Факультет ФТМИ
ОТЧЕТ
о учебно-ознакомительной практике.
Санкт-Петербург
20 21
1
Оглавление.
Оглавление...............................................................................................................................................2
Введение....................................................................................................................................................3
1. Виды угроз информационной безопасности.....................................................................................5
1.1 Понятие информационной безопасности....................................................................................5
1.2 Угрозы информационной безопасности......................................................................................5
1.3 Принципы информационной безопасности................................................................................7
2. Средства и технологии информационных угроз............................................................................10
2.1 Вредоносные ПО и их влияние на информационные системы...............................................10
2.2 Факторы влияющие на уязвимость системы.............................................................................12
3. Методы и способы защиты информации........................................................................................14
3.1 Защита финансовой информации...............................................................................................14
3.2 Криптографические методы защиты информации..................................................................18
3.3 Контроль доступа как один из методов защиты информации................................................20
Заключение.............................................................................................................................................23
Используемые материалы...................................................................................................................24
2
Введение
4
1. Виды угроз информационной безопасности
1.1 Понятие информационной безопасности
Информационная безопасность — это любые меры, которые
предпринимаются для сохранения и защиты информации и информационных
данных, в том числе оборудования и самой системы. Её основной задачей
является максимальное обеспечение защиты от внешних или внутренних
угроз, которые могут быть оказаны по отношению к системе, пользователю,
администрирующему персоналу и так далее.
1.2 Угрозы информационной безопасности
Угрозы информационной безопасности — это любой процесс или
любое действие, которые тем или иным образом способствуют краже,
блокированию, утечке, уничтожению, копированию или потере защищенной
информации, а также умышленно или неумышленно наносят ущерб
пользователям.
Существуют естественные и неестественные угрозы:
Естественные угрозы — это угрозы, вызванные воздействием
объективных физических процессов, природных явлений, неподконтрольных
человеку.
Естественные угрозы можно разделить на:
естественные, т. е. различные осадки, магнитные бури,
природные явления в целом;
технические, т. е. связанные с обработкой информации и
поддержкой информационных систем.
Искусственные угрозы делятся на:
непреднамеренные;
преднамеренные.
К непреднамеренным угрозам можно отнести:
Случайные ошибки обслуживающего персонала или
пользователя объекта или ресурса.
5
Недостаточно корректное выполнение сотрудниками своих
должностных инструкций и обязанностей, халатность.
Ошибки, допущенные разработчиками при проектировании
объекта информации
Преднамеренная угроза может исходить от любого участника
обработки данных, как от персонала, так и от внешних пользователей, так
называемых "хакеров".
Хакер — это подкованный IT-специалист, который взламывает
различные информационные системы, преследуя собственные интересы или
по договоренности.
Существуют следующие виды угроз:
несанкционированный ввод данных;
несанкционированный доступ к информации повышенной
секретности.
кража информации;
копирование и кража программного обеспечения;
несанкционированное использование автоматизированных
банковских систем;
модификация или уничтожение данных на магнитных носителях;
Намеренные угрозы приводят к прямому раскрытию или изменению
данных, и их (угрозы) очень трудно выявить и доказать.
Преднамеренные угрозы обычно связаны с раскрытием или
изменением данных в системе. По способу осуществления такие угрозы
можно разделить на:
1. a) Информационный способ реализации угрозы:
1.1. Незаконное использование информации, ее распространение и
сбор;
1.2. изменение и нарушение идентификации адресата и его возможная
фальсификация;
6
1.3. использование информации в качестве манипулятивного оружия;
1.4. использование СМИ для продвижения собственных интересов и
позиций, не совпадающих с государственными, политическими,
коммерческими и иными интересами. 2.
2. Реализация угроз техническими средствами:
2.1. изменение методов обработки информации;
2.2. изменение информации и данных, содержащихся в
информационных ресурсах, а возможно и полное их удаление;
2.3. Интеграция средств и ухищрений для хищения информации
(прослушка, взлом систем наблюдения и т. д.).
3. Физические виды угроз:
3.1. Кража, разрушение, уничтожение носителей информации;
3.2. физическое подавление сигналов, несущих информацию;
3.3. оказание давления (морального или физического) на сотрудников
предприятия.
4. организационные способы угроз:
4.1. преднамеренная продажа информационных систем, несущих
средства отслеживания или изменения информации;
4.2. незаконное препятствование доступу к информации;
4.3. несоблюдение действующих законов и нормативных актов,
касающихся информации;
4.4. пренебрежение обязательствами и соглашениями.
1.3 Принципы информационной безопасности
Для того чтобы избежать любых видов угроз, будь то естественные или
искусственные, в первую очередь необходимо придерживаться основ –
принципов информационной безопасности. Существуют различные их типы,
виды и классификации, вот некоторые из них:
9
2. Средства и технологии информационных угроз
2.1 Вредоносные ПО и их влияние на информационные системы
Программы, которые потенциально могут иметь опасные последствия,
в Уголовном кодексе Российской Федерации называются "вредоносным ПО".
Вредоносное ПО – такое программное обеспечение, которое
специально сконструировано и создано для получения
несанкционированного к персональной информации пользователя,
организации и пр.
Его функциональность может быть следующей:
- Скрытие своего присутствия;
- Самокопирование или подмена на другие программы;
- Уничтожение, повреждение или взлом программного кода.
Вредоносные программы можно условно разделить на:
- компьютерные вирусы;
- черви, троянские кони и логические бомбы;
- программные закладки или деструктивные программные воздействия.
Компьютерный вирус — это специальная программа, которая способна
внедряться в информационную систему устройства, "приписываться" к
другим программам, заражать их, препятствовать стабильной и корректной
работе ПК, повреждать и портить файлы, замедлять работу всей системы.
Как правило, вирусная программа работает достаточно быстро, чтобы быстро
захватить всю систему и управлять ею в интересах автора вируса.
Вот лишь некоторые из основных типов вирусов:
Троянский конь (Троян) - вредоносная программа, которая очень
похожа на бомбу замедленного действия. Изначально она не причиняет
никакого вреда, просто "сидит" в системе, заражая файлы, которые затем
могут быть отправлены через Интернет, с внешних носителей. Троян может
10
находиться в абсолютно различных формах от бесплатных программ в
интернете, файлов с музыкой, рекламы в браузерах до приложений и даже
целых программных обеспечений. Появлению трояна может способствовать
любое неосторожное действие пользователем в интернете. В определенный
момент времени, даты, по команде извне троян сработает и начнутся
необратимые процессы для всей системы. Эта программа ставит под угрозу
сохранность всей системы и всех файлов.
"Червь" — это вредоносная программа, которая распространяется через
Интернет или локальную сеть. Такая программа заражает другие программы,
но не имеет возможности и способности к самовоспроизведению. В отличие
от "троянского коня", компьютерный червь проникает в систему, не зная
никакой информации о пользователе, создавая свои копии на рабочих
станциях сети. В связи с повсеместным распространением Интернета
"Логические бомбы" - такая компьютерная программа, которая наносит
файлам и компьютерной системе необратимый ущерб. Она используется для
искажения или уничтожения информации до того, как все файлы будут
стерты и/или машина будет повреждена. В принципе, похожа на троянского
коня, но в отличие от него всегда направлена на уничтожение или частичное
стирание файлов.
Программная закладка — это специальная скрытая программа,
встроенная в защищенную систему, которая позволяет злоумышленнику
получить несанкционированный доступ к определенным системным
ресурсам (в частности, к конфиденциальной информации) путем изменения
свойств системы защиты.
Чтобы закладка нормально функционировала и выполняла свои
функции, она должна взять управление на себя, то есть заставить процессор
выполнять команды, относящиеся к коду закладки. Это возможно при
соблюдении следующих двух условий:
1. Закладка должна находиться в оперативной памяти до того, как
начнет выполняться программа, на которую направлено воздействие
11
закладки;
2. Закладка должна быть активирована единым событием для закладки
и программы, т. е. при выполнении ряда условий в аппаратно-программной
среде управление должно быть передано программе - "закладке". Это
событие называется активирующим событием.
После получения интересующей информации злоумышленник
восстанавливает рабочую среду в исходное состояние и использует
перехваченную информацию сам или передает ее третьим лицам. Таким
образом, для реализации непрямого проникновения (с использованием
закладок) необходимо несколько условий: физический доступ к аппаратным
компонентам банковской системы, достаточное время и высокая
квалификация злоумышленника. Из этого следует, что нарушителем может
быть сотрудник самой организации, имеющий доступ к ее программному
обеспечению и ПК, или сотрудник информационно-телекоммуникационных
служб, технического обслуживания и ремонта.
12
автоматизация межмашинного обмена информацией, в том числе
на больших расстояниях.
13
3. Методы и способы защиты информации.
3.1 Защита финансовой информации
Защита деловой информации, как часть услуг по обеспечению
безопасности бизнеса подразумевает, что возможные противоправные
посягательства на информацию могут иметь различные аспекты. В связи с
этим эффективная защита информации должна обеспечиваться по всей
системе рабочих направлений, каждое из которых имеет свой механизм
защиты.
Одним из таких направлений является эффективное обеспечение
сотрудниками компании корпоративной экономической безопасности,
которое включает в себя три этапа работы с персоналом, имеющим доступ к
конфиденциальной информации:
1. предварительный (до приема на работу);
2. текущий (в рабочее время);
3. заключительный (в момент увольнения сотрудника).
Предварительный этап является самым важным и, соответственно,
более сложным. Сначала на основе описания должности и должностных
инструкций разрабатываются требования к кандидату на должность. Они
включают в себя не только стандартные требования: пол, возраст,
образование, опыт работы, но и ряд поведенческих и когнитивных
способностей, которыми должен обладать кандидат. Это позволяет
определить, какой персонал нужен компании, а самому кандидату - сравнить
14
свои способности с теми, кто в нем нуждается.
Затем проводится отбор кандидатов на вакантную должность.
Варианты отбора кандидатов могут быть различными. Предпочтение следует
отдавать методам, которые снижают вероятность проникновения
безразличных людей или представления интересов конкурентов или
злоумышленников. К ним относятся:
Связь с кадровыми агентствами, агентствами по трудоустройству
и другими подобными организациями;
Рекрутинг среди студентов и аспирантов;
Подбор кандидатов по рекомендациям компаний-партнеров;
Подбор персонала на основе случайного упоминания компании может
представлять экономическую угрозу в будущем.
Целесообразно, особенно при случайном отборе кандидатов,
обратиться на их предыдущие места работы, чтобы получить описание их
поведения и деловых способностей, а также данные об отмененных
судимостях.
После согласования документов кандидата с ним проводится
собеседование сотрудниками отдела кадров. Кандидат заполняет анкету,
отвечает на вопросы, в том числе профессиональные вопросы и
психологические тесты. Следует отметить, что психологические качества
кандидата не менее важны, чем профессиональные. Психологический отбор
выявляет не только взгляды и поведение кандидата, но и его слабые стороны,
психическую устойчивость, возможные склонности и умение хранить
секреты.
Если кандидат успешно сдал экзамен и признан компетентным для
соответствующей должности, подписываются два документа:
Трудовое соглашение (контракт). Договор должен содержать
положение об обязательстве работника не разглашать
конфиденциальную информацию (коммерческую тайну) и
соблюдать меры безопасности;
15
Соглашение (обязательство) о неразглашении конфиденциальной
информации (коммерческой тайны), которое представляет собой
юридический документ, в котором кандидат на вакантную
должность обещает не разглашать информацию, которая будет
раскрыта ему во время работы в компании, а также
ответственность за разглашение информации или несоблюдение
правил безопасности (расторжение контракта и судебные
процедуры).
Непосредственная деятельность нового сотрудника контролируется с
целью проверки соответствия занимаемой должности и соблюдения правил
конфиденциальности. Поэтому все начинается с испытательного срока, по
окончании которого принимается окончательное решение о приеме
кандидата на данную должность.
При этом необходимо определить порядок доступа сотрудников к
конфиденциальной информации (коммерческой тайне). Все сотрудники
компании, работающие с конфиденциальной информацией, имеют право
знакомиться с ней только в объеме, предусмотренном их должностными
инструкциями.
Все сотрудники компании, работающие с конфиденциальной
информацией, имеют право знакомиться с ней только в объеме,
предусмотренном их должностными обязанностями и необходимом для
работы. При этом каждая должность должна предусматривать право на
получение определенного объема конфиденциальной информации,
превышающего тот объем, который будет считаться нарушением договора и
представлять угрозу безопасности компании. Размер этого списка
определяется главой компании или специальным комитетом.
Соответственно, каждый сотрудник получает доступ к конфиденциальной
информации по своему уровню доступа.
Третий шаг - увольнение сотрудника, имевшего дело с
конфиденциальной информацией, также может представлять угрозу
16
экономической безопасности. Уволенный сотрудник, не имеющий контракта
с компанией, может поделиться ценной информацией с конкурентами и
злоумышленниками. Чтобы снизить риск таких последствий, работника
предупреждают о недопустимости использования информации в своих
интересах или в интересах других лиц после увольнения и подписывают
обязательство не разглашать конфиденциальную информацию
(коммерческую тайну) после увольнения. В противном случае все убытки,
понесенные компанией в результате разглашения информации, могут быть
взысканы в судебном порядке.
Учитывая российскую специфику, основные способы защиты
информации, которые могут быть использованы предпринимателями,
следующие
1. Законодательный. Основан на соблюдении прав на
конфиденциальную информацию, содержащихся в российском
законодательстве.
Главные законы об информации и информационной безопасности.
22
Заключение
23
Используемые материалы
1. Криптографические методы защиты информации : практикум
по курсу "Криптографические методы защиты информации" для студентов,
обучающихся по направлению 01.03.02 "Прикладная математика и
информатика" / П. Б. Хорев ; Министерство науки и высшего образования
Российской Федерации, Национальный исследовательский университет
"МЭИ". - Москва : Изд-во МЭИ, 2020. - 52 с.
2. Криптографические методы защиты информации [Текст] :
учебное пособие для курсантов и слушателей образовательных организаций
системы МВД России, сотрудников органов внутренних дел Российской
Федерации / [О. С. Авсетьев, В. В. Солдатов, В. Н. Думачев и др.] ;
Воронежский институт МВД России. - Воронеж : Воронежский ин-т МВД
России, 2019. - 199 с.
3. Методы и средства защиты информации : учебно-методическое
пособие / В. А. Рындюк ; Министерство науки и высшего образования
Российской Федерации, Федеральное государственное автономное
образовательное учреждение высшего образования Санкт-Петербургский
государственный университет аэрокосмического приборостроения. - Санкт-
Петербург : ГУАП, 2021. - 86 с.
4. Модели и методы оценки эффективности
систем защиты информации и обоснование выбора их комплектации :
автореферат дис. ... кандидата технических наук : 05.13.19 / Коломойцев
24
Владимир Сергеевич; [Место защиты: С.-Петерб. гос. ун-т
телекоммуникаций им. М.А. Бонч-Бруевича]. - Санкт-Петербург, 2018. - 20 с.
5. Оценка эффективности информационных процессов в
автоматизированных информационных системах в условиях воздействия
различных видов угроз нарушения безопасности информации [Текст] :
монография / [Мещерякова Т. В., Скрыль С. В., Демченко Ю. П., Арутюнова
В. И.] ; Воронежский институт МВД России. - Воронеж : Воронежский ин-т
МВД России, 2018. – 85с
6. Информационная безопасность : учебник / О.Г. Швечкова,
С.И. Бабаев. - Москва : КУРС, 2021-. Ч. 1 : Теоретические основы. - 2021. -
142 с.
7. Информационная безопасность и принципы её обеспечения
Статья от 11.08.2018. https://cyberleninka.ru [Интернет ресурс] – Режим
доступа: https://cyberleninka.ru/article/n/informatsionnaya-bezopasnost-i-
printsipy-ee-obespecheniya/viewer (Дата обращения: 11.12.2021) Автор:
Северцев Н.А.
8. Безопасность промышленных информационных систем виды
угроз и общие принципы защиты информации Статья от 03.08.2016.
https://cyberleninka.ru [Интернет ресурс] – Режим доступа:
https://cyberleninka.ru/article/n/bezopasnost-promyshlennyh-informatsionnyh-
sistem-vidy-ugroz-i-obschie-printsipy-zaschity-informatsii/viewer (Дата
обращения: 02.12.2021) Автор: Винокурова О.А. / Шибарова Е.В.
25