней среде.

 По объекту воздействия  следует выделять угрозы, воздействующие  на ЭИС в целом и угрозы, воздействующие на отдельные  ее элементы.

 По причине возникновения  различают такие угрозы, как сбои  оборудования, некорректная работа  операционных систем и программного обеспечения, несанкционированный доступ и неправильное хранение архивных данных, вследствие чего они могут быть утеряны (уничтожены).

 Реализация нарушителями  угроз безопасности ЭИС приводит  к нарушению нормального функционирования  ЭИС и/или к снижению безопасности информации, определенное конфиденциальностью, целостностью и доступностью.

Структура и составляющие информационной безопасности

Таким образом, все перечисленное  можно отобразить в виде схемы, которая  дает полное представление о структуре информационной безопасности (ИБ) [1], которая предусматривает защиту информации от широкого спектра угроз для обеспечения непрерывности бизнеса, минимизации потерь и максимизации возврата от вложенных инвестиций. Каждая организация имеет информационные ресурсы (пункт 1) - знания и умения сотрудников, аппаратное и программное обеспечение, БД, документацию и прочие виды информации (пункт 2).

 Рис. 4. Структура и составляющие информационной безопасности

Важной составляющей ресурса компании является информация о компании в обществе, которая формирует репутацию фирмы, степень доверия к ней со стороны клиентов, популярность бренда и т.д.

 Информационные ресурсы  подвержены потерям в виде  нарушения конфиденциальности, работоспособности,  целостности и полноты (пункт 3). Чем ценнее информация в компании, тем больше опасность вредоносных действий, направленных на завладение ею или на ее уничтожение. Вредоносные действия могут совершаться в виде неавторизованного доступа в сеть, неавторизованного раскрытия информации (утечки информации), модификации данных или ПО, а также мошеннических действий в сети (пункт 4).

 Наличие описанных  уязвимостей определяет угрозы  безопасности, которые представляют  собой риски, требующие введения  мер безопасности. Степень риска  определяет уровень затрат на меры безопасности. Меры безопасности должны гарантировать конфиденциальность, целостность, доступность информации, своевременную отчетность, физическую безопасность и контроль доступа (пункт 5). В свою очередь, меры безопасности могут быть техническими, организационными и управленческими (пункт 6).

 Например, защита от  вирусов может быть реализована  технически - посредством установки  антивируса, а может быть решена  организационно путем запрещения  выхода в интернет, самовольной  установки ПО и использования мобильных накопителей информации.

 Меры безопасности  обеспечиваются различными системами  безопасности: процедурной, физической, системной, коммуникационной и  др. (пункт 7).

 На рисунке показаны  также источники угрозы: намеренные  действия со стороны людей, возможные аварии (ошибки в работе пользователей, программ и оборудования), а также природные факторы (пункт 9).

 Интересно, что  в категорию вандалов и террористов  (представляющих опасность с точки  зрения кражи и повреждения  информации) попадают также журналисты (пункт 8). Впрочем, очевидно, что в плане утечки корпоративной информации журналисты порой представляют не меньшую опасность для корпорации, чем шпионы. Недаром во многих компаниях общаться с журналистами имеют право лишь определенные категории сотрудников - обычно высший менеджмент и сотрудники отдела маркетинга.

3.  Задачи  
Заключение

Исходя из вышесказанного, необходимо отметить следующие моменты.

1. Как правило, в состав АИС входят:

• информационные ресурсы, представленные в виде баз данных (баз знаний), хранящих данные об объектах, связь между которыми задается определенными правилами;
• формальная логико-математическая система, реализованная в виде программных модулей, обеспечивающих ввод, обработку, поиск и вывод необходимой информации;
• интерфейс, обеспечивающий общение пользователя с системой в удобной для него форме и позволяющий работать с информацией баз данных;
• персонал, определяющий порядок функционирования системы, планирующий порядок постановки задач и достижения целей;
• комплекс технических средств.

Структура — определенное внутреннее устройство системы. Исходя из определения, что информационная система — взаимосвязанная совокупность средств, методов и персонала, используемых для сбора, хранения, обработки и выдачи информации в целях решения поставленных задач, ее структуру следует рассматривать как совокупность определенным образом организованных подсистем, обеспечивающих выполнение этих процессов.

АИС состоит, как правило, из функциональной и обеспечивающей частей, каждая из которых имеет свою структуру. Функция есть проявление взаимодействия системы с внешней средой. Проявление функции во времени называется функционированием. Функциональная часть — совокупность подсистем, зависящих от особенностей АСУ. Эти подсистемы разделяются по определенному признаку (функциональному или структурному) и объединяют в себе соответствующие комплексы задач управления.