Методы и средства выявления угроз несанкционированного доступа к...

ВведениеПри построении системы защиты информации обязательно нужно определить, что следует защищать и от кого (или чего) следует строить защиту. Защищаться следует от множества угроз, которые проявляются через действия нарушителя. Угрозы возникают в случае наличия в системе уязвимостей, то есть таких свойств АС, которые могут привести к нарушению информационной безопасности. Определение перечня угроз и построение модели нарушителя являются обязательным этапом проектирования системы защиты. Для каждой системы перечень наиболее вероятных угроз безопасности, а также характеристика наиболее вероятного нарушителя индивидуальны, поэтому перечень и модель должны носить неформальный характер. Защищенность информации обеспечивается только при соответствии предполагаемых угроз и качеств нарушителя реальной обстановке. При наличии в системе уязвимости потенциальная угроза безопасности может реализоваться в виде атаки. Атаки принято классифицировать в зависимости от целей, мотивов, используемого механизма, места в архитектуре системы и местонахождения нарушителя. Для предупреждения успешных атак необходим поиск и анализ уязвимостей системы. Уязвимости различаются в зависимости от источника возникновения, степени риска, распространенности, места в жизненном цикле системы, соотношения с подсистемами защиты АС. Анализ уязвимостей – обязательная процедура при аттестации объекта информатизации. В связи с возможностью появления новых уязвимостей, необходим их периодический анализ на уже аттестованном объекте.Несанкционированный доступ к информации – доступ к информации, нарушающий установленные правила разграничения доступа, с использованием штатных средств. Под НСД понимается получение защищаемой информации заинтересованным субъектом с нарушением установленных правовыми документами или собственником, владельцем информации прав или правил доступа к защищаемой информации. При этом заинтересованным субъектом, осуществляющим несанкционированный доступ к информации, может быть государство, юридическое лицо, группа физических лиц, в том числе общественная организация, отдельное физическое лицо.1 Термины и определенияТаблица 1 - Термины и определенияТерминОпределение1. Доступ к информации(Доступ)Access to informationОзнакомление с информацией, ее обработка, в частности, копирование модификация или уничтожение информации2. Правила разграничения доступа(ПРД)Security policyСовокупность правил, регламентирующих права доступа субъектов доступа к объектам доступа3. Санкционированный доступ к информацииAuthorized access to informationДоступ к информации, не нарушающий правила разграничения доступа4. Несанкционированный доступ к информации(НСД)Unauthorized access to informationДоступ к информации, нарушающий правила разграничения доступа с использованием штатных средств, предоставляемых средствами вычислительной техники или автоматизированными системами.Примечание. Под штатными средствами понимается совокупность программного, микропрограммного и технического обеспечения средств вычислительной техники или автоматизированных систем5. Защита от несанкционированного доступа(Защита от НСД)Protection from unauthorized accessПредотвращение или существенное затруднение несанкционированного доступа 6. Безопасность информацииInformation securityСостояние защищенности информации, обрабатываемой средствами вычислительной техники или автоматизированной системы, от внутренних или внешних угроз7. Целостность информацииInformation integrityСпособность средства вычислительной техники или автоматизированной системы обеспечивать неизменность информации в условиях случайного и (или) преднамеренного искажения (разрушения)8. Конфиденциальная информацияSensitive informationИнформация, требующая защиты2 Теоретические аспекты предметной областиДля успешного выявления угроз несанкционированного доступа к информации и дальнейшего предотвращения их появлений, следует знать классификацию возможных угроз и основные направления и методы реализации угроз.Классификация угроз информационной безопасностиУгроза – это фактор, стремящийся нарушить работу системы. В настоящее время рассматривается достаточно обширный перечень угроз информационной безопасности АС, насчитывающий сотни пунктов. Кроме выявления возможных угроз должен быть проведен анализ этих угроз на основе их классификации по ряду признаков. Каждый из признаков классификации отражает одно из обобщенных требований к системе защиты. При этом угрозы, соответствующие каждому признаку классификации, позволяют детализировать отражаемое этим признаком требование. Необходимость классификации угроз информационной безопасности АС обусловлена архитектурой современных средств автоматизированной обработки информации. Специфика ее такова, что накапливаемая, хранимая и обрабатываемая информация подвержена случайным влияниям чрезвычайно большого числа факторов, в силу чего становится невозможным описать полное множество угроз. Для защищаемой системы определяют не полный перечень угроз, а перечень классов угроз, определяемых по ряду базовых признаков.Существует следующая классификация угроз информационной безопасности: 1. По природе возникновения. 1.1. Естественные угрозы, вызванные воздействиями на АС и ее компоненты объективных физических процессов или стихийных природных явлений, не зависящих от человека. 1.2. Искусственные угрозы информационной безопасности АС, вызванные деятельностью человека. 2. По степени преднамеренности проявления. 2.1. Угрозы случайного действия и/или угрозы, вызванные ошибками или халатностью персонала. Например, проявление ошибок программноаппаратных средств АС, некомпетентное использование, настройка или неправомерное отключение средств защиты персоналом службы безопасности, неумышленное повреждение каналов связи. 2.2. Угрозы преднамеренного действия. Например, угрозы, вызванные действиями злоумышленника по хищению информации. 3. По непосредственному источнику угроз. 3.1. Угрозы, непосредственным источником которых является природная среда (стихийные бедствия, магнитные бури, радиоактивное излучение и т. п.).3.2. Угрозы, непосредственным источником которых является человек. Например, разглашение, передача или утрата атрибутов разграничения доступа (паролей, ключей шифрования, идентификационных карточек, пропусков и т. п.). 3.3. Угрозы, непосредственным источником которых являются санкционированные программно-аппаратные средства. Например, запуск технологических программ, способных при некомпетентном использовании вызывать утрату работоспособности системы (зависания или зацикливания) или необратимые изменения в системе (форматирование или реструктуризацию носителей информации, удаление данных и т. п.). 3.4. Угрозы, непосредственным источником которых являются несанкционированные программно-аппаратные средства. Например, нелегальное внедрение и использование неучтенных программ (игровых, обучающих, технологических и других, не являющихся необходимыми для выполнения нарушителем своих служебных обязанностей) с последующим необоснованным расходованием ресурсов (загрузка процессора, захват оперативной памяти и памяти на внешних носителях), заражение компьютера вирусами с деструктивными функциями. 4. По положению источника угроз. 4.1. Угрозы, источник которых находится вне контролируемой зоны территории (помещения) с расположенной в ней АС. Например, перехват побочных электромагнитных излучений устройств и линий связи, перехват данных, передаваемых по каналам связи; дистанционная фото- и видеосъемка. 4.2 Угрозы, источник которых находится в пределах контролируемой зоны территории (помещения) с расположенной в ней АС. Например, хищение производственных отходов (распечаток, записей, списанных носителей информации и т. п.), применение подслушивающих устройств. 4.3. Угрозы, источник которых имеет доступ к периферийным устройствам АС (терминалам). 4.4. Угрозы, источник которых расположен в АС. Например, некорректное использование ресурсов АС. 5. По степени зависимости от активности АС. 5.1. Угрозы, которые могут проявляться независимо от активности АС. Например, вскрытие шифров криптозащиты информации, хищение носителей информации. 5.2. Угрозы, которые могут проявляться только в процессе автоматизированной обработки данных. Например, угрозы исполнения и распространения программных вирусов. 6. По степени воздействия на АС.6.1. Пассивные угрозы, которые при реализации ничего не меняют в структуре и содержании АС. Например, угроза копирования секретных данных. 6.2. Активные угрозы, которые при воздействии вносят изменения в структуру и содержание АС. Например, внедрение аппаратных спецвложений, программных «закладок» и «вирусов» («троянских коней» и «жучков»), т. е. таких участков программ, которые не нужны для выполнения заявленных функций, но позволяют преодолеть систему защиты, скрытно и незаконно осуществить доступ к системным ресурсам с целью регистрации и передачи критической информации или дезорганизации функционирования системы. 7. По этапам доступа пользователей или программ к ресурсам АС. 7.1. Угрозы, которые могут проявляться на этапе доступа к ресурсам АС. Например, угрозы несанкционированного доступа в АС. 7.2. Угрозы, которые могут проявляться после разрешения доступа к ресурсам АС. Например, угрозы несанкционированного или некорректного использования ресурсов АС. 8. По способу доступа к ресурсам АС. 8.1. Угрозы, направленные на использование прямого стандартного пути доступа к ресурсам АС. Например, незаконное получение паролей и других реквизитов разграничения доступа (агентурным путем, используя халатность пользователей, подбором, имитацией интерфейса системы и т. д.) 8.2. Угрозы, направленные на использование скрытого нестандартного пути доступа к ресурсам АС. Например, вход в систему в обход средств защиты (загрузка посторонней операционной системы со сменных магнитных носителей и т. п.), угроза несанкционированного доступа к ресурсам АС путем использования недокументированных возможностей ОС. 9. По текущему месту расположения информации, хранимой и обрабатываемой в АС. 9.1. Угрозы доступа к информации на внешних запоминающих устройствах. Например, угроза несанкционированного копирования секретной информации с жесткого диска. 9.2. Угрозы доступа к информации в оперативной памяти. Например, чтение остаточной информации из оперативной памяти, угроза доступа к системной области оперативной памяти со стороны прикладных программ. 9.3. Угрозы доступа к информации, циркулирующей в линиях связи. Например, незаконное подключение к линиям связи с целью «работы между строк» с использованием пауз в действиях законного пользователя от его имени с последующим вводом ложных сообщений или модификацией передаваемых сообщений, перехват всего потока данных с целью дальнейшего анализа.9.4. Угрозы доступа к информации, отображаемой на терминале или печатаемой на принтере. Например, угроза записи отображаемой информации на скрытую видеокамеру. Вне зависимости от конкретных видов угроз или их проблемноориентированной классификации АС удовлетворяет потребности эксплуатирующих ее лиц, если обеспечиваются конфиденциальность, целостность и доступность информации.Основные классы угроз, реализуемых при несанкционированном доступеПри несанкционированном доступе возможна реализация трех классов угроз:Угроза нарушения конфиденциальности реализуется в том случае, если информация становится известной лицу, не располагающему полномочиями доступа к ней. Угроза нарушения конфиденциальности имеет место всякий раз, когда получен доступ к некоторой секретной информации, хранящейся в вычислительной системе или передаваемой от одной системы к другой. Иногда в связи с угрозой нарушения конфиденциальности используется термин «утечка». Угроза нарушения целостности реализуется при несанкционированном изменении информации, хранящейся в вычислительной системе или передаваемой из одной системы в другую. Когда злоумышленники преднамеренно изменяют информацию, говорится, что целостность информации нарушена. Целостность также будет нарушена, если к несанкционированному изменению приводит случайная ошибка программного или аппаратного обеспечения. Санкционированными изменениями являются те, которые сделаны уполномоченными лицами с обоснованной целью (например, санкционированным изменением является периодическая запланированная коррекция некоторой базы данных). Угроза нарушения доступности (отказа служб) реализуется, когда в результате преднамеренных действий, предпринимаемых другим пользователем или злоумышленником, блокируется доступ к некоторому ресурсу вычислительной системы. Блокирование может быть постоянным – запрашиваемый ресурс никогда не будет получен, или оно может вызывать только задержку запрашиваемого ресурса, достаточно долгую для того, чтобы он стал бесполезным.Определение возможных объектов воздействия угроз безопасности информацииВ ходе оценки угроз безопасности информации должны быть определены информационные ресурсы и компоненты систем и сетей, несанкционированный доступ к которым или воздействие на которые в ходе реализации (возникновения) угроз безопасности информации может привести к негативным последствиям - объекты воздействия.Совокупность объектов воздействия и их интерфейсов определяет границы процесса оценки угроз безопасности информации и разработки модели угроз безопасности информации.Исходными данными для определения возможных объектов воздействия являются:а) общий перечень угроз безопасности информации, содержащейся в банке данных угроз безопасности информации ФСТЭК России (bdu.fstec.ru), модели угроз безопасности информации, разрабатываемые ФСТЭК России в соответствии с подпунктом 4 пункта 8 Положения о Федеральной службе по техническому и экспортному контролю, утвержденного Указом Президента Российской Федерации от 16 августа 2004 г. N 1085, а также отраслевые (ведомственные, корпоративные) модели угроз безопасности информации;б) описания векторов компьютерных атак, содержащиеся в базах данных и иных источниках, опубликованных в сети "Интернет" (CAPEC, ATT&CK, OWASP, STIX, WASC и др.);в) документация на сети и системы (в части сведений о составе и архитектуре, о группах пользователей и уровне их полномочий и типах доступа, внешних и внутренних интерфейсах);г) договоры, соглашения или иные документы, содержащие условия использования информационно-телекоммуникационной инфраструктуры центра обработки данных или облачной инфраструктуры поставщика услуг (в случае функционирования систем и сетей на базе информационно-телекоммуникационной инфраструктуры центра обработки данных или облачной инфраструктуры);д) негативные последствия от реализации (возникновения) угроз безопасности информации, определенные в соответствии с настоящей Методикой.Указанные исходные данные могут быть дополнены иными документами и сведениями с учетом особенностей области деятельности, в которой функционируют системы и сети.На основе анализа исходных данных и результатов инвентаризации систем и сетей определяются следующие группы информационных ресурсов и компонентов систем и сетей, которые могут являться объектами воздействия:а) информация (данные), содержащаяся в системах и сетях (в том числе защищаемая информация, персональные данные, информация о конфигурации систем и сетей, данные телеметрии, сведения о событиях безопасности и др.);б) программно-аппаратные средства обработки и хранения информации (в том числе автоматизированные рабочие места, серверы, включая промышленные, средства отображения информации, программируемые логические контроллеры, производственное, технологическое оборудование (исполнительные устройства));в) программные средства (в том числе системное и прикладное программное обеспечение, включая серверы приложений, веб-приложений, системы управления базами данных, системы виртуализации);г) машинные носители информации, содержащие как защищаемую информацию, так и аутентификационную информацию;д) телекоммуникационное оборудование (в том числе программное обеспечение для управления телекоммуникационным оборудованием);е) средства защиты информации (в том числе программное обеспечение для централизованного администрирования средств защиты информации);ж) привилегированные и непривилегированные пользователи систем и сетей, а также интерфейсы взаимодействия с ними;з) обеспечивающие системы.Объекты воздействия определяются на аппаратном, системном и прикладном уровнях, на уровне сетевой модели взаимодействия, а также на уровне пользователей.Рисунок 1 - Уровни архитектуры систем и сетей, на которыхопределяются объекты воздействияОсновные направления и методы реализации угрозК основным направлениям реализации злоумышленником информационных угроз относятся: • непосредственное обращение к объектам доступа; • создание программных и технических средств, выполняющих обращение к объектам доступа в обход средств защиты; • модификация средств защиты, позволяющая реализовать угрозы информационной безопасности; • внедрение в технические средства АС программных или технических механизмов, нарушающих предполагаемую структуру и функции АС. К числу основных методов реализации угроз информационной безопасности АС относятся: • определение злоумышленником типа и параметров носителей информации; • получение злоумышленником информации о программноаппаратной среде, типе и параметрах средств вычислительной техники, типе и версии операционной системы, составе прикладного программного обеспечения; • получение злоумышленником детальной информации о функциях, выполняемых АС; • получение злоумышленником данных о применяемых системах защиты; • определение способа представления информации; • определение злоумышленником содержания данных, oбpaбaтываемых в АС, на качественном уровне (применяется для мониторинга АС и для дешифрования сообщений); • хищение (копирование) машинных носителей информации, содержащих конфиденциальные данные; • использование специальных технических средств для перехвата побочных электромагнитных излучений и наводок (ПЭМИН); • уничтожение средств вычислительной техники и носителей информации; • несанкционированный доступ пользователя к ресурсам АС в обход или путем преодоления систем защиты с использованием специальных средств, приемов, методов; • несанкционированное превышение пользователем своих полномочий; • несанкционированное копирование программного обеспечения; • перехват данных, передаваемых по каналам связи; • визуальное наблюдение; • раскрытие представления информации (дешифрование данных); • раскрытие содержания информации на семантическом уровне; • уничтожение машинных носителей информации; • внесение пользователем несанкционированных изменений в программно-аппаратные компоненты АС и обрабатываемые данные; • установка и использование нештатного аппаратного и/или программного обеспечения; • заражение программными вирусами; • внесение искажений в представление данных, уничтожение данных на уровне представления, искажение информации при передаче по линиям связи; • внедрение дезинформации; • выведение из строя машинных носителей информации без уничтожения;• проявление ошибок проектирования и разработки аппаратных и программных компонентов АС; • искажение соответствия синтаксических и семантических конструкций языка; • запрет на использование информации. Перечисленные методы реализации угроз охватывают все уровни представления информации.Типовая система защиты от угроз несанкционированного доступаСистема защиты информации от угроз несанкционированного доступа обеспечивают решение следующих задач:разграничение доступа к ресурсам автоматизированных рабочих мест и серверов информационной системы;обеспечение функций регистрации и учета событий безопасности;обеспечение неизменности (целостости) программно-аппаратной среды применяемых программных и программно-технических средств.Как правило, в состав системы защиты от несанкционированного доступа входят:средства централизованного управления средствами защиты от несанкционированного доступа;сертифицированные средства защиты от несанкционированного доступа;встроенные в системное программное обеспечение средства идентификации, аутентификации, авторизации, мониторинга событий и контроля целостности;средства удаленного администрирования автоматизированных рабочих мест и серверов, входящих в состав информационной системы;средства резервного копирования и восстановления конфигураций и других параметров настроек применяемых средств защиты от несанкционированного доступа.В соответствии с задачами обеспечения безопасности информации технические решения по защите автоматизированных рабочих мест и серверов от несанкционированного доступа учитывают следующие архитектурно-значимые требования:Разграничение доступа пользователей к следующим ресурсам:объектам файловой системы (логическим дискам, файлам, каталогам);локальным портам (COM, LPT, USB);системным и прикладным процессам (установленным приложениям);общим каталогам и сетевым дискам;сетевым принтерам и другим устройствам применяемых средств вычислительной техники;Контроль целостности защищаемой информации;Мониторинг и регистрация событий безопасности;Контроль вывода документов на печать и маркировку документов;Защиту ввода и вывода информации на отчуждаемые физические носители информации;Централизованный сбор данных из журналов событий для их дальнейшей обработки.3 Методы и средства выявления угроз несанкционированного доступа к информации3.1 Определение потенциальных каналов, методов и возможностей НСД к информацииЛюбая система связи (система передачи информации) состоит из источника информации, передатчика, канала передачи информации, приемника и получателя сведений. Под каналом утечки информации понимается физический путь от источника конфиденциальной информации к злоумышленнику, по которому возможна утечка или несанкционированное получение охраняемых сведений. Для возникновения канала утечки информации необходимы определенные пространственные, энергетические и временные условия, а также соответствующие средства восприятия и фиксации информации на стороне злоумышленника. Применительно к практике с учетом физической природы образования каналы утечки информации можно разделить на следующие группы: – визуально-оптические (непосредственное или удаленное, в том числе и телевизионное, наблюдение); – акустические (включая и акустико-преобразовательные) – механические колебания стен, перекрытий, трубопроводов, окон и т.д.; – электромагнитные (включая магнитные и электрические) – побочные электромагнитные излучения и наводки; – материально-вещественные (бумага, фото, магнитные носители, производственные отходы различного вида – твердые, жидкие, газообразные, отходы делопроизводства). Очевидно, что каждый источник конфиденциальной информации может обладать в той или иной степени какой-то совокупностью каналов утечки информации. К методам НСД к конфиденциальной информации относятся: 1. Установление контакта с лицами, имеющими или имевшими доступ к конфиденциальной информации. Наибольшая опасность может исходить от уволенных, недовольных (заработком, руководством, продвижением по службе) или отстраненных от конфиденциальной информации лиц, а также от эмигрантов и перебежчиков, недовольных государственным устройством. Контакт с этими людьми может быть установлен различными путями, например на семинарах, выставках, конференциях и других публичных мероприятиях. Опосредованный контакт, осуществляемый через посредников (без прямого общения, диалога), устанавливается через коллег, родственников, знакомых, которые и выступают в роли посредников. При этом используются следующие способы НСД к информации: – выведывание информации под благовидным предлогом; – переманивание сотрудников конкурирующих предприятий; – покупка конфиденциальной информации; – шантаж, угрозы, физическое насилие; убеждение, лесть, посулы, обман, в том числе с использованием национальных, политических, религиозных факторов. 2. Вербовка и (или) внедрение агентов. С помощью агентов разведывательные службы стремятся получить доступ к такой информации, которую нельзя добыть через другой, менее опасный канал. Использование агентурной разведки (шпионажа) позволяет получать не только служебную конфиденциальную информацию, но и иную, используя различные методы НСД, а также оказывать дестабилизирующее воздействие на информацию (искажение, блокирование, уничтожение). 3. Организация физического проникновения к носителям конфиденциальной информации. При этом сначала необходимо проникнуть на охраняемый объект, а затем завладеть носителями конфиденциальной информации. Для проникновения на территорию объекта возможны разные способы: – использование подложного, украденного или купленного (в том числе и на время) пропуска; – маскировка под другое лицо; – проход под видом внешнего обслуживающего персонала; – скрытый проезд в автотранспорте; – отвлечение внимания охраны для прохода незамеченным (путем создания чрезвычайных ситуаций, с помощью коллеги и т. д.); – изоляция или уничтожение охраны; – преодоление заграждающих барьеров (заборов), минуя охрану, в том числе и за счет вывода из строя технических средств охраны. Проникновение к носителям конфиденциальной информации с целью ее получения, искажения, уничтожения или блокирования может осуществляться во время транспортировки носителей, а также путем взлома хранилищ или проникновения в помещения, предназначенные для обработки конфиденциальных документов. 4. Подключение к средствам отображения, хранения, обработки, воспроизведения и передачи информации средствам связи. Несанкционированное подключение, а следовательно, и НСД к конфиденциальной информации может производиться: – с ПК с использованием телефонного набора или с несанкционированного терминала со взломом парольно-ключевых систем защиты или без взлома с помощью маскировки под зарегистрированного пользователя; – с помощью программных и радиоэлектронных устройств; – путем прямого присоединения к кабельным линиям связи, в том числе с использованием параллельных телефонных аппаратов; – за счет электромагнитных наводок на параллельно проложенные провода или методов высокочастотного навязывания.5. Прослушивание речевой конфиденциальной информации. Использование современных технических средств позволяет осуществлять прослушивание на значительных расстояниях путем: – подслушивания непосредственных разговоров лиц, допущенных к данной информации; – прослушивания речевой информации, зафиксированной на носителе, с помощью подключения к средствам ее звуковоспроизведения. 6. Визуальный съем конфиденциальной информации. Для этого используются: – чтение документов и остаточной информации на рабочих местах пользователей (в том числе с экранов дисплеев, с печатающих и множительных устройств); – осмотр продукции, наблюдение за технологическими процессами изготовления продукции и обработки информации; – просмотр информации, воспроизводимой средствами видеовоспроизводящей техники (видеокамеры, цифровые камеры, телевизоры). 7. Перехват электромагнитных излучений, включающий поиск сигналов, выделение из них сигналов, несущих конфиденциальную информацию, съем с них информации, ее обработку и анализ. Этот метод, по сравнению с другими каналами, имеет следующие преимущества: большой объем и высокая достоверность получаемой информации, оперативность ее получения и возможность съема в любое время, скрытность получения, возможность обнародования без угрозы перекрытия канала. 8. Исследование выпускаемой продукции, производственных отходов и отходов процессов обработки информации, реализуемое путем: – приобретения и разборки (расчленение, выделение отдельных составных частей, элементов) выпускаемых изделий, их химический и физический анализ (обратный инжиниринг) с целью исследования конструкции, компонентов и других характеристик; – сбор и изучение сломанных изделий, макетов изделий, бракованных узлов, блоков, устройств, деталей, созданных на стадии опытно-конструкторских разработок, а также руды и шлаков, позволяющих определить состав материалов, а нередко и технологию изготовления продукции; – сбор и прочтение черновиков и проектов конфиденциальных документов, копировальной бумаги, красящей ленты печатающих устройств, прокладок, испорченных магнитных дискет.Эти методы возможны, как правило, при нарушении требований по хранению носителей конфиденциальной информации и обращению с ними. 9. Получение конфиденциальных сведений из доступных источников информации. Для этого заинтересованными лицами: – изучаются научные публикации, проспекты и каталоги выставок, базы данных предприятий; – прослушиваются и просматриваются сообщения СМИ, выступления на конференциях и семинарах. 10. Подключение к системам обеспечения производственной деятельности предприятия; 11. Замеры и взятие проб окружающей объект среды; 12. Анализ архитектурных особенностей некоторых категорий объектов. Состав реальных для конкретного предприятия каналов НСД к конфиденциальной информации и степень их опасности зависят от вида деятельности предприятия, категорий носителей, способов обработки информации, системы ее защиты, а также от возможностей конкурентов. Однако даже если соперники известны, определить их намерения и возможности практически не удается, поэтому защита должна предусматривать перекрытие всех потенциально существующих для конкретного предприятия каналов. Использование того или другого канала осуществляется с помощью определенных, присущих конкретному каналу методов и технологий несанкционированного доступа.3.2 Система обнаружения атакОбнаружение атак предназначено для своевременного обнаружения и предотвращения атак на узлы сети. В его функции входит: – обнаружение враждебной деятельности и распознавание атак на узлы сети; – захват сетевого трафика; – обработка сетевого трафика на основе заданной политики и имеющейся базы данных сигнатур атак. Сигнатура атаки (вируса) – характерные признаки атаки или вируса, используемые для их обнаружения. Наряду с сигнатурными методами необходимо использовать и поведенческие методы анализа информации. Поведенческие методы используется для выявления атак на основе обнаружения отклонений от штатного поведения ИС. Наиболее часто поведенческий метод реализуется на основе статистических моделей; – блокирование сетевых атак посредством фильтрации потенциально опасных пакетов данных; – использование методов активного и пассивного реагирования. Пассивное реагирование предполагает оповещение администратора о выявленной атаке, активное – блокирование попытки реализации атаки.Серьезной проблемой при разработке системы обнаружения атак является борьба с ложными срабатываниями (false positive).3.3 Методы и средства аудита безопасности в части НСД к информацииФормула «защищать, обнаруживать, реагировать» является классической. Только эшелонированная, активная оборона, содержащая разнообразные элементы, дает шанс на успешное отражение угроз. Назначение активного аудита – обнаруживать и реагировать. Обнаружению подлежит подозрительная активность компонентов ИС – от пользователей (внутренних и внешних) до программных систем и аппаратных устройств.Как на практике реализовать перечисленные возможности? По мнению специалистов, это становится возможным в ходе следующих практических шагов аудита безопасности.1. Комплексный анализ ИС предприятия и подсистемы информационной безопасности на методологическом, организационно-управленческом, технологическом и техническом уровнях. Анализ рисков. 1.2. Работы на основе анализа рисков. Анализ рисков. Уровень управления рисками на основе качественных оценок рисков. Анализ рисков. Уровень управления рисками на основе количественных оценок рисков. 1.3. Инструментальные исследования. 1.3.1. Инструментальное исследование элементов инфраструктуры компьютерной сети и корпоративной информационной системы на наличие уязвимостей. 1.3.2. Инструментальное исследование защищенности точек доступа предприятия в Internet. ЗаключениеЗащищать технические каналы связи необходимо от всех видов случайных и преднамеренных воздействий: стихийных бедствий и аварий, сбоев и отказов технических средств, ошибок персонала и пользователей, ошибок в программах и от преднамеренных действий злоумышленников. Имеется широчайший спектр вариантов путей и методов несанкционированного доступа к данным и вмешательства в процессы обработки и обмена информацией. Анализ всех уязвимостей системы, оценка возможного ущерба позволят верно определить мероприятия по защите информации. Расчет эффективности защитных мероприятий можно производить различными методами в зависимости от свойств защищаемой информации и модели нарушителя.При решении задач, связанных с обеспечением информационной безопасности, необходимо использовать комплексный подход, включающий в себя применение не только технических средств, но и правовых методов, а также организационные меры защиты информации.Список использованных источниковБелов Е.Б., Лось В.П. и др. Основы информационной безопасности. Учебное пособие для вузов. – М.: Горячая линия - Телеком, 2006. – 544 с. Гатчин Ю.А., Климова Е.В. Ожиганов А.А. Основы информационной безопасности компьютерных систем и защиты государственной тайны: учебное пособие. - СПб: СПбГУ ИТМО, 2001. - 60 с. ГОСТ Р 51624-00 Защита информации. Автоматизированные системы в защищенном исполнении. Общие требования. ГОСТ Р 51275-99 Защита информации. Объект информатизации, факторы, воздействующие на информацию. Общие положения. ГОСТ Р ИСО 7498–2-99 Информационная технология. Взаимосвязь открытых систем. Базовая эталонная модель. Часть1. Архитектура ЗИ. Грибунин В.Г., Чудовский В.В. КСЗИ на предприятии. – М.: Академия, 2009. – 416 с. Куприянов А.И., Сахаров А.В., Шевцов В.А. Основы защиты информации, 2006. – 256 с. Малюк А.А. Введение в информационную безопасность: учебное пособие для студентов. – М.: Горячая линия - Телеком, 2011. – 288 с. Федеральный закон № 149-ФЗ Об информации, информационных технологиях и защите информации. – М., 2006. Хорев П. Б. Методы и средства защиты информации в компьютерных системах 2005. – 256 с. http://www.lghost.ru/lib/security/kurs5/theme01_chapter04.htm. 26. http://www.eusi.ru/lib/savgorodnij_kompleksnaja_sasita_informacii_v/2. shtml – Завгородний В. И. http://www.intuit.ru/department/security/secbasics/9/3.html – Галатенко В.А. Основы ИБ. http://www.topsbi.ru/default.asp?artID=998 (Голов 140611) http://www.cyberpol.ru/cybercrime.shtml#p_01 http://kszi.ucoz.ru/ - конспект лекций http://www.kgau.ru/istiki/umk/pis/l24.htm – Основные понятия и методы защиты данных (НСД) http://zashita-informacii.ru/node/119 – причины и виды утечки инф. http://frela-21.narod.ru/kzip/kzip.doc – Попов В.В. (МАИ – конспект). http://zi-kimes.my1.ru/load/0-0-0-84-20 (84_sdA – книга)