Організація захисту комп'ютерних інформаційних систем

Захист інформації неможливо регламентувати через різнома­нітність існуючих 1C та видів інформації, що обробляється. Кон­кретні заходи визначаються виробничими, фінансовими та інши­ми можливостями підприємства (організації), обсягом конфіден­ційної інформації та її значущістю. Можна назвати тільки загаль­ні правила:

• створення та експлуатація системи захисту інформації є склад­ною і відповідальною справою, яку мають робити професіонали;

• не слід намагатись організувати абсолютно надійний за­хист — такого просто не існує. Система захисту має бути достат­ньою, надійною, ефективною та керованою. Ефективність захис­ту інформації вимірюється не витратами на її організацію, а її здатністю адекватно реагувати на всі загрози;

* заходи із захисту інформації повинні мати комплексний ха­рактер, об'єднувати різні засоби;

* систему захисту слід будувати, виходячи з того, що основну загрозу становлять співробітники підприємства (організації, установи).

Необхідність залучення кваліфікованих фахівців до організа­ції захисту інформації диктується тим, що тільки вони можуть визначити всі загрози і знайти ефективні засоби протидії. Сього­дні захист інформації стає однією з галузей, для якої розробля­ються спеціальні інструментальні засоби, призначені для генера­ції тестів, імітації загроз, аналізу текстів програм. Створюються експертні системи для формування вимог до безпеки IT та оцінки рівня їх виконання.

Однак до захисту інформації повинні залучатись і звичайні користувачі, оскільки цю проблему неможливо вирішити тільки технічними і програмними засобами, людський фактор відіграє важливу роль у забезпеченні конфіденційності (див. вставку).

Власники і користувачі інформації можуть якнайкраще оціни­ти її важливість для визначення адекватних заходів з її захисту. Вони ж мають брати активну участь у виробленні стратегії захис­ту, оскільки остання має бути частиною внутрішньої політики організації. За приклад можна вважати появу нової посади у штат­ному розкладі корпорації IBM, — директором з проблем захисту конфіденційної інформації стала ветеран IBM Арієт Пірсон, яка має інженерну та юридичну освіту.

Необхідне розуміння цієї проблеми і на державному рівні. В Україні базовим законом для цього є Закон «Про державну таєм­ницю», який надає таке визначення: державна таємниця (сек­ретна інформація) — вид таємної інформації, що охоплює відо­мості у сфері оборони, економіки, науки і техніки, зовнішніх від­носин, державної безпеки та охорони правопорядку, розго­лошення яких може завдати шкоди національній безпеці України та які визнані у порядку, встановленому Законом України «Про державну таємницю», державною таємницею і підлягають охо­роні державою. Цей Закон доповнюють інші закони та норматив­ні акти, однак слід зазначити, що для ефективного захисту інфор­мації потрібне не тільки вдосконалення правової бази, а й комплексні заходи з втілення державної політики в цій галузі в життя (див. вставку).

Боротьба з кіберзлочинністю — справа державна

Наприкінці 2000 року уряд Великобританії (http://www.number-10.gov.uk) повідомив про виділення 25 млн фунтів стерлінгів на створення у 2001 р. спеціального елітного поліцейського під­розділу з боротьби зі злочинністю у сфері високих технологій (National Hi-Tech Crime Unit). До підрозділу запрошені спеціально підготовлені детективи з поліції, митниці, Національного управління з розслідування карних злочинів (National Crime Squad) і Національної кримінальної поліції (NCIS — National Criminal Intelligence Service) — всього 40 осіб у Лондоні і 46 слід­чих у підрозділах на місцях. Об'єктами кібер-копів є шахраї, педофіли, хакери, автори вірусів та інші шкідники. На виділені гроші також фінансується цілодобова «гаряча лінія», яка інфор­мує про можливі атаки та інші загрози.

Федеральне бюро розслідувань США запустило у 2001 році програму попередження комп'ютерних злочинів InfraGuard, розроб­лену Центром захисту національної інфраструктури (National Infrastructure Protection Center, NIPC, http://www.nipc.gov/). Однією з цілей програми є створення захищеної від вторгнення ззовні ме­режі для обміну інформацією між компаніями та органами забезпе­чення правопорядку про здійснені атаки та надання відомостей, які можуть попередити такі зазіхання. Однак деякі експерти вва­жають, що контроль з боку ФБР спричиняє недоступність інфор­мації іншим учасникам. Це зумовлює появу інших подібних програм. Так, американські комп'ютерні корпорації Miscrosoft, Oracle, AT&T, Intel та 15 інших компаній створили центр обміну інформацією по боротьбі з комп'ютерною злочинністю (Information Technology Information Sharing and Analysis Center).

За твердженнями експертів, з усієї кількості комп'ютерних злочинів бувають своєчасно розкриті і покарані тільки 10— 17 %. У 90 % випадків виявлення злочину завдячує випад­ковості. Основною причиною такого становища є особливості комп'ютерних злочинів, які ускладнюють їх виявлення та до­ведення:

• незначні зовнішні прояви злочину — викрадена інформація може залишитись на місці, зчитування інформації може тривати частки секунд, занесення комп'ютерного вірусу списується на недосконалість антивірусного програмного забезпечення, а втра­та даних — на збій технічних засобів;

складність точного визначення втрат та їх оцінювання у грошовому еквіваленті;

• часто розслідування комп'ютерних злочинів є дуже доро­гим, що обмежує можливості його проведення. А оскільки вияв­лені зловмисники часто здобувають легке покарання, потерпілі не бачать сенсу витрачати додаткові кошти на їх розшук;

• небажання постраждалих звертатись до правоохоронних ор­ганів, оскільки це може призвести до обнародування секретної інформації, втрати клієнтів, партнерів або акціонерів, конфліктів усередині організації. Деякі постраждалі побоюються, що у про­цесі розслідування будуть виявлені незаконне ведення ними опе­рацій або інші протиправні дії. Одним з аспектів цієї проблеми є те, що потерпіла особа зазвичай сприймається громадськістю як жадібна і дурна;

• складність доведення злочинного наміру або необережності. Найчастіше злочинець не в змозі передбачити повністю наслідки своїх дій — вони залежать від багатьох суб'єктивних і об'єк­тивних факторів, зокрема від стану 1C, її захищеності та кількості зв'язків з іншими системами;

• високі вимоги до слідчого, який повинен мати підготовку на рівні професійного програміста або системного адміністратора. Щонайменше слідчий повинен вміти користуватись відповідним програмним забезпеченням, але критичним для нього є розуміння внутрішніх механізмів роботи систем і мереж. Останнє необхідне вже при виконанні таких звичайних слідчих дій, як обшук і збір речових доказів. Інформацію, зчитану або роздруковану з ма­шинних носіїв, можна прийняти як доказ тільки за гарантованої неможливості її змінювання у процесі виконання цієї операції. Таку гарантію може дати використання сертифікованих програм­них засобів, перевірених на відсутність незадокументованих мо­жливостей. Але це не вирішує проблему повністю, оскільки за­лишається питання, хто буде контролювати застосування слідчим подібних програм — запрошені на обшук поняті навряд чи змо­жуть це зробити. Отже, ці питання потребують додаткових дослі­джень і детальної регламентації у кримінально-процесуальному законодавстві. Як не парадоксально, допомогти правоохоронним органам можуть і хакери

Роль хакерів у захисті 1C — тестування на проникнення

Тестування на проникнення є заходом, який має на меті пере­вірку відсутності в 1C простих шляхів обійти механізми захисту для неавторизованого користувача. Для цього можна скориста­тися професійними засобами тестування. Відповідні програми іс­нують для всіх операційних систем, їх доцільно застосовувати хоча 6 тому, що вони можуть стати інструментом справжньої атаки. Недоліком подібних програм є те, що вони аналізують тільки вже відомі вразливі місця.

Кращим способом атестації безпеки системи є надання мож­ливості спеціально запрошеним хакерам зламати її без попере­дження адміністраторів і користувачів. Результатом має стати конфіденційний звіт з оцінкою рівня доступності інформації та ре­комендаціями щодо вдосконалення системи захисту.

Цей метод використовують і виробники програм комп'ю­терного захисту. Прикладом є щорічний конкурс хакерів OpenHack, який проводить журнал eWeek. Компанія-розробник пропонує грошові призи у кілька десятків тисяч доларів тим, хто за два тижні зламає систему.

Однак, і тут можна зробити зауваження. Подібний конкурс не можна вважати ідеальною перевіркою. Професійні пірати не бу­дуть рекламувати свої здібності, а залишать їх для «власного ко­ристування». OpenHack швидше можна назвати конкурсом моло­дих талантів, оскільки досвід минулих змагань показав, що серед переможців є особи, надто малі, щоб водити автомобіль.

Проте залучення юних хакерів до суспільно корисної роботи може стати одним із заходів з попередження комп'ютерних злочи­нів і розкриття вже скоєних. Сьогодні хакерів активно залучають у спеціальні поліцейські підрозділи. Прикладом є індійська національ­на кібер-поліція (National Cyber Cop Committee), «співробітниками» якої стали у 2000 році 19 хакерів у віці від 14 до 19 років.

Дата добавления: 2014-01-04; Просмотров: 2164; Нарушение авторских прав?; Мы поможем в написании вашей работы!