Необходимость защиты информацииПри хранении, поддержании и предоставлении доступа к любому информационному объекту его владелец либо уполномоченное им лицо накладывает набор правил по работе с ним. Умышленное их нарушение классифицируется как атака на информацию. Каковы возможные последствия атак на информацию? Прежде всего это экономические потери: — раскрытие коммерческой информации может привести к серьезным прямым убыткам на рынке; — известие о краже большого объема информации обычно серьезно влияет на репутацию фирмы, приводя косвенно к потерям в объемах торговых операций; — фирмы-конкуренты могут воспользоваться кражей информации, если та осталась незамеченной, для того чтобы полностью разорить фирму, навязывая ей фиктивные либо заведомо убыточные сделки; — подмена информации как на этапе передачи, так и на этапе хранения в фирме может привести к огромным убыткам; — многократные успешные атаки на фирму, предоставляющую какой-либо вид информационных услуг, снижают доверие к фирме у клиентов, что сказывается на объеме доходов. Естественно, компьютерные атаки могут принести и огромный моральный ущерб. Само собой разумеется, что никакому пользователю компьютерной сети не хочется, чтобы его письма, кроме адресата, получали еще 5—10 человек или, например, весь текст, набираемый на клавиатуре ЭВМ, копировался в буфер, а затем при подключении к Интернету отправлялся на определенный сервер. А именно так и происходит в тысячах и десятках тысяч случаев. И наконец, что же именно предпринимают злоумышленники, добравшись до информации: — непосредственную кражу денег с электронных счетов; — вывод из строя программного обеспечения; — кражу информации с различными негативными последствиями; — фальсификацию информации; — несанкционированное получение услуг. Информация с точки зрения информационной безопасности обладает следующими категориями: конфиденциальность — гарантия того, что конкретная информация доступна только тому кругу лиц, для кого она предназначена (нарушение этой категории называется хищением либо раскрытием информации); целостность — гарантия того, что информация сейчас существует в ее исходном виде, т. е. при ее хранении или передаче не было произведено несанкционированных изменений (нарушение этой категории называется фальсификацией сообщения); аутентичность — гарантия того, что источником информации является именно то лицо, которое заявлено как ее автор (нарушение этой категории также называется фальсификацией, но уже автора сообщения). В отношении информационных систем применяются иные категории: надежность — гарантия того, что система ведет себя в нормальном и внештатном режимах так, как запланировано; точность — гарантия точного и полного выполнения всех команд; контроль доступа — гарантия того, что различные группы лиц имеют различный доступ к информационным объектам, и эти ограничения доступа постоянно выполняются; контролируемость — гарантия того, что в любой момент может быть произведена полноценная проверка любого компонента программного комплекса; контроль идентификации — гарантия того, что клиент, подключенный в данный момент к системе, является именно тем, за кого себя выдает; устойчивость к умышленным сбоям — гарантия того, что при умышленном внесении ошибок в пределах заранее оговоренных норм система будет вести себя так, как оговорено заранее.
|
