Вопросы применения политики информационной безопасности. Политика информационной безопасности организации. Пример подхода компании Cisco Systems
Алгоритм RLE (Run Length Encoding, упаковка, кодирование длин серий), является самым быстрым, простым и понятным алгоритмом сжатия данных и при этом иногда оказывается весьма эффективным. Именно подобный алгоритм используется для сжатия изображений в файлах PCX .
Он заключается в следующем: любой последовательности повторяющихся входных символов ставится в соответствие набор из трех выходных символов: первый-байт префикса, говорящий о том, что встретилась входная повторяющаяся последовательность, второй-байт, определяющий длину входной последовательности, третий-сам входной символ-
Например: пусть имеется (шестнадцатиричный) текст из 20 байт:
05 05 05 05 05 05 01 01 03 03 03 03 03 03 05 03 FF FF FF FF
Выберем в качестве префикса байт FF. Тогда на выходе архиватора мы получим последовательность
FF 06 05 FF 02 01 FF 06 03 FF 01 05 FF 01 03 FF 04 FF
Ее длина-18 байт, то есть достигнуто некоторое сжатие. Однако, нетрудно заметить, что при кодировании некоторых символов размер выходного кода возрастает (например, вместо 01 01 - FF 02 01). Очевидно, одиночные или дважды (трижды) повторяющиеся символы кодировать не имеет смысла - их надо записывать в явном виде. Получим новую последовательность:
FF 06 05 01 01 FF 06 03 05 03 FF 04 FF
длиной 13 байт. Достигнутая степень сжатия: 13/20*100 = 65%.
Нетрудно заметить, что префикс может совпасть с одним из входных символов. В этом случае входной символ может быть заменен своим “префиксным” представлением, например:
FF то же самое, что и FF 01 FF (три байта вместо одного).
Поэтому, от правильного выбора префикса зависит качество самого алгоритма сжатия, так как, если бы в нашем исходном тексте часто встречались одиночные символы FF, размер выходного текста мог бы даже превысить входной. В общем, случае в качестве префикса следует выбирать самый редкий символ входного алфавита.
Можно сделать следующий шаг, повышающий степень сжатия, если объединить префикс и длину в одном байте. Пусть префикс-число F0...FF, где вторая цифра определяет длину length от 0 до 15. В этом случае выходной код будет двухбайтным, но мы сужаем диапазон представления длины с 255 до 15 символов и еще более ограничиваем себя в выборе префикса. Выходной же текст для нашего примера будет иметь вид:
F6 05 F2 01 F6 03 05 03 F4 FF
Длина-10 байт, степень сжатия - 50%.
Далее, так как последовательность длиной от 0 до 3 мы условились не кодировать, код length удобно использовать со смещением на три, то есть 00=3, 0F=18, FF=258, упаковывая за один раз более длинные цепочки.
Если одиночные символы встречаются достаточно редко, хорошей может оказаться модификация алгоритма RLE вообще без префикса, только
06 05 02 01 06 03 01 05 01 03 04 FF
Длина-12 байт, степень сжатия - 60%.
Возможен вариант алгоритма, когда вместо длины length кодируется позиция относительно начала текста distance первого символа, отличающегося от предыдущего. Для нашего примера это будет выходная строка вида:
01 05 07 01 09 03 0F 05 10 03 11 FF
Метод пpостого кодиpования (RUN-LENGHT CODING ), котоpый успешно используется популяpными аpхиватоpами.
Этот метод основан на подсчете длины повтоpяющихся символов, идущих подpяд, и записи в запакованный файл вместо последовательности этих символов инфоpмацию типа: количество символов и сам повтоpяющийся символ. Hапpимеp, имеется стpока типа "AAAAABBBCCCADDDEEL ". Она запакуется в последовательность типа "5A3B3CADDEEL ". Как видно из пpимеpа, последовательность из 5 букв "А" запаковалась в два символа "5" и "А", а последовательности "DD", "EE", "L" не запаковались совсем, так как нет выигpыша от замены этих символов на последовательность типа "длина"+"буква".
Пpи pеализации упаковки файла по этому методу возникают тpудности такого плана: как pаспаковщик отличит упpавляющую инфоpмацию из упакованного файла от незапакованных данных. К пpимеpу, как в случае, котоpый был pассмотpен выше, pаспаковщик отличит упpавляющий символ "5" от незапакованного символа с таким же кодом? Существует два ваpианта pешения данной пpоблемы:
(I) . Hайти символ, котоpый встpечается меньше, чем остальные, или вообще не встpечается в упаковываемом файле, и использовать его в качестве упpавляющего. Hазовем его пpефиксом для удобства в последующем объяснении. Тепеpь последовательность "ААААА" упаковщиком будет пpеобpазована в пpефикс (8 бит), "А" (8 бит), количество (8 бит), т. е. 5 байтов будут заменены тpемя. Если в исходном файле пpи упаковке встpетился бит с кодом пpефикса, то в pезультиpующий файл записывается два байта с кодом пpефикса, и по этому пpизнаку pаспаковщик опpеделит где пpефикс является символом, а где - упpавляющей инфоpмацией. Возможны модификации данного способа, напpимеp:
1. Количество кодиpовать не восьмью битами, а тpемя, четыpьмя, и так далее, что позволит увеличить пpоцент упаковки, но зато огpаничит максимальную длину повтоpяющихся символов, котоpые можно запаковать в случае кодиpования тpемя битами (от 3-х до 10, т. е. 000=3, ... ,111=10), а если длина больше 10 символов, то запаковывать по десять символов.
2.Возможна втоpая модификация, когда количество повтоpяющихся символов кодиpуется не восьмью битами, а тpемя битами, пpичем длина повтоpяющихся символов огpаничивается количеством, pавным 265. Возникает вопpос, как закодиpовать 256 pазличных длин в 3 бита. Оказывается, можно, но только диаппазон от 3-х до 9-ти, если же длина повтоpяющихся символов больше 9-ти, то в тpи бита записывается "111" в двоичном коде, что pавно "7". Это означает, что истинная длина последовательности находится в следующем байте (8 бит выделяется под длины от 10 до 256 символов).
Пpиведем пpимеpы:
Имеем последовательности:
а) "AAAAABBBBBBBBBBCCAAAAAAAAAAAAAAA"
б) "CBBBBBBBBBBEEEEEEEEEEA"
Запакуем их:
1.По методу RLE(run-length encoding - паковать повтоpяющиеся байты).
а) Возьмем пpефикс, pавный "D", получим:
"D", "D", "A", 5, "D", "B", 10, "C", "D", "A", 15.Пpоцент сжатия = 12 байт/32 байта = 37.5%
В упакованном файле пеpвым байтом идет байт пpефикса, чтобы pаспаковщик знал, какой байт является пpефиксом.
б) Возьмем пpефикс, pавный "А", хотя на самом деле упаковщик так не сделает, так как в этой последовательности нет многих символов, поэтому аpхиватоp возьмет в качестве пpефикса неипользуемый символ.
Запакованная последовательность:
"A", "C", "A", "B", 10, "A", "E", 10, "A", "A"Пpоцент сжатия =10 байт/22 байта = 45.5%
2.Тепеpь запакуем эти же стpоки по модификации 1 метода RLE с теми же значениями пpефиксов, чтобы пpоанализиpовать эффективность.
"D" , "D" , "A" , 2 , "D" , "B" , 7 ,
8 бит 8 бит 8 бит 3 бита 8 бит 8 бит 3 бита"D" , "A" , 7 , "D" , "A" , 2
8 бит 8 бит 3 бита 8 бит 8 бит 3 битаПpоцент сжатия=84 бита/(22*8) бит = 32.8%
"A" , "C" , "A" , "B" , 7 , "A" , "E" , 7 , "A" , "A"
8 бит 8 бит 8 бит 8 бит 4 бита 8 бит 8 бит 3 бита 8 бит 8 битПpоцент сжатия=70 бит/(22*8) бит = 39.8%
3. Тепеpь пpовеpим эффективность последней модификации:
а) Запакованная последовательность:
"D" , "D" , "A" , 2 , "D" , "B" , 7 , 0
8 бит 8 бит 8бит 3 бита 8 бит 8 бит 3 бита 8 бит"D" , "A" , 7 , 5
8 бит 8 бит 3 бита 8 битПpоцент сжатия = 81 бит/(32*8) бит = 31.6%
б) Запакованная последовательность:
"A" , "C" , "A" , "B" , 7 , 0 , "A" , "E"
8 бит 8 бит 8 бит 8 бит 3 бит 8 бит 8 бит 8 бит7 , 0 , "A" , "A"
3 бита 8 бит 8 бит 8 битПpоцент сжатия = 86 бит/(22*8) бит = 48.9%
Из этмх пpимеpов видно, в зависимости от содеpжания упакованных данных эффективен то один, то дpугой алгоpитм, поэтому для того, чтобы выбpать какой алгоpитм эффектиней, надо пpовеpить их на pазных типах файлов.
(II) . Втоpой ваpиант записи упpавляющей инфоpмации для pаспаковщика таков: если в тексте встpечается одиночный символ, то в выходной файл записывается один упpавляющий бит, pавный единице и сам этот символ. Если встpечается последовательность повтоpяющихся байтов,напpимеp "АААААА", то запакованная инфоpмация будет выглядеть так: 0 (1 бит), байт А (8 бит), количество(3-8 бит);
Пpиведем пpимеp для наглядности. Для этого возьмем последовательности из пpедыдущих пpимеpов.
1) Количество повтоpяющихся байтов кодиpуем в 8 бит.
а) 0 , "A" , 5 , 0 , "B" , 10 , 1 , "C" , 1 , "C" , 0 , "A" , 15
1б. 8б. 8б. 1б. 8б. 8б. 1б. 8б. 1б. 8б. 1б. 8б. 8б.Пpоцент сжатия = 71 бит/256 бит = 27.7%
б) 1 , "C" , 0 , "B" , 10 , 0 , "E" , 10 , 1 , "A"
1б. 8б. 1б. 8б. 8б. 1б. 8б. 8б. 1б. 8б.Пpоцент сжатия = 52 бита/176 бит = 29.5%
2)Тепеpь возьмем для кодиpования количества повтоpяющихся байтов 3 бита, в котоpых можно закодиpовать значения от 2 до 8 (0 - 6), если длина повтоpяющейся последовательности больше, то эти тpи бита содеpжат "111" (7-десятичное), а истинная длина находится в следующем байте (длина от 9 до 264).
а) 0 , "A" , 3 , 0 , "B" , 7 , 1 , 0 , "C" , 0 , 0 , "A" , 7 , 6
1б. 8б. 3б. 1б. 8б. 3б. 8б. 1б. 8б. 3б. 1б. 8б. 3б. 8б.Пpоцент сжатия = 64 бита/256 бит = 20.3%
б) 1 , "C" , 0 , "B" , 7 , 1 , 0 , "E" , 7 , 1 , 1, "A"
1б. 8б. 1б. 8б. 3б. 8б. 1б. 8б. 3б. 8б. 1б. 8б.Пpоцент сжатия = 58 бит/176 бит = 33%
Если количество кодиpовать в 4 бита (2..16), то
1 , "C" , 0 , "B" , 8 , 0 , "E" , 8 , 1 , "A"
1б. 8б. 1б. 8б. 4б. 1б. 8б. 4б. 1б. 8б.Пpоцент сжатия = 44 бита/176 бит = 25%
Как видно из пpимеpов, втоpой ваpиант упаковки более эффективен, так как он сжимает последовательности, начиная с двух символов, котоpых обычно подавляющее большинство. Пеpвый же ваpиант паковал последовательности, начиная с тpех символов.
Политика информационной безопасности - набор законов, мероприятий, правил, требований, ограничений, инструкций, нормативных документов, рекомендаций и т.д., регламентирующих порядок обработки информации и направленных на защиту информации от определенных видов угроз.
Политика информационной безопасности является фундаментальным документом по обеспечению всего цикла безопасности информации в компании. Поэтому высшее руководство компании должно быть заинтересовано в знании и четком соблюдении основных ее пунктов всем персоналом компании. Все сотрудники подразделений, отвечающих за режим информационной безопасности компании, должны быть ознакомлены с политикой информационной безопасности под роспись. Ведь на них ляжет ответственность за проверку соблюдения требований политики информационной безопасности и знаний основных ее пунктов персоналом компании в части, что их касается. Также должен быть определен процесс проведения таких проверок, обязанности должностных лиц, осуществляющих такие проверки, и разработан график проверок.
Политика информационной безопасности может быть разработана как для отдельного компонента информационной системы, так и для информационной системы в целом. Политика информационной безопасности должна учитывать следующие особенности информационной системы: технологию обработки информации, вычислительную среда, физическую среду, среду пользователей, правила разграничения доступа и т.д.
Политика информационной безопасности должна обеспечивать комплексное использование правовых, морально-этических норм, организационных и технических мероприятий, программных, аппаратных и программно-аппаратных средств обеспечения информационной безопасности, а также определять правила и порядок их использования. Политика информационной безопасности должна базироваться на следующих принципах: непрерывность защиты, достаточность мероприятий и средств защиты, их соответствие вероятности реализации угроз, рентабельность, гибкость структуры, простота управления и использования и т.д.
Политика безопасности - это комплекс превентивных мер по защите конфиденциальных данных и информационных процессов на предприятии. Политика безопасности включает в себя требования в адрес персонала, менеджеров и технических служб. Основные напрвления разработки политики безопасности:
- определение какие данные и насколько серьезно необходимо защищать,
- определение кто и какой ущерб может нанести фирме в информационном аспекте,
- вычисление рисков и определение схемы уменьшения их до приемлимой величины.
Существуют две системы оценки текущей ситуации в области информационной безопасности на предприятии. Они получили образные названия "исследование снизу вверх" и "исследование сверху вниз". Первый метод достаточно прост, требует намного меньших капитальных вложений, но и обладает меньшими возможностями. Он основан на известной схеме: "Вы - злоумышленник. Ваши действия?". То есть служба информационной безопасности, основываясь на данных о всех известных видах атак, пытается применить их на практике с целью проверки, а возможно ли такая атака со стороны реального злоумышленника.
Метод "сверху вниз" представляет собой, наоборот, детальный анализ всей существующей схемы хранения и обработки информации. Первым этапом этого метода является, как и всегда, определение, какие информационные объекты и потоки необходимо защищать. Далее следует изучение текущего состояния системы информационной безопасности с целью определения, что из классических методик защиты ифнормации уже реализовано, в каком объеме и на каком уровне. На третьем этап производится классификация всех информационных объектов на классы в соответствии с ее конфиденциальностью, требованиями к доступности и целостности (неизменности).
Далее следует выяснение насколько серьезный ущерб может принести фирме раскрытие или иная атака на каждый конкретный информационный объект. Этот этап носит название "вычисление рисков". В первом приближении риском называется произведение "возможного ущерба от атаки" на "вероятность такой атаки".
Политика информационной безопасности должна содержать пункты, в которых бы присутствовала информация следующих разделов:
концепция безопасности информации;- определение компонентов и ресурсов информационной системы, которые могут стать источниками нарушения информационной безопасности и уровень их критичности;
- сопоставление угроз с объектами защиты;
- оценка рисков;
- оценка величины возможных убытков, связанных с реализацией угроз;
- оценка расходов на построение системы информационной безопасности;
- определение требований к методам и средствам обеспечения информационной безопасности;
- выбор основных решений обеспечения информационной безопасности;
- организация проведения восстановительных работ и обеспечение непрерывного функционирования информационной системы;
- правила разграничения доступа.
Политика информационной безопасности предприятия очень важна, для обеспечения комплексной безопасности предприятия. Программно-аппаратно её можно внедрять с помощью DLP-решений .
Публикации по теме
|
29 апреля 2014 Многие компании закупают за свой счет мобильные гаджеты для сотрудников, часто бывающих в командировках. В этих условиях у ИТ-службы появляется насущная необходимость контролировать устройства, которые имеют доступ к корпоративным данным, но при этом находятся за пределами периметра корпоративной сети. |
|
Политика информационной безопасности (Пример)
Краткое изложение политики
Информация всегда должна быть защищена независимо от ее формы и способа ее распространения, передачи и хранения.
Введение
Информация может существовать во многих различных формах. Она может быть напечатана или написана на бумаге, храниться в электронном виде, передаваться по почте или с использованием электронных устройств, показываться на пленках или передаваться устно в процессе общения.
Информационная безопасность - это защита информации от различных угроз, призванная обеспечить непрерывность бизнес-процессов, минимизировать риск для бизнеса и максимизировать возвращение вложений и обеспечить возможности деловой деятельности.
Область действия
Данная политика подкрепляет общую политику безопасности организации.
Данная политика применяется ко всем сотрудникам организации.
Цели информационной безопасности
1. Понимание и обработка стратегических и оперативных рисков для информационной безопасности, чтобы они были приемлемы для организации.
2. Защита конфиденциальности информации клиентов, разработок продукции и планов маркетинга.
3. Сохранение целостности материалов бухгалтерского учета.
4. Соответствие общих веб-сервисов и внутренних сетей соответствующим стандартам доступности.
Принципы информационной безопасности
1. Данная организация способствует принятию рисков и преодолевает риски, которые не могут преодолеть организации с консервативным управлением, при условии понимания, мониторинга и обработки рисков для информации при необходимости. Подробное описание подходов, применяемых для оценки и обработки рисков, можно найти в политике СМИБ.
2. Весь персонал должен быть осведомлен и подотчетен за информационную безопасность в отношении своих должностных обязанностей.
3. Необходимо принять меры для финансирования средств управления информационной безопасностью и процессов управления проектами.
4. Возможности мошенничества и злоупотреблений в области информационных систем должны быть приняты в расчет при общем управлении информационными системами.
5. Отчеты о состоянии информационной безопасности должны быть доступны.
6. Необходимо отслеживать риски для информационной безопасности и предпринимать действия, когда изменения приводят к возникновению непредвиденных рисков.
7. Критерии классификации рисков и приемлемости рисков можно найти в политике СМИБ.
8. Ситуации, которые могут привести организацию к нарушению законов и установленных норм, не должны допускаться.
Сферы ответственности
1. Группа руководителей высшего эвена отвечает за обеспечение соответствующей проработки информации во всей организации.
2. Каждый руководитель высшего звена отвечает за то, чтобы сотрудники, работающие под его руководством, осуществляли защиту информации в соответствии со стандартами организации.
3. Начальник отела безопасности консультирует группу руководителей высшего звена, оказывает экспертную помощь сотрудникам организации и обеспечивает доступность отчетов о состоянии информационной безопасности.
4. Каждый сотрудник организации отвечает за информационную безопасность как часть выполнения своих должностных обязанностей.
Ключевые результаты
1. Инциденты информационной безопасности не должны приводить к серьезным непредвиденным затратам или серьезным срывам работы служб и деятельности предприятия.
2. Потери из-за мошенничества должны быть известны и находиться в рамках приемлемых ограничений.
3. Вопросы информационной безопасности не должны оказывать неблагоприятного влияния на прием заказчиками продукции и услуг
Связанные политики
Следующие детальные политики содержат принципы и рекомендации по отдельным аспектам информационной безопасности:
1. Политика системы менеджмента информационной безопасности (СМИБ);
2. Политика контроля доступа;
3. Политика чистого стола и чистого экрана;
4. Политика неразрешенного программного обеспечения;
5. Политика, касающаяся получения файлов программного обеспечения из внешних сетей или через них;
6. Политика, касающаяся мобильного кода;
7. Политика резервного копирования;
8. Политика, касающаяся обмена информацией между организациями;
9. Политика, касающаяся допустимого использования электронных средств связи;
10. Политика сохранения записей;
11. Политика использования сетевых служб;
12. Политика, касающаяся мобильных вычислений и связи;
13. Политика дистанционной работы;
14. Политика использования криптографического контроля;
15. Политика соответствия;
16. Политика лицензирования программного обеспечения;
17. Политика удаления программного обеспечения;
18. Политика защиты и секретности данных.
Все эти политики подкрепляют:
· идентификацию риска путем предоставления основы средств управления, которые могут использоваться для обнаружения недостатков в проектировании и внедрении систем;
· обработку риска путем оказания помощи в определении способов обработки для определенных уязвимостей и угроз.
Политика информационной безопасности компании
· 1. Общие положения
o 1.1. Цель и назначение настоящей Политики
o 1.2. Область применения настоящей Политики
o 2.1. Ответственность за информационные активы
o 2.2. Контроль доступа к информационным системам
§ 2.2.1. Общие положения
§ 2.2.2. Доступ третьих лиц к системам Компании
§ 2.2.3. Удаленный доступ
§ 2.2.4. Доступ к сети Интернет
o 2.3. Защита оборудования
§ 2.3.1. Аппаратное обеспечение
§ 2.3.2. Программное обеспечение
o 2.5. Сообщение об инцидентах информационной безопасности, реагирование и отчетность
o 2.6. Помещения с техническими средствами информационной безопасности
o 2.7. Управление сетью
o 2.7.1. Защита и сохранность данных
o 2.8. Разработка систем и управление внесением изменений
Общие положения
Информация является ценным и жизненно важным ресурсом ВАША_КОПАНИЯ (далее – Компания). Настоящая политика информационной безопасности предусматривает принятие необходимых мер в целях защиты активов от случайного или преднамеренного изменения, раскрытия или уничтожения, а также в целях соблюдения конфиденциальности, целостности и доступности информации, обеспечения процесса автоматизированной обработки данных в Компании.
Ответственность за соблюдение информационной безопасности несет каждый сотрудник Компании, при этом первоочередной задачей является обеспечение безопасности всех активов Компании. Это значит, что информация должна быть защищена не менее надежно, чем любой другой основной актив Компании. Главные цели Компании не могут быть достигнуты без своевременного и полного обеспечения сотрудников информацией, необходимой им для выполнения своих служебных обязанностей.
В настоящей Политике под термином "сотрудник" понимаются все сотрудники Компании. На лиц, работающих в Компании по договорам гражданско-правового характера, в том числе прикомандированных, положения настоящей Политики распространяются в случае, если это обусловлено в таком договоре.
Вне зависимости от размеров организации и специфики ее информационной системы работы по обеспечению режима ИБ обычно состоят из следующих этапов (рисунок 1):
– определение сферы (границ) системы управления информационной безопасностью и конкретизация целей ее создания;
– оценка рисков;
– выбор контрмер, обеспечивающих режим ИБ;
– управление рисками;
– аудит системы управления ИБ;
– выработка политики безопасности.
DIV_ADBLOCK340">
Этап 3. Структуризация контрмер по защите информации по следующим основным уровням: административному, процедурному, программно-техническому.
Этап 4. Установление порядка сертификации и аккредитации КИС на соответствие стандартам в сфере ИБ. Назначение периодичности проведения совещаний по тематике ИБ на уровне руководства, в том числе периодического пересмотра положений политики ИБ, а также порядка обучения всех категорий пользователей информационной системы в области ИБ. Известно, что выработка политики безопасности организации – наименее формализованный этап. Однако в последнее время именно здесь сосредоточены усилия многих специалистов по защите информации.
Этап 5. Определение сферы (границ) системы управления информационной безопасностью и конкретизация целей ее создания. На этом этапе определяются границы системы, для которой должен быть обеспечен режим ИБ. Соответственно, система управления ИБ строится именно в этих границах. Само описание границ системы рекомендуется выполнять по следующему плану:
– структура организации. Представление существующей структуры и изменений, которые предполагается внести в связи с разработкой (модернизацией) автоматизированной системы ;
– ресурсы информационной системы, подлежащие защите. Целесообразно рассмотреть ресурсы автоматизированной системы следующих классов: СВТ, данные, системное и прикладное ПО. Все ресурсы представляют ценность с точки зрения организации. Для их оценки должна быть выбрана система критериев и методика получения результатов по этим критериям;
· выработка принципов классификации информационных активов компании и оценивания их защищенности;
· оценка информационных рисков и управление ими;
· обучение сотрудников компании методам обеспечения ИБ, проведение инструктажей и контроль знаний и практических навыков выполнения политики безопасности сотрудниками компании;
· консультирование менеджеров компании по вопросам управления информационными рисками;
· согласование частных политик и регламентов безопасности среди подразделений компании;
· контроль работы служб качества и автоматизации компании с правом проверки и утверждения внутренних отчетов и документов;
· взаимодействие со службой персонала компании по проверке личных данных сотрудников при найме на работу;
· организация мероприятий по устранению нештатных ситуаций или чрезвычайных происшествий в области защиты информации в случае их возникновения;
Целостность информации – существование информации в неискаженном виде (неизменном по отношению к некоторому фиксированному ее состоянию). Обычно субъектов интересует обеспечение более широкого свойства – достоверности информации, которое складывается из адекватности (полноты и точности) отображения состояния предметной области и непосредственно целостности информации, т. е. ее не искаженности .
Существует различие между статической и динамической целостностью. С целью нарушения статической целостности злоумышленник может: ввести неверные данные; изменить данные. Иногда изменяются содержательные данные, иногда – служебная информация. Угрозами динамической целостности являются нарушение атомарности транзакций, переупорядочение, кража, дублирование данных или внесение дополнительных сообщений (сетевых пакетов и т. п.). Соответствующие действия в сетевой среде называются активным прослушиванием.
Угрозой целостности является не только фальсификация или изменение данных, но и отказ от совершенных действий. Если нет средств обеспечить "неотказуемость", компьютерные данные не могут рассматриваться в качестве доказательства. Потенциально уязвимы с точки зрения нарушения целостности не только данные, но и программы. Внедрение вредоносного ПО – пример подобного нарушения.
Актуальной и весьма опасной угрозой является внедрение руткитов (набор файлов, устанавливаемых в системе с целью изменения ее стандартной функциональности вредоносным и скрытным образом), ботов (программа, автоматически выполняющая некоторую миссию; группа компьютеров, на которой функционируют однотипные боты, называется ботсетью), потайных ходов (вредоносная программа, слушающая команды на определенных TCP-или UDP-портах) и шпионского программного обеспечения (вредоносное ПО, нацеленное на компрометацию конфиденциальных данных пользователя. Например, "троянцы" Back Orifice и Netbus позволяют получить контроль над пользовательскими системами с различными вариантами MS-Windows.
Угроза нарушения конфиденциальности
Угроза нарушения конфиденциальности заключается в том, что информация становится известной тому, кто не располагает полномочиями доступа к ней. Иногда, в связи с угрозой нарушения конфиденциальности, используется термин "утечка".
Конфиденциальность информации – субъективно определяемая (приписываемая) характеристика (свойство) информации, указывающая н необходимость введения ограничений на круг субъектов, имеющих доступ к данной информации, и обеспечиваемая способностью системы (среды) сохранять указанную информацию в тайне от субъектов, не имеющих полномочий доступа к ней. Объективные предпосылки подобного ограничения доступности информации для одних субъектов заключены в необходимости защиты их законных интересов от других субъектов информационных отношений.
Конфиденциальную информацию можно разделить на предметную и служебную. Служебная информация (например, пароли пользователей) не относится к определенной предметной области, в информационной системе она играет техническую роль, но ее раскрытие особенно опасно, поскольку оно чревато получением несанкционированного доступа ко всей информации, в том числе предметной. Опасной нетехнической угрозой конфиденциальности являются методы морально-психологического воздействия, такие как «маскарад» – выполнение действий под видом лица, обладающего полномочиями для доступа к данным. К неприятным угрозам, от которых трудно защищаться, можно отнести злоупотребление полномочиями. На многих типах систем привилегированный пользователь (например, системный администратор) способен прочитать любой (незашифрованный) файл, получить доступ к почте любого пользователя.
В настоящее время наиболее распространены так называемые «фишинговые» атаки. Фи́шинг (fishing – рыбная ловля) – вид интернет-мошенничества, целью которого является получение доступа к конфиденциальным данным пользователей - логинам и паролям. Это достигается путём проведения массовых рассылок электронных писем от имени популярных брендов, а также личных сообщений внутри различных сервисов, например, от имени банков, сервисов (Rambler, Mail. ru) или внутри социальных сетей (Facebook, Вконтакте, Одноклассники. ru). Целью фишеров сегодня являются клиенты банков и электронных платёжных систем . Так например в США, маскируясь под Службу внутренних доходов, фишеры собрали значительные данные о налогоплательщиках в 2009 году.
