Основные угрозы нарушения конфиденциальности информации

Конфиденциальную информацию условно можно разделить на предметную и служебную. Служебная информация (например, пароли пользователей) не относится к определенной предметной области, в информационной системе она играет техническую роль, но ее раскрытие особенно опасно, поскольку оно чревато получением несанкционированного доступа ко всей информации, в том числе предметной.

Даже если информация хранится в компьютере или предназначена для компьютерного использования, угрозы ее конфиденциальности могут носить некомпьютерный, и вообще нетехнический, характер, например, при работе с несколькими информационными системами возникает необходимость запоминания нескольких паролей. В таких случаях чаще всего пользуются записными книжками, листками, которые зачастую находятся рядом с компьютером, и т.д. Описанный класс уязвимых мест можно назвать размещением конфиденциальных данных в среде, где им не обеспечена (зачастую — и не может быть обеспечена) необходимая защита. Помимо паролей, хранящихся в записных книжках пользователей, в этот класс попадает передача конфиденциальных данных в открытом виде (в разговоре, в письме, по сети), которая делает возможным перехват данных. Для атаки могут использоваться разные технические средства (подслушивание или прослушивание разговоров, пассивное прослушивание сети и т.п.), но идея одна — получить доступ к данным в тот момент, когда они наименее защищены.

Перехват данных — очень серьезная угроза, и если конфиденциальность действительно критична, а данные передаются по многим каналам, их защита может оказаться весьма сложной и дорогостоящей. Технические средства перехвата хорошо проработаны, доступны, просты в эксплуатации, а установить их, например, на кабельную сеть, может кто угодно, так что эту угрозу нужно принимать во внимание по отношению не только к внешним, но и к внутренним коммуникациям.

Кражи оборудования являются угрозой не только для резервных носителей, но и для компьютеров, особенно портативных.

К неприятным угрозам, от которых трудно защищаться, можно отнести злоупотребление полномочиями. На многих типах систем привилегированный пользователь (например, системный администратор) способен прочитать любой (незашифрованный) файл, получить доступ к почте любого пользователя и т.д. Другой пример — нанесение ущерба при сервисном обслуживании. Обычно сервисный инженер получает неограниченный доступ к оборудованию и имеет возможность действовать в обход программных защитных механизмов.

Литература к главе 1

  • 1. Башлы П.Н. Информационная безопасность: Учебник. — Ростов-на-Дону: Фолиант, 2005.
  • 2. Башлы П.Н., Бабаш А.В., Баранова Е.К. Информационная безопасность. — М.: Изд. центр ЕАОИ, 2010.
  • 3. Галатенко В.А. Основы информационной безопасности. — М.: Интернет-Университет Информационных Технологий — ИНТУИТ. РУ, 2003.
  • 4. Галатенко В.А. Стандарты информационной безопасности. — М.: Интернет-Университет Информационных Технологий — ИНТУИТ. РУ, 2004.
  • 5. Завгородний В.И. Комплексная защита в компьютерных системах: Учебное пособие. — М.: Логос; ПБОЮЛ Н.А.Егоров, 2001.
  • 6. Карпов Е.А., Котенко И.В., Котухов М.М. и др. Законодательноправовое и организационно-техническое обеспечение информационной безопасности автоматизированных систем и информационно-вычислительных сетей / Под ред. И.В. Котенко. — СПб.: ВУС, 2000.
  • 7. МалюкА.А. Информационная безопасность: концептуальные и методологические основы защиты информации. Учеб, пособие для вузов. — М.: Горячая линия — Телеком, 2004 .
  • 8. Щербаков А.Ю. Введение в теорию и практику компьютерной безопасности. — М.: Издательство Молгачева С.В., 2001.
  • 9. Руководящие документы ФСТЭК и ГОСТы Российской Федерации по защите информации, а также другая литература по анализу требований к информационной безопасности, размещенные на сайте: http://www.volgablob.ru/wiki. Сборник нормативных документов по информационной безопасности.
 
< Пред   СОДЕРЖАНИЕ     След >