Основы работы в Интернет. Часть 3 (углубленный уровень подготовки). Кревский И.Г - 52 стр.

UptoLike

ВУЗ: 

ПГУ | Пенза

Составители: 

Рубрика: 

52
31. РИСКИ, СВЯЗАННЫЕ С РАБОТОЙ В ОТКРЫТЫХ СЕТЯХ
Самыми частыми и самыми опасными (с точки зрения размера ущерба) являются
непреднамеренные ошибки пользователей, операторов, системных администраторов и других лиц,
обслуживающих информационные системы. Иногда такие ошибки приводят к прямому ущербу
(неправильно введенные данные, ошибка в программе, вызвавшая остановку или разрушение
системы). Иногда они создают слабые места, которыми могут воспользоваться злоумышленники
(таковы обычно ошибки администрирования).
Согласно данным Национального Института Стандартов и Технологий США (NIST), 65%
случаев нарушения безопасности ИС - следствие непреднамеренных ошибок. Работа в глобальной
информационной сети делает этот фактор достаточно актуальным, причем источником ущерба
могут быть как действия пользователей Вашей организации, так и пользователей глобальной сети,
что особенно опасно.
На втором месте по размерам ущерба располагаются кражи и подлоги. В большинстве
расследованных случаев виновниками оказывались штатные сотрудники организаций, отлично
знакомые с режимом работы и защитными мерами. Наличие мощного информационного канала
связи с глобальными сетями может, при отсутствии должного контроля его использования,
дополнительно способствовать такой деятельности.
Обиженные сотрудники, даже бывшие, знакомы с порядками в организации и способны
вредить весьма эффективно. Необходимо следить за тем, чтобы при увольнении сотрудника его
права доступа к информационным ресурсам аннулировались.
Преднамеренные попытки получения несанкционированного доступа через внешние
коммуникации занимают в настоящее время около 10% всех возможных нарушений. Хотя эта
величина кажется не столь значительной, опыт работы в Internet показывает, что почти каждый
Internet-сервер по нескольку раз в день подвергается попыткам проникновения. Кроме того,
необходимо иметь в виду динамику развития рисков этого типа: по данным регистрировать факты
нарушения информационной безопасности. Так, тесты Агентства Защиты Информационных
Систем (США) показали, что 88% компьютеров имеют слабые места с точки зрения
информационной безопасности, которые могут активно использоваться для получения
несанкционированного доступа. При этом в среднем только каждый двенадцатый администратор
обнаруживает, что указанный инцидент произошел в управляемой им системе.
Отдельно следует рассмотреть случай удаленного доступа к информационным структурам
организации через телефонные линии, посредством популярных протоколов SLIP/PPP. Поскольку
в этом случае ситуация близка к ситуации взаимодействия пользователей локальной и глобальной
сети, решение возникающих проблем также может быть аналогичным решениям для Internet.
В столь важной задаче, как обеспечение безопасности информационной системы, нет, и не
может быть полностью готового решения. Это связано с тем, что структура каждой организации,
функциональные связи между ее подразделениями и отдельными сотрудниками практически
никогда полностью не повторяются. Только руководство организации может определить,
насколько критично нарушение безопасности для компонент информационной системы
, кто, когда
и для решения каких задачах может использовать те или иные информационные сервисы.
Ключевым этапом для построения надежной информационной системы является выработка
политики безопасности.
Под политикой безопасности мы будем понимать совокупность документированных
управленческих решений, направленных на защиту информации и связанных с ней ресурсов.
С практической точки зрения политику безопасности целесообразно разделить на три
уровня:
Решения, затрагивающие организацию в целом. Они носят общий характер и, как правило,
исходят от руководства организации.
Вопросы, касающиеся отдельных аспектов информационной безопасности, но важные для
различных систем, эксплуатируемых организацией.
Конкретные сервисы информационной системы.
Третий уровень включает в себя два аспекта - цели (политики безопасности) и правила их
достижения, поэтому его порой трудно отделить от вопросов реализации. В отличие от двух
верхних уровней, третий должен быть гораздо детальнее. У отдельных сервисов есть много 
     31.       РИСКИ, СВЯЗАННЫЕ С РАБОТОЙ В ОТКРЫТЫХ СЕТЯХ
       Самыми частыми и самыми опасными (с точки зрения размера ущерба) являются
непреднамеренные ошибки пользователей, операторов, системных администраторов и других лиц,
обслуживающих информационные системы. Иногда такие ошибки приводят к прямому ущербу
(неправильно введенные данные, ошибка в программе, вызвавшая остановку или разрушение
системы). Иногда они создают слабые места, которыми могут воспользоваться злоумышленники
(таковы обычно ошибки администрирования).
       Согласно данным Национального Института Стандартов и Технологий США (NIST), 65%
случаев нарушения безопасности ИС - следствие непреднамеренных ошибок. Работа в глобальной
информационной сети делает этот фактор достаточно актуальным, причем источником ущерба
могут быть как действия пользователей Вашей организации, так и пользователей глобальной сети,
что особенно опасно.
       На втором месте по размерам ущерба располагаются кражи и подлоги. В большинстве
расследованных случаев виновниками оказывались штатные сотрудники организаций, отлично
знакомые с режимом работы и защитными мерами. Наличие мощного информационного канала
связи с глобальными сетями может, при отсутствии должного контроля его использования,
дополнительно способствовать такой деятельности.
       Обиженные сотрудники, даже бывшие, знакомы с порядками в организации и способны
вредить весьма эффективно. Необходимо следить за тем, чтобы при увольнении сотрудника его
права доступа к информационным ресурсам аннулировались.
       Преднамеренные попытки получения несанкционированного доступа через внешние
коммуникации занимают в настоящее время около 10% всех возможных нарушений. Хотя эта
величина кажется не столь значительной, опыт работы в Internet показывает, что почти каждый
Internet-сервер по нескольку раз в день подвергается попыткам проникновения. Кроме того,
необходимо иметь в виду динамику развития рисков этого типа: по данным регистрировать факты
нарушения информационной безопасности. Так, тесты Агентства Защиты Информационных
Систем (США) показали, что 88% компьютеров имеют слабые места с точки зрения
информационной безопасности, которые могут активно использоваться для получения
несанкционированного доступа. При этом в среднем только каждый двенадцатый администратор
обнаруживает, что указанный инцидент произошел в управляемой им системе.
       Отдельно следует рассмотреть случай удаленного доступа к информационным структурам
организации через телефонные линии, посредством популярных протоколов SLIP/PPP. Поскольку
в этом случае ситуация близка к ситуации взаимодействия пользователей локальной и глобальной
сети, решение возникающих проблем также может быть аналогичным решениям для Internet.
       В столь важной задаче, как обеспечение безопасности информационной системы, нет, и не
может быть полностью готового решения. Это связано с тем, что структура каждой организации,
функциональные связи между ее подразделениями и отдельными сотрудниками практически
никогда полностью не повторяются. Только руководство организации может определить,
насколько критично нарушение безопасности для компонент информационной системы, кто, когда
и для решения каких задачах может использовать те или иные информационные сервисы.
       Ключевым этапом для построения надежной информационной системы является выработка
политики безопасности.
       Под политикой безопасности мы будем понимать совокупность документированных
управленческих решений, направленных на защиту информации и связанных с ней ресурсов.
       С практической точки зрения политику безопасности целесообразно разделить на три
уровня:
       Решения, затрагивающие организацию в целом. Они носят общий характер и, как правило,
исходят от руководства организации.
       Вопросы, касающиеся отдельных аспектов информационной безопасности, но важные для
различных систем, эксплуатируемых организацией.
       Конкретные сервисы информационной системы.
       Третий уровень включает в себя два аспекта - цели (политики безопасности) и правила их
достижения, поэтому его порой трудно отделить от вопросов реализации. В отличие от двух
верхних уровней, третий должен быть гораздо детальнее. У отдельных сервисов есть много
                                                52

Страницы