2.3. Виды нарушений информационной системы / Безопасность информационных систем. Учебное пособие / Библиотека (книги, учебники и журналы) / В помощь Веб-Мастеру

Обложка
Аннотация

Дина Погонышева i

Книги автора: Безопасность информационных систем. Учебное пособие

/ Виктор Ерохин i

Книги автора: Безопасность информационных систем. Учебное пособие

/ Илья Степченко i

Книги автора: Безопасность информационных систем. Учебное пособие

/ Олег Власов i

Книги автора: Как привлечь туристов и стать туристическим брендом в России Блокчейн от А до Я. Все о технологии десятилетия Основы технического анализа финансовых активов Интернет вещей. Новая технологическая революция Криминальный Runet. Темные стороны Интернета ART-коучинг. Техники пРОСТых решений Автоворонки для инфобизнеса Опыт конкуренции в России: причины успехов и неудач 100 советов по информационной безопасности малого бизнеса и предпринимателя лично Физиология ажиотажа. Маркетинговые приемы привлечения потребителей к торговой марке Время – деньги Управление инновационным развитием высокотехнологичных корпораций России Информационные системы и технологии в маркетинге. Монография 27 книг успешного руководителя Транслитерация и визуализация меню на предприятиях сервиса Хакеры с барсетками. Пошаговая инструкция по созданию очереди клиентов из интернета Этикет делового письма Феномен Инстаграма. Как раскрутить свой аккаунт и заработать Закон стартапа Кадровое делопроизводство и управление персоналом на компьютере Компьютер для индивидуального предпринимателя. Как вести учет быстро, легко и безошибочно Интернет: Заметки научного сотрудника Розничные торговые сети: стратегии, экономика, управление Складской учет на компьютере. Лучшие программы, включая 1С 8.2 1С: Управление торговлей 8.2. Настройка, конфигурирование и администрирование Экстремальное программирование. Разработка через тестирование Как защитить компьютер от ошибок, вирусов, хакеров Ментальные карты для бизнеса И радость творчества, и полный кошелек Как запустить бизнес на Амазоне. Пошаговая инструкция: как запустить онлайн-бизнес интернет-магазина мирового масштаба Как внедрить CRM-систему за 50 дней Самоучитель по PR для спортсменов Компьютер от «А» до «Я»: Windows, Интернет, графика, музыка, видео и многое другое Электронная почта (e-mail). Легкий старт Сетевой Маркетинг. Система рекрутирования в Интернете Мерчандайзинг. Курс управления ассортиментом в рознице Халява в Интернете Безопасность и анонимность работы в Интернете. Как защитить компьютер от любых посягательств извне Категорийный менеджмент. Курс управления ассортиментом в рознице Ноутбук для ваших любимых родителей Стив Джобс. Человек-легенда Общение на результат. Как убеждать, продавать и договариваться Бизнес для ржавых чайников. Достойная жизнь на пенсии Дефрагментация мозга. Софтостроение изнутри Библия продаж. Незаменимая книга для России! Продажи невидимого. Продавать услуги легко, если знать как Инновационный продукт. Инструменты маркетинга Яндекс.Директ. Как получать прибыль, а не играть в лотерею Аакер о брендинге. 20 принципов достижения успеха Партизанский маркетинг в социальных сетях. Инструкция по эксплуатации SMM-менеджера Сам себе сисадмин. Победа над «домашним» компьютером Гибкое управление проектами и продуктами E-mail-маркетинг. Как привлечь и удержать клиентов Как организовать дистанционный бизнес? Инфобизнес с нуля. 100 шагов к созданию своей денежной империи Бизнес-тренер на миллион. Личный PR для бизнес-тренеров, ораторов, коучей Контент-технология. Как, где и о чем говорить с клиентами Прицельный маркетинг. Новые правила привлечения и удержания клиентов Запуск! Быстрый старт для вашего бизнеса Успешная короткая презентация Безопасность информационных систем. Учебное пособие Разумный маркетинг. Как продавать больше при меньших затратах Секреты приложений Google Компьютер для тех, кому за… Компьютер для бабушек и дедушек 99 инструментов продаж. Эффективные методы получения прибыли Выжми из бизнеса всё! 200 способов повысить продажи и прибыль Продающие тексты. Как превратить читателя в покупателя Анонимность и безопасность в Интернете. От «чайника» к пользователю Генератор новых клиентов. 99 способов массового привлечения покупателей Если покупатель говорит «нет». Работа с возражениями Копирайтинг: секреты составления рекламных и PR-текстов Маркетинг 3.0: от продуктов к потребителям и далее – к человеческой душе Интернет для тех, кому за… Продвижение бизнеса в ВКонтакте. Быстро и с минимальными затратами Как заработать в Интернете. 35 самых быстрых способов Домены. Все, что нужно знать о ключевом элементе Интернета Прибыльный блог: создай, раскрути и заработай Инфобизнес на полную мощность. Удвоение продаж Интернет-маркетинг: лучшие бесплатные инструменты Инфобизнес за один день Монетизация сайта. Секреты больших денег в Интернете Деловая e-mail переписка. Пять правил успеха Быстрые деньги в Интернете. 50 способов заработать, сидя дома у компьютера Добавьте в корзину. Ключевые принципы повышения конверсии веб-сайтов Веб-Самоделкин. Как самому создать сайт быстро и профессионально Как спроектировать современный сайт

/ Литагент «Флинта»i

Книги автора: Безопасность информационных систем. Учебное пособие

Книга: Безопасность информационных систем. Учебное пособие

2.3. Виды нарушений информационной системы

Организационно-правовые виды нарушений – это нарушения, связанные отсутствием единой согласованной политики компании в сфере защиты информации, невыполнением требований нормативных документов, нарушением режима доступа, хранением и уничтожения информации.

Информационные виды нарушений включают несанкционированное получение полномочий доступа к базам и массивам данных, несанкционированный доступ к активному сетевому оборудованию, серверам доступа, некорректное применение средств защиты и ошибки в управлении ими, нарушения в адресности рассылки информации при ведении информационного обмена.

Физические виды нарушений включают физическое повреждение аппаратных средств автоматизированных систем, линий связи и коммуникационного оборудования, кражи или несанкционированное ознакомление с содержимым носителей информации, хранящихся в неположенных местах, хищение носителей информации, отказы аппаратных средств и др.

К радиоэлектронным видам нарушений относятся такие нарушения, как внедрение электронных устройств перехвата информации, получение информации путем перехвата и дешифрования информационных потоков, дистанционная видеозапись (фотографирование) мониторов, компьютерных распечаток, клавиатуры, навязывание ложной информации в локальных вычислительных сетях, сетях передачи данных и линиях связи.

Самые распространенные электронные атаки. Во-первых, это вирусы. Далее следуют программы типа «троянский конь», которые могут быть незаметно для владельца установлены на его компьютер и также незаметно функционировать на нем. Самые распространенные варианты «троянского коня» выполняют всего лишь одну функцию – кража паролей, но есть и более «продвинутые» экземпляры, которые реализуют весь спектр функций для удаленного управления компьютером, включая просмотр содержимого экрана, перехват всех вводимых с клавиатуры клавиш, кража и изменение файлов.

Другим распространенным типом атак являются действия, направленные на выведение из строя того или иного узла сети. Эти атаки получили название «отказ в обслуживании». Например, неисправность сервера платежной системы банка приведет к невозможности осуществления платежей и, как следствие, к большим прямым и косвенным финансовым потерям.

Одной из наиболее распространенных из существующих классификаций преступлений в сфере компьютерной информации является кодификатор рабочей группы Интерпола, который был положен в основу автоматизированной информационно-поисковой системы, созданной в начале 90-х годов XX в. В соответствии с названным кодификатором все компьютерные преступления классифицированы следующим образом:

QА – несанкционированный доступ и перехват:

QAH – компьютерный абордаж (несанкционированный доступ);

QAI – перехват с помощью специальных технических средств;

QAT – кража времени (уклонение от платы за пользование АИС);

QAZ – прочие виды несанкционированного доступа и перехвата.

QD – Изменение компьютерных данных:

QDL – логическая бомба;

QDT – троянский конь;

QDV – компьютерный вирус;

QDW – компьютерный червь;

QDZ – прочие виды изменения данных.

QF – Компьютерное мошенничество:

QFC – мошенничество с банкоматами;

QFF – компьютерная подделка;

QFG – мошенничество с игровыми автоматами;

QFM – манипуляции с программами ввода-вывода;

QFP – мошенничества с платежными средствами;

QFT – телефонное мошенничество;

QFZ – прочие компьютерные мошенничества.

QR – незаконное копирование:

QRG – компьютерные игры;

QRS – прочее программное обеспечение;

QRT – топология полупроводниковых устройств;

QRZ – прочее незаконное копирование.

QS – Компьютерный саботаж:

QSH – с аппаратным обеспечением (нарушение работы компьютера);

QSS – с программным обеспечением (уничтожение, блокирование информации);

QSZ – прочие виды саботажа.

QZ – Прочие компьютерные преступления:

QZB – с использованием компьютерных досок объявлений;

QZE – хищение информации, составляющей коммерческую тайну;

QZS – передача информации, подлежащая судебному рассмотрению.

QZZ – Иные компьютерные преступления.

Данная классификация применяется при отправлении запросов или сообщений о компьютерных преступлениях по телекоммуникационной сети Интерпола. Одним из ее достоинств является введение литеры «Z», отражающей прочие виды преступлений и позволяющей совершенствовать и дополнять используемую классификацию.

Определенный интерес представляет классификация, предложенная В.А. Мещеряковым:

1. Неправомерное завладение информацией или нарушение исключительного права ее использования.

1.1. Неправомерное завладение информацией как совокупностью сведений, документов (нарушение исключительного права владения).

1.2. Неправомерное завладение информацией как товаром.

1.3. Неправомерное завладение информацией как идеей (алгоритмом, методом решения задачи).

2. Неправомерная модификация информации.

2.1. Неправомерная модификация информации как товара с целью воспользоваться ее полезными свойствами (снятие защиты).

2.2. Неправомерная модификация информации как идеи, алгоритма и выдача за свою (подправка алгоритма).

2.3. Неправомерная модификация информации как совокупности фактов, сведений.

3. Разрушение информации.

3.1. Разрушение информации как товара.

3.2. Уничтожение информации.

4. Действие или бездействие по созданию (генерации) информации с заданными свойствами.

4.1. Распространение по телекоммуникационным каналам информационно-вычислительных сетей информации, наносящей ущерб государству, обществу и личности.

4.2. Разработка и распространение компьютерных вирусов и прочих вредоносных программ для ЭВМ.

4.3. Преступная халатность при разработке (эксплуатации) программного обеспечения, алгоритма в нарушение установленных технических норм и правил.

5. Действия, направленные на создание препятствий пользования информацией законным пользователям.

5.1. Неправомерное использование ресурсов автоматизированных систем (памяти, машинного времени и т. п.).

5.2. Информационное «подавление» узлов телекоммуникационных систем (создание потока ложных вызовов).

Опишем кратко основные особенности выделенных выше типов нарушений информационной безопасности.

Неправомерное завладение информацией как совокупностью сведений, фактов (нарушение исключительного права владения), т. е. ознакомление, а в некоторых случаях и распоряжение информацией субъектом, не имеющим на это законного права. Это наиболее часто встречающийся класс простейших преступных деяний, к которым относятся, как правило, без должного внимания. Примером данного вида деяний является ознакомление служащего банка с записью в базе данных о размере вклада того или иного клиента, его адресе, видах сделок и т. п. Результаты данного действия могут быть записаны на машинный носитель информации (магнитный или лазерный диск, магнитную ленту и т. п.), бумагу или просто остаться в памяти человека.

Неправомерное завладение информацией как товаром (незаконное копирование информации как товара). Это наиболее распространенный вид преступных деяний, который заключается в копировании программ или целой информационной системы (банка данных, электронного архива и т. п.) без согласия (разрешения) владельца или собственника. Еще более усложнилась задача защиты авторских прав в условиях развития глобальных сетей. Если на физических носителях правонарушители создают и распространяют хотя и большое, но все же конечное количество контрафактных экземпляров, то с публикацией в Интернет информация сразу становится доступной миллионам потребителей. Затруднено и установление фактических обстоятельств дела – субъектов, места совершения преступления, – информация может быть размещена нарушителем на сервере, находящемся на территории другого государства.

Неправомерное завладение информацией как идеей, алгоритмом (методом преобразования информации). Данный вид преступления заключается в ознакомлении с использующимся методом расчета каких-либо оценок, алгоритмом принятия решений в экспертной системе или другой автоматизированной системе принятия решений. Примером такого деяния может быть ознакомление с методом расчета вероятности преодоления противоракетной обороны средствами воздушно-космического нападения вероятного противника, ознакомление с использующимся типом (механизмом) системы защиты информации в электронной системе платежей банка.

Неправомерная модификация информации как товара. Данный вид деятельности, так же как и неправомерное завладение информацией как товаром, получил большое распространение в России, однако ни в уголовном, ни в административно-правовом порядке ненаказуем. Многие фирмы-производители программного обеспечения, стараясь защитить себя от компьютерного пиратства, разрабатывают и используют различные методы защиты от копирования и анализа своих разработок. Однако экономические условия, а также принципиальная невозможность создания абсолютных средств защиты информации приводят к тому, что в программное обеспечение или базу данных, полученную однажды законным (или «полузаконным» путем), вносится модификация, позволяющая делать неограниченное количество копий и использовать полезные свойства информации как товара без каких-либо ограничений (временных или по числу раз запуска), наложенных разработчиком.

Неправомерная модификация информации как идеи. Данный вид преступного деяния встречается гораздо реже и заключается не только в получении какого-либо программного обеспечения, но и его обязательный предварительный анализ. Примером такого рода действий могут служить широко известные случаи преступления в банковской сфере, когда в алгоритмы выполнения действий с записями на счетах, взимания процентов вносились незапланированные модификации, при которых с каждой операции на заранее подготовленный счет делались отчисления. Практически все известные на сегодняшний день преступления такого рода совершены разработчиками программного обеспечения и чаще всего теми же, которые его эксплуатируют.

Неправомерная модификация информации как совокупности фактов. Данный вид преступлений широкое распространение получил в автоматизированных банковских системах, так как именно в них записи в полях баз данных отражают определенные денежные суммы или другие сведения, которые имеют конкретное денежное или иное экономическое выражение.

Разработка и распространение компьютерных вирусов. Этот вид деяний является очень распространенным в настоящее время и может соперничать по количеству зарегистрированных фактов только с неправомерным завладением информацией как товаром.

Преступная халатность при разработке программного обеспечения, алгоритма в нарушение установленных технических норм и правил. Развитие вычислительной техники и информатики привело к тому, что автоматизированные системы управления находят свое применение практически во всех отраслях техники и экономики. Не являются исключением и вооружение, объекты атомной энергетики, непрерывные химические производства, системы управления воздушным движением, а также другие объекты, аварии и неисправности которых могут причинить огромный ущерб и непоправимые последствия. В связи с этим разработаны стандарты, инструкции и рекомендации, определяющие порядок разработки, испытания, эксплуатации и сопровождения программных средств критического приложения. Таким образом, здесь под составом преступления следует понимать нарушение этих установленных правил, которые повлекли за собой тяжкие последствия.

Неправомерное использование ресурсов автоматизированных систем. Развитие вычислительной техники, появление сетей привело к возможности их коллективного использования различными субъектами. При этом потребители запрашивают и оплачивают определенный вычислительный или временной ресурс. Под составом преступного деяния здесь следует понимать скрытый неправомерный захват вычислительного ресурса коллективного пользования каким-либо субъектом с намерениями минимизации либо полного исключения своих затрат за время его использования.

Информационное подавление узлов телекоммуникационных систем. Появление доступных информационных систем коллективного пользования, построенных на основе стандартных телефонных каналов взаимосвязанной системы связи России, позволило решать задачи информационного обеспечения самых широких кругов потребителей. В частности, с использованием этой информационной технологии разрабатывались системы электронных торгов на биржах, передачи ценовой информации, проведения электронных платежей. Большую роль в этом играет оперативность получения информации с использованием систем такого рода. Преднамеренная чрезмерная загрузка коммутирующих узлов делает оперативное получение информации невозможным.

Оглавление книги

Оглавление статьи/книги

Похожие страницы