КАТЕГОРИИ:
Архитектура-(3434)Астрономия-(809)Биология-(7483)Биотехнологии-(1457)Военное дело-(14632)Высокие технологии-(1363)География-(913)Геология-(1438)Государство-(451)Демография-(1065)Дом-(47672)Журналистика и СМИ-(912)Изобретательство-(14524)Иностранные языки-(4268)Информатика-(17799)Искусство-(1338)История-(13644)Компьютеры-(11121)Косметика-(55)Кулинария-(373)Культура-(8427)Лингвистика-(374)Литература-(1642)Маркетинг-(23702)Математика-(16968)Машиностроение-(1700)Медицина-(12668)Менеджмент-(24684)Механика-(15423)Науковедение-(506)Образование-(11852)Охрана труда-(3308)Педагогика-(5571)Полиграфия-(1312)Политика-(7869)Право-(5454)Приборостроение-(1369)Программирование-(2801)Производство-(97182)Промышленность-(8706)Психология-(18388)Религия-(3217)Связь-(10668)Сельское хозяйство-(299)Социология-(6455)Спорт-(42831)Строительство-(4793)Торговля-(5050)Транспорт-(2929)Туризм-(1568)Физика-(3942)Философия-(17015)Финансы-(26596)Химия-(22929)Экология-(12095)Экономика-(9961)Электроника-(8441)Электротехника-(4623)Энергетика-(12629)Юриспруденция-(1492)Ядерная техника-(1748)
Організація захисту комп'ютерних інформаційних систем
|
|
|
|
Захист інформації неможливо регламентувати через різноманітність існуючих 1C та видів інформації, що обробляється. Конкретні заходи визначаються виробничими, фінансовими та іншими можливостями підприємства (організації), обсягом конфіденційної інформації та її значущістю. Можна назвати тільки загальні правила:
• створення та експлуатація системи захисту інформації є складною і відповідальною справою, яку мають робити професіонали;
• не слід намагатись організувати абсолютно надійний захист — такого просто не існує. Система захисту має бути достатньою, надійною, ефективною та керованою. Ефективність захисту інформації вимірюється не витратами на її організацію, а її здатністю адекватно реагувати на всі загрози;
* заходи із захисту інформації повинні мати комплексний характер, об'єднувати різні засоби;
* систему захисту слід будувати, виходячи з того, що основну загрозу становлять співробітники підприємства (організації, установи).
Необхідність залучення кваліфікованих фахівців до організації захисту інформації диктується тим, що тільки вони можуть визначити всі загрози і знайти ефективні засоби протидії. Сьогодні захист інформації стає однією з галузей, для якої розробляються спеціальні інструментальні засоби, призначені для генерації тестів, імітації загроз, аналізу текстів програм. Створюються експертні системи для формування вимог до безпеки IT та оцінки рівня їх виконання.
Однак до захисту інформації повинні залучатись і звичайні користувачі, оскільки цю проблему неможливо вирішити тільки технічними і програмними засобами, людський фактор відіграє важливу роль у забезпеченні конфіденційності (див. вставку).
Власники і користувачі інформації можуть якнайкраще оцінити її важливість для визначення адекватних заходів з її захисту. Вони ж мають брати активну участь у виробленні стратегії захисту, оскільки остання має бути частиною внутрішньої політики організації. За приклад можна вважати появу нової посади у штатному розкладі корпорації IBM, — директором з проблем захисту конфіденційної інформації стала ветеран IBM Арієт Пірсон, яка має інженерну та юридичну освіту.
Необхідне розуміння цієї проблеми і на державному рівні. В Україні базовим законом для цього є Закон «Про державну таємницю», який надає таке визначення: державна таємниця (секретна інформація) — вид таємної інформації, що охоплює відомості у сфері оборони, економіки, науки і техніки, зовнішніх відносин, державної безпеки та охорони правопорядку, розголошення яких може завдати шкоди національній безпеці України та які визнані у порядку, встановленому Законом України «Про державну таємницю», державною таємницею і підлягають охороні державою. Цей Закон доповнюють інші закони та нормативні акти, однак слід зазначити, що для ефективного захисту інформації потрібне не тільки вдосконалення правової бази, а й комплексні заходи з втілення державної політики в цій галузі в життя (див. вставку).
Боротьба з кіберзлочинністю — справа державна
Наприкінці 2000 року уряд Великобританії (http://www.number-10.gov.uk) повідомив про виділення 25 млн фунтів стерлінгів на створення у 2001 р. спеціального елітного поліцейського підрозділу з боротьби зі злочинністю у сфері високих технологій (National Hi-Tech Crime Unit). До підрозділу запрошені спеціально підготовлені детективи з поліції, митниці, Національного управління з розслідування карних злочинів (National Crime Squad) і Національної кримінальної поліції (NCIS — National Criminal Intelligence Service) — всього 40 осіб у Лондоні і 46 слідчих у підрозділах на місцях. Об'єктами кібер-копів є шахраї, педофіли, хакери, автори вірусів та інші шкідники. На виділені гроші також фінансується цілодобова «гаряча лінія», яка інформує про можливі атаки та інші загрози.
Федеральне бюро розслідувань США запустило у 2001 році програму попередження комп'ютерних злочинів InfraGuard, розроблену Центром захисту національної інфраструктури (National Infrastructure Protection Center, NIPC, http://www.nipc.gov/). Однією з цілей програми є створення захищеної від вторгнення ззовні мережі для обміну інформацією між компаніями та органами забезпечення правопорядку про здійснені атаки та надання відомостей, які можуть попередити такі зазіхання. Однак деякі експерти вважають, що контроль з боку ФБР спричиняє недоступність інформації іншим учасникам. Це зумовлює появу інших подібних програм. Так, американські комп'ютерні корпорації Miscrosoft, Oracle, AT&T, Intel та 15 інших компаній створили центр обміну інформацією по боротьбі з комп'ютерною злочинністю (Information Technology Information Sharing and Analysis Center).
За твердженнями експертів, з усієї кількості комп'ютерних злочинів бувають своєчасно розкриті і покарані тільки 10— 17 %. У 90 % випадків виявлення злочину завдячує випадковості. Основною причиною такого становища є особливості комп'ютерних злочинів, які ускладнюють їх виявлення та доведення:
• незначні зовнішні прояви злочину — викрадена інформація може залишитись на місці, зчитування інформації може тривати частки секунд, занесення комп'ютерного вірусу списується на недосконалість антивірусного програмного забезпечення, а втрата даних — на збій технічних засобів;
складність точного визначення втрат та їх оцінювання у грошовому еквіваленті;
• часто розслідування комп'ютерних злочинів є дуже дорогим, що обмежує можливості його проведення. А оскільки виявлені зловмисники часто здобувають легке покарання, потерпілі не бачать сенсу витрачати додаткові кошти на їх розшук;
• небажання постраждалих звертатись до правоохоронних органів, оскільки це може призвести до обнародування секретної інформації, втрати клієнтів, партнерів або акціонерів, конфліктів усередині організації. Деякі постраждалі побоюються, що у процесі розслідування будуть виявлені незаконне ведення ними операцій або інші протиправні дії. Одним з аспектів цієї проблеми є те, що потерпіла особа зазвичай сприймається громадськістю як жадібна і дурна;
• складність доведення злочинного наміру або необережності. Найчастіше злочинець не в змозі передбачити повністю наслідки своїх дій — вони залежать від багатьох суб'єктивних і об'єктивних факторів, зокрема від стану 1C, її захищеності та кількості зв'язків з іншими системами;
• високі вимоги до слідчого, який повинен мати підготовку на рівні професійного програміста або системного адміністратора. Щонайменше слідчий повинен вміти користуватись відповідним програмним забезпеченням, але критичним для нього є розуміння внутрішніх механізмів роботи систем і мереж. Останнє необхідне вже при виконанні таких звичайних слідчих дій, як обшук і збір речових доказів. Інформацію, зчитану або роздруковану з машинних носіїв, можна прийняти як доказ тільки за гарантованої неможливості її змінювання у процесі виконання цієї операції. Таку гарантію може дати використання сертифікованих програмних засобів, перевірених на відсутність незадокументованих можливостей. Але це не вирішує проблему повністю, оскільки залишається питання, хто буде контролювати застосування слідчим подібних програм — запрошені на обшук поняті навряд чи зможуть це зробити. Отже, ці питання потребують додаткових досліджень і детальної регламентації у кримінально-процесуальному законодавстві. Як не парадоксально, допомогти правоохоронним органам можуть і хакери
Роль хакерів у захисті 1C — тестування на проникнення
Тестування на проникнення є заходом, який має на меті перевірку відсутності в 1C простих шляхів обійти механізми захисту для неавторизованого користувача. Для цього можна скористатися професійними засобами тестування. Відповідні програми існують для всіх операційних систем, їх доцільно застосовувати хоча 6 тому, що вони можуть стати інструментом справжньої атаки. Недоліком подібних програм є те, що вони аналізують тільки вже відомі вразливі місця.
Кращим способом атестації безпеки системи є надання можливості спеціально запрошеним хакерам зламати її без попередження адміністраторів і користувачів. Результатом має стати конфіденційний звіт з оцінкою рівня доступності інформації та рекомендаціями щодо вдосконалення системи захисту.
Цей метод використовують і виробники програм комп'ютерного захисту. Прикладом є щорічний конкурс хакерів OpenHack, який проводить журнал eWeek. Компанія-розробник пропонує грошові призи у кілька десятків тисяч доларів тим, хто за два тижні зламає систему.
Однак, і тут можна зробити зауваження. Подібний конкурс не можна вважати ідеальною перевіркою. Професійні пірати не будуть рекламувати свої здібності, а залишать їх для «власного користування». OpenHack швидше можна назвати конкурсом молодих талантів, оскільки досвід минулих змагань показав, що серед переможців є особи, надто малі, щоб водити автомобіль.
Проте залучення юних хакерів до суспільно корисної роботи може стати одним із заходів з попередження комп'ютерних злочинів і розкриття вже скоєних. Сьогодні хакерів активно залучають у спеціальні поліцейські підрозділи. Прикладом є індійська національна кібер-поліція (National Cyber Cop Committee), «співробітниками» якої стали у 2000 році 19 хакерів у віці від 14 до 19 років.
|
|
|
|
|
Дата добавления: 2014-01-04; Просмотров: 2190; Нарушение авторских прав?; Мы поможем в написании вашей работы!