Шпаргалка по "Информатике

Аудит проводится группой  специалистов, численность и состав которой зависит от цели обследования структуры системы электронного документооборота, материальной базы организации с помощью инструментальных средств, выявления и анализа угроз безопасности и уязвимости системы.

По отношению к СЭД  удит предполагает:

1) идентификацию и категорирование информационного массива системы, представленного электронными документами и информационными ресурсами;

2) идентификацию угроз и уязвимости СЭД, построение модели нарушителя;

3) оценку рисков реализации угроз.

Для того, что построить  эффективную систему защиты, необходимо на первом этапе работ идентифицировать объект защиты и ответить на вопросы: какая информация создается и хранится в системе, какова ее ценность, что следует охранять. В данном случае в качестве объектов защиты выступают комплекс электронных документов, аппаратно-программное обеспечение системы, персонал организации.

На данном этапе служба ДОУ предоставляет аудиторам необходимые сведения в виде отчетности по документообороту организации. ДОУ принимает участие в классификации каждого вида ЭД, построению информационной структуры организации.

 

Категорирование ЭД по уровню доступа – это установление степени важности информации для организации, т.е. проводится экспертиза ценности документов как с точки зрения научно-исторической и социальной ценности, так и с точки зрения ценности документов, при воздействии на которые организация несет материальные убытки. Речь идет о документации, связанной с производством, технологией, финансами, кадрами.

Во время аудита информационной безопасности нельзя забывать об учете  аппаратно-программного и кадрового  обеспечения СЭД.

Обследование технического обеспечения электронного документооборота осуществляется отделом информационных технологий. Для решения вопросов, связанных с использованием технологий, необходимо привлекать кадры в связи с допуском к работе с документами, назначении функциональных прав.

Этот процесс должен строго документироваться путем  включения соответствующих положений  в должностные инструкции, заключения договоров о неразглашении с  определением ответственности за несоблюдение политики безопасности.

Определение угроз и уязвимости СЭД. На заключительном этапе аудита на основе полученных данных проводится оценка риска угроз по отношению к СЭД, определяется размер потенциального ущерба. Результаты аудита являются основой для построения системы защиты.

Аудит предполагает обязательное документирование всех работ: составляется план проведения аудиторских работ, издается приказ о назначении ответственных лиц и сроках аудиторских мероприятий, по каждому этапу работ составляется соответствующая документация.

 

 

 

5. Определение и классификация угроз безопасности в системах электронного документооборота (СЭД) ("угроза безопасности", "угроза информации").

 

Угрозы безопасности  – потенциально возможные события, действия, процессы, явления, которые могут привести к нанесению материального и морального ущерба защищаемого объекта системы.

Угроза информации – мера возможности возникновения на каком-либо этапе жизнедеятельности системы такого явления или события, следствием которого могут быть нежелательные воздействия на информацию: нарушение (или опасность нарушения) физической целостности, несанкционированная модификация (или угроза такой модификации) информации, несанкционированное получение (или угроза такого получения) информации, несанкционированное размножение информации.

Этап выявления возможных  угроз безопасности предполагает фиксирование на определенный момент времени состояния  СЭД и определение возможных  воздействий на каждый ее компонент. Так как обеспечить защиту системы  от всех воздействий на нее нереально, то на практике приходится выбирать из всего множества возможных лишь те, которые с наибольшей вероятностью могут произойти и нанести серьезный ущерб организации.

 

 

 

6. Классификация  угроз по природе их возникновения  (естественные и искусственные).

Все множество потенциальных угроз по природе их возникновения разделяется на два класса: естественные (объективные) и искусственные (субъективные).

Естественные угрозы – это угрозы, вызванные воздействиями на систему и ее элементы объективных физических процессов или стихийных природных явлений, независящих от человека.

Искусственные угрозы – это угрозы, вызванные деятельностью человека. Среди них, исходя из мотивации действий, можно выделить:

-непреднамеренные (неумышленные, случайные) угрозы, вызванные ошибками  в проектировании системы и ее элементов, ошибками в программном обеспечении, ошибками в действиях персонала и т.п.;

-преднамеренные (умышленные) угрозы, связанные с корыстными  устремлениями людей (злоумышленников).

 

 

 

 

 

7. Классификация угроз  на основе объектов СЭД и по целям, преследуемым нарушителем.

Классификация угроз  на основе объектов СЭД, на которые  направлены угрозы:

-угрозы компьютерным системам (физическое вмешательство, заражение вирусами, несанкционированное внедрение в систему);

-угрозы безопасности пользователей (подмена персоналий, нарушение приватности);

-угрозы документам (нарушение целостности и конфиденциальности).

Классификация угроз  по целям, преследуемым нарушителем (злоумышленником):

-угрозы конфиденциальности  данных и программ;

-угрозы целостности данных;

-угрозы доступности  данных;

-угрозы отказа от  выполнения транзакций.

 

 

 

9. Классификация угроз по отношению к электронным документам (ЭД).

 

В настоящее время  существует три группы угроз электронным  документам:

– угрозы, направленные на несанкционированную модификацию, нарушение целостности документа, которые включают в себя изменение служебной или содержательной части документа, подмену документа, изъятие или уничтожение документа;

– угрозы, направленные на искажение аутентичности отправителя документа. К ним относятся: незаконное присвоение идентификатора другого пользователя; формирование и отправление документа от его имени; утверждение о получение информации от некоего третьего лица, хотя она сформирована самим пользователем; повторная передача документа, созданного другим пользователем; искажение уязвимых с точки зрения аутентификации полей документа, включающих адресные данные, идентификаторы отправителя и получателя);

– угрозы, связанные с  непризнанием участия. К этой группе угроз относятся: отказ от факта формирования документа; отказ от факта получения документа или заявление ложных сведений о времени его получения; утверждение, что получателю в определенное время была послана информация, которая на самом деле не посылалась или посылалась в другое время.

 

8. Классификация угроз по отношению к Интернету.

 

-вредоносное ПО (вирусные  и троянские программы (включая  сетевых червей), а также сетевые  пакеты, которые используются в  хакерских атаках);

-глобальные сетевые  атаки;

-спам.

Ущерб, который наносится вредным программным обеспечением, можно классифицировать следующим образом:

неавторизованный доступ к информации, т.е. ее уничтожение, изменение (включая намеренное искажение информации в злоумышленных целях), передача (отсылка, т.е. организация утечки информации, включая конфиденциальной/секретной).

нештатное поведение программного обеспечения и железа, т.е. сбои и/или замедление работы компьютерных систем, зависания элементов систем, и т.п.

использование вычислительных, дисковых и прочих ресурсов систем в чужих интересах и/или в ущерб интересам владельца ресурсов.

Спам — это: Увеличение нагрузки на почтовые серверы, что влечет за собой неоправданное увеличение средств, вкладываемых в организацию инфраструктуры сетей, а также увеличение численности персонала, эти сети обслуживающего. Риск потери важной информации по причине того, что она просто затерялась среди спама (если, например, 99 из 100 писем — это спам, то "заодно" уничтожится и нужное письмо). Пустая трата времени: для фильтрации спама сотрудники компаний (тратят свое рабочее время, доля которого возрастает с возрастанием доли спама в корреспонденции. Если к тому же оплата услуг провайдера ведется по размеру трафика, то возникает и прямой материальный ущерб — оплата доставки заведомо ненужной принудительно навязываемой корреспонденции. Риск стать жертвой мошенников (привлечение к финансовым аферам или пирамидам), появление в почте нежелательной информации.

Глобальные сетевые  атаки, возникающие в результате запланированных действий хакера или группы хакеров, или как результат неконтролируемого распространения сетевых вирусов-червей. Это отказ каналов и/или центральных сетевых серверов. Сетевые атаки приводят к следующим последствиям: отказ клиентских и серверных компонентов сетей по причине перегрузки чрезмерным количеством запросов на обслуживание; заметное замедление работы локальных и глобальных сетей по причине перегрузки каналов, работа которых блокируется чрезмерным количеством передаваемых данных; заметный материальный ущерб в тех случаях, когда оплата услуг провайдера ведется по размеру передаваемого и/или принимаемого трафика.

 

 

 

10. Понятие "уязвимость СЗД", методы и средства обнаружения и анализа уязвимостей.

В целях реализации функций, возложенных на систему  защиты,  выбора соответствующих методов и средств защиты, определения требований к защите, оптимизации ее управления, оценки эффективности затрат на работу, необходимо осуществлять анализ защищенности отдельных критических сетевых объектов, сервисов, процессов, приложений, информационных ресурсов и в целом всех защищаемых областей. Такой процесс предполагает выявление и анализ  уязвимостей системы и угроз безопасности. На этом этапе построения системы защиты электронного документооборота должны быть обнаружены и устранены все уязвимости защищаемого объекта. Следствием устранения таких уязвимостей является то, что некоторые виды угроз не будут представлять опасность до того времени, пока для них не появятся благоприятные условия - новые уязвимости, которые стимулируют их появление.

Выявление и анализ уязвимостей и угроз проводится по направлениям: объекты СЭД, этапы жизненного цикла СЭД.

Уязвимость  необходимо оценивать в процессах  проектирования, реализации, функционирования СЭД по отношению ко всем ее объектам. Такое положение обусловлено незащищенностью создаваемых компонентов системы и баз данных информации.

Под уязвимостью понимается любая характеристика защищаемого объекта, использование которой может привести к реализации угроз, представляющих определенную опасность нарушения ее конфиденциальности, целостности или доступности. Уязвимость информации в процессе функционирования системы обуславливается тем, что современные СЭД представляют собой организационную структуру с высокой концентрацией информации как объекта случайных или злоумышленных воздействий даже в том случае, если не осуществляется ее автоматическая обработка.

Политика  безопасности организации должна определять тип, место, количество, характеристики уязвимостей в аппаратно-программных средствах, алгоритмах работы, криптографии, протоколов, надежности отдельных блоков. При отсутствии политики безопасности уязвимости не принимаются во внимание и рассматриваются лишь вопросы обеспечения надежности и производительности СЭД в целом.

Весь процесс  обнаружения, устранения уязвимостей составляет основную задачу анализа защищенности системы, осуществляемый постоянно за весь период ее функционирования. В первую очередь, необходимо определить причины возникновения уязвимостей. Часть уязвимостей по своей природе связана  с процессом проектирования системы электронного документооборота.

Разработка системы защиты осуществляется как для функционирующей, так и для проектируемой системы. В первом случае необходимо учесть реальные характеристики защищаемого объекта, информационных ресурсов, потоков, категорий обрабатываемой информации, организации работы пользователей, функциональную структуру защищаемых областей и их отдельных компонентов на предмет соответствия требованиям политики безопасности.

Недостаток  данного подхода заключается в том, что разработчику системы защиты неизвестны скрытые уязвимости, допущенные на стадии проектирования функционирующей системы. Это приводит к нежелательным и не прогнозируемым результатам обеспечения защиты, выходящим за рамки политики безопасности. Такого рода уязвимости наиболее опасны, они трудно обнаруживаются, для их устранения необходимо приостановить работу отдельных компонентов системы в целях перенастройки, внести коррекцию в существующую структуру.

Обнаружение уязвимостей проектирования функционирующей системы пока не автоматизировано. Для решения данной проблемы необходимо привлекать специальные группы экспертов в области защиты информации, проводящих всестороннее испытание системы. Эти группы получили название «Команды тигров», которые впервые в 1970-80-ые гг. были задействованы для санкционированного взлома компьютерной сети Минобороны США и нахождения уязвимых мест в ее компонентах. В процессе анализа «Команды тигров» генерируют возможные угрозы, имитируют действия злоумышленников, запускают различные тесты, создают критические условия для проникновения в систему как извне, так и изнутри. При таком анализе обнаруживаются каналы утечки информации, пути проникновения, которые существуют из-за ошибок процесса проектирования системы, настройки средств защиты. Однако данные об уязвимостях проектирования зависят от времени и не могут быть постоянно актуальными, так как появляются новые угрозы и уязвимости.