Шабанова
Лидия Павловна
Яковлев
Павел Владимирович
Московский
технологический университет (МИРЭА)
Проблемы
безопасности при использовании информационных систем
Стремительное развитие информационных
технологий на современном этапе невозможно без использования открытых
компьютерных сетей. В свою очередь безопасность работы в открытых компьютерных
сетях государственных учреждений, коммерческих организаций и даже отдельных лиц
во многом зависит от качества передаваемой ими информации. Случаи нарушения
целостности, конфиденциальности, доступности информации приводят не только к
экономическим, сбоям в работе информационной системы, но и представляют
реальную угрозу человеческим жизням.[1-3]
В связи с этим возникают вопросы
обеспечения информационной безопасности. Информационная безопасность
представляет собой «состояние защищённости сбалансированных интересов
производителей информационно-коммуникационных технологий и конкретно сетей,
потребителей, операторов и органов государственной власти в информационной
сфере»
Защите должна подлежать не только
секретная информация. Модификация несекретных данных может привести к утечке
секретных либо к не обнаруженному получателем приему ложных данных. Разрушение
или исчезновение накопленных с большим трудом данных может привести к
невосполнимой их утрате. В зависимости от сферы и масштабов применения той или
иной системы обработки данных потеря или утечка информации может привести к различной
тяжести последствиям: от невинных шуток до исключительно больших потерь
экономического и политического характера.
Несмотря
на предпринимаемые дорогостоящие методы, функционирование компьютерных
информационных систем обнаружило слабые места в защите информации. Неизбежным
следствием стали постоянно увеличивающиеся расходы и усилия на защиту
информации. Однако для того, чтобы принятые меры оказались эффективными,
необходимо определить, что такое угроза безопасности информации, выявить
возможные каналы утечки информации и пути несанкционированного доступа к
защищаемым данным.
К основным угрозам безопасности
информации относят:
• раскрытие конфиденциальной информации;
• компрометация информации;
• несанкционированное использование
информационных ресурсов;
• ошибочное использование информационных
ресурсов;
• несанкционированный обмен информацией;
•
отказ от информации;
• отказ в обслуживании.
Средствами реализации угрозы раскрытия
конфиденциальной информации могут быть несанкционированный доступ к базам
данных, прослушивание каналов и т.п. В любом случае получение информации,
являющейся достоянием некоторого лица (группы лиц) другими лицами, наносит ее
владельцам существенный ущерб.
Компрометация информации, как правило,
реализуется посредством внесения несанкционированных изменений в базы данных, в
результате чего ее потребитель вынужден либо отказаться от нее, либо
предпринимать дополнительные усилия для выявления изменений и восстановления
истинных сведений. В случае использования скомпрометированной информации
потребитель подвергается опасности принятия неверных решений со всеми
вытекающими отсюда последствиями.
Несанкционированное использование
информационных ресурсов, с одной стороны, является средством раскрытия или
компрометации информации, а с другой - имеет самостоятельное значение,
поскольку, даже не касаясь пользовательской или системной информации, может
нанести определенный ущерб абонентам и администрации. Этот ущерб может
варьироваться в весьма широких пределах - от сокращения поступления финансовых
средств до полного выхода АИТ из строя.
Ошибочное использование информационных
ресурсов будучи санкционированным тем не менее может привести к разрушению,
раскрытию или компрометации указанных ресурсов. Данная угроза чаще всего
является следствием ошибок, имеющихся в программном обеспечении АИТ.
Несанкционированный обмен информацией
между абонентами может привести к получению одним из них сведений, доступ к
которым ему запрещен, что по своим последствиям равносильно раскрытию
содержания банковской информации.
Отказ от информации состоит в
непризнании получателем или отправителем этой информации фактов ее получения
или отправки. В условиях банковской деятельности это, в частности, позволяет
одной из сторон расторгать заключенные финансовые соглашения «техническим»
путем, формально не отказываясь от них и нанося тем самым второй стороне
значительный ущерб.
Отказ в обслуживании представляет собой
весьма существенную и распространенную угрозу, источником которой является сама
АИТ. Подобный отказ особенно опасен в ситуациях, когда задержка с
предоставлением ресурсов абоненту может привести к тяжелым для него
последствиям. Так, отсутствие у пользователя данных, необходимых для принятия
решения, в течение периода времени, когда это решение еще возможно эффективно
реализовать, может стать причиной его нерациональных или даже антимонопольных
действий.
В
развитых странах предприятия расходуют на обеспечение информационной
безопасности от 5 до 7% бюджета, отведенного на информационные технологии. В
России же компании тратят на эти цели куда меньше — лишь 1-2%
В России приблизительно 48% компаний
используют антивирусное программное обеспечение. Вторыми по популярности (около
29%) являются межсетевые экраны и средства построения виртуальных частных сетей
(VPN). Примерно одинаковое количество финансовых средств тратится на решения
для обнаружения атак (10%) и продукты для идентификации, авторизации и
администрирования (11%). В Европе же наибольшее внимание уделяется как раз
средствам идентификации, авторизации и администрирования. Рекомендуется
защищаться не от угроз «вообще», а от риска простоя информационной системы.
Главными недостатками государственных
оценок информационной безопасности коммерческих продуктов были и остаются — их
высокая стоимость (+ цена простоя в разработке, пока продукт проходит оценку),
медленность (продукт может просто устареть пока проходит проверку), а главное —
всегда некоторая ограниченность и неполноценность. Модель оценки «сверху» все
менее вписывается в современную IT-индустрию.
Но, тем не менее, сфера компьютерной
безопасности не стоит на месте — появляются новые технологии, решения, идеи.
Литература:
1.
Щербаков А.Ю. Современная компьютерная
безопасность. Теоретические основы. Практические аспекты. − М.: Книжный
мир, 2009. – 352 с.
2.
Галатенко В.А. Основы информационной
безопасности. Интернет-университет информационных технологий − ИНТУИТ.ру,
2008.
3.
Шаньгин В.Ф. Защита компьютерной
информации. Эффективные методы и средства. − М.: ДМК Пресс, 2008. – 544
с.