54 
13-Практическая работа 
Тема: Обработка рисков информационной безопасности. 
Цель работы: выявить и предотвратить риски информационной 
безопасности и рассмотреть меры по адекватному подходу к ним. 
Теоретическая часть: Начать обеспечение защиты конфиденциальной 
(секретной) информации необходимо с выявления систем риска, т. е. 
выявления негативных процессов, допускающих утечку информации. По 
назначению угрозы безопасности автоматизированных систем обработки 
информации можно разделить на три основных вида: угрозы нарушения 
конфиденциальности 
информации; 
угроза 
нарушения 
целостности 
информации; угроза сбоя системы (отказ в обслуживании). 
Угрозы нарушением конфиденциальности информации направлены на 
разглашение конфиденциальной или конфиденциальной информации. При 
реализации такой угрозы информация будет раскрыта лицам, не имеющим 
права доступа к ней. 
Угроза нарушения целостности информации направлена на изменение 
содержания информации, хранящейся в компьютерной системе или 
передаваемой по отдельной сети, ухудшение ее качества или полную ее 
утрату. Целостность информации может быть нарушена в результате 
преднамеренного воздействия на систему злоумышленника, а также под 
объективным влиянием окружающей среды. Этот риск актуален для систем 
передачи информации - компьютерных сетей и телекоммуникационных 
систем. 
Угроза нарушения работы системы (отказ в обслуживании) направлена 
на снижение производительности системы автоматической обработки 
информации или запрет доступа к некоторым ее ресурсам. 
К основным способам несанкционированного доступа к информации 
относятся: 
- улавливание электромагнитного излучения; 
- использование слуховых аппаратов; 
- улавливание акустического излучения; 
Кража носителей информации и документов; использование маски 
зарегистрированного 
пользователя; 
применение 
и 
использование 
компьютерных вирусов. Проблемы защиты информации привлекают не 
только большое количество пользователей компьютерных средств, но и 
специалистов в области компьютерных систем и сетей. Основная цель 
субъекта, обратившегося с таким вопросом, — информационная безопасность. 
В целом все риски можно разделить на две группы: внутренние и внешние 
угрозы. 
Внутренние угрозы могут исходить от сотрудников объекта, на котором 
установлена система, содержащая конфиденциальную информацию. Такая 
угроза возникает в результате неудовлетворительной оплаты труда или 
разногласий с руководством, а также в результате усилий отдельных 
сотрудников, пытающихся перейти на более высокий уровень для 

55 
предоставления информации заинтересованным лицам. 
Внешние угрозы могут возникать из-за некорректного решения вопросов 
взаимоотношений 
с 
государственными 
органами, 
общественными 
организациями, представителями СМИ со стороны конкурирующих 
организаций, 
криминальных 
элементов, 
иностранных 
поисковых 
(разведывательных) служб. 
Внешние угрозы пассивным носителям информации могут быть 
направлены следующими путями: 
- копирование или хищение с различных носителей информации, 
получение информации в процессе общения; 
- прием информации в процессе передачи по сети связи; потеря 
информации или отказ ее носителей; 
- случайная или плановая передача документов и материалов, 
содержащих конфиденциальную информацию, конкурентам. 
Кража конфиденциальной информации в США обходится компаниям в 
20 миллиардов долларов в год. наносит более чем долларовый убыток. По 
данным американских исследователей, 44% предпринимателей в США готовы 
пойти на незаконные действия, чтобы узнать результаты исследований, 
проведенных их конкурентами. Их количество увеличивается до 79%, если 
цель состоит в том, чтобы закрепиться на высококонкурентном рынке без 
значительных знаний. Заказчиками информации могут быть мелкие и крупные 
коммерческие 
предприниматели, 
руководители 
государственных 
предприятий, посольств иностранных государств. Анализ зарубежной 
практики показывает, что существует большое количество клиентов, которые 
покупают и заказывают частные охранные услуги, приспособленные для 
кражи чужих секретов. Например, в Великобритании одно из агентств 
расследует факты промышленного шпионажа, обеспечивает безопасность 
предприятий и фирм, собирает (ворует) информацию о конкурирующих 
частных предприятиях. В настоящее время в странах, перешедших к рыночной 
экономике, действуют сотни и тысячи агентств и десятки тысяч 
промышленных шпионов. Западные компании тратят 15% своей выручки на 
информационную безопасность. 
Риски нарушения конфиденциальности направлены на разглашение 
секретной (конфиденциальной) информации. С точки зрения компьютерной 
безопасности 
риски 
конфиденциальности 
возникают 
при 
несанкционированном доступе к некоторой конфиденциальной (закрытой) 
информации, хранящейся в компьютерной системе или передаваемой из одной 
системы в другую. 
Угрозы целостности информации, передаваемой по сетям связи или 
хранимой в компьютерной системе, направлены на изменение ее содержания, 
ухудшение качества или полную ее утрату. Этот риск в основном актуален для 
систем 
передачи 
информации 
- 
компьютерных 
сетей 
и 
телекоммуникационных систем. Целостность информации может быть 
нарушена вследствие злого умысла, а также объективного воздействия среды, 

56 
окружающей систему. Умышленное нарушение целостности информации не 
следует путать с целенаправленно планируемыми изменениями лицами, 
имеющими право на изменение (например, периодические изменения какой-
либо базы данных). 
Риски нарушения работоспособности (отказ в обслуживании) направлены 
на создание ситуаций снижения работоспособности автоматизированных 
систем обработки информации или запрета доступа к некоторым ее ресурсам. 
Например, если один пользователь системы запрашивает доступ к какому-то 
сервису, другой пытается заблокировать этот доступ. В этом случае первый 
пользователь получает отказ в обслуживании. Блокировка доступа к 
источнику может быть постоянной или временной. 
Автоматизированные системы обработки информации (АСИО) 
представляют собой сложную систему, состоящую из большого количества 
субъектов с разным уровнем автономности, взаимосвязанных и 
обменивающихся информацией. Практически каждая организация может 
выполнить или потерпеть неудачу из-за внешних воздействий. Учредителей 
АЙБАТ можно разделить на следующие группы: 
- аппаратные средства – ЭВМ и его компоненты (процессоры, мониторы, 
терминалы, периферийные устройства 
- дисководы, принтеры, контроллеры, кабели, сети связи) и др.; 
программного обеспечения 
- приобретенные программы, исходные, объектные, загрузочные модули, 
операционные системы и системные программы, утилиты, программы анализа 
и т.п.; 
- данные - информация, временно и постоянно хранимая на магнитных 
носителях, печатная информация, архивы, системные журналы и т.п.; 
- сотрудник - поставщик услуг и пользователи. 
Угрозы АЙБАТ принято разделять на две группы: 
Случайные и запланированные. 
Анализ проектирования, подготовки и внедрения AIBAT показывает, что 
информация подвергается различным случайным воздействиям на всех этапах 
внедрения AIBAT. При эксплуатации АЙБАТ причинами аварийных 
воздействий могут быть: 
- перерыв в электроснабжении; 
- перерыв в электроснабжении; 
- перебои и сбои в работе оборудования, программного обеспечения 
- ошибки; 
- ошибки, допущенные работниками сервиса и пользователями; 
- неисправности, возникающие в сетях связи в результате воздействия 
внешней среды. 
Запланированные риски направлены на причинение вреда пользователям 
источников информации. Их можно разделить на два типа: пассивные 
(неактивные) и активные (активные). К пассивным рискам можно отнести 
несанкционированный доступ к источникам информации без ущерба для их 

57 
работоспособности. Активные угрозы направлены на нарушение нормальной 
работы системы путем воздействия на источники информации, аппаратное и 
программное 
обеспечение. 
Запланированные 
риски 
связаны 
с 
целенаправленными действиями правонарушителя. В качестве нарушителя 
могут быть привлечены: работник, конкурент, посетитель, наемник и т.д. 
Действия нарушителя можно трактовать по-разному: неудовлетворенность 
работника своими достижениями, материальная заинтересованность (взятка), 
любопытство, соревнование, достижение цели любыми средствами и т. д. 
Известно, 
что 
некоторые 
работники 
предприятия 
обладают 
конфиденциальной (то есть секретной) информацией (именно те, кто с такой 
информацией работает). По некоторым оценкам, 25 % работников любого 
предприятия являются честными людьми и остаются таковыми при любых 
обстоятельствах, 25 % ждут благоприятной ситуации, чтобы воспользоваться 
предприятием, а остальные 50 % в зависимости от ситуации могут либо быть 
праведным, либо разрушительным. Итак, 75 из 100 сотрудников могут быть 
шпионами. 
Конкуренты могут получить большую часть конфиденциальной 
информации в результате несоблюдения элементарных правил защиты 
информации 
сотрудниками 
(пользователями 
компьютерных 
сетей). 
Например, пользователь вставляет сложный пароль на видном месте монитора 
или сохраняет его на жесткий диск в виде текстового файла и т. д. 
Конфиденциальная информация может выйти наружу и при использовании 
открытых каналов связи. Важно иметь в виду, что информация может быть 
украдена даже при обсуждении конфиденциальной коммерческой 
информации по телефону. Поэтому не лишена пользы установка устройств 
шифрования сигналов и определение благонадежности собеседника во время 
телефонных разговоров. 
Все инструменты, методы и меры, используемые для обеспечения 
информационной безопасности, будут более эффективными, если они будут 
объединены в единый механизм. Такая интеграция называется системами 
защиты информации. При этом реализация механизма защиты должна 
контролироваться, корректироваться и пополняться с учетом изменения 
внешних и внутренних условий. Определенные требования предъявляются в 
плане системного подхода к защите любой информации. Система защиты 
информации должна быть следующей: 
Равенство против угрозы. Это предполагает тщательный анализ как 
реальных (действующих в настоящее время), так и потенциальных (будущих) 
рисков. По результату такого анализа при внедрении оптимизации 
формируются требования к системе защиты информации конкретного 
предприятия или объекта в конкретной ситуации (повышение потребности 
приводит к неоправданным затратам, ослабление - увеличивает вероятность 
Повышенный риск). 
Непрерывно. Обеспечение информационной безопасности предприятия 
не может быть разовым действием. Это непрерывный процесс, который 

58 
включает в себя поиск узких и пустых областей защиты, выявление каналов, 
по которым может происходить утечка информации, непрерывный контроль и 
развитие системы защиты. 
Планируется. Это требование заключается в разработке защиты в рамках 
каждого подразделения предприятия с учетом общих целей защиты. 
Централизованный. 
Необходимо обеспечить организационную и 
функциональную самостоятельность процесса защиты информации в рамках 
определенного содержания. 
Целенаправленный. 
Защищать 
нужно 
не 
всю 
информацию 
последовательно, а только ту информацию, которую необходимо защитить для 
конкретной цели. 
Конкретная информация, которая может нанести вред предприятию, в той 
или иной степени защищена от несанкционированного доступа. 
Информация должна быть надлежащим образом защищена. 
Надежный. Способы и формы защиты должны быть надежно заперты вне 
зависимости от каналов любого потока информации, формы ее представления, 
языка изложения и вида физического носителя, к которому она прикреплена. 
Универсальный. В зависимости от типа канала, по которому может быть 
выпущена информация, где она возникает, независимо от характера, формы и 
вида информации, она должна быть прикрыта достаточными средствами. 
Сложный. Все методы должны использоваться в полном объеме для 
защиты информации в различных областях вывода информации из 
структурных 
элементов 
и 
каналов. 
Использование 

Download 0.91 Mb.

Do'stlaringiz bilan baham: