Угрозы нарушения конфиденциальности направлены на разглашение конфиденциальной или секретной информации. В терминах компьютерной безопасности угроза нарушения конфиденциальности имеет место всякий раз, когда получен несанкционированный доступ к некоторой закрытой информации, хранящейся в компьютерной системе или передаваемой от одной системы к другой.
Угрозы нарушения целостности информации, хранящейся в компьютерной системе или передаваемой по каналу связи, направлены на ее изменение или искажение, приводящее к нарушению ее качества или полному уничтожению. Целостность информации может быть нарушена умышленно злоумышленником, а также в результате объективных воздействий со стороны среды, окружающей систему. Эта угроза особенно актуальна для систем передачи информации - компьютерных сетей и систем телекоммуникаций. Умышленные нарушения целостности информации не следует путать с ее санкционированным изменением, которое выполняется полномочными лицами с обоснованной целью (например, таким изменением является периодическая коррекция некоторой базы данных).
Угрозы нарушения работоспособности (отказ в обслуживании) направлены на создание таких ситуаций, когда определенные преднамеренные действия либо снижают работоспособность АСОИ, либо блокируют доступ к некоторым ее ресурсам. Например, если один пользователь системы запрашивает доступ к некоторой службе, а другой предпринимает действия по блокированию этого доступа, то первый пользователь получает отказ в обслуживании. Блокирование доступа к ресурсу может быть постоянным или временным.
Нарушения конфиденциальности и целостности информации, а также доступности и целостности определенных компонентов и ресурсов АСОИ могут быть вызваны различными опасными воздействиями на АСОИ.
Современная автоматизированная система обработки информации представляет собой сложную систему, состоящую из большого числа компонентов различной степени автономности, которые связаны между собой и обмениваются данными. Практически каждый компонент может подвергнуться внешнему воздействию или выйти из строя. Компоненты АСОИ можно разбить на следующие группы:
аппаратные средства-ЭВМ и их составные части (процессоры, мониторы, терминалы, периферийные устройства-дисководы, принтеры, контроллеры, кабели, линии связи) и т.д.; | |
программное обеспечение - приобретенные программы, исходные, объектные, загрузочные модули; операционные системы и системные программы (компиляторы, компоновщики и др.), утилиты, диагностические программы и т.д.; | |
данные - хранимые временно и постоянно, на магнитных носителях, печатные, архивы, системные журналы и т.д.; | |
персонал - обслуживающий персонал и пользователи. |
Опасные воздействия на АСОИ можно подразделить на случайные и преднамеренные. Анализ опыта проектирования, изготовления и эксплуатации АСОИ показывает, что информация подвергается различным случайным воздействиям на всех этапах цикла жизни и функционирования АСОИ. Причинами случайных воздействий при эксплуатации АСОИ могут быть:
аварийные ситуации из-за стихийных бедствий и отключений электропитания; | |
отказы и сбои аппаратуры; | |
ошибки в программном обеспечении; | |
ошибки в работе обслуживающего персонала и пользователей; | |
помехи в линиях связи из-за воздействий внешней среды. |
Преднамеренные угрозы связаны с целенаправленными действиями нарушителя. В качестве нарушителя могут выступать служащий, посетитель, конкурент, наемник и т.д. Действия нарушителя могут быть обусловлены разными мотивами: недовольством служащего своей карьерой, сугубо материальным интересом (взятка), любопытством, конкурентной борьбой, стремлением самоутвердиться любой ценой и т.п.
Исходя из возможности возникновения наиболее опасной ситуации, обусловленной действиями нарушителя, можно составить гипотетическую модель потенциального нарушителя:
квалификация нарушителя может быть на уровне разработчика данной системы; | |
нарушителем может быть как постороннее лицо, так и законный пользователь системы; | |
нарушителю известна информация о принципах работы системы; | |
нарушитель выберет наиболее слабое звено в защите. |
Разумеется, наибольшим объемом конфиденциальной информации располагают сотрудники фирмы, непосредственно с ней работающие. По некоторым расчетам персонал любой компании состоит на 25% из честных людей, которые остаются таковыми при любых обстоятельствах, на 25% люди, ожидающие удобного случая поживиться за счет интересов фирмы, и остальные 50% - лица, которые могут остаться честными или не останутся честными в зависимости от обстоятельств. Это значит, что из 100 сотрудников 75 могут стать шпионами и при использовании таких способов, как «инициативное сотрудничество» или «склонение к сотрудничеству» злоумышленники, могут получить коммерчески ценную информацию о конкурентах. Эта цифра говорит об исключительной серьезности этого канала утечки информации.
Большую долю конфиденциальной информации конкурент может получить при несоблюдении работниками-пользователями компьютерных сетей элементарных правил защиты информации. Это может проявиться, например, в примитивности паролей (недобросовестные конкуренты давно используют экспертов по психологии в отношении тех, кому пароли приходится придумывать); в том, что сложный пароль пользователь приклеивает на видное место на мониторе или же записывает в текстовый файл на жестком диске и пр.
Положение осложняется тем, что морально-этическая сторона проблемы нарушения конфиденциальности информации нередко просто не воспринимается ни нарушителем, ни обществом в целом. Поэтому одним из условий сохранения коммерческой тайны предприятия является правильная кадровая политика, создание нормального психологического климата в коллективе. При формировании коллектива сотрудников необходимо учитывать, кому из них доверять свои тайны, а кому нет. Решают этот вопрос руководители организаций. Задача службы безопасности фирмы своевременно выявить из обслуживающего персонала тех сотрудников, которые вынашивают намерения использовать имеющиеся в их распоряжении сведения для продажи другим лицам или использовать в своих личных целях для получения выгоды. Помимо действия в интересах конкурента, могут совершиться и действия, преследуемые по закону: мошенничество, саботаж, повреждение технических средств хранения и передачи информации.
Утечка конфиденциальной информации может происходить при использовании открытых каналов связи. Исключить ведение переговоров по телефону с использованием сведений, относящихся к конфиденциальной коммерческой информации, конечно же, нельзя. Поэтому при ведении телефонных переговоров не лишним было бы требование установки аппаратуры шифрования сигнала, а так же надежной идентификации своего собеседника.
Следует заметить, что на сегодняшний день указанная мера предосторожности не является единственным способом защиты телефонных разговоров. Федеральное агентство правительственной связи при Президенте России выделило закрытые телефонные каналы для предоставления их в аренду на коммерческой основе.