Обеспечение информационной безопасности при эксплуатации ЭИС

В современных компьютерных системах всегда обеспечивается тот или иной уровень защиты информации. Информация никогда не представляется «в чистом виде», на пути к ней имеется система защиты, и поэтому, чтобы угрожать, скажем, нарушением конфиденциальности, атакующая сторона должна преодолеть эту систему. Поскольку не существует, в принципе, абсолютно стойких систем защиты, то их преодоление сводится к необходимым средствам и времени.

Опыт применения компьютерных систем показал, что в них, помимо традиционного шпионажа, существует много других возможных направлений утечки информации и путей несанкционированного доступа к ней [3.6].

Несанкционированный доступ к информации (НСДИ) осуществляется обычно с использованием штатных аппаратных и программных средств компьютерной системы (КС). В результате такого доступа нарушаются установленные разграничения доступа пользователей или процессов к шифровальным ресурсам.

Право доступа к ресурсам КС определяется руководством для каждого сотрудника в соответствии с его функциональными обязанностями. Поскольку процессы в КС инициируются в интересах определенных лиц, то и на них также накладываются соответствующие ограничения по доступу к ресурсам. Для реализации установленных правил разграничения доступа в КС создается система разграничения доступа (СРД).

Если СРД отсутствует, то злоумышленник, имеющий навыки работы в КС, может получить без ограничений доступ к любой информации. По имеющейся СРД несанкционированный доступ возможен при фальсификации полномочий пользователей. НСДИ упрощается в результате сбоев или отказов средств КС, а также ошибочных действий обслуживающего персонала и пользователей.

Большую угрозу безопасности информации в КС представляет несанкционированная модификация алгоритмической, программной и технической структур системы. Такая модификация может осуществляться на любом этапе жизненного цикла КС. Несанкционированное изменение структуры КС на этапах разработки и модификации получило название «закладка». Закладки, внедренные на этапе разработки, очень сложно выявить.

Программные и аппаратные закладки используются либо для непосредственного вредительского воздействия, либо для обеспечения неконтролируемого входа в систему. Вредительские воздействия закладок на КС осуществляются при получении соответствующий команды извне (это характерно обычно для аппаратных закладок) или при наступлении определенных событий в системе. Программные и аппаратные закладки, способствующие реализации неконтролируемого входа в систему, получили название «люки». Для компьютерной системы могут произойти наиболее негативные последствия, если такой вход осуществляется в обход имеющихся средств защиты информации.

Среди вредительских программ, представляющих собой угрозу безопасности информации в КС, стали весьма распространенными так называемые компьютерные вирусы. Компьютерный вирус — это специально написанная небольшая по размерам программа, которая после внедрения в программную среду КС способна самопроизвольно присоединяться к другим программам (т.е. заражать их), самостоятельно распространяться путем создания своих копий, а при выполнении определенных условий оказывать негативное воздействие на КС. Компьютерный вирус, однажды внесенный в систему, распространяется лавинообразно подобно биологической инфекции и может причинить большой вред данным и программному обеспечению.

Противодействие многочисленным угрозам информационной безопасности КС предусматривает комплексное использование различных способов и мероприятий организационного, правового, инженерно-технического, программно-аппаратного, криптографического характера [3.7].

Учитывая системный характер влияния на безопасность КС большой совокупности различных факторов и обстоятельств, имеющих различную физическую природу и различные целевые посылки, вполне очевидно, что для эффективного решения этих проблем может быть только комплексный подход к обеспечению информационной безопасности. При этом под комплексной защитой понимается целенаправленное применение в системах её обработки всей совокупности имеющихся средств, методов и мероприятий, обеспечивающих в целом необходимый уровень защищённости информации.

Организационные мероприятия, проводимые с целью повышения эффективности обеспечения сохранности информации, включают процедуры:

· организацию четкой работы серверов и локальных станций;

· комплектование основного персонала на базе интегральных оценок и твердых знаний;

· разработку последовательного подхода к обеспечению сохранности информации для всей организации;

· организацию системы обучения и повышения квалификации обслуживающего персонала.

Мероприятия по организационной и инженерно-технической защите предусмотрены IT-специалистами в рамках аутсорсинга. В спроектированной ЭИС «Мониторинг интернет-продаж» внутренняя безопасность информации в БД PostgreSQL связана с доступом к локальному компьютеру.