Комп'ютери: злочини, ознаки уразливості і заходи захисту
Зміст
Введення
Заходи захисту: чотири рівні захисту
Ознаки комп'ютерних злочинів
Інформаційна безпека
Злочини та зловживання
П'ять основних технологій, що використовувалися при скоєнні комп'ютерних злочинів
Але використання комп'ютерів і автоматизованих технологій призводить до появи ряду проблем для керівництва організацією. Комп'ютери, часто об'єднані в мережі, можуть надавати доступ до колосального кількості найрізноманітніших даних. Тому люди турбуються про безпеку інформації та наявність ризиків, пов'язаних з автоматизацією і наданням набагато більшого доступу до конфіденційних, персональним або іншим критичним даними. Все збільшується кількість комп'ютерних злочинів, що може призвести в кінцевому рахунку до підриву економіки. І тому повинно бути ясно, що інформація - це ресурс, який треба захищати.
Відповідальність за захист інформації лежить на нижчому ланці керівництва. Але також хто-то повинен здійснювати загальне керівництво цією діяльністю, тому в організації повинно бути особа в верхній ланці керівництва, яке відповідає за підтримку працездатності інформаційних систем.
І так як автоматизація призвела до того, що тепер операції з обчислювальною технікою виконуються простими службовцями організації, а не спеціально підготовленим технічним персоналом, потрібно, щоб кінцеві користувачі знали про свою відповідальність за захист інформації.
Кількість комп'ютерних злочинів зростає - також збільшуються масштаби комп'ютерних зловживань. За оцінкою фахівців США, збиток від комп'ютерних злочинів збільшується на 35 відсотків на рік і становить близько 3.5 мільярдів доларів. Однією з причин є сума грошей, одержувана в результаті злочину: у той час як збитки від середнього комп'ютерного злочину становить 560 тисяч доларів, при пограбуванні банку - всього лише 19 тисяч доларів.
Шансів бути спійманим у комп'ютерного злочинця набагато менше, ніж у грабіжника банку - і навіть при затриманні у нього менше шансів потрапити у в'язницю. Виявляється в середньому 1 відсоток комп'ютерних злочинів. І вірогідність того, що за комп'ютерне шахрайство злочинець потрапить у в'язницю, менше 10 відсотків.
Умисні комп'ютерні злочини складають помітну частину злочинів. Але зловживань комп'ютерами і помилок ще більше. Як висловився один експерт, "ми втрачаємо через помилки більше грошей, ніж могли б украсти". Ці втрати підкреслюють важливість і серйозність збитків, пов'язаних з комп'ютерами.
Основною причиною наявності втрат, пов'язаних з комп'ютерами, є недостатня освіченість у галузі безпеки. Лише наявність деяких знань в галузі безпеки може припинити інциденти і помилки, забезпечити ефективне застосування заходів захисту, запобігти злочину або своєчасно виявити підозрюваного. Поінформованість кінцевого користувача про заходи безпеки забезпечує чотири рівня захисту комп'ютерних та інформаційних ресурсів:
Виявлення - забезпечується раннє виявлення злочинів і зловживань, навіть якщо механізми захисту були обійдені
Обмеження - зменшується розмір втрат, якщо злочин все-таки відбулося незважаючи на заходи щодо його запобігання та виявлення.
Відновлення - забезпечується ефективне відновлення інформації при наявності документованих і перевірених планів з відновлення
Вчора контроль за технологією роботи був турботою технічних адміністраторів. Сьогодні контроль за інформацією став обов'язком кожного нетехнічного кінцевого користувача. Контроль за інформацією вимагає нових знань і навичок для групи нетехнічних службовців. Хороший контроль за інформацією вимагає розуміння можливостей здійснення комп'ютерних злочинів та зловживань, щоб можна було в подальшому вжити контрзаходи проти них.
Коли комп'ютери вперше з'явилися, вони були доступні лише малій кількості людей, які їх використати. Зазвичай вони містилися в спеціальних приміщеннях, віддалених територіально від приміщень, де працювали службовці. Сьогодні все змінилося. Комп'ютерні термінали та настільні комп'ютери використовуються скрізь. Комп'ютерне обладнання стало дружнім до користувача, тому багато людей можуть швидко і легко навчитися тому, як його використовувати.
Число службовців в організації, що мають доступ до комп'ютерного обладнання та інформаційної технології, постійно растет.д.оступ до інформації більше не обмежується тільки вузьким колом осіб з верхнього керівництва організації. Цей процес призвів до того, що відбулася "демократизація злочину". Чим більше людей отримувало доступ до інформаційної технології та комп'ютерного обладнання, тим більше виникало можливостей для здійснення комп'ютерних злочинів.
Важко узагальнювати, але тепер комп'ютерним злочинцем може бути ...
кінцевий користувач, не технічний службовець і не хакер
той, хто не перебуває на керівній посаді
той, у кого немає судимостей
розумний, талановитий співробітник
той, хто багато працює
той, хто не розбирається в комп'ютерах
той, кого ви підозрювали б в останню чергу
саме той, кого ви взяли б на роботу
Комп'ютерних злочинців МОЖЕ БУТИ БУДЬ.
Типовий комп'ютерний злочинець - це не молодий хакер, який використовує телефон і домашній комп'ютер для отримання доступу до великих комп'ютерів. Типовий комп'ютерний злочинець - це службовець, якому дозволено доступ до системи, нетехнічних користувачем якої він є. У США комп'ютерні злочини, вчинені службовцями, становлять 70-80 відсотків щорічного збитку, пов'язаного з комп'ютерами. Інші 20 відсотків дають дії нечесних і незадоволених співробітників. І відбуваються вони по цілому ряду причин.
ЧОМУ ЛЮДИ ЗДІЙСНЮВАТИ КОМП'ЮТЕРНІ ЗЛОЧИНИ:
особиста або фінансова вигода,
розвага,
помста,
спроба домогтися розташування будь-кого до себе,
самовираження,
випадковість,
вандалізм.
Але значно більший збиток, близько 60 відсотків усіх втрат, наносять помилки людей та інциденти. Запобігання комп'ютерних втрат, як з-за умисних злочинів, так і з-за ненавмисних помилок, вимагає знань в області безпеки. Опитування, проведені періодично в США, показують, що саме службовці, мали знання в області комп'ютерної безпеки, були основною причиною виявлення комп'ютерних злочинів.
неавторизоване використання комп'ютерного часу,
неавторизовані спроби доступу до файлів даних,
крадіжки частин комп'ютерів,
крадіжки програм,
фізичне руйнування обладнання,
знищення даних або програм,
неавторизоване володіння дискетами, стрічками або роздруківками.
І це лише найбільш очевидні ознаки, на які слід звернути увагу при виявленні комп'ютерних злочинів. Іноді ці ознаки говорять про те, що злочин вже скоєно, або що не виконуються заходи захисту. Вони також можуть свідчити про наявність вразливих місць - вказати, де знаходиться діра в захисті - і допомогти намітити план дій щодо усунення уразливого місця. У той час як ознаки можуть допомогти виявити злочин або зловживання - заходи захисту можуть допомогти запобігти його.
Заходи захисту - це заходи, що вводяться керівництвом, для забезпечення безпеки інформації - адміністративні керівні документи (накази, положення, інструкції), апаратні пристрої або додаткові програми - основною метою яких є запобігти злочинам та зловживання, не дозволивши їм відбутися. Заходи захисту можуть також виконувати функцію обмеження, зменшуючи розмір шкоди від злочину.
Інформаційною безпекою називають заходи із захисту інформації від несанкціонованого доступу, руйнування, модифікації, розкриття і затримок у доступі. Інформаційна безпека включає в себе заходи по захисту процесів створення даних, їх введення, обробки і виводу. Метою інформаційної безпеки є убезпечити цінності системи, захистити і гарантувати точність і цілісність інформації, і мінімізувати руйнування, які можуть мати місце, якщо інформація буде модифікована або зруйнована. Інформаційна безпека вимагає врахування всіх подій, в ході яких інформація створюється, модифікується, до неї забезпечується доступ або вона поширюється.
Інформаційна безпека дає гарантію того, що досягаються наступні цілі:
конфіденційність критичної інформації
цілісність інформації та пов'язаних з нею процесів (створення, введення, обробки і виведення)
доступність інформації, коли вона потрібна
облік всіх процесів, пов'язаних з інформацією
Деякі технології по захисту системи і забезпечення обліку всіх подій можуть бути вбудовані в сам комп'ютер. Інші можуть бути вбудовані в програми. Деякі ж виконуються людьми і є реалізацією вказівок керівництва, що містяться у відповідних керівних документах. Прийняття рішення про вибір рівня складності технологій для захисту системи вимагає встановлення критичності інформації та подальшого визначення адекватного рівня безпеки.
Що ж таке критичні дані? Під критичними даними будемо розуміти дані, які вимагають захисту через імовірність нанесення (ризику) шкоди та його величини в тому випадку, якщо відбудеться випадкове або навмисне розкриття, зміна, або руйнування даних. Цей термін включає в себе дані, чиє неправильне використання або розкриття може негативно відбитися на здатності організації вирішувати свої завдання, персональні дані та інші дані, захист яких потрібно указами Президента РФ, законами РФ і іншими підзаконними документами.
Введення неавторизованої інформації
Маніпуляції дозволеної для введення інформацією
Маніпуляції або неправильне використання файлів з інформацією
Створення неавторизованих файлів з інформацією
Обхід внутрішніх заходів захисту
Зловживання:
Крадіжка комп'ютерного часу, програм, інформації та обладнання
Введення неавторизованої інформації
Створення неавторизованих файлів з інформацією
Розробка комп'ютерних програм для неслужбового використання
Маніпулювання або неправильне використання можливостей щодо проведення робіт на комп'ютерах
З іншого боку варто розглянути основні методи, що використовувалися для їх здійснення. Вони включають:
Обдурювання з даними. Напевно, найпоширеніший метод при скоєнні комп'ютерних злочинів, так як він не вимагає технічних знань і відносно безпечний. Інформація змінюється в процесі її введення в комп'ютер або під час виведення. Наприклад, при введенні документи можуть бути замінені фальшивими, замість робочих дискет підсунуті чужі, і дані можуть бути сфальсифіковані.
Сканування. Інший поширений метод отримання інформації, який може призвести до злочину. Службовці, які читають файли інших, можуть виявити там персональну інформацію про своїх колег. Інформація, що дозволяє отримати доступ до комп'ютерних файлів або змінити їх, може бути знайдена після перегляду сміттєвих кошиків. Дискети, залишені на столі, можуть бути прочитані, скопійовані, і вкрадені. Дуже хитрий скануючий може навіть переглядати залишкову інформацію, що залишилася на комп'ютері або на носії інформації після виконання співробітником завдання і видалення своїх файлів.
Троянський кінь. Цей метод передбачає, що користувач не помітив, що комп'ютерна програма була змінена таким чином, що включає в себе додаткові функції. Програма, що виконує корисні функції, пишеться таким чином, що містить додаткові приховані функції, які будуть використовувати особливості механізмів захисту системи (можливості користувача, що запустив програму, з доступу до файлів)
Люк. Цей метод заснований на використанні прихованого програмного або апаратного механізму, що дозволяє обійти методи захисту в системі. Цей механізм активується деяким неочевидним чином. Іноді програма пишеться таким чином, що специфічне подія, наприклад, число транзакцій, оброблених у певний день, викличе запуск неавторизованого механізму.
Технологія салямі. Названа так через те, що злочин відбувається потроху, невеликими частинами, настільки маленькими, що вони непомітні. Зазвичай ця технологія супроводжується зміною комп'ютерної програми. Наприклад, платежі можуть заокруглюватимуть до декількох центів, і різниця між реальною та округленої сумою надходити на спеціально відкритий рахунок зловмисника.
Суперотключеніе. Названа по імені програми, що використовувалася в ряді комп'ютерних центрів, що обходили системні заходи захисту та використовувалася при аварійних ситуаціях. Володіння цим "майстер-ключем" дає можливість у будь-який час отримати доступ до комп'ютера і інформації, що знаходиться в ньому.
Три прийнятті рішень адміністратори ІС зіштовхуються з проблемою вибору варіантів рішень по організації ЗИ на основі обліку принципів діяльності організації, співвідношення важливості цілей і наявності ресурсів. Ці рішення включають визначення ого, як будуть захищатися технічні й інформаційні ресурси, а також як повинні поводитися службовці в тих чи інших ситуаціях.
Політика інформаційної безпеки - набір законів, правил, практичних рекомендацій і практичного досвіду, що визначають управлінські і проектні рішення в області ЗИ. На основі ПІБ будується управління, захист і розподіл критичної інформації в системі. Вона повинна охоплювати всі особливості процесу обробки інформації, визначаючи поводження ІС у різних ситуаціях.
Відповідно до запропонованого в книзі підходом олітіка (ЗАХОДИ) інформаційної безпеки 303) реалізується відповідною СТРУКТУРОЮ органів (002) на основі нормативно-методичної АЗИ (001) з використанням програмно-технічних методів і засобів (004), що визначають архітектуру системи захисту.
Для конкретної ІС політика безпеки повинна бути індивідуальною. Вона залежить від технології обробки інформації, використовуваних програмних і технічних засобів, структури організації і т.д.
Слід розглядати такі напрямки захисту ІС:
010 Захист об'єктів інформаційної системи;
020 Захист процесів, процедур і програм обробки інформації;
030 Захист каналів зв'язку;
040 Придушення побічних електромагнітних випромінювань;
050 Управління системою захисту.
Очевидно, що кожне з зазначених НАПРЯМІВ повинно бути деталізовано в залежності від особливостей структури ІС.
Крім цього ПІБ повинна описувати наступні ЕТАПИ створення СЗІ:
100 Визначення інформаційних і технічних ресурсів, що підлягають захисту;
200 Виявлення повної множини потенційно можливих погроз і каналів витоку інформації;
300 Проведення оцінки вразливості і ризиків інформації при наявному безлічі загроз та каналів витоку;
400 Визначення вимог до системи захисту;
500 Здійснення вибору засобів захисту інформації та їх характеристик;
600 Впровадження та організація використання обраних заходів, способів і засобів захисту;
700 Здійснення контролю цілісності і керування системою захисту.
Принципи політики безпеки (003).
Політика безпеки визначається як сукупність документованих управлінських рішень, спрямованих на захист інформації й асоційованих з нею ресурсів. При розробці і проведенні її в життя доцільно керуватися наступними принципами:
1. Неможливість минати захисні засоби;
2. Посилення найслабшої ланки;
3. Неприпустимість переходу у відкритий стан;
4. Мінімізація привілеїв;
5. Розподіл обов'язків;
6. Багаторівневий захист;
7. Різноманітність захисних засобів;
8. Простота і керованість інформаційної системи;
9. Забезпечення загальної підтримки заходів безпеки.
Зміст
Введення
Заходи захисту: чотири рівні захисту
Ознаки комп'ютерних злочинів
Інформаційна безпека
Злочини та зловживання
П'ять основних технологій, що використовувалися при скоєнні комп'ютерних злочинів
Введення
Інформаційна Ера призвела до драматичних змін у способі виконання своїх обов'язків для великого числа професій. Тепер нетехнічний спеціаліст середнього рівня може виконувати роботу, яку раніше робив висококваліфікований програміст. Службовець має у своєму розпорядженні стільки точної та оперативної інформації, скільки ніколи не мав.Але використання комп'ютерів і автоматизованих технологій призводить до появи ряду проблем для керівництва організацією. Комп'ютери, часто об'єднані в мережі, можуть надавати доступ до колосального кількості найрізноманітніших даних. Тому люди турбуються про безпеку інформації та наявність ризиків, пов'язаних з автоматизацією і наданням набагато більшого доступу до конфіденційних, персональним або іншим критичним даними. Все збільшується кількість комп'ютерних злочинів, що може призвести в кінцевому рахунку до підриву економіки. І тому повинно бути ясно, що інформація - це ресурс, який треба захищати.
Відповідальність за захист інформації лежить на нижчому ланці керівництва. Але також хто-то повинен здійснювати загальне керівництво цією діяльністю, тому в організації повинно бути особа в верхній ланці керівництва, яке відповідає за підтримку працездатності інформаційних систем.
І так як автоматизація призвела до того, що тепер операції з обчислювальною технікою виконуються простими службовцями організації, а не спеціально підготовленим технічним персоналом, потрібно, щоб кінцеві користувачі знали про свою відповідальність за захист інформації.
Кількість комп'ютерних злочинів зростає - також збільшуються масштаби комп'ютерних зловживань. За оцінкою фахівців США, збиток від комп'ютерних злочинів збільшується на 35 відсотків на рік і становить близько 3.5 мільярдів доларів. Однією з причин є сума грошей, одержувана в результаті злочину: у той час як збитки від середнього комп'ютерного злочину становить 560 тисяч доларів, при пограбуванні банку - всього лише 19 тисяч доларів.
Шансів бути спійманим у комп'ютерного злочинця набагато менше, ніж у грабіжника банку - і навіть при затриманні у нього менше шансів потрапити у в'язницю. Виявляється в середньому 1 відсоток комп'ютерних злочинів. І вірогідність того, що за комп'ютерне шахрайство злочинець потрапить у в'язницю, менше 10 відсотків.
Умисні комп'ютерні злочини складають помітну частину злочинів. Але зловживань комп'ютерами і помилок ще більше. Як висловився один експерт, "ми втрачаємо через помилки більше грошей, ніж могли б украсти". Ці втрати підкреслюють важливість і серйозність збитків, пов'язаних з комп'ютерами.
Основною причиною наявності втрат, пов'язаних з комп'ютерами, є недостатня освіченість у галузі безпеки. Лише наявність деяких знань в галузі безпеки може припинити інциденти і помилки, забезпечити ефективне застосування заходів захисту, запобігти злочину або своєчасно виявити підозрюваного. Поінформованість кінцевого користувача про заходи безпеки забезпечує чотири рівня захисту комп'ютерних та інформаційних ресурсів:
Заходи захисту: чотири рівні захисту
Запобігання - тільки авторизований персонал має доступ до інформації та технологіїВиявлення - забезпечується раннє виявлення злочинів і зловживань, навіть якщо механізми захисту були обійдені
Обмеження - зменшується розмір втрат, якщо злочин все-таки відбулося незважаючи на заходи щодо його запобігання та виявлення.
Відновлення - забезпечується ефективне відновлення інформації при наявності документованих і перевірених планів з відновлення
Вчора контроль за технологією роботи був турботою технічних адміністраторів. Сьогодні контроль за інформацією став обов'язком кожного нетехнічного кінцевого користувача. Контроль за інформацією вимагає нових знань і навичок для групи нетехнічних службовців. Хороший контроль за інформацією вимагає розуміння можливостей здійснення комп'ютерних злочинів та зловживань, щоб можна було в подальшому вжити контрзаходи проти них.
Коли комп'ютери вперше з'явилися, вони були доступні лише малій кількості людей, які їх використати. Зазвичай вони містилися в спеціальних приміщеннях, віддалених територіально від приміщень, де працювали службовці. Сьогодні все змінилося. Комп'ютерні термінали та настільні комп'ютери використовуються скрізь. Комп'ютерне обладнання стало дружнім до користувача, тому багато людей можуть швидко і легко навчитися тому, як його використовувати.
Число службовців в організації, що мають доступ до комп'ютерного обладнання та інформаційної технології, постійно растет.д.оступ до інформації більше не обмежується тільки вузьким колом осіб з верхнього керівництва організації. Цей процес призвів до того, що відбулася "демократизація злочину". Чим більше людей отримувало доступ до інформаційної технології та комп'ютерного обладнання, тим більше виникало можливостей для здійснення комп'ютерних злочинів.
Важко узагальнювати, але тепер комп'ютерним злочинцем може бути ...
кінцевий користувач, не технічний службовець і не хакер
той, хто не перебуває на керівній посаді
той, у кого немає судимостей
розумний, талановитий співробітник
той, хто багато працює
той, хто не розбирається в комп'ютерах
той, кого ви підозрювали б в останню чергу
саме той, кого ви взяли б на роботу
Комп'ютерних злочинців МОЖЕ БУТИ БУДЬ.
Типовий комп'ютерний злочинець - це не молодий хакер, який використовує телефон і домашній комп'ютер для отримання доступу до великих комп'ютерів. Типовий комп'ютерний злочинець - це службовець, якому дозволено доступ до системи, нетехнічних користувачем якої він є. У США комп'ютерні злочини, вчинені службовцями, становлять 70-80 відсотків щорічного збитку, пов'язаного з комп'ютерами. Інші 20 відсотків дають дії нечесних і незадоволених співробітників. І відбуваються вони по цілому ряду причин.
ЧОМУ ЛЮДИ ЗДІЙСНЮВАТИ КОМП'ЮТЕРНІ ЗЛОЧИНИ:
особиста або фінансова вигода,
розвага,
помста,
спроба домогтися розташування будь-кого до себе,
самовираження,
випадковість,
вандалізм.
Але значно більший збиток, близько 60 відсотків усіх втрат, наносять помилки людей та інциденти. Запобігання комп'ютерних втрат, як з-за умисних злочинів, так і з-за ненавмисних помилок, вимагає знань в області безпеки. Опитування, проведені періодично в США, показують, що саме службовці, мали знання в області комп'ютерної безпеки, були основною причиною виявлення комп'ютерних злочинів.
Ознаки комп'ютерних злочинів
Звертайте увагу на:неавторизоване використання комп'ютерного часу,
неавторизовані спроби доступу до файлів даних,
крадіжки частин комп'ютерів,
крадіжки програм,
фізичне руйнування обладнання,
знищення даних або програм,
неавторизоване володіння дискетами, стрічками або роздруківками.
І це лише найбільш очевидні ознаки, на які слід звернути увагу при виявленні комп'ютерних злочинів. Іноді ці ознаки говорять про те, що злочин вже скоєно, або що не виконуються заходи захисту. Вони також можуть свідчити про наявність вразливих місць - вказати, де знаходиться діра в захисті - і допомогти намітити план дій щодо усунення уразливого місця. У той час як ознаки можуть допомогти виявити злочин або зловживання - заходи захисту можуть допомогти запобігти його.
Заходи захисту - це заходи, що вводяться керівництвом, для забезпечення безпеки інформації - адміністративні керівні документи (накази, положення, інструкції), апаратні пристрої або додаткові програми - основною метою яких є запобігти злочинам та зловживання, не дозволивши їм відбутися. Заходи захисту можуть також виконувати функцію обмеження, зменшуючи розмір шкоди від злочину.
Інформаційна безпека
Те, що в 60-і роки називалося комп'ютерною безпекою, а в 70-ті - безпекою даних, зараз більш правильно іменується інформаційною безпекою. Інформаційна безпека підкреслює важливість інформації в сучасному суспільстві - розуміння того, що інформація - це цінний ресурс, щось більше, ніж окремі елементи даних.Інформаційною безпекою називають заходи із захисту інформації від несанкціонованого доступу, руйнування, модифікації, розкриття і затримок у доступі. Інформаційна безпека включає в себе заходи по захисту процесів створення даних, їх введення, обробки і виводу. Метою інформаційної безпеки є убезпечити цінності системи, захистити і гарантувати точність і цілісність інформації, і мінімізувати руйнування, які можуть мати місце, якщо інформація буде модифікована або зруйнована. Інформаційна безпека вимагає врахування всіх подій, в ході яких інформація створюється, модифікується, до неї забезпечується доступ або вона поширюється.
Інформаційна безпека дає гарантію того, що досягаються наступні цілі:
конфіденційність критичної інформації
цілісність інформації та пов'язаних з нею процесів (створення, введення, обробки і виведення)
доступність інформації, коли вона потрібна
облік всіх процесів, пов'язаних з інформацією
Деякі технології по захисту системи і забезпечення обліку всіх подій можуть бути вбудовані в сам комп'ютер. Інші можуть бути вбудовані в програми. Деякі ж виконуються людьми і є реалізацією вказівок керівництва, що містяться у відповідних керівних документах. Прийняття рішення про вибір рівня складності технологій для захисту системи вимагає встановлення критичності інформації та подальшого визначення адекватного рівня безпеки.
Що ж таке критичні дані? Під критичними даними будемо розуміти дані, які вимагають захисту через імовірність нанесення (ризику) шкоди та його величини в тому випадку, якщо відбудеться випадкове або навмисне розкриття, зміна, або руйнування даних. Цей термін включає в себе дані, чиє неправильне використання або розкриття може негативно відбитися на здатності організації вирішувати свої завдання, персональні дані та інші дані, захист яких потрібно указами Президента РФ, законами РФ і іншими підзаконними документами.
Злочини та зловживання
Аналіз зарубіжних і вітчизняних звітів про виявлені комп'ютерних злочинах дозволяє описати основні технології їх здійснення. Лише деякі з них включають руйнування комп'ютерів або даних. Лише у 3 відсотках шахрайств і 8 відсотках зловживань відбувалося спеціальне руйнування обладнання, знищення програм або даних. У більшій частині випадків шахрайств і зловживань використовувалася інформація - нею маніпулювали, її створювали, її використовували.П'ять основних технологій, що використовувалися при скоєнні комп'ютерних злочинів
Шахрайства:Введення неавторизованої інформації
Маніпуляції дозволеної для введення інформацією
Маніпуляції або неправильне використання файлів з інформацією
Створення неавторизованих файлів з інформацією
Обхід внутрішніх заходів захисту
Зловживання:
Крадіжка комп'ютерного часу, програм, інформації та обладнання
Введення неавторизованої інформації
Створення неавторизованих файлів з інформацією
Розробка комп'ютерних програм для неслужбового використання
Маніпулювання або неправильне використання можливостей щодо проведення робіт на комп'ютерах
З іншого боку варто розглянути основні методи, що використовувалися для їх здійснення. Вони включають:
Обдурювання з даними. Напевно, найпоширеніший метод при скоєнні комп'ютерних злочинів, так як він не вимагає технічних знань і відносно безпечний. Інформація змінюється в процесі її введення в комп'ютер або під час виведення. Наприклад, при введенні документи можуть бути замінені фальшивими, замість робочих дискет підсунуті чужі, і дані можуть бути сфальсифіковані.
Сканування. Інший поширений метод отримання інформації, який може призвести до злочину. Службовці, які читають файли інших, можуть виявити там персональну інформацію про своїх колег. Інформація, що дозволяє отримати доступ до комп'ютерних файлів або змінити їх, може бути знайдена після перегляду сміттєвих кошиків. Дискети, залишені на столі, можуть бути прочитані, скопійовані, і вкрадені. Дуже хитрий скануючий може навіть переглядати залишкову інформацію, що залишилася на комп'ютері або на носії інформації після виконання співробітником завдання і видалення своїх файлів.
Троянський кінь. Цей метод передбачає, що користувач не помітив, що комп'ютерна програма була змінена таким чином, що включає в себе додаткові функції. Програма, що виконує корисні функції, пишеться таким чином, що містить додаткові приховані функції, які будуть використовувати особливості механізмів захисту системи (можливості користувача, що запустив програму, з доступу до файлів)
Люк. Цей метод заснований на використанні прихованого програмного або апаратного механізму, що дозволяє обійти методи захисту в системі. Цей механізм активується деяким неочевидним чином. Іноді програма пишеться таким чином, що специфічне подія, наприклад, число транзакцій, оброблених у певний день, викличе запуск неавторизованого механізму.
Технологія салямі. Названа так через те, що злочин відбувається потроху, невеликими частинами, настільки маленькими, що вони непомітні. Зазвичай ця технологія супроводжується зміною комп'ютерної програми. Наприклад, платежі можуть заокруглюватимуть до декількох центів, і різниця між реальною та округленої сумою надходити на спеціально відкритий рахунок зловмисника.
Суперотключеніе. Названа по імені програми, що використовувалася в ряді комп'ютерних центрів, що обходили системні заходи захисту та використовувалася при аварійних ситуаціях. Володіння цим "майстер-ключем" дає можливість у будь-який час отримати доступ до комп'ютера і інформації, що знаходиться в ньому.
Три прийнятті рішень адміністратори ІС зіштовхуються з проблемою вибору варіантів рішень по організації ЗИ на основі обліку принципів діяльності організації, співвідношення важливості цілей і наявності ресурсів. Ці рішення включають визначення ого, як будуть захищатися технічні й інформаційні ресурси, а також як повинні поводитися службовці в тих чи інших ситуаціях.
Політика інформаційної безпеки - набір законів, правил, практичних рекомендацій і практичного досвіду, що визначають управлінські і проектні рішення в області ЗИ. На основі ПІБ будується управління, захист і розподіл критичної інформації в системі. Вона повинна охоплювати всі особливості процесу обробки інформації, визначаючи поводження ІС у різних ситуаціях.
Відповідно до запропонованого в книзі підходом олітіка (ЗАХОДИ) інформаційної безпеки 303) реалізується відповідною СТРУКТУРОЮ органів (002) на основі нормативно-методичної АЗИ (001) з використанням програмно-технічних методів і засобів (004), що визначають архітектуру системи захисту.
Для конкретної ІС політика безпеки повинна бути індивідуальною. Вона залежить від технології обробки інформації, використовуваних програмних і технічних засобів, структури організації і т.д.
Слід розглядати такі напрямки захисту ІС:
010 Захист об'єктів інформаційної системи;
020 Захист процесів, процедур і програм обробки інформації;
030 Захист каналів зв'язку;
040 Придушення побічних електромагнітних випромінювань;
050 Управління системою захисту.
Очевидно, що кожне з зазначених НАПРЯМІВ повинно бути деталізовано в залежності від особливостей структури ІС.
Крім цього ПІБ повинна описувати наступні ЕТАПИ створення СЗІ:
100 Визначення інформаційних і технічних ресурсів, що підлягають захисту;
200 Виявлення повної множини потенційно можливих погроз і каналів витоку інформації;
300 Проведення оцінки вразливості і ризиків інформації при наявному безлічі загроз та каналів витоку;
400 Визначення вимог до системи захисту;
500 Здійснення вибору засобів захисту інформації та їх характеристик;
600 Впровадження та організація використання обраних заходів, способів і засобів захисту;
700 Здійснення контролю цілісності і керування системою захисту.
Принципи політики безпеки (003).
Політика безпеки визначається як сукупність документованих управлінських рішень, спрямованих на захист інформації й асоційованих з нею ресурсів. При розробці і проведенні її в життя доцільно керуватися наступними принципами:
1. Неможливість минати захисні засоби;
2. Посилення найслабшої ланки;
3. Неприпустимість переходу у відкритий стан;
4. Мінімізація привілеїв;
5. Розподіл обов'язків;
6. Багаторівневий захист;
7. Різноманітність захисних засобів;
8. Простота і керованість інформаційної системи;
9. Забезпечення загальної підтримки заходів безпеки.