<<
>>

8. ЗАЩИТА ИНФОРМАЦИИ, СОСТАВЛЯЮЩАЯ КОММЕРЧЕСКУЮ ТАЙНУ, ПРИ ОБРАБОТКЕ И ХРАНЕНИИ ЕЕ В АВТОМАТИЗИРОВАННЫХ СИСТЕМАХ

Средства автоматизированной обработки информации с использованием ЭВМ (ПЭВМ) имеют ряд особенностей, позволяющих бесконтрольно манипу-

лировать информацией соответствующих автоматизированных систем (АС) как персоналу АС, так и посторонним лицам, а также скрытно получать доступ к обрабатываемой информации на значительном расстоянии от средств вычислительной техники.

Поэтому конфиденциальная информация АС (составляющая коммерческую тайну) без адекватной ее защиты может быть достаточно легко скомпрометирована, вызвав значительные экономические, моральные и другие потери для собственника (владельца) такой информации. В связи с этим, принятие решения о вводе конфиденциальной информации в АС необходимо проводить с учетом определенного риска, который может быть значительно уменьшен или практически исключен с использованием соответствующих средств и мер защиты.

Применительно к АС наиболее опасными действиями по отношению к защищаемой информации являются: утрата информации - неосторожные действия собственника информации, представленной в АС на различных носителях и в файлах, или лица, которому были доверена информация в силу его официальных (производственных) обязанностей в рамках АС, в результате которых информация была потеряна и стала либо могла стать достоянием посторонних лиц;

раскрытие информации - умышленные или неосторожные действия, в результате которых информация, представленная на различных носителях и в файлах, стала доступной для посторонних лиц;

порча информации - умышленные или неосторожные действия, приводящие к полному или частичному уничтожению информации, представленной на различных носителях и в файлах;

кража информации - умышленные действия, направленные на несанкционированное изъятие информации из системы ее обработки, как посредством кражи носителей информации, так и посредством дублирования (копирования) информации, представленной в виде файлов АС;

подделка информации - умышленные или неосторожные действия, в результате которых нарушается целостность (точность, достоверность, полнота) информации, находящейся на различных носителях и в файлах АС;

блокирование информации - умышленные или неосторожные действия, приводящие к недоступности информации в системе ее обработки;

нарушение работы системы обработки информации умышленные или неосторожные действия, приводящие к частичному или полному отказу системы обработки либо создающие благоприятные условия для выполнения вышеперечисленных действий.

Перечисленные действия могут реализовываться в АС посредством следующих атак (каналов, угроз):

Незаконное физическое проникновение посторонних лиц в помещения, в которых располагаются средства автоматизированной обработки (хранилища, архивы);

Перехват побочных электромагнитных, акустических и других излу-

чений от средств автоматизированной обработки, несущих конфиденциальную информацию, как через традиционный «эфир», так и с использованием наводок таких излучений на вспомогательные технические средства, непосредственно не участвующие в обработке информации (сети питания, телефонные линии, отопление, канализация и т. п.);

Использование электроакустического воздействия речи персонала АС на СВТ и вспомогательные технические средства для перехвата речевой информации, содержащей коммерческую тайну, по соответствующему излучению модулированных сигналов от этих средств;

Перехват информационных сигналов в линиях и каналах связи средств автоматизированной обработки посредством незаконного к ним подключения;

Включение специальных устройств в СВТ, позволяющих несанкционированно получать обрабатываемую в АС информацию, ретранслировать ее с помощью передатчиков, блокировать работу СВТ, уничтожать информацию на различных носителях, уничтожать сами СВТ;

Несанкционированное (незаконное) логическое проникновение (вход) в АС посторонних лиц под видом законного пользователя посредством подбора (кражи) пароля или обхода механизма контроля входа в систему (при его наличии);

Загрузка посторонней операционной системы (ОС) или программ без средств контроля доступа в ЭВМ АС;

Обследование (считывание) освобожденных областей оперативной и внешней памяти, ранее содержавших конфиденциальную информацию и информацию по разграничению доступа (пароли, ключи, коды, матрицы доступа и т.

п.), а также отработанных носителей АС (печатных, графических документов);

Получение привилегированного статуса для взятия полного контроля над АС посредством изменения системных таблиц ОС и регистров;

Изменение установленного статуса объектов защиты АС (кодов защиты, паролей, матрицы доступа);

Модификация прикладных и системных программных средств АС с целью обхода (отключения) механизма контроля доступа или выполнения несанкционированных действий в АС;

Введение и использование в АС «вредоносных» программных средств для манипулирования или блокирования работы АС.

Сети ЭВМ (ПЭВМ) по сравнению с автономной ЭВМ (ПЭВМ) значительно больше подвержены возможным посягательствам на обрабатываемую в них информацию. Наиболее распространенными угрозами в сети ЭВМ являются: перехват сообщений в каналах передачи; порождение правдоподобных сообщений; маскировка под узаконенный узел сети; подложная идентификация оконечного абонента; несанкционированный доступ со стороны законных абонентов; неправильный выбор маршрута сообщений.

С учетом перечисленных угроз защита конфиденциальной информации в АС строится в виде двух относительно самостоятельных в техническом плане частей, реализующих:

<< | >>
Источник: О.Б. Макаревич, И.K. Бабенко, А.К. Шилов, А.В. Коваленко. Методическое пособие «Основы защищенного делопроизводства» по курсу «Технология защищенного документооборота». Таганрог: Изд-во ТРТУ,2000. 79 с.. 2000

Еще по теме 8. ЗАЩИТА ИНФОРМАЦИИ, СОСТАВЛЯЮЩАЯ КОММЕРЧЕСКУЮ ТАЙНУ, ПРИ ОБРАБОТКЕ И ХРАНЕНИИ ЕЕ В АВТОМАТИЗИРОВАННЫХ СИСТЕМАХ:

  1. 8. ЗАЩИТА ИНФОРМАЦИИ, СОСТАВЛЯЮЩАЯ КОММЕРЧЕСКУЮ ТАЙНУ, ПРИ ОБРАБОТКЕ И ХРАНЕНИИ ЕЕ В АВТОМАТИЗИРОВАННЫХ СИСТЕМАХ
  2. § 2. Мошенничество
  3. Введение
  4. § 1. Понятие и сущность компьютерной информации как объекта криминалистического исследования
  5. Понятие электронного документа и его производных как доказательств
  6. Список литературы