По отношению к поддерживающей инфраструктуре рекомендуется рассматривать следующие угрозы:
нарушение работы (случайное или умышленное) систем связи, электропитания, водо- и/или теплоснабжения, кондиционирования;
разрушение или повреждение помещений;
невозможность или нежелание обслуживающего персонала и/или пользователей выполнять свои обязанности (гражданские беспорядки, аварии на транспорте, террористический акт или его угроза, забастовка и т.п.).
Весьма опасны так называемые "обиженные" сотрудники - нынешние и бывшие. Как правило, они стремятся нанести вред организации - "обидчику", например:
встроить логическую бомбу, которая со временем разрушит программы и/или данные;
Обиженные сотрудники, даже бывшие, знакомы с порядками в организации и способны нанести немалый ущерб. Необходимо следить за тем, чтобы при увольнении сотрудника его права доступа (логического и физического) к информационным ресурсам аннулировались.
2.1.3 Вредоносное программное обеспечение
Одним из опаснейших способов проведения атак является внедрение в атакуемые системы вредоносного программного обеспечения.
Выделяют следующие аспекты вредоносного ПО:
Часть, осуществляющая разрушительную функцию, предназначается для:
внедрения другого вредоносного ПО;
получения контроля над атакуемой системой;
агрессивного потребления ресурсов;
изменения или разрушения программ и/или данных.
По механизму распространения различают:
вирусы - код, обладающий способностью к распространению (возможно, с изменениями) путем внедрения в другие программы;
"черви" - код, способный самостоятельно, то есть без внедрения в другие программы, вызывать распространение своих копий по сети и их выполнение (для активизации вируса требуется запуск зараженной программы).
Вирусы обычно распространяются локально, в пределах узла сети; для передачи по сети им требуется внешняя помощь, такая как пересылка зараженного файла. "Черви", напротив, ориентированы в первую очередь на путешествия по сети.
Иногда само распространение вредоносного ПО вызывает агрессивное потребление ресурсов и, следовательно, является вредоносной функцией. Например, "черви" "съедают" полосу пропускания сети и ресурсы почтовых систем.
Вредоносный код, который выглядит как функционально полезная программа, называется троянским. Например, обычная программа, будучи пораженной вирусом, становится троянской; порой троянские программы изготавливают вручную и подсовывают доверчивым пользователям в какой-либо привлекательной упаковке (обычно при посещении файлообменных сетей или игровых и развлекательных сайтов).
Режим информационной безопасности – это комплекс организационных и программно-технических мер, которые должны обеспечивать следующие параметры:
· доступность и целостность информации;
· конфиденциальность информации;
· невозможность отказа от совершенных действий;
· аутентичность электронных документов.
Цель информационной безопасности - обеспечить бесперебойную работу организации и свести к минимуму ущерб от событий, таящих угрозу безопасности, посредством их предотвращения и сведения последствий к минимуму.
К задачам информационной безопасности бухгалтерии ООО магазин «Стиль» относится:
· объективная оценка текущего состояния информационной безопасности;
· обеспечение защиты и надежного функционирования прикладных информационных сервисов;
· обеспечение безопасного доступа в Интернет с защитой от вирусных атак и спама;
· защита системы электронного документооборота;
· организация защищенного информационного взаимодействия с территориально удаленными офисами и мобильными пользователями;
· получение защищенного доступа к информационной системе организации;
· обеспечение целостности и доступности информации;
· предотвращение некорректного изменения и модификации данных.
В рамках комплексного подхода к внедрению системы безопасности для бухгалтерии ООО «Стиль» можно выделить следующие общие направления:
· внедрение решений по сетевой безопасности с применением средств компьютерной защиты информации;
· внедрение систем однократной аутентификации (SSO);
· внедрение системы контроля целостности информационной системы;
· внедрение решений по мониторингу и управлению информационной безопасностью;
· внедрение системы контроля доступа к периферийным устройствам и приложениям;
· внедрение систем защиты от модификации и изменения информации.
Основными требованиями к комплексной системе защиты информации являются:· система защиты информации должна обеспечивать выполнениеинформационной системой своих основных функций без существенного ухудшения характеристик последней;· система защиты должна быть экономически целесообразной;· защита информации должна обеспечиваться на всех этапах жизненного цикла, при всех технологических режимах обработки информации, в том числе при проведении ремонтных и регламентных работ;· в систему защиты информации должны быть заложены возможности ее совершенствования и развития в соответствии с условиями эксплуатации и конфигурации;· система защиты в соответствии с установленными правилами должна обеспечивать разграничение доступа к конфиденциальной информации с отвлечением нарушителя на ложную информацию, т.е. обладать свойствами активной и пассивной защиты;· система защиты должна позволять проводить учет и расследование случаев нарушения безопасности информации;· применение системы защиты не должно быть сложной для пользователя, не вызывать психологического противодействия и желания обойтись без нее.Уязвимость данных в информационной системе бухгалтерии компании обусловлена долговременным хранением большого объема данных на магнитных носителях, одновременным доступом к ресурсам нескольких пользователей. Можно выделить следующие трудности при разработке системы информационной безопасности:
· на сегодняшний день нет единой теории защищенных систем;
· производители средств защиты в основном предлагают отдельные компоненты для решения частных задач, оставляя вопросы формирования системы защиты и совместимости этих средств на усмотрение потребителей;
· для обеспечения надежной защиты необходимо разрешить целый комплекс технических и организационных проблем и разработать соответствующую документацию.
Для преодоления вышеперечисленных трудностей необходима координация действий всех участников информационного процесса. Обеспечение информационной безопасности - достаточно серьезная задача, поэтому необходимо, прежде всего, разработать концепцию безопасности информации, где определить интересы компании, принципы обеспечения и пути поддержания безопасности информации, а также сформулировать задачи по их реализации.
В основе комплекса мероприятий по информационной безопасности должна быть стратегия защиты информации. В ней определяются цели, критерии, принципы и процедуры, необходимые для построения надежной системы защиты. В разрабатываемой стратегии должны найти отражение не только степень защиты, поиск брешей, места установки брандмауэров или proxy-серверов и т. п. В ней необходимо еще четко определить процедуры и способы их применения для того, чтобы гарантировать надежную защиту.