2. Каналы несанкционированного доступа к информации
Одним из наиболее распространенных и многообразных способов воздействия на информационную систему, позволяющим нанести ущерб любой из составляющих информационной безопасности является несанкционированный доступ [5]. Несанкционированный доступ возможен из-за ошибок в системе защиты информации, нерационального выбора средств защиты, их некорректной установки и настройки.
Каналы несанкционированного доступа к информации лучше всего классифицировать по компонентам автоматизированных информационных систем:
Через человека (пользователя, владельца):
хищение носителей информации;
чтение информации с экрана или клавиатуры;
чтение информации из распечатки и др.
Через программу (установленную штатно или специально):
перехват паролей;
расшифровка зашифрованной информации;
копирование информации с носителя и др.
Через аппаратуру (штатную и специализированную):
подключение специально разработанных аппаратных средств, обеспечивающих доступ к информации;
перехват побочных электромагнитных излучений от аппаратуры, линий связи, сетей электропитания и т.д.
Напомним, что некоторые угрозы нельзя считать следствием целенаправленных действий злоумышленника. Существуют угрозы, вызванные случайными ошибками или техногенными явлениями. Это относится и к каналам несанкционированного доступа, например, чтение информации из распечатки неуполномоченным человеком может произойти в результате ненадлежащего хранения распечатанных материалов.
Возникновение и реализация угроз информационной безопасности являются следствием наличия уязвимых мест в информационной системе, а также в системе защиты информации. Так, например, угроза заражения компьютера вирусом абсолютно неактуальна, если компьютер после установки лицензионного (проверенного) программного обеспечения используется автономно, т.е. не взаимодействует с другими компьютерами и внешними носителями информации. Такой вариант использования современного компьютера практически невозможен, поэтому при подключении компьютера, например, к сети Интернет, возникает угроза заражения компьютерным вирусом. Минимизировать, но не исключить, эту угрозу можно, соблюдая правила безопасности в сети Интернет и, используя антивирусную программу.
Другой пример, угроза нарушения конфиденциальности информации через перехват перехвата побочных электромагнитных излучений обусловлена объективной уязвимостью современных аппаратных средств автоматизированных систем, являющихся электронными приборами. Данная угроза была бы не актуальна, если бы электронные приборы и устройства компьютера не являлись бы источниками побочных электромагнитных излучений, что на сегодняшний день невозможно. Поэтому побочные электромагнитные излучения компьютера являются его уязвимостью, порождающей угрозу перехвата этих излучений и нарушение конфиденциальности информации.
Таким образом, проблема анализа угроз информационной безопасности и их источников неразрывно связана с анализом уязвимостей информационной системы, от которых зависит возможность реализации той или иной угрозы. Устранение уязвимости информационной системы может сделать угрозу информационной безопасности либо неактуальной, либо минимизировать вероятность ее реализации.
- Учебно-методические указания
- Самостоятельная работа студентов.
- Тема 1.1. Сущность проблемы обеспечения информационной безопасности
- I. Задания для самостоятельной работы
- III. Рекомендации по выполнению заданий
- Нормативно-правовые документы
- Литература
- Тема 1.2. Государственная система обеспечения информационной безопасности рф
- Нормативно-правовые документы
- Литература
- Тема 2.1. Угрозы информационной безопасности в таможенных органах рф
- III.Рекомендации по выполнению заданий
- IV.Рекомендуемые источники Нормативно-правовые документы
- Литература
- V.Контрольные вопросы для самопроверки
- Тема 2.2. Обеспечение информационной безопасности в таможенных органах рф
- I.Задания для самостоятельной работы
- II.План семинарского и практических занятий
- III.Рекомендации по выполнению заданий практического занятия
- IV.Рекомендуемые источники Нормативно-правовые документы
- Литература
- Примерная тематика письменных работ и требования по ее выполнению
- Задание
- Требования к содержанию письменной работы
- Требования к структуре письменной работы
- Темы письменных работ
- Пример выполнения письменной работы
- 1. Виды угроз информационной безопасности
- 2. Каналы несанкционированного доступа к информации
- Заключение
- Список использованных источников
- Вопросы для подготовки к зачету