Академический Документы
Профессиональный Документы
Культура Документы
2282 356 13+ДОСТУПНОСТЬ,+ЦЕЛОСТНОСТЬ,+КОНФИДЕНЦИАЛЬНОСТЬ+ИНФОРМАЦИИ+Преза+Замена+Изменен
2282 356 13+ДОСТУПНОСТЬ,+ЦЕЛОСТНОСТЬ,+КОНФИДЕНЦИАЛЬНОСТЬ+ИНФОРМАЦИИ+Преза+Замена+Изменен
Доступность, целостность,
конфиденциальность информации
© АНО Авангард
«ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ» 2021 г.
ВВЕДЕНИЕ
2
© АНО Авангард
«ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ» 2021 г.
Майкл Шрёдер
3
© АНО Авангард
«ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ» 2021 г.
4
© АНО Авангард
«ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ» 2021 г.
5
© АНО Авангард
«ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ» 2021 г.
6
© АНО Авангард
«ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ» 2021 г.
7
© АНО Авангард
«ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ» 2021 г.
• Spoofing — Подмена;
• Tampering — Изменение данных;
• Repudiation — Отказ от ответственности;
• Information disclosure — разглашения сведений;
• Denial of service -отказ в обслуживании;
• Elevation of privilege — захват привилегий.
8
© АНО Авангард
«ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ» 2021 г.
9
© АНО Авангард
«ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ» 2021 г.
10
© АНО Авангард
«ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ» 2021 г.
Уязвимость (vulnerability) — это слабое звено информационной системы, которое, став известным злоумышленнику,
может позволить ему нарушить её безопасность.
Уязвимостями являются, например, ошибка в программе, примитивный пароль, неправильное назначение прав
доступа к файлу с важными данными и множество других дефектов в разработке, эксплуатации или настройке системы.
Уязвимости системы могут быть скрытыми, то есть ещё не обнаруженными, известными, но только теоретически, или же
общеизвестными и активно используемыми злоумышленниками. Для общеизвестных уязвимостей в программных продуктах
производители регулярно выпускают исправления, называемые патчами (patch — заплатка).
Многие из этих исправлений направлены на устранение уязвимостей. Однако к этой рутинной процедуре —
регулярному внесению исправлений — не все и не всегда относятся с должным вниманием, из-за этого общеизвестные, но
неисправленные ошибки в программном обеспечении являются одним из самых распространенных типов уязвимостей.
11
© АНО Авангард
«ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ» 2021 г.
12
© АНО Авангард
«ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ» 2021 г.
13
© АНО Авангард
«ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ» 2021 г.
14
© АНО Авангард
«ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ» 2021 г.
15
© АНО Авангард
«ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ» 2021 г.
КЛАССИФИКАЦИЯ УГРОЗ
ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
16
© АНО Авангард
«ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ» 2021 г.
1. По природе возникновения:
17
© АНО Авангард
«ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ» 2021 г.
18
© АНО Авангард
«ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ» 2021 г.
19
© АНО Авангард
«ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ» 2021 г.
20
© АНО Авангард
«ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ» 2021 г.
21
© АНО Авангард
«ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ» 2021 г.
22
© АНО Авангард
«ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ» 2021 г.
23
© АНО Авангард
«ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ» 2021 г.
24
© АНО Авангард
«ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ» 2021 г.
25
© АНО Авангард
«ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ» 2021 г.
Перехват (Захват) паролей осуществляется специально разработанными программами. При попытке законного пользователя
войти в систему программа-перехватчик имитирует на экране дисплея ввод имени и пароля пользователя, которые сразу
пересылаются владельцу программы-перехватчика, после чего на экран выводится сообщение об ошибке и управление
возвращается ОС.
Пользователь предполагает, что допустил ошибку при вводе пароля. Он повторяет ввод и получает доступ в систему. Владелец
программы-перехватчика, получивший имя и пароль законного пользователя, может теперь использовать их в своих целях.
Существуют и другие способы перехвата паролей.
«Маскарад» — это выполнение каких-либо действий одним пользователем от имени другого пользователя, обладающего
соответствующими полномочиями. Целью «маскарада» является приписывание каких-либо действий другому пользователю либо
присвоение полномочий и привилегий другого пользователя. Примерами реализации «маскарада» являются:
вход в систему под именем и паролем другого пользователя (этому «маскараду» предшествует перехват пароля);
передача сообщений в сети от имени другого пользователя.
«Маскарад» особенно опасен в банковских системах электронных платежей, где неправильная идентификация клиента из-за
«маскарада» злоумышленника может привести к большим убыткам законного клиента банка.
Незаконное использование привилегий. Большинство систем защиты устанавливают определенные наборы привилегий для
выполнения заданных функций. Каждый пользователь получает свой набор привилегий: обычные пользователи — минимальный,
администраторы — максимальный. Несанкционированный захват привилегий, например, посредством «маскарада», приводит к
возможности выполнения нарушителем определенных действий в обход системы защиты. Следует отметить, что незаконный захват
привилегий возможен либо при наличии ошибок в системе защиты, либо из-за халатности администратора при управлении
системой и назначении привилегий.
26
© АНО Авангард
«ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ» 2021 г.
27
© АНО Авангард
«ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ» 2021 г.
28
© АНО Авангард
«ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ» 2021 г.
29
© АНО Авангард
«ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ» 2021 г.
30
© АНО Авангард
«ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ» 2021 г.
ЗАКЛЮЧЕНИЕ
31
© АНО Авангард
«ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ» 2021 г.
ЗАКЛЮЧЕНИЕ
32
© АНО Авангард
«ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ» 2021 г.
1. Родичев Юрий Андреевич, «Нормативная база и стандарты в области информационной безопасности. Учебное пособие», из-
во Питер, 2017
2. Ларин Д.А., Баранова Е.К., «Информационная безопасность. История защиты информации в России», из-во КДУ, 2015
3. Баранова Е.К., Бабаш А.В., «Информационная безопасность и защита. Учебное пособие», из-во Инфра-М, 2017
4. А. Бирюков «Информационная безопасность: защита и нападение» 2-е изд., 2017
5. С. Нестеров «Основы информационной безопасности», из-во Лань, 2016
6. Федеральный закон от 27.07.2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации»
http://www.kremlin.ru/acts/bank/24157
7. Закон РФ «О государственной тайне» от 21.07.1993 N 5485-1 (ред. от 30.12.2020) https://fzrf.su/zakon/o-gosudarstvennoj-tajne-n-
5485-1/
8. Федеральный закон от 27.07.2006 г. № 152-ФЗ «О персональных данных» http://www.kremlin.ru/acts/bank/24154
9. Электронный ресурс «Защита Информации и ЭПО» http://yztm.ru/lekc/l13/
10. Электронный ресурс «Студопедия» «Задачи информационной безопасности общества» https://studopedia.ru/2_27263_zadachi-
informatsionnoy-bezopasnosti-obshchestva.html
33
© АНО Авангард