Обеспечение безопасности экономических информационных систем

Защита  информации (ЗИ) - комплекс мероприятий, направленных на обеспечение важнейших аспектов информационной безопасности: целостности, доступности и, если нужно, конфиденциальности информации и ресурсов, используемых для ввода, хранения, обработки и передачи данных.

Основные предметные направления ЗИ - охрана государственной, коммерческой, служебной, банковской тайн, персональных данных и интеллектуальной собственности.

Система защиты информации представляет организованную совокупность специальных органов, средств, методов и мероприятий, обеспечивающих защиту информации от внутренних и внешних угроз.

1. Виды угроз безопасности ЭИС

Для защиты информации требуется не просто разработка частных  механизмов защиты, а организация  комплекса мер, т.е. использование специальных средств, методов и мероприятий с целью предотвращения потери информации. В этом смысле сегодня рождается новая современная технология - технология защиты информации в компьютерных информационных системах и в сетях передачи данных.

Под угрозой  безопасности понимается действие или событие, которое может привести к разрушению, искажению или несанкционированному использованию информационных ресурсов, включая хранимую, передаваемую и обрабатываемую информацию, а также программные и аппаратные средства.

Угрозы принято  делить на:

а) случайные  или непреднамеренные

б) умышленные.

Источником  случайных, или непреднамеренных, могут  быть ошибки в программном обеспечении, выходы из строя аппаратных средств, неправильные действия пользователей  или администрации и т.п.

Умышленные  угрозы преследуют цель нанесения ущерба пользователям автоматизированных информационных технологий (АИТ) и, в  свою очередь, подразделяются на: активные и пассивные.

Пассивные угрозы, как правило, направлены на несанкционированное использование информационных ресурсов, не оказывая при этом влияния на их функционирование. Пассивной угрозой является, например, попытка получения информации, циркулирующей в каналах связи, посредством их прослушивания.

Активные  угрозы имеют целью нарушение нормального процесса функционирования системы посредством целенаправленного воздействия на аппаратные, программные и информационные ресурсы. К активным угрозам относятся, например, разрушение или радиоэлектронное подавление линий связи, вывод из строя ПЭВМ или ее операционной системы, искажение сведений в базах данных либо в системной информации и т.д. Источниками активных угроз могут быть непосредственные действия злоумышленников, программные вирусы и т.п.

К основным угрозам  безопасности информации относят:

1. раскрытие конфиденциальной информации;

2. компрометация  информации;

3. несанкционированное  использование информационных ресурсов;

4. ошибочное  использование ресурсов;

5. несанкционированный  обмен информацией;

6. отказ от  информации;

7. отказ от  обслуживания.

Разберем каждую из основных угроз безопасности информации:

1) Средствами  реализации угрозы раскрытия  конфиденциальной информации могут  быть несанкционированный доступ  к базам данных, прослушивание  каналов и т.п. В любом случае  получение информации, являющейся достоянием некоторого лица (группы лиц), другими лицами наносит ее владельцам существенный ущерб.

2) Компрометация  информации, как правило, реализуется  посредством внесения несанкционированных  изменений в базы данных, в  результате чего ее потребитель вынужден либо отказаться от нее, либо предпринимать дополнительные усилия для выявления изменений и восстановления истинных сведений. В случае использования скомпрометированной информации потребитель подвергается опасности принятия неверных решений со всеми вытекающими последствиями.

3) Несанкционированное  использование информационных ресурсов, с одной стороны, является средством  раскрытия или компрометации  информации, а с другой - имеет  самостоятельное значение, поскольку,  даже не касаясь пользовательской или системной информации, может нанести определенный ущерб абонентам и администрации. Этот ущерб может варьировать в широких пределах - от сокращения поступления финансовых средств до полного выхода АИТ из строя.

4) Ошибочное  использование информационных ресурсов, будучи санкционированным, тем не менее, может привести к разрушению, раскрытию или компрометации указанных ресурсов. Данная угроза чаще всего является следствием ошибок в программном обеспечении АИТ.

5) Несанкционированный  обмен информацией между абонентами может привести к получению одним из них сведений, доступ к которым ему запрещен, что по своим последствиям равносильно раскрытию содержания экономической информации.

6) Отказ от информации  состоит в непризнании получателем  или отправителем информации фактов ее получения или отправки. В условиях маркетинговой деятельности это, в частности, позволяет одной из сторон расторгать заключенные финансовые соглашения "техническим" путем, формально не отказываясь от них и нанося тем самым второй стороне значительный ущерб.

7) Отказ в  обслуживании представляет собой  весьма существенную и распространенную  угрозу, источником которой является  сама АИТ. Подобный отказ особенно  опасен в ситуациях, когда задержка  с предоставлением ресурсов абоненту  может привести к тяжелым для него последствиям. Так, отсутствие у пользователя данных, необходимых для принятия решения, в течение периода, когда это решение еще может быть эффективно реализовано, может стать причиной его нерациональных или даже антимонопольных действий.

Основными типовыми путями несанкционированного доступа  к информации являются:

-хищение носителей  информации и документальных  отходов;

-копирование  носителей информации с преодолением  мер защиты;

-маскировка  под зарегистрированного пользователя;

-использование  программных ловушек;

-включение в  библиотеки программ специальных  блоков типа "Троянский конь";

-незаконное  подключение к аппаратуре и  линиям связи;

-злоумышленный  вывод из строя механизмов  защиты;

-внедрение и  использование компьютерных вирусов  и т.д.

Необходимо  отметить, что особую опасность в  настоящее время представляет проблема компьютерных вирусов, ведь эффективной защиты против них разработать не удалось. Остальные пути несанкционированного доступа поддаются надежной блокировке при правильно разработанной и реализуемой на практике системе обеспечения безопасности.

2. Методы и средства защиты информации в экономических информационных системах

Организационные мероприятия и процедуры, используемые для решения проблемы безопасности информации, решаются на всех этапах проектирования и в процессе эксплуатации АИТ. Существенное значение при проектировании придается предпроектному обследованию объекта. На этой стадии проводятся следующие действия:

1. устанавливается  наличие конфиденциальной информации  в разрабатываемой АИТ, оцениваются  уровень конфиденциальности и  объемы такой информации;

2. определяются  режимы обработки информации (диалоговый, телеобработки и реального времени), состав комплекса технических  средств, общесистемные программные  средства и т.д.;

3. анализируется  возможность использования имеющихся  на рынке сертифицированных средств защиты информации;

4. определяется  степень участия персонала, функциональных  служб, научных и вспомогательных  работников объекта автоматизации  в обработке информации, характер  их взаимодействия между собой  и со службой безопасности;

5. вводятся мероприятия по обеспечению режима секретности на стадии разработки системы.

Функционирование  системы защиты информации от несанкционированного доступа как комплекса программно-технических  средств и организационных (процедурных) решений предусматривает:

- учет, хранение  и выдачу пользователям информационных  носителей, паролей, ключей;

- ведение служебной  информации (генерация паролей, ключей, сопровождение правил разграничения  доступа);

- оперативный  контроль за функционированием  систем защиты секретной информации;

-  контроль  соответствия общесистемной программной  среды эталону;

-  приемку  включаемых в АИТ новых программных  средств;

- контроль за  ходом технологического процесса  обработки финансово-кредитной информации  путем регистрации анализа действий  пользователей;

- сигнализацию  опасных событий и т.д.

Проблема создания системы защиты информации включает две взаимодополняющие задачи:

1. разработку  системы защиты информации (ее  синтез);

2. оценку, разработанной  системы защиты информации.

Вторая задача решается путем анализа технических характеристик защиты информации с целью установления соответствия ее требованиям, предъявляемым к таким системам.

В настоящее  время подобные задачи решаются практически  исключительно экспертным путем  с помощью сертификации средств системы защиты информации и ее аттестации в процессе внедрения.

Раскроем основное содержание представленных средств  и методов защиты информации, которые представляют основу механизмов защиты.

1. Препятствие  - метод физического преграждения  пути злоумышленнику к защищаемой информации (к аппаратуре, носителям информации и т.д.).

2. Управление  доступом - метод защиты информации  с помощью регулирования использования  всех ресурсов компьютерной информационной  системы банковской деятельности (элементов баз данных, программных и технических средств).

Средства защиты делятся на формальные (выполняющие  защитные функции строго по заранее  предусмотренной процедуре без  непосредственного участия человека) и неформальные (определяемые целенаправленной деятельностью человека либо регламентирующие эту деятельность).

4. Основные виды защиты, используемые  в АИТ

В практической экономической деятельности применение мер и средств защиты информации включает следующие самостоятельные  направления:

- защиту информации  от несанкционированного доступа;

- защиту информации  в системах связи;

- защиту юридической  значимости электронных документов;

- защиту конфиденциальной  информации от утечки по каналам  побочных - электромагнитных излучений  и наводок;

- защиту информации  от компьютерных вирусов и других опасных воздействий по каналам распространения программ;

- защиту от  несанкционированного копирования  и распространения программ и  ценной компьютерной информации.

Защита информации является не разовым мероприятием и  даже не совокупностью мероприятий, а непрерывным процессом на всех этапах жизненного цикла компьютерной системы. Определяющим фактором при выборе и использовании средств защиты является надежность защиты.