Характеристика загроз інформаційній безпеці підприємства
ТЕМА 2
Поняття інформаційної безпеки на підприємстві
2.1. Сутність інформаційної безпеки підприємства. Принципи інформаційної безпеки підприємства
2.2. Характеристика загроз інформаційній безпеці підприємства
2.3. Методи, заходи та засоби забезпечення інформаційної безпеки підприємства
Сутність інформаційної безпеки. Принципи інформаційної безпеки підприємства
Давно відомо, що інформація може бути справжнім скарбом. Саме тому часто багато зусиль витрачається як на охорону інформації, так і на добування її.
Інформація з погляду безпеки – це дані, відомості, документи, які повинні бути захищеними через їх важливість для суб’єкта господарювання від незаконного втручання, розкриття чи розголошення.
Основу правового статусу інформації визначає Закон України «Про інформацію». Інформацію у ст. 1 вищезезначеного Закону визначено як будь-які відомості та/або дані, які можуть бути збережені на матеріальних носіях або відображені в електронному вигляді.
Інформаційна безпека підприємства – це захист інформації, якою володіє підприємство (виробляє, передає або отримує) від несанкціонованого доступу, руйнування, модифікації, розкриття і затримок при надходженні.
Крім того, під інформаційною безпекою розуміють захищеність інформації та її підтримуючої інфраструктури від будь-яких випадкових або зловмисних дій, результатом яких може з’явитися нанесення збитку самій інформації, її власникам або підтримуючій інфраструктурі.
Метою комплексної інформаційної безпеки є збереження інформаційної системи підприємства в цілісності, захист і гарантування повноти і точності інформації, яку вона видає, мінімізація руйнувань і модифікація інформації, якщо такі трапляються.
Основними принципами інформаційної безпеки є:
– забезпечення цілісності і збереження даних, тобто надійне їх зберігання в неспотвореному вигляді;
– дотримання конфіденційності інформації (її недоступність для тих користувачів, які не мають відповідних прав);
– доступність інформації для всіх авторизованих користувачів за умови контролю за всіма процесами використання ними отриманої інформації;
– безперешкодний доступ до інформації в будь-який момент, коли вона буде необхідна.
Ці принципи неможливо реалізувати без особливої інтегрованої системи інформаційної безпеки, що виконує наступні функції:
– вироблення політики інформаційної безпеки;
– аналіз ризиків (тобто ситуацій, в яких може бути порушена нормальна робота інформаційної системи, а також втрачені або розсекречені дані);
– планування заходів щодо забезпечення інформаційної безпеки;
– планування дій в надзвичайних ситуаціях;
– вибір технічних засобів забезпечення інформаційної безпеки.
Характеристика загроз інформаційній безпеці підприємства
Інформаційний розвиток, що зумовив кардинальні зміни в економіці, праві, соціальному житті одночасно сприяв формуванню нових видів загроз у діяльності підприємств.
Забезпечення збереження інформації необхідно починати з визначення системи загроз, тобто негативних процесів, які сприяють витоку інформації. Для успішного захисту інформації необхідно знати весь перелік загроз безпеки. Якщо розробник має повний список загроз, то він зможе вибрати необхідні і застосувати потрібні для їх усунення засоби захисту.
В сучасному інформаційному середовищі існують два види загроз:
– інформаційні, які надходять від власне інформації та її технологій;
– загрози самій інформації, пов’язаних з різного роду посяганнями на інформацію та її об’єкти.
Отже, під інформаційними загрозами можна розуміти наявність в інформаційному середовищі шкідливої або небезпечної для його суб’єктів інформації, інформаційної продукції та технологій, здатних негативно впливати на їх стан, поведінку та взаємовідносини. Загрози ж інформації можуть розумітись як дії, пов’язані з несанкціонованим доступом до об’єктів інформації або спрямовані на її викрадення, знищення, модифікацію, копіювання, блокування чи іншим чином позбавлення власника інформації переваг від її використання.
Інформаційні загрози:
– Загроза інформаційної залежності. Зауважимо, що загроза інформаційної залежності має подвійний характер. З одного боку це залежність від інформаційних технологій, а з іншого – залежність від постійно існуючої потреби в новій інформації. Залежність від інформаційних технологій проявляється у формуванні прихильності до різного роду інформаційних продуктів та способів їх подання в інформаційне середовище. Насамперед мова іде про продукти та технології засновані на комп’ютерній чи іншій електронній інформації. Першість тут тримають комп’ютерні ігри. Гра є одним із найбільш ефективних методик пізнання світу.
З розвитком інформаційних технологій з’явилась можливість перетворити гру в особливу, т. з. віртуальну реальність, яка усуває людину від реалій сьогодення. Віртуальна реальність та перебування в ній стає більш цікавим, захоплюючим чим існуюче життя.
Розвиток глобального інформаційного простору в останні роки, отримав тенденцію до інтеграції, можливості одночасного використання веб-платформ багатьма користувачами. Зазначені платформи дають змогу практично безмежного спілкування, перегляду новин, читання інформації, розважання (кіно, музика) і т. д. У наступному такі платформи з їх наповненням отримали назву соціальних мереж. Останні, як і комп’ютерні ігри володіють великим адекативним потенціалом і можуть загрожувати формуванням залежності від них. Залежність від перебування в соціальних мережах призводить до втрати продуктивного часу, зниження концентрації уваги на інформаційних повідомленнях, послаблення можливості приймати адекватні, зважені та обґрунтовані рішення. Крім того, наявність в соціальних мережах різних, зазвичай не повністю компетентних але переконливих точок зору, міркувань, коментарів може призводити до помилкових оцінок і рішень, якщо користувачі соціальних мереж будуть занадто «прив’язані» до них.
Сучасні комунікаційні мережі, побудовані на досягненнях інформаційного розвитку, також зумовило суттєву залежність від них. Насамперед мова іде про телефонну залежність, т. з. телефономанію, особливо з врахуванням сучасних можливостей мобільних засобів зв’язку.
– Наявні, практично безмежні обсяги необ’єктивної інформації, що наповнюють інформаційне середовище. Такими обсягами збагачується необхідна нам інформація, її досить складно не лише шукати, а і відрізняти від об’єктивної. За таких умов події та явища, що відбуваються у процесі життєдіяльності, на ринку стають малозрозумілими, інформація про них може виявитись непридатною для прийняття рішень. Виконання ж роботи щодо більшої об’єктивності інформації потребує додаткового часу та фінансових витрат або моральної шкоди.
–Дискредитація суб’єктів (поширення негативної неправдивої інформації про суб’єктів, маніпулювання індивідуальною та колективною свідомістю працівників, клієнтів, акціонерів, споживачів або просто громадян, дезінформація різних осіб у взаємовідносинах з суб’єктами, поширення негативних чуток про останніх, здійснення актів інформаційного тероризму та провокування інформаційних конфліктів, втягування суб’єктів в інформаційну війну).
– Промислове шпигунство, яке охоплює практично всі складові ринкової економіки. Промислове шпигунство передбачає отримання інформації, яка тим чи іншим чином характеризує відповідні технології, плани, розробки, ідеї, рішення, що є цікавими для конкурентів. Не обов’язково, щоб інформація була таємною або конфіденційною, головне, щоб вона була корисною для конкурента або іншого суб’єкта.
– Кібертероризм. Особлива небезпечність кібертероризму полягає в тому, що він одночасно несе в собі загрозу інформаційним ресурсам суб’єктів підприємництва і загрозу їх іміджу, суспільній оцінці їх діяльності.
Враховуючи, що сучасна діяльність суб’єктів підприємництва значною мірою перебуває в інформаційній площині, вони завжди перебувають у полі різного роду небезпек і загроз, тобто є об’єктами інформаційних загроз і впливу інформаційних ризиків.
Інформаційні ризики за своїм походженням поділяються на три категорії:
– ризики, пов’язані з втратою (витоком, руйнуванням, знищенням) інформації. Особливо це небезпечно, коли існує ризик втрати такої важливої для діяльності суб’єктів підприємництва інформації, як банківська та комерційна таємниця, або іншої інформації з обмеженим доступом;
– ризики, пов’язані з формуванням інформаційного ресурсу (використання неповної, неправдивої інформації, відсутність необхідної інформації, дезінформація);
– ризики, пов’язані з інформаційним впливом на діяльність суб’єктів підприємництва (поширення неправдивої та негативної інформації, інформаційно-психологічний вплив на працівників, клієнтів та акціонерів, інформаційний тероризм).
Основні загрози інформації і нормального функціонування інформаційної системи:
–розголошення інформації, просочування конфіденційної інформації;
– викрадення інформації;
– знищення інформації;
– модифікація інформації;
– несанкціоноване використання інформаційних ресурсів;
– помилкове використання інформаційних ресурсів;
– відмова від інформації;
– порушення інформаційного обслуговування.
Розголошення інформації розуміється як протиправні умисні чи необережні дії посадових або інших осіб, які призвели до несанкціонованого, без службової необхідності, оголошення (поширення) відомостей щодо яких встановлено відповідний порядок їх розкриття. Воно може здійснюватись шляхом повідомлення, передачі, пересилання, публікації, втрати чи іншим шляхом оприлюднення зазначених відомостей.
Просочування конфіденційної інформації – це її безконтрольний вихід за межі інформаційної системи або через коло осіб, яким вона була довірена за видом служби або стала відома в процесі роботи. Цей витік може бути наслідком:
– розголошування конфіденційної інформації;
– витоку інформації різними, переважно технічними каналами;
– несанкціонованого доступу до конфіденційної інформації різними способами.
Розголошування інформації, що призвело до ознайомлення з нею осіб, не допущених до цих відомостей, можна кваліфікувати як умисні або необережні дії посадових осіб і користувачів, яким ці відомості були довірені у зв’язку зі службовою потребою.
Можливий безконтрольний витік конфіденційної інформації візуально-оптичним, акустичним, електромагнітним та іншими каналами.
Несанкціонований доступ – це протиправне навмисне оволодіння конфіденційною інформацією особою, яка не має права доступу до відомостей, що охороняються. Найпоширенішими напрямами несанкціонованого доступу до інформації є:
– перехоплення електронних випромінювань;
– примусове електромагнітне опромінювання (підсвічування) ліній зв’язку з метою отримання паразитної модуляції;
– застосування підслуховуючих пристроїв (жучків);
– дистанційне фотографування;
– перехоплення акустичних випромінювань і відновлення тексту принтера;
– зчитування залишкової інформації в пам’яті системи після виконання санкціонованих запитів;
– копіювання носіїв інформації з подоланням заходів захисту;
– маскування під зареєстрованого користувача;
– маскування під запити системи;
– використання програмних пасток;
– використання недоліків мов програмування і операційних систем;
– незаконне підключення до апаратури і ліній зв’язку спеціально розроблених апаратних засобів, що забезпечують доступ інформації;
– зловмисне виведення з ладу механізмів захисту;
– розшифровування спеціальними програмами зашифрованої інформації.
Викраденням інформації є таємне вилучення носіїв інформації (документів, електронних носіїв, відео- та аудиозаписів) з метою подальшого їх використання іншою особою чи передачі їх такій особі.
Знищенням є приведення носіїв інформації (документів, електронних носіїв, аудіо-, відеозаписів та інших носіїв, що мають матеріальний характер) в стан непридатний для їх подальшого використання або ж неможливості використання інформації, яка на них зберігалась.
Модифікацією інформації є внесення змін до змісту інформації, яка містилась на певних носіях або ж до самих носіїв (комп’ютерних програм) в результаті чого використання даної інформації стає неможливим взагалі чи така інформація вимагає суттєвого уточнення та аналізу.
Незаконне використання інформації означає використання певних даних, знань, технологій, які на праві власності належать певній юридичній чи фізичній особі без її згоди або з порушенням встановленого порядку їх використання особами, яким така інформація відома у зв’язку з їх службовою чи іншою діяльністю.
Несанкціонованим буде також доступ до інформації з порушенням встановлених правил доступу до неї.
Помилкове використання інформаційних ресурсів може призвести до знищення, розкриття або компрометації цих ресурсів. Така загроза є переважно наслідком помилок програмного забезпечення інформаційної системи.
Відмова від інформаціїполягає у невизнанні адресатом чи відправником цієї інформації, фактів її отримання або відправки.
Порушення інформаційного обслуговуванняполягає у затримці надання ресурсів абонентові, що може призвести до тяжких наслідків. Наприклад, відсутність в абонента даних, необхідних для прийняття рішень, може бути причиною його нераціональних або неоптимальних дій.
Існує безліч класифікацій видів загроз за принципами і характером їх дії на систему, щодо використовуваних засобах , за цілями атаки тощо.
Загрози інформаційній безпеці поділяються на випадкові і навмисні.
Джерелом випадкових можуть бути аварійні ситуації через стихійні лиха і відключення електроживлення, відмови і збої апаратури, помилки в програмному забезпеченні, помилки в роботі обслуговуючого персоналу і користувачів, перешкоди в лініях зв’язку через впливи зовнішнього середовища.
Навмисні загрози пов’язані з цілеспрямованими діями порушника, яким можуть виступати службовці, відвідувачі, конкуренти, працівники.
Навмисні загрози в свою чергу поділяються на пасивні і активні.
Пасивнізагрози носять характер перехоплення або моніторингу переданої інформації і не пов'язані з якою-небудь зміною інформації. Їх можна умовно розділити на дві групи: розкриття вмісту повідомлення (телефонна розмова, електронна пошта) і аналіз потоку даних.
Пасивні порушення виявити дуже важко, але їх цілком реально попередити. Активні загрози пов’язані зі зміною потоку даних або зі створенням фальшивих потоків