Internet Windows Android
Kengaytirish
uy

Axborot xavfsizligi tahdidlarining turlari va manbalari. Axborot xavfsizligiga tahdidlarning turlari va tarkibi Axborot xavfsizligiga qasddan va qasddan tahdidlar

Axborot tizimlari xavfsizligiga tahdidlarning asosiy turlari:

Qoidabuzarlar va bosqinchilarning qasddan harakatlari (xodimlar orasidan xafa bo'lgan shaxslar, jinoyatchilar, ayg'oqchilar, sabotajchilar va boshqalar).

Xavfsizlik tahdidlarini turli mezonlarga ko'ra tasniflash mumkin:

1. Aksiya natijalariga ko‘ra:

1) oqish xavfi;

2) o'zgartirish tahdidi;

3) yo'qotish xavfi.

2. Asosan:

· Qasddan bo'lmagan;

· Maqsadli.

Tasodifiy (qasdsiz) tahdidlar natijasida paydo bo'lishi mumkin:

Tabiiy ofatlar va baxtsiz hodisalar (sel, bo'ron, zilzila, yong'in va boshqalar);

AITU uskunasining (texnik vositalarining) ishdan chiqishi va ishdan chiqishi;

AIS komponentlarini loyihalash va ishlab chiqishdagi xatolar oqibatlari (apparat, axborotni qayta ishlash texnologiyasi, dasturlar, ma'lumotlar tuzilmalari va boshqalar);

Operatsion xatolar (foydalanuvchilar, operatorlar va boshqa xodimlar).

Asosiy sabablar qasddan bo'lmagan, texnogen tahdidlar AIS:

· E'tiborsizlik;

Qoidalarni buzish va tizimda o'rnatilgan cheklovlarga e'tibor bermaslik;

· Qobiliyatsizlik;

· E'tiborsizlik.

Tahdidlarga misollar:

1) niyatsiz harakatlar tizimning qisman yoki to'liq ishlamay qolishiga yoki tizimning apparat, dasturiy ta'minoti, axborot resurslarining yo'q qilinishiga olib keladigan (uskunaga beixtiyor zarar etkazish, o'chirish, muhim ma'lumotlar yoki dasturlarga, shu jumladan tizimli fayllarga ega bo'lgan fayllarni buzish va boshqalar);

2) uskunani noto'g'ri ishga tushirish yoki qurilmalar va dasturlarning ish rejimlarini o'zgartirish;

3) ommaviy axborot vositalarini qasddan yo'q qilish ma `lumot;

4) noqonuniy joriy etish va yozilmagan dasturlardan foydalanish (o'yin, o'quv, texnologik va boshqalar).., qoidabuzarning o'z xizmat vazifalarini bajarishi uchun zarur bo'lmagan) keyinchalik resurslarni asossiz sarflash (protsessor yuklanishi, tashqi muhitda operativ xotira va xotirani tortib olish);

6) kompyuter infektsiyasi viruslar;

7) ehtiyotsizlikka olib keladigan harakatlar maxfiy ma'lumotlarni oshkor qilish yoki uni hammaga ochiq qilish;

8) oshkor qilish, uzatish yoki kirishni boshqarish atributlarining yo'qolishi (n parollar, shifrlash kalitlari, identifikatsiya kartalari, ruxsatnomalar va boshqalar);

9) tashkiliy cheklovlarga e'tibor bermaslik(belgilangan qoidalar) tizimdagi daraja bo'yicha;

10) xavfsizlikni chetlab o'tish orqali kirish(tashqi operatsion tizimni olinadigan magnit tashuvchidan yuklash va h.k.);

11) qobiliyatsiz foydalanish, sozlash yoki noqonuniy o'chirish himoya vositalari xavfsizlik xodimlari;

12) ma'lumotlarni abonentning (qurilmaning) noto'g'ri manziliga yo'naltirish;

13) noto'g'ri ma'lumotlarni kiritish;

14) aloqa kanallarini qasddan buzish.


qasddan tahdidlar - bu odamlarning xudbin intilishlari (buzg'unchilar) bilan bog'liq bo'lgan inson faoliyati natijasida yuzaga kelgan AIS tahdidlari.

Axborot tizimiga nisbatan tahdidlarning manbalari tashqi yoki ichki bo'lishi mumkin.

Afsuski, ikkala tahdidni amalga oshirish natijasi bir xil oqibatlarga olib keladi: ma'lumotni yo'qotish, uning maxfiyligini buzish, uni o'zgartirish.

Asosiy qasddan qasddan tahdidlar odatda quyidagilarga qaratilgan:

Tizimning qasddan buzilishi va uning ishlamay qolishi,

· tizimga kirish va ma'lumotlarga ruxsatsiz kirish va undan shaxsiy manfaatlar uchun foydalanish maqsadida.

O'z navbatida qasddan tahdidlarni quyidagilarga bo'lish mumkin:

1. Faol va passiv .

Passiv tahdidlar - asosan axborotning shikastlanishi va yo'q qilinishiga olib kelmaydigan axborot resurslaridan ruxsatsiz foydalanishga qaratilgan.

Buning uchun turli xil usullar qo'llaniladi :

a) tinglash moslamalaridan foydalanish, masofaviy foto va video suratga olish, media o'g'irlash va boshqalar;

b) axborot vositalarini (magnit disklar, lentalar, xotira chiplari, saqlash qurilmalari va shaxsiy kompyuterlar) o'g'irlash;

v) aloqa kanallari orqali uzatiladigan ma'lumotlarni ushlash va ularni almashish protokollari, aloqaga kirish qoidalari va foydalanuvchining avtorizatsiyasini aniqlash maqsadida tahlil qilish hamda tizimga kirib borish uchun ularni taqlid qilishga urinish;

G) operativ xotiradan va tashqi xotira qurilmalaridan (printer xotirasi buferi) qolgan ma'lumotlarni o'qish;

e) ma'lumotni o'qish RAM maydonlari operatsion tizim tomonidan foydalaniladi (shu jumladan himoya quyi tizimi);

e) parollarni noqonuniy olish va kirishni boshqarishning boshqa rekvizitlari (agentlar tomonidan, foydalanuvchilarning beparvoligidan foydalangan holda, tizim interfeysini tanlash, taqlid qilish va h.k., keyin ro'yxatdan o'tgan foydalanuvchi sifatida niqoblash (“maskarad");

Faol tahdidlar - uning tarkibiy qismlariga maqsadli ta'sir ko'rsatish orqali tizimning normal ishlashini buzish.

Amalga oshirish usullari:

A) shaxsiy kompyuter yoki operatsion tizimning ishdan chiqishi;

B) aloqa kanallarining uzilishi;

C) xavfsizlik tizimini buzish;

D) dasturiy viruslardan foydalanish va boshqalar.

2. Ichki va tashqi tahdidlar .

insayderlar quyidagi toifadagi xodimlar bo'lishi mumkin:

§ tizimning yordamchi va texnik xodimlari (operatorlar, elektrchilar, texniklar);

§ dasturiy ta'minotni ishlab chiqish va texnik xizmat ko'rsatish bo'limlari xodimlari (ilova va tizim dasturchilari);

§ AITU xavfsizlik xizmati xodimlari;

§ ish ierarxiyasining turli darajadagi menejerlari.

BISda o'tkazilgan tadqiqotlarga ko'ra, qoidabuzarliklarning 80% dan ortig'i bank xodimlari tomonidan sodir etilgan.

Chet elliklar bo'lishi mumkin tashqi qonunbuzarlar .

§ mijozlar (tashkilotlar vakillari, fuqarolar);

§ tashrif buyuruvchilar (har qanday holatda taklif qilinadi);

§ tashkilotning hayotini (energiya, suv, issiqlik ta'minoti va boshqalar) ta'minlash masalalari bo'yicha o'zaro hamkorlik qiluvchi tashkilotlar vakillari;

raqobatchi tashkilotlar (xorijiy maxsus xizmatlar) vakillari yoki ularning ko‘rsatmalari bo‘yicha ish olib boruvchi shaxslar;

2.Himoya qilish usullari va vositalari

Himoya tizimi - bu maxsus huquqiy (qonunchilik) (ma'muriy) chora-tadbirlar, tashkiliy chora-tadbirlar, jismoniy va texnik (dasturiy-texnik) himoya vositalari, shuningdek axborot, axborot texnologiyalari va axborot xavfsizligini ta'minlash uchun mo'ljallangan maxsus xodimlar majmuasi (majmuidir). umuman avtomatlashtirilgan tizim.

Xalqaro va Rossiya amaliyotida kompyuter tizimlarining xavfsizlik darajasini baholash uchun standartlar qo'llaniladi. AQShda ushbu standartlarni o'z ichiga olgan hujjat "Orange Book" deb nomlanadi. (1985). Bu tizim xavfsizligining quyidagi darajalarini ta'minlaydi:

Eng yuqori sinf - A;

O'rta sinf - B;

Past daraja - C;

· Sinovdan o'tmagan tizimlar sinfi -D.

Rossiya amaliyotida Rossiya Federatsiyasi Prezidenti huzuridagi Davlat texnik komissiyasi ruxsatsiz kirishdan CVT xavfsizligining 7 sinfini o'rnatishni nazarda tutuvchi rahbarlik hujjatini ishlab chiqdi. Shu bilan birga, himoya choralari quyidagi quyi tizimlarni qamrab oladi:

· Kirish nazorati;

· Ro'yxatdan o'tish va hisobga olish;

· kriptografik;

· yaxlitlikni ta'minlash;

· Qonunchilik choralari;

jismoniy choralar.

Axborot xavfsizligini ta'minlash usullari va vositalari 2-rasmda ko'rsatilgan. Himoya mexanizmlarining asosini tashkil etuvchi axborotni himoya qilishning taqdim etilgan usullarining asosiy mazmunini ko'rib chiqing.

| Axborot xavfsizligi

6-8-darslar
Axborot xavfsizligi

Ushbu mavzuni o'rganish orqali siz quyidagilarni bilib olasiz:

Axborot xavfsizligining asosiy maqsad va vazifalari nimalardan iborat;
- axborot tahdidlari nima va ular qanday namoyon bo'ladi;
- axborot tahdidlarining manbai nima;
- axborotni axborot tahdidlaridan himoya qilishning qanday usullari mavjud.

Axborot xavfsizligining asosiy maqsad va vazifalari

Sivilizatsiya taraqqiyoti tarixi davomida ishonchli va to'liq ma'lumot doimo talab qilinadigan va qimmat tovar bo'lib kelgan. Zamonaviy jamiyat inson o'z faoliyati davomida idrok etishi va qayta ishlashi kerak bo'lgan ma'lumotlarning eksponent ravishda ortib borayotgani bilan tavsiflanadi.

Axborotni qanday himoya qilish va uni o'z vaqtida va maqsadli foydalanishga imkon berish kerak? Bu masalani hal etish eng dolzarb vazifalardan biri bo'lib kelgan va shunday bo'lib qolmoqda. Axborotlashtirish jarayonining keng ko'lamli rivojlanishi ushbu muammoni yanada kuchaytirdi, chunki nafaqat an'anaviy inson muhiti sharoitlarini, balki kompyuter tizimlarining turli sohalarda keng joriy etilishi natijasida paydo bo'lgan muhitni ham hisobga olish kerak. uning faoliyati sohalari.

Axborotlashtirish jarayoni muqarrar ravishda ushbu muhitlarning integratsiyalashuviga olib keladi, shuning uchun axborotni himoya qilish muammosi ushbu yangi yagona muhitda axborot aylanishi, axborot resurslarini yaratish va ulardan foydalanish uchun barcha shart-sharoitlarni hisobga olgan holda hal qilinishi kerak. Bu "axborot muhiti" deb ataladi.

Axborot muhiti - axborot resurslarini yaratish va ulardan foydalanish uchun mo'ljallangan kompyuter tizimlariga asoslangan shart-sharoitlar, vositalar va usullar yig'indisidir.

Axborot muhiti faoliyatiga xavf tug'diruvchi omillar yig'indisi axborot tahdidlari deb ataladi. Ushbu tahdidlarning o'ziga xos natijalari quyidagilar bo'lishi mumkin: ma'lumotlarning yo'qolishi, ma'lumotlarning o'zgarishi, ma'lumotlarning ruxsatsiz shaxslar bilan tanishishi va boshqalar.

Axborot muhitiga noqonuniy ta'sirlar inson va jamiyat manfaatlariga zarar etkazishi mumkin, shuning uchun axborotlashtirishning vazifalaridan biri axborot xavfsizligini ta'minlashdir. Axborot muhitini axborot tahdidlaridan himoya qilish, ya'ni nafaqat axborotni, balki insonning o'zi va butun jamiyatning axborot xavfsizligini ta'minlash kerak.

Axborot xavfsizligi - jamiyat va insonning axborot muhitini himoya qilish bo'yicha chora-tadbirlar majmui.

Jamiyatning axborot xavfsizligini ta'minlashning asosiy maqsadlari quyidagilardan iborat:

♦ milliy manfaatlarni himoya qilish;
♦ shaxs va jamiyatni ishonchli va to'liq axborot bilan ta'minlash;
♦ axborot olish, tarqatish va undan foydalanishda shaxs va jamiyatning huquqiy himoyasi.

Axborot xavfsizligi bilan ta'minlanishi kerak bo'lgan ob'ektlarga quyidagilar kiradi:

♦ axborot resurslari;
♦ axborot resurslarini yaratish, tarqatish va ulardan foydalanish tizimi;
♦ jamiyatning axborot infratuzilmasi (axborot kommunikatsiyalari, aloqa tarmoqlari, ma'lumotlarni tahlil qilish va qayta ishlash markazlari, axborotni himoya qilish tizimlari va vositalari);
♦ ommaviy axborot vositalari;
♦ inson va davlatning axborot olish, tarqatish va undan foydalanish huquqlari;
♦ intellektual mulk va maxfiy axborotni himoya qilish.

Axborot tahdidlari

Shaxs va jamiyat uchun axborot tahdidlarining manbalari tashqi va ichki omillar bo'lishi mumkin (1.1-rasm).

Guruch. 1.1. Rossiya uchun asosiy axborot tahdidlarining manbalari

Rossiya uchun asosiy tashqi tahdidlarning manbalari quyidagilardan iborat:

♦ axborot texnologiyalari sohasida jahon yutuqlaridan foydalanishga qarshi bo'lgan mamlakatlar siyosati;
♦ «axborot urushi» mamlakatda axborot muhiti faoliyatini buzish;
♦ milliy manfaatlarga qarshi qaratilgan jinoiy faoliyat.

Rossiya uchun asosiy ichki tahdidlarning manbalari quyidagilardan iborat:

♦ axborotlashtirish darajasi bo'yicha dunyoning yetakchi davlatlaridan orqada qolish;
♦ axborot va telekommunikatsiya uskunalarini ishlab chiqarish sohasida elektron sanoatning texnologik qoloqligi;
♦ fuqarolarning bilim darajasining pasayishi, bu esa axborot muhitida ishlashga to'sqinlik qiladi.

Axborot xavfsizligiga tahdidlarni qasddan (ruxsatsiz kirish) va tasodifiy (1.2-rasm) ajratish mumkin.

Guruch. 1.2. Axborot tahdidlarining asosiy turlari

Qasddan tahdidlar ko'pincha ruxsatsiz kirish, hujum, hujum deb ataladi. Bu tahdidlar insonning xatti-harakatlari bilan bog'liq bo'lib, ularning sabablari quyidagilar bo'lishi mumkin: o'z qobiliyatlarini o'z-o'zini tasdiqlash (xakerlar), hayotiy vaziyatdan norozilik, moddiy manfaatdorlik, ko'ngilocharlik va boshqalar. Axborotga qasddan ta'sir qilish ro'yxati juda xilma-xil bo'lishi mumkin va. ularni amalga oshirmoqchi bo'lganlarning imkoniyatlari va tasavvurlari bilan belgilanadi. Kompyuter tizimlari uchun odatiy bo'lgan ba'zi bir qasddan tahdidlar:

♦ axborotni o'g'irlash: hujjatlar va fayllarga ruxsatsiz kirish (ma'lumotlarni ko'rish va nusxalash), kompyuterlar va saqlash vositalarini o'g'irlash, ma'lumotlarni yo'q qilish;
♦ kompyuter viruslarini tarqatish;
♦ uskunaga jismoniy ta'sir qilish: uskunaga o'zgartirishlar kiritish, aloqa kanallariga ulanish, ommaviy axborot vositalariga zarar etkazish yoki yo'q qilish, magnit maydonga ataylab ta'sir qilish.

Kompyuter tizimlarida qasddan tahdidlar axborotga kirish kanallari orqali amalga oshirilishi mumkin:

♦ xodimning kompyuter ish joyi;
♦ kompyuter tizimi administratorining kompyuter ish joyi;
♦ tashqi axborot vositalari (disklar, lentalar, qog'oz tashuvchilar);
♦ tashqi aloqa kanallari.

Eng jiddiy tahdid kompyuter viruslaridan kelib chiqadi. Har kuni 300 tagacha yangi viruslar paydo bo'ladi. Viruslar davlat chegaralarini tan olmaydi, bir necha soat ichida butun dunyo bo'ylab tarqaladi. Kompyuter viruslarining zarari har xil bo'lishi mumkin, monitor ekranida paydo bo'ladigan begona yozuvlardan tortib, zararlangan kompyuterda joylashgan ma'lumotlarni o'g'irlash va yo'q qilishgacha. Bundan tashqari, bu operatsion muhitning tizim fayllari, shuningdek, ofis, buxgalteriya hisobi va foydalanuvchi uchun qandaydir ahamiyatga ega bo'lgan boshqa hujjatlar bo'lishi mumkin. 2003 yilda viruslardan ko'rilgan moliyaviy zarar, dastlabki hisob-kitoblarga ko'ra, 12 milliard dollarga yetgan.

Zararli dasturlar orasida o'z kompyuteriga egasi sezdirmasdan o'rnatilishi va ishlashi mumkin bo'lgan "Troyan otlari" alohida o'rin tutadi. "Troyan otlari" ning turli xil variantlari ekran mazmunini ko'rish, klaviaturadan kiritilgan buyruqlarni ushlab turish, parollar va fayllarni o'g'irlash va o'zgartirish va h.k. imkonini beradi.

Borgan sari axborot "sabotaj" sababi Internet deb ataladi. Bu Internet orqali amalga oshiriladigan xizmatlar va elektron tranzaktsiyalar doirasining kengayishi bilan bog'liq. Elektron pochta, bepul dasturlar, kompyuter o'yinlari bilan birga kompyuter viruslari tobora ko'payib bormoqda. 2003 yilda ikkita global epidemiya sodir bo'ldi, bu Internet tarixidagi eng kattasi. Shunisi e'tiborga loyiqki, epidemiyalarga klassik pochta qurtlari emas, balki ularning tarmoq modifikatsiyalari - tarmoq ma'lumotlar paketlari ko'rinishida tarqaladigan qurtlar sabab bo'lgan. Ular zararli dasturlar reytingida yetakchiga aylanishdi. Masalan, 2003 yilda paydo bo'lgan bunday dasturlarning umumiy massasida "tarmoq qurtlari" ning ulushi 85% dan oshadi, viruslar ulushi - 9,84%, troyanlar 4,87% ni tashkil etdi.

So'nggi paytlarda tarmoq hujumlari eng keng tarqalgan kompyuter tahdidlaridan biriga aylandi. Buzg'unchilarning hujumlari kompyuter tarmog'ining ma'lum tugunlarini o'chirishga qaratilgan. Ushbu hujumlar "denial of service" ("denial of service") deb ataladi. Ba'zi tarmoq tugunlarini hatto cheklangan vaqtga o'chirib qo'yish juda jiddiy oqibatlarga olib kelishi mumkin. Masalan, bankning to‘lov tizimi serveriga xizmat ko‘rsatmaslik to‘lovlarni amalga oshirishning imkonsiz bo‘lishiga va buning natijasida katta miqdorda bevosita va bilvosita moliyaviy yo‘qotishlarga olib keladi.

Tasodifiy tahdidlar axborotni kiritish, saqlash, qayta ishlash, chiqarish va uzatish jarayonida turli ta'sirlarga duchor bo'lishida namoyon bo'ladi. Bunday ta'sirlarni aniqlaydigan tasodifiy omillar ham kutilmagan vaziyatlar (fors-major holatlari), ham inson omili (axborot bilan ishlashda xatolar, beparvolik, beparvolik) bilan bog'liq. Masalan, kompyuter tizimlarida tasodifiy ta'sirlarning sabablari quyidagilar bo'lishi mumkin:

♦ kompyuter foydalanuvchisi xatolari;
♦ axborot tizimlarini professional ishlab chiquvchilarning xatolari: algoritmik, dasturiy, strukturaviy;
♦ uskunaning nosozliklari va nosozliklari, shu jumladan aloqa liniyalarida shovqinlar va signallarning buzilishi;
♦ fors-major holatlari (avariya, yong'in, suv toshqini va boshqa fors-major ta'sirlari).

Kompyuter tizimlarining turli foydalanuvchilari uchun axborot xavfsizligi

Axborot xavfsizligi muammosini hal qilish asosan foydalanuvchining ma'lum bir sohada mutaxassis sifatida hal qiladigan vazifalari bilan belgilanadi. Buni misollar bilan tushuntiramiz. Biz bir nechta faoliyat turlarini aniqlaymiz, masalan:

♦ muayyan foydalanuvchi-mutaxassis faoliyatining o'ziga xos xususiyatlarini aks ettiruvchi amaliy muammolarni hal qilish;
♦ har qanday kompaniya uchun xos bo'lgan boshqaruv muammolarini hal qilish;
♦ ixtisoslashgan kompaniyada axborot xizmatlarini ko'rsatish, masalan, axborot markazi, kutubxona va boshqalar;
♦ tijorat faoliyati;
♦ bank ishi.

Ushbu faoliyat sohalarini piramida shaklida tasavvur qiling (1.3-rasm). Piramidaning har bir sektorining o'lchami axborotni ommaviy iste'mol qilish darajasini aks ettiradi. Bu tegishli axborot faoliyati natijasiga muhtoj bo'lgan manfaatdor tomonlar (axborot iste'molchilari) soniga mos keladi. Piramidaning poydevoridan tepaga ko'tarilganda sektor hajmining pasayishi kompaniya va barcha manfaatdor tomonlar uchun ma'lumotlarning ahamiyati darajasining pasayishini aks ettiradi. Buni sanab o'tilgan tadbirlarning har birini ko'rib chiqish jarayonida tushuntiramiz.

Guruch. 1.3. Axborot xavfsizligining ahamiyati
kompaniya va manfaatdor tomonlar pozitsiyasidan turli mutaxassislar uchun

Amaliy muammolarni hal qilishda foydalanuvchi shaxsiy ma'lumotlar bilan ishlaydi, ba'zan esa Internet manbalaridan ma'lumot manbai sifatida foydalanadi. Bunday foydalanuvchi, qoida tariqasida, o'z shaxsiy ma'lumotlarini saqlash vazifasiga duch keladi. Uning shaxsiy kompyuterida saqlanadigan ma'lumotlar uning intellektual faoliyati, ehtimol ko'p yillik izlanishlari yoki to'plashlari natijasidir. Bu foydalanuvchi uchun bevosita muhim ahamiyatga ega.

Boshqaruv muammolarini hal qilishda axborot tizimlari muhim rol o'ynaydi, ularni amalga oshirishni kompyuter bazasisiz tasavvur qilib bo'lmaydi. Kompyuterlar yordamida tashkiliy va boshqaruv ishlari amalga oshiriladi, xodimlar to'g'risidagi ma'lumotlar tuziladi va saqlanadi, buxgalteriya hisobi yuritiladi. Kompyuterlar bu holda xodimlarning ishini engillashtiradigan yordamchi vositadir. Tashqi faoliyat uchun tarmoq texnologiyalari ham qo'llaniladi, ular yordamida kerakli ma'lumotlar almashinuvi amalga oshiriladi. Shu bilan birga, eng muhim hujjatlardagi ma'lumotlarning himoya qilinishini ta'minlash uchun ular jo'natish paytida qo'shimcha ravishda oddiy pochtadan foydalanadilar. Axborotni yo'qotish yoki buzish muammosi ko'pincha individual xodimlarga ta'sir qiladi, bu ularning martaba muvaffaqiyatiga ta'sir qilishi mumkin. Shunday qilib, bunday kompaniyadagi boshqaruv xodimlari, asosan, boshqaruv hujjatlarining to'liqligini ta'minlash vazifasi bilan duch keladilar.

Internet-provayderlar yoki aloqa operatorlari kabi axborot xizmatlarini ko'rsatuvchi kompaniyalar uchun eng muhim vazifa axborot tizimlarining mavjudligi va ish vaqtini ta'minlashdir. Kompaniyaning reytingi, unga abonentlarning ishonchi bunga bog'liq. Siz ikkala uskunaga (aloqaning uzluksizligi va barqarorligini ta'minlash uchun), shuningdek, tizimlarning mavjudligini buzadigan hujumlarni aniqlash uchun zaxira tizimlari va vositalariga sarmoya kiritishingiz kerak.

Kuchli raqobat muhitida faoliyat yurituvchi kompaniyalarning tijorat faoliyati uchun eng muhim vazifa axborot sizib chiqishining oldini olish va uning maxfiyligini saqlashdir. Bu turli operatsiyalarda kompaniyalarning moliyaviy risklari bilan bog'liq. Bu erda xavfsizlik fondlarida tejash katta yo'qotishlarga olib kelishi mumkin.

Bank ishida xavfsizlik, maxfiylik va ish xavfsizligi muammolarini hal qilish kerak, lekin ma'lumotlarning yaxlitligini ta'minlash vazifasi (masalan, qayta ishlangan to'lov topshiriqnomalariga ruxsatsiz o'zgartirishlar kiritish mumkin bo'lmasligi uchun) birinchi o'rinda turadi.

Axborot xavfsizligi usullari

Axborot muhitida axborotni himoya qilish usullarini ishlab chiqishda quyidagi muhim omillar va shartlarni hisobga olish kerak:

♦ kompyuterlardan foydalanish sohalarini kengaytirish va kompyuter parkining o'sish sur'atlarini oshirish (ya'ni, axborotni himoya qilish muammosini texnik vositalar darajasida hal qilish kerak);
♦ axborotni qayta ishlash markazlarida yuqori darajada jamlanganligi va buning natijasida jamoaviy foydalanish uchun mo'ljallangan markazlashtirilgan ma'lumotlar bazalarining paydo bo'lishi;
♦ foydalanuvchilarning global axborot resurslariga kirishini kengaytirish (ma'lumotlarni qayta ishlashning zamonaviy tizimlari yuzlab va minglab kilometrlar uzoqlikdagi cheksiz miqdordagi abonentlarga xizmat ko'rsatishi mumkin);
♦ kompyuterda hisoblash jarayonining dasturiy ta'minotini murakkablashtirish.

Bunday ish rejimlarida turli xil foydalanuvchilarning dasturlari va ma'lumotlar massivlari bir vaqtning o'zida kompyuter xotirasida saqlanishi mumkin, bu esa ma'lumotni kiruvchi ta'sirlardan va uning jismoniy himoyasidan saqlashni muhim qiladi.

Axborot tahdidlaridan qasddan himoya qilishning an'anaviy usullariga quyidagilar kiradi: ma'lumotlarga kirishni cheklash, ma'lumotlarni shifrlash (kriptografiya), uskunalarga kirishni nazorat qilish, qonunchilik choralari. Keling, ushbu usullarni ko'rib chiqaylik.

Axborotdan foydalanishni cheklash ikki darajada amalga oshiriladi:

♦ insonning yashash muhiti darajasida, ya'ni muhofaza qilish ob'ekti atrofida sun'iy to'siq yaratish orqali: qabul qilingan shaxslarga maxsus ruxsatnomalar berish, qo'riqlash signalizatsiyasi yoki videokuzatuv tizimini o'rnatish;
♦ kompyuter tizimlarini himoya qilish darajasida, masalan, kompyuter tizimida aylanayotgan axborotni qismlarga bo'lish va o'zlarining funktsional vazifalariga muvofiq shaxslarning unga kirishini tashkil qilish. Dasturiy ta'minot darajasida himoyalanganda, har bir foydalanuvchi unga faqat ruxsat berilgan ma'lumotlarga kirishga ruxsat beruvchi parolga ega.

Axborotni shifrlash (kriptografiya) so'zlarni, harflarni, bo'g'inlarni, raqamlarni maxsus algoritmlar yordamida o'zgartirishdan (kodlashdan) iborat. Shifrlangan ma'lumotlar bilan tanishish uchun teskari jarayon kerak - dekodlash. Shifrlash tarmoqdagi ma'lumotlarni uzatish xavfsizligini, shuningdek, masofaviy qurilmalarda saqlanadigan ma'lumotlarni sezilarli darajada oshirishni ta'minlaydi.

Uskunaga kirishni boshqarish barcha jihozlar yopilganligini va unga kirish nuqtalarida sensorlar o'rnatilganligini anglatadi, ular uskuna ochilganda ishga tushadi. Bunday choralar, masalan, uchinchi tomon qurilmalarini ulashdan, kompyuter tizimining ish rejimlarini o'zgartirishdan, uchinchi tomon dasturlarini yuklab olishdan va hokazolardan qochish imkonini beradi.

Qonunchilik chora-tadbirlari mansabdor shaxslar - foydalanuvchilar va xizmat ko'rsatuvchi xodimlarning ularga ishonib topshirilgan ma'lumotlarning sizib chiqishi, yo'qolishi yoki o'zgartirilganligi uchun qonuniy javobgarligini tartibga soluvchi mamlakatda mavjud bo'lgan qonunlar, me'yoriy hujjatlar, ko'rsatmalarni amalga oshirishdan iborat.

Muayyan kompyuter tarmog'i uchun axborotni himoya qilish usullarini tanlashda ma'lumotlarga ruxsatsiz kirishning barcha mumkin bo'lgan usullarini chuqur tahlil qilish kerak. Tahlil natijalariga ko'ra, zaruriy himoyani ta'minlaydigan chora-tadbirlarni rejalashtirish amalga oshiriladi, ya'ni xavfsizlik siyosatini ishlab chiqish amalga oshiriladi.

Xavfsizlik siyosati - bu kompyuter tarmog'idagi axborotni himoya qilishga qaratilgan texnik, dasturiy va tashkiliy chora-tadbirlar majmuidir.

Shaklda ko'rsatilgan sxemaga e'tibor qaratib, kompyuter tizimlarini qasddan axborot tahdidlaridan himoya qilishning ba'zi usullarini ko'rib chiqing. 1.2.

Axborotni o'g'irlashdan himoya qilish odatda maxsus dasturiy vositalar yordamida amalga oshiriladi. Dasturlar va qimmatli kompyuter ma'lumotlarini ruxsatsiz nusxalash va tarqatish intellektual mulkni o'g'irlashdir. Himoyalangan dasturlar oldindan ishlov berishdan o'tkaziladi, bu dasturning bajariladigan kodini "xorijiy" kompyuterlarda bajarilishiga to'sqinlik qiladigan holatga keltiradi (fayllarni shifrlash, parol himoyasini kiritish, kompyuterni o'ziga xos xususiyatlari bo'yicha tekshirish va boshqalar). Himoyalashning yana bir misoli: mahalliy tarmoqdagi ma'lumotlarga ruxsatsiz kirishning oldini olish uchun kirishni boshqarish tizimi ham apparat, ham dasturiy ta'minot darajasida joriy etilgan. Masalan, printer ulagichiga ulangan elektron kalit apparatga kirishni boshqarish moslamasi sifatida ishlatilishi mumkin.

Kompyuter viruslaridan himoya qilish uchun kirishni boshqarish, o'zini o'zi boshqarish va o'z-o'zini davolashni ta'minlaydigan "immunitetga chidamli" dasturiy vositalar (analizator dasturlari) qo'llaniladi. Antivirus vositalari axborotni himoya qilishning eng keng tarqalgan vositasidir.

Kompyuter tizimlarini jismoniy himoya qilish sifatida sanoat josuslik qurilmalarini aniqlash, kompyuter nurlanishini, shuningdek nutq va boshqa ma'lumot tashuvchi signallarni yozish yoki uzatishni istisno qilish uchun maxsus jihozlardan foydalaniladi. Bu himoyalangan hududdan tashqarida informatsion elektromagnit signallarning oqib chiqishini oldini oladi. Aloqa kanallarida axborotni himoya qilishning eng samarali vositasi maxsus protokollar va kriptografiyadan (shifrlash) foydalanish hisoblanadi.

Axborotni tasodifiy axborot tahdidlaridan himoya qilish uchun, masalan, kompyuter tizimlarida uskunalar ishonchliligini oshirish uchun vositalar qo'llaniladi:

♦ elektron va mexanik birliklar va elementlarning ishonchliligini oshirish;
♦ strukturaviy ortiqchalik - elementlarning, qurilmalarning, quyi tizimlarning takrorlanishi yoki uch marta ko'payishi;
♦ nosozlik diagnostikasi bilan funktsional nazorat, ya'ni nosozliklar, nosozliklar va dasturiy ta'minot xatolarini aniqlash va ularning axborotni qayta ishlash jarayoniga ta'sirini bartaraf etish, shuningdek, ishlamay qolgan elementning joylashishini ko'rsatish.

Har yili kompyuter tizimlarining axborot xavfsizligiga tahdidlar soni va ularni amalga oshirish usullari doimiy ravishda oshib bormoqda. Bu erda asosiy sabablar zamonaviy axborot texnologiyalarining kamchiliklari va texnik vositalarning tobora ortib borayotgan murakkabligidir. Kompyuter tizimlarida axborotni himoya qilishning dasturiy va apparat usullarini ishlab chiquvchilarning ko'plab harakatlari ushbu sabablarni bartaraf etishga qaratilgan.

Nazorat savollari va topshiriqlari

Vazifalar

1. Sanab o‘tilgan ob’ektlar uchun axborot muhitini tavsiflang va u uchun mumkin bo‘lgan axborot tahdidlarini ko‘rsating:

a) maktab;
b) kutubxona;
c) oilangiz;
d) supermarket;
e) kino;
f) siz tanlagan har qanday boshqa vosita.

2. Internetdan foydalanib, kompyuterdan tashqari inson muhiti uchun axborotni himoya qilish usullari va vositalari haqida referat yozing va hisobot tuzing.

3. Axborot muhitida axborotni himoya qilish usullarini ishlab chiqishda e'tiborga olinishi kerak bo'lgan eng muhim omillar va shartlarni sanab o'ting. Javobingizni 1-bandda taklif qilingan axborot muhitining aniq misoli bilan tasvirlab bering.

test savollari

1. Axborot muhiti nima?

2. Axborot xavfsizligi qanday namoyon bo‘ladi:

a) shaxs;
b) mamlakatlar;
c) kompyuter;
d) mahalliy tarmoq?

3. Qanday ob'ektlar axborot xavfsizligi bilan ta'minlanishi kerak?

4. Axborot tahdidi nima?

5. Rossiyada axborot xavfsizligi choralarini ishlab chiqishda qanday tashqi axborot tahdidlarini hisobga olish kerak?

6. Rossiyada axborot xavfsizligi choralarini ishlab chiqishda qanday ichki axborot tahdidlarini hisobga olish kerak?

7. Qanday qasddan qilingan axborot tahdidlarini bilasiz? Misollar keltiring.

8. Qanday tasodifiy axborot tahdidlarini bilasiz? Misollar keltiring.

9. Qo'llaniladigan foydalanuvchi muammolarini hal qilishda axborot xavfsizligining asosiy maqsadi nima?

10. Boshqaruv muammolarini hal qilishda axborot xavfsizligining asosiy maqsadi nimadan iborat?

11. Axborot xizmatlarini ko'rsatishga ixtisoslashgan kompaniya uchun axborot xavfsizligini ta'minlashning asosiy maqsadi nima?

12. Biznesda axborot xavfsizligini ta’minlashning asosiy maqsadi nima?

13. Bank ishida axborot xavfsizligini ta’minlashning asosiy maqsadi nimadan iborat?

14. Xavfsizlik siyosati nima?

15. Axborotni qasddan qilingan axborot tahdidlaridan himoya qilishning qanday usullarini bilasiz?

16. Axborotni tasodifiy axborot tahdidlaridan himoya qilishning qanday usullarini bilasiz?

Axborot xavfsizligiga tahdid (axborot tahdidi) deganda axborot resurslarining, shu jumladan saqlanadigan, uzatiladigan va qayta ishlangan axborotni, shuningdek, dasturiy va texnik vositalarni yo‘q qilish, buzish yoki ruxsatsiz foydalanishga olib kelishi mumkin bo‘lgan harakat yoki hodisa tushuniladi. Agar ma'lumotni saqlash va/yoki tarqatish jarayonida uning qiymati yo'qolsa, ma'lumotlarning maxfiyligini buzish tahdidi yuzaga keladi. Agar ma'lumot o'z qiymatini yo'qotish bilan o'zgartirilsa yoki yo'q qilinsa, u holda axborotning yaxlitligiga tahdid amalga oshiriladi. Agar ma'lumotlar qonuniy foydalanuvchiga o'z vaqtida etib bormasa, u holda uning qiymati vaqt o'tishi bilan pasayadi va butunlay qadrsizlanadi va shu bilan foydalanish samaradorligi yoki axborot mavjudligiga tahdid soladi.

Demak, axborot xavfsizligiga tahdidlarni amalga oshirish axborotning maxfiyligi, yaxlitligi va mavjudligini buzishdan iborat. Buzg'unchi maxfiy ma'lumotlar bilan tanishishi, uni o'zgartirishi yoki hatto yo'q qilishi, shuningdek, qonuniy foydalanuvchining ma'lumotlarga kirishini cheklashi yoki bloklashi mumkin. Bunday holda, tajovuzkor ham tashkilot xodimi, ham begona bo'lishi mumkin.

Axborot tahdidlari quyidagi sabablarga ko'ra yuzaga kelishi mumkin:

  • - tabiiy omillar (tabiiy ofatlar - yong'in, toshqin, bo'ron, chaqmoq va boshqa sabablar);
  • - inson omillari. Ikkinchisi, o'z navbatida, quyidagilarga bo'linadi:
    • a) tasodifiy, tasodifiy xarakterdagi tahdidlar. Bu ma'lumotlarni tayyorlash, qayta ishlash va uzatish jarayonida xatolar bilan bog'liq tahdidlar (ilmiy-texnik, tijorat, pul va moliyaviy hujjatlar);
    • b) maqsadli bo'lmagan "miya ketishi", bilim, ma'lumot bilan. Bu tizimlar va ularning tarkibiy qismlarini (binolar, inshootlar, binolar, kompyuterlar, kommunikatsiyalar, operatsion tizimlar, amaliy dasturlar va boshqalar) loyihalash, ishlab chiqish va ishlab chiqarish jarayonida xatolar bilan bog'liq bo'lgan tahdidlardir. sifatli ishlab chiqarish;
    • v) ma'lumotlarni tayyorlash va qayta ishlash jarayonida xatolar bilan (dasturchilar va foydalanuvchilarning malakasi etarli emasligi va sifatsiz xizmat tufayli xatolari, ma'lumotlarni tayyorlash, kiritish va chiqarish, ma'lumotlarni tuzatish va qayta ishlashdagi operator xatolari);
    • d) odamlarning qasddan, qasddan harakatlaridan kelib chiqadigan tahdidlar. Bular yollanma va boshqa gʻayriijtimoiy motivlar (hujjatlar, chizmalar, kashfiyotlar va ixtirolar tavsiflari va boshqa materiallar) uchun maʼlumotlarni uzatish, buzish va yoʻq qilish bilan bogʻliq tahdidlar;
    • e) rasmiy va boshqa ilmiy, texnik va tijorat suhbatlarini tinglash va uzatish; maqsadli "miya ketishi" bilan. Bular avtomatlashtirilgan axborot tizimining resurslariga ruxsatsiz kirish bilan bog'liq tahdidlardir.

Maxfiy ma'lumotlarning tarqalishi - maxfiy ma'lumotlarning IP-dan yoki xizmatda ishonib topshirilgan yoki ish jarayonida ma'lum bo'lgan shaxslar doirasidan tashqarida nazoratsiz chiqarilishi. Ushbu oqish quyidagi sabablarga ko'ra bo'lishi mumkin:

  • - maxfiy ma'lumotlarni oshkor qilish;
  • - turli, asosan, texnik kanallar orqali ma'lumot olish;
  • - maxfiy ma'lumotlarga turli yo'llar bilan ruxsatsiz kirish.

Vizual-optik, akustik, elektromagnit va boshqa kanallar orqali maxfiy ma'lumotlarni nazoratsiz saqlash mumkin.

Tashkilotning ish jarayonlarida maxfiy hujjatlarga tahdid turlarini bir necha guruhlarga bo'lish mumkin:

  • 1. Ruxsat etilmagan shaxsning hujjatlarga, ishlarga, maʼlumotlar bazalariga uning qiziquvchanligi yoki yolgʻon, provokatsion harakatlari, shuningdek, korxona xodimlarining tasodifiy yoki qasddan xatolari tufayli ruxsatsiz kirishi;
  • 2. Hujjat yoki uning alohida qismlari (varaqlar, arizalar, diagrammalar, nusxalar, nusxalar, fotosuratlar va boshqalar), hujjatning qoralama nusxasini tashuvchisi yoki ish yozuvlari o'g'irlanishi, yo'qolishi, yo'q qilinishi sababli yo'qolishi;
  • 3. Xodimlar tomonidan oshkor etilishi yoki texnik kanallar orqali sizib chiqishi, boshqa odamlarning massivlarida ma'lumotlarni o'qish, nusxa ko'chirish lentasi, qog'oz, disklar va disketlardagi qoldiq ma'lumotlardan foydalanish, xodimlarning noto'g'ri harakatlari tufayli ma'lumotlarning maxfiyligini yo'qotish;
  • 4. Hujjatlarni, tashuvchilarni va ularning alohida qismlarini qalbakilashtirish, shuningdek, yo‘qolgan, o‘g‘irlanganlik faktini yashirish maqsadida almashtirish;
  • 5. Qimmatbaho hujjatlar va ma’lumotlar bazalarini tasodifiy yoki qasddan yo‘q qilish, matnni, rekvizitlarni ruxsatsiz o‘zgartirish va buzish, hujjatlarni qalbakilashtirish;
  • 6. Ekstremal vaziyatlarda hujjatlarni yo'q qilish.

Elektron hujjatlar uchun tahdidlar ayniqsa realdir, chunki axborotni o'g'irlash faktini aniqlash deyarli qiyin. Kompyuterlarda qayta ishlangan va saqlanadigan maxfiy ma'lumotlarga kelsak, bir qator ekspertlarning fikriga ko'ra, tahdidlarning paydo bo'lish shartlari xavf darajasiga ko'ra quyidagicha tasniflanadi:

  • * Foydalanuvchilar, operatorlar, referentlar, ish boshqaruvchilari, tizim ma'murlari va axborot tizimlariga xizmat ko'rsatuvchi boshqa shaxslarning beixtiyor xatolari;
  • * Axborotni o'g'irlash va qalbakilashtirish;
  • * Tashqi muhitning tabiiy holatlari;
  • * Viruslar bilan infektsiya.

Yuqoridagi tahdidlarning tabiatiga ko'ra, ushbu tahdidlarning oldini olishga yoki yumshatishga qaratilgan hujjat aylanishidagi ma'lumotlarning himoyasini ta'minlash vazifalari shakllantiriladi.

Hujjatlashtirilgan ma'lumotlarni mumkin bo'lgan xavflardan himoya qilishning asosiy yo'nalishi xavfsiz ish jarayonini shakllantirish va hujjatlarni qayta ishlash va saqlashda har qanday turdagi tashuvchilarda ma'lumotlar xavfsizligini ta'minlaydigan ixtisoslashtirilgan texnologik tizimdan foydalanish hisoblanadi.

Shunday qilib, xavfsizlik nafaqat jinoiy tajovuzlardan himoya qilish, balki (ayniqsa elektron) hujjatlar va ma'lumotlarning saqlanishi, shuningdek, muhim hujjatlarni himoya qilish va falokatlar paytida faoliyatning uzluksizligi va / yoki tiklanishini ta'minlash choralaridir.

Axborotni himoya qilishning ishonchli mexanizmini yaratishda tashkiliy chora-tadbirlar muhim rol o'ynaydi, chunki maxfiy ma'lumotlardan ruxsatsiz foydalanish ehtimoli ko'p jihatdan texnik jihatlar bilan emas, balki zararli harakatlar, foydalanuvchilar yoki xavfsizlik xodimlarining beparvoligi, beparvoligi va beparvoligi bilan belgilanadi. Ushbu jihatlarning ta'sirini texnik vositalar yordamida oldini olish deyarli mumkin emas. Bu maxfiy ma'lumotlar uchun xavf ehtimolini istisno qiladigan (yoki hech bo'lmaganda minimallashtiradigan) tashkiliy, huquqiy va tashkiliy va texnik chora-tadbirlar majmuini talab qiladi. Xodimlarning maxfiy ma'lumotlar bilan ishlashi, hujjatlar va texnik vositalarni hisobga olish, saqlash va yo'q qilish tartibi ustidan tizimli nazoratni amalga oshirish bo'yicha ishlarni tashkil etish. Xodimlarning maxfiy ma'lumotlarga kirish tartibini, tashkilotning maxfiy hujjatlarini yaratish, hisobga olish, saqlash va yo'q qilish tartibini tartibga soluvchi yo'riqnoma ishlab chiqilishi kerak.


Kirish 3

1. Axborot xavfsizligiga tahdid tushunchasi 4

2. Rossiya Federatsiyasining axborot xavfsizligiga tahdid manbalari 9

3. Axborotni himoya qilish usullari va vositalari 11

4. Axborot xavfsizligiga tahdidlarga misollar 14

Xulosa 19

Foydalanilgan manbalar ro'yxati 20

Kirish

So'nggi yillarda kompyuter texnologiyalari hayotimizga yaqindan kirib keldi. Bizning zamonamizda odamlar kompyutersiz qanday ishlaganliklarini tasavvur qilishlari juda qiyin, ular ularga juda ko'nikib qolgan. Kompyuterlar mavjudligi bilan odamlar Internet - elektron pochta, World Wide Web, Internet-banking xizmatlaridan ham faol foydalana boshladilar. Endi, oddiy odamning har kuni ertalab yangiliklar lentasini standart ko'rish, shaxsiy pochta mazmunini tekshirish, turli mashhur ijtimoiy tarmoqlarga tashrif buyurish, onlayn-do'konlarda xarid qilish, turli xizmatlar uchun haq to'lash va h.k. bilan boshlanadi. Internet asta-sekin, lekin shubhasiz aylandi. kundalik ishlarimizda doimiy yordamchi.

Internet muloqotni osonlashtiradi va til to'siqlarini yo'q qiladi, endi sizning do'stingiz sizdan ming kilometr uzoqda boshqa shaharda yoki hatto boshqa mamlakatda yashasa ham, agar xohlasangiz, u bilan kun bo'yi muloqot qilishingiz mumkin.

Ammo Internetning barcha afzalliklari bilan birga, u juda ko'p xavf-xatarlarni ham o'z ichiga oladi. Avvalo, bu shaxsiy va davlat xavfsizligiga tahdiddir. Internet - bu shaxsiy ma'lumotlar, bank kartalari ma'lumotlarini osongina o'g'irlash mumkin bo'lgan, Internetda axborot urushlari olib boriladigan, ma'lumot to'qnashuvlari yuzaga keladigan bo'sh joy.

Shunday qilib, axborot xavfsizligiga tahdid zamonaviy inson hayotining eng muhim muammolaridan biri bo'lib, biz uning qayerdan kelib chiqishi va o'zimizni qanday himoya qilishimiz mumkinligini bilishimiz kerak.

1. Axborot xavfsizligiga tahdid tushunchasi

Zamonaviy jamiyat hayotini zamonaviy axborot texnologiyalarisiz tasavvur qilib bo'lmaydi. Kompyuterlar bank tizimlariga xizmat qiladi, yadro reaktorlarining ishlashini nazorat qiladi, energiyani taqsimlaydi, poezdlar jadvalini nazorat qiladi, samolyotlarni, kosmik kemalarni boshqaradi. Kompyuter tarmoqlari va telekommunikatsiyalar mamlakat mudofaa va xavfsizlik tizimlarining ishonchliligi va imkoniyatlarini oldindan belgilab beradi. Kompyuterlar axborotni saqlash, uni qayta ishlash va iste'molchilarga taqdim etishni ta'minlaydi, shu bilan axborot texnologiyalarini joriy qiladi.

Biroq, aynan yuqori darajadagi avtomatlashtirish xavfsizlikni (shaxsiy, axborot, davlat va boshqalar) kamaytirish xavfini keltirib chiqaradi. Axborot texnologiyalari va kompyuterlarning mavjudligi va keng qo'llanilishi ularni halokatli ta'sirlarga juda zaif qiladi. Bunga ko'plab misollar keltirish mumkin.

ostida axborot xavfsizligiga tahdid axborot resurslari, shu jumladan saqlanadigan, uzatiladigan va qayta ishlangan axborotni, shuningdek, dasturiy va texnik vositalarni yoʻq qilish, buzish yoki ruxsatsiz foydalanishga olib kelishi mumkin boʻlgan harakat yoki hodisani anglatadi.

Axborot texnologiyalari va axborot xavfsizligiga tahdidlarning asosiy turlari (axborot munosabatlari sub'ektlari manfaatlariga tahdid) quyidagilardir:

  • tabiiy ofatlar va baxtsiz hodisalar (sel, bo'ron, zilzila, yong'in va boshqalar);
  • AITU uskunasining (texnik vositalarining) nosozliklari va nosozliklari;
  • AITU komponentlarini (apparat, axborotni qayta ishlash texnologiyasi, dasturlar, ma'lumotlar tuzilmalari va boshqalar) loyihalash va ishlab chiqishdagi xatolar oqibatlari;
  • operatsion xatolar (foydalanuvchilar, operatorlar va boshqa xodimlar);
  • qoidabuzarlar va bosqinchilarning qasddan harakatlari (xodimlar orasidan xafa bo'lgan shaxslar, jinoyatchilar, ayg'oqchilar, sabotajchilar va boshqalar).

Xavfsizlik tahdidlarini turli mezonlarga ko'ra tasniflash mumkin.

Harakat natijasida: 1) oqish xavfi; 2) o'zgartirish tahdidi; 3) yo'qotish xavfi.

Axborotning xususiyatlarini buzish bilan: a) qayta ishlangan ma'lumotlarning maxfiyligini buzish tahdidi; b) qayta ishlangan axborotning yaxlitligini buzish tahdidi; c) tizimni buzish tahdidi (xizmat ko'rsatishni rad etish), ya'ni mavjudlik tahdidi.

Voqea tabiatiga ko'ra: 1) tabiiy; 2) sun'iy.

Tabiiy tahdidlar Kompyuter tizimi va uning elementlariga ob'ektiv jismoniy jarayonlar yoki tabiiy ofatlar ta'siridan kelib chiqadigan tahdidlar.

Inson tomonidan yaratilgan tahdidlar kompyuter tizimiga inson faoliyati natijasida kelib chiqadigan tahdidlardir. Ular orasida harakatlar motivatsiyasiga asoslanib, biz quyidagilarni ajratib ko'rsatishimiz mumkin:

a) beixtiyor kompyuter tizimi va uning elementlarini loyihalashdagi xatolar, dasturiy ta'minotdagi xatolar, xodimlarning xatti-harakatlaridagi xatolar va boshqalar natijasida yuzaga keladigan (qasddan, tasodifiy) tahdidlar;

b) ataylab odamlarning xudbin intilishlari bilan bog'liq (qasddan) tahdidlar (buzg'unchilar). Axborot texnologiyalari bilan bog'liq tahdidlarning manbalari tashqi yoki ichki bo'lishi mumkin (kompyuter tizimining tarkibiy qismlari - uning apparati, dasturlari, xodimlari).

Asosiy qasddan bo'lmagan sun'iy tahdidlar (odamlar tomonidan tasodifiy, johillik, e'tiborsizlik yoki beparvolik tufayli, qiziquvchanlik tufayli, lekin g'arazli niyatsiz amalga oshirilgan harakatlar):

  1. tizimning qisman yoki to'liq ishlamay qolishiga yoki tizimning apparat, dasturiy ta'minoti, axborot resurslarining yo'q qilinishiga olib keladigan qasddan sodir bo'lmagan harakatlar (uskunaga qasddan shikast etkazish, o'chirish, muhim ma'lumotlar yoki dasturlarga ega fayllarni, shu jumladan tizimni buzish va boshqalar);
  2. uskunani noqonuniy kiritish yoki qurilmalar va dasturlarning ish rejimlarini o'zgartirish;
  3. qasddan, saqlash vositalariga zarar etkazish;
  4. Agar noto'g'ri ishlatilsa, tizim ish faoliyatini yo'qotishi (muzlashlar yoki aylanishlar) yoki tizimda qaytarib bo'lmaydigan o'zgarishlarga olib kelishi mumkin bo'lgan texnologik dasturlarni ishga tushirish (saqlash vositalarini formatlash yoki qayta tuzish, ma'lumotlarni o'chirish va boshqalar);
  5. keyinchalik resurslarni asossiz sarflash (protsessor yuklanishi, tashqi tashuvchilarda operativ xotira va xotirani tortib olish) bilan yozib olinmagan dasturlarni (o‘yin, o‘quv, texnologik va hokazo, qoidabuzarning o‘z xizmat vazifalarini bajarishi uchun zarur bo‘lmagan) noqonuniy joriy etish va ulardan foydalanish;
  6. kompyuterni viruslar bilan yuqtirish;
  7. maxfiy ma'lumotlarning oshkor etilishiga yoki uni hamma uchun ochiq qilishga olib keladigan ehtiyotsizlik harakatlari;
  8. kirishni boshqarish atributlarini oshkor qilish, uzatish yoki yo'qotish (parollar, shifrlash kalitlari, identifikatsiya kartalari, ruxsatnomalar va boshqalar).
  9. tizim arxitekturasini, ma'lumotlarni qayta ishlash texnologiyalarini loyihalash, tizim ishlashi va axborot xavfsizligiga tahdid soladigan imkoniyatlarga ega amaliy dasturlarni ishlab chiqish;
  10. tizimdagi darajali tashkiliy cheklovlarni (belgilangan qoidalarni) e'tiborsiz qoldirish;
  11. himoya vositalarini chetlab o'tib tizimga kirish (tashqi operatsion tizimni olinadigan magnit tashuvchidan yuklash va h.k.);
  12. xavfsizlik xodimlari tomonidan xavfsizlik choralarini noloyiq foydalanish, sozlash yoki noqonuniy ravishda o'chirish;
  13. ma'lumotlarni abonentning (qurilmaning) noto'g'ri manziliga yo'naltirish;
  14. noto'g'ri ma'lumotlarni kiritish;
  15. aloqa kanallariga qasddan zarar etkazish. c.124]

Asosiy qasddan sun'iy tahdidlar ishni ataylab buzish, tizimni o'chirish, tizimga kirish va ma'lumotlarga ruxsatsiz kirishning mumkin bo'lgan usullari bilan tavsiflanadi:

  1. tizimni jismoniy yo'q qilish (portlash, o't qo'yish va hokazo) yoki kompyuter tizimining barcha yoki eng muhim tarkibiy qismlarini (qurilmalar, muhim tizim ma'lumotlarini tashuvchilar, xodimlar va boshqalar) ishdan chiqishi;
  2. hisoblash tizimlarining (elektr ta'minoti, sovutish va ventilyatsiya, aloqa liniyalari va boshqalar) ishlashini ta'minlash uchun quyi tizimlarning yopilishi yoki ishlamay qolishi;
  3. tizimning ishlashini buzish bo'yicha harakatlar (qurilmalar yoki dasturlarning ish rejimlarini o'zgartirish, ish tashlash, xodimlarni sabotaj qilish, tizim qurilmalarining ish chastotalarida kuchli faol radio shovqinlarni o'rnatish va boshqalar);
  4. agentlarni tizim xodimlari soniga (shu jumladan, xavfsizlik uchun mas'ul bo'lgan ma'muriy guruhga) kiritish;
  5. ma'lum vakolatlarga ega bo'lgan xodimlarni yoki alohida foydalanuvchilarni yollash (pora, shantaj va boshqalar);
  6. tinglash moslamalaridan foydalanish, masofadan turib suratga olish va videoga olish va h.k.;
  7. qurilmalar va aloqa liniyalaridan soxta elektromagnit, akustik va boshqa nurlanishlarni ushlab turish, shuningdek faol nurlanishni axborotni qayta ishlashda bevosita ishtirok etmaydigan yordamchi texnik vositalarga (telefon liniyalari, elektr tarmoqlari, isitish va boshqalar) yo‘naltirish;
  8. aloqa kanallari orqali uzatiladigan ma'lumotlarni ushlash va ularni almashish protokollari, aloqaga kirish qoidalari va foydalanuvchi avtorizatsiyasini aniqlash maqsadida tahlil qilish hamda tizimga kirib borish uchun ularni taqlid qilishga urinish;
  9. axborot tashuvchilarni (disklar, flesh-lenta, xotira chiplari, saqlash qurilmalari va shaxsiy kompyuterlar) o'g'irlash;
  10. axborot vositalaridan ruxsatsiz nusxa ko'chirish;
  11. ishlab chiqarish chiqindilarini o'g'irlash (bosma nashrlar, yozuvlar, foydalanishdan chiqarilgan saqlash vositalari va boshqalar);
  12. operativ xotiradan va tashqi xotira qurilmalaridan qolgan ma'lumotlarni o'qish;
  13. ko'p vazifali operatsion tizimlar va dasturlash tizimlarining kamchiliklaridan foydalangan holda, operatsion tizim (shu jumladan himoya qilish quyi tizimi) yoki boshqa foydalanuvchilar tomonidan asinxron rejimda foydalaniladigan operativ xotira sohalaridan ma'lumotlarni o'qish;
  14. parollar va kirishni boshqarishning boshqa rekvizitlarini noqonuniy ravishda olish (foydalanuvchilarning beparvoligidan foydalangan holda, tanlash, tizim interfeysini taqlid qilish va h.k.) keyinchalik roʻyxatdan oʻtgan foydalanuvchi sifatida niqoblangan holda (“maskarad”);
  15. tarmoqdagi ish stantsiyasining soni, jismoniy manzili, aloqa tizimidagi manzili, apparat kodlash bloki va boshqalar kabi noyob jismoniy xususiyatlarga ega foydalanuvchi terminallaridan ruxsatsiz foydalanish;
  16. axborotni kripto-himoya qilish shifrlarini ochish;
  17. maxsus apparat qo'shimchalarini, "xatcho'plar" va "viruslar" dasturlarini ("Troyan otlari" va "xatolar"), ya'ni e'lon qilingan funktsiyalarni amalga oshirish uchun zarur bo'lmagan, ammo muammolarni bartaraf etishga imkon beradigan dasturlarning bunday bo'limlarini joriy etish. himoya tizimi, muhim ma'lumotlarni ro'yxatga olish va uzatish yoki tizimning ishlashini buzish uchun tizim resurslariga yashirin va noqonuniy kirish;
  18. "chiziqlar o'rtasida" ishlash maqsadida aloqa liniyalariga noqonuniy ulanish, uning nomidan qonuniy foydalanuvchining harakatlarida pauzalardan foydalanish, so'ngra noto'g'ri xabarlarni kiritish yoki uzatilgan xabarlarni o'zgartirish;
  19. qonuniy foydalanuvchini tizimga kirgandan va muvaffaqiyatli autentifikatsiyadan so‘ng uni jismonan uzib qo‘yish yo‘li bilan to‘g‘ridan-to‘g‘ri almashtirish maqsadida aloqa liniyalariga noqonuniy ulanish, so‘ngra dezinformatsiyani kiritish va yolg‘on xabarlarni yuklash. c.71]

Shuni ta'kidlash kerakki, ko'pincha tajovuzkor maqsadga erishish uchun bitta usuldan emas, balki yuqorida sanab o'tilganlardan ba'zilari kombinatsiyasidan foydalanadi.

2. Rossiya Federatsiyasining axborot xavfsizligiga tahdid manbalari

Tahdid manbalari Rossiya Federatsiyasining axborot xavfsizligi tashqi va ichki bo'linadi.

Kimga tashqi manbalar bog'lash:

  • tashqi siyosiy, iqtisodiy, harbiy, razvedka va axborot tuzilmalarining axborot sohasidagi Rossiya Federatsiyasi manfaatlariga qarshi qaratilgan faoliyati;
  • bir qator davlatlarning jahon axborot makonida Rossiyaning hukmronlik qilish va manfaatlariga tajovuz qilish, uni tashqi va ichki axborot bozorlaridan siqib chiqarish istagi;
  • axborot texnologiyalari va resurslariga egalik qilishda xalqaro raqobatning keskinlashuvi;
  • xalqaro terroristik tashkilotlarning faoliyati;
  • dunyoning etakchi kuchlari o'rtasidagi texnologik tafovutni oshirish va raqobatbardosh rus axborot texnologiyalarini yaratishga qarshi turish uchun ularning imkoniyatlarini oshirish;
  • xorijiy davlatlarning kosmik, havo, dengiz va quruqlikdagi texnik va boshqa razvedka vositalari (turlari) faoliyati;
  • bir qator davlatlar tomonidan dunyoning boshqa davlatlarining axborot sohalariga xavfli ta'sir ko'rsatish vositalarini yaratishni, axborot va telekommunikatsiya tizimlarining normal ishlashini buzishni, xavfsizlikni ta'minlaydigan axborot urushlari tushunchalarini ishlab chiqish. axborot resurslaridan foydalanish va ularga ruxsatsiz kirish. 7, 15-bet]

Kimga ichki manbalar bog'lash:

  • mahalliy sanoatning keskin holati;
  • axborot sohasida davlat va jinoiy tuzilmalarning qo‘shilish tendensiyalari bilan kechadigan noqulay kriminogen vaziyat, jinoiy tuzilmalarning maxfiy ma’lumotlarga kirishi, uyushgan jinoyatchilikning jamiyat hayotiga ta’sirini kuchaytirish, qonuniy manfaatlarni himoya qilish darajasini pasaytirish. fuqarolar, jamiyat va davlatning axborot sohasidagi;
  • rossiya Federatsiyasining axborot xavfsizligini ta'minlash sohasida yagona davlat siyosatini shakllantirish va amalga oshirishda federal davlat hokimiyati organlari, Rossiya Federatsiyasining ta'sis sub'ektlarining davlat hokimiyati organlarining faoliyatini etarli darajada muvofiqlashtirmaslik;
  • axborot sohasidagi munosabatlarni tartibga soluvchi normativ-huquqiy bazaning yetarli darajada rivojlanmaganligi, shuningdek, huquqni qo‘llash amaliyotining yetarli darajada emasligi;
  • fuqarolik jamiyati institutlarining rivojlanmaganligi va Rossiyada axborot bozorining rivojlanishi ustidan davlat nazoratining etarli emasligi;
  • rossiya Federatsiyasining axborot xavfsizligini ta'minlash bo'yicha chora-tadbirlarni moliyalashtirishning etarli emasligi;
  • davlatning iqtisodiy qudrati etarli emasligi;
  • ta'lim va tarbiya tizimi samaradorligining pasayishi, axborot xavfsizligini ta'minlash sohasida malakali kadrlar sonining etarli emasligi;
  • federal davlat hokimiyati organlarining, Rossiya Federatsiyasining ta'sis sub'ektlarining davlat hokimiyati organlarining o'z faoliyati to'g'risida jamoatchilikni xabardor qilish, qabul qilingan qarorlarni tushuntirish, ochiq davlat resurslarini shakllantirish va fuqarolarning ulardan foydalanish tizimini rivojlantirish bo'yicha etarli darajada faol emasligi;
  • federal davlat organlari, Rossiya Federatsiyasining ta'sis sub'ektlarining davlat organlari va mahalliy davlat hokimiyati organlari, kredit-moliya sektori, sanoat, qishloq xo'jaligi, ta'lim, sog'liqni saqlash sohalarini axborotlashtirish darajasi bo'yicha dunyoning etakchi davlatlaridan Rossiyadan orqada. xizmat ko‘rsatish sohasi va fuqarolar hayoti.9, 119-bet].

3. Axborotni muhofaza qilish usullari va vositalari

Axborot xavfsizligi tizimini yaratish muammosi bir-birini to'ldiruvchi ikkita vazifani o'z ichiga oladi:

1) axborot xavfsizligi tizimini ishlab chiqish (uning sintezi);

2) ishlab chiqilgan axborot xavfsizligi tizimini baholash.

Ikkinchi vazifa axborotni himoya qilish tizimi ushbu tizimlarga qo'yiladigan talablar to'plamiga javob beradimi yoki yo'qligini aniqlash uchun uning texnik xususiyatlarini tahlil qilish yo'li bilan hal qilinadi. Bunday vazifa hozirda axborot xavfsizligi vositalarini sertifikatlash va uni amalga oshirish jarayonida axborot xavfsizligi tizimini sertifikatlash orqali deyarli faqat ekspertlar yordamida hal qilinmoqda.

Himoya mexanizmlarining asosini tashkil etuvchi axborotni himoya qilishning zamonaviy usullarining asosiy mazmunini ko'rib chiqing.

To'siqlar- buzg'unchining himoyalangan ma'lumotlarga (uskunalar, saqlash vositalari va boshqalar) yo'lini jismoniy blokirovka qilish usullari.

Kirish nazorati- kompyuter axborot tizimining barcha resurslaridan (ma'lumotlar bazasi elementlari, dasturiy va texnik vositalar) foydalanishni tartibga solish orqali axborotni himoya qilish usuli. Kirish nazorati quyidagi xavfsizlik xususiyatlarini o'z ichiga oladi:

  • foydalanuvchilarni, tizim xodimlarini va resurslarini identifikatsiya qilish (har bir ob'ektga shaxsiy identifikatorni belgilash);
  • ob'ekt yoki predmetni ularga taqdim etilgan identifikator tomonidan identifikatsiya qilish (autentifikatsiya qilish);
  • vakolatni tekshirish (hafta kuni, kun vaqti, so'ralgan resurslar va tartiblarning belgilangan qoidalarga muvofiqligini tekshirish);
  • ruxsat berish va belgilangan qoidalar doirasida mehnat sharoitlarini yaratish;
  • himoyalangan resurslarga qo'ng'iroqlarni ro'yxatga olish (ro'yxatga olish);
  • ruxsatsiz harakatlarga urinish holatlarida ro'yxatga olish (signal berish, o'chirish, ishni kechiktirish, so'rovni rad etish).

Maskalash- axborotni kriptografik tarzda yopish orqali himoya qilish usuli. Bu usul xorijda ham axborotni qayta ishlash va saqlashda, shu jumladan disketlarda ham keng qo'llaniladi. Shaharlararo aloqa kanallari orqali ma'lumot uzatishda bu usul yagona ishonchli hisoblanadi.

Reglament- himoyalangan axborotni avtomatlashtirilgan qayta ishlash, saqlash va uzatish uchun shunday shart-sharoitlarni yaratadigan axborotni himoya qilish usuli, bunda unga ruxsatsiz kirish ehtimoli minimallashtiriladi.

Majburlash- foydalanuvchilar va tizim xodimlari himoyalangan ma'lumotlarni qayta ishlash, uzatish va ulardan foydalanish qoidalariga moddiy, ma'muriy yoki jinoiy javobgarlik tahdidi ostida rioya qilishga majburlanadigan himoya usuli.

Motivatsiya- foydalanuvchi va tizim xodimlarini belgilangan axloqiy va axloqiy me'yorlarga (tartibga solinadigan va yozilmagan) rioya qilish orqali belgilangan tartibni buzmaslikka undaydigan himoya usuli.

Xavfsizlikni ta'minlashning ko'rib chiqilayotgan usullari amaliyotda texnik, dasturiy ta'minot, tashkiliy, qonunchilik, ma'naviy va axloqiy kabi turli xil himoya vositalaridan foydalanish orqali amalga oshiriladi. K. asosiy himoya vositalari, Xavfsizlik mexanizmini yaratish uchun quyidagilar kiradi:

Texnik vositalar elektr, elektromexanik va elektron qurilmalar shaklida amalga oshiriladi. Texnik vositalarning butun majmuasi apparat va jismoniy bo'linadi.

ostida apparat Standart interfeys orqali o'xshash uskunalar bilan bog'langan uskunalar yoki qurilmalarni tushunish odatiy holdir. Masalan, ma'lumotlarga kirishni identifikatsiyalash va farqlash tizimi (parollar, qayd kodlari va turli kartalardagi boshqa ma'lumotlar yordamida).

Jismoniy vositalar avtonom qurilmalar va tizimlar sifatida amalga oshiriladi. Masalan, jihozlar joylashgan eshiklardagi qulflar, derazalardagi panjaralar, uzluksiz quvvat manbalari, o'g'ri signallari uchun elektromexanik uskunalar.

Dasturiy ta'minot axborot xavfsizligi funktsiyalarini bajarish uchun maxsus ishlab chiqilgan dasturiy ta'minotdir. Ushbu vositalar guruhiga quyidagilar kiradi: shifrlash mexanizmi (kriptografiya - bu noyob raqam yoki bit ketma-ketligi bilan qo'zg'atiladigan maxsus algoritm, odatda shifrlash kaliti deb ataladi; keyin shifrlangan matn aloqa kanallari orqali uzatiladi va qabul qiluvchining o'z kaliti bo'ladi. ma'lumotlarning shifrini ochish uchun), raqamli imzo mexanizmi, kirishni boshqarish mexanizmlari, ma'lumotlar yaxlitligi mexanizmlari, rejalashtirish mexanizmlari, marshrutni boshqarish mexanizmlari, arbitraj mexanizmlari, virusga qarshi dasturlar, arxivlash dasturlari (masalan, zip , rar, arj va boshqalar), axborotni kiritish va chiqarish jarayonida himoya qilish va hokazo.

Tashkiliy vositalar muhofaza qilish - axborotni muhofaza qilishni ta'minlash uchun kompyuter texnikasi, telekommunikatsiya uskunalarini yaratish va ulardan foydalanish jarayonida amalga oshiriladigan tashkiliy-texnik va tashkiliy-huquqiy chora-tadbirlardir. Tashkiliy chora-tadbirlar asbob-uskunalarning barcha tarkibiy elementlarini hayot aylanish jarayonining barcha bosqichlarida (binolarni qurish, bank uchun kompyuter axborot tizimini loyihalash, uskunalarni o'rnatish va ishga tushirish, foydalanish, ishlatish) qamrab oladi.

Axloqiy va axloqiy vositalar himoya qilish an'anaviy tarzda ishlab chiqilgan yoki jamiyatda tarqalgan hisoblash texnologiyalari va aloqa vositalari sifatida shakllangan barcha turdagi normalar shaklida amalga oshiriladi. Ushbu normalar ko'pincha qonunchilik choralari sifatida majburiy emas, ammo ularga rioya qilmaslik odatda shaxsning obro'si va obro'sini yo'qotishiga olib keladi. Bunday me'yorlarning eng yorqin misoli AQSh kompyuter foydalanuvchilari assotsiatsiyasi a'zolari uchun kasbiy xulq-atvor kodeksidir.

Qonunchilik vositalari Himoya olish cheklangan axborotdan foydalanish, qayta ishlash va uzatish qoidalarini tartibga soluvchi va ushbu qoidalarni buzganlik uchun javobgarlikni belgilovchi mamlakatning qonun hujjatlari bilan belgilanadi.

Barcha ko'rib chiqilgan himoya vositalari rasmiy (odamning bevosita ishtirokisiz oldindan belgilangan tartibda himoya funktsiyalarini bajaradigan) va norasmiy (odamning maqsadli faoliyati bilan belgilanadigan yoki ushbu faoliyatni tartibga soluvchi) bo'linadi.

4. Axborot xavfsizligi tahdidlariga misollar

Kasperskiy laboratoriyasining 2015-yilda o‘tkazgan tadqiqotiga ko‘ra, rossiyalik foydalanuvchilarning 36 foizi kamida bir marta akkauntga buzib kirishgan, buning natijasida ularning shaxsiy ma’lumotlari o‘g‘irlangan yoki profil zararli dasturlarni tarqatish uchun ishlatilgan.

Ko'pincha, tajovuzkorlar ijtimoiy tarmoqdagi akkauntga va elektron pochtaga kirishga (14%) va onlayn-banking paroliga (5%) qiziqishadi.

Respondentlarning 53 foizi buzg'unchilik natijasida fishing xabarlarini olgan yoki shubhali saytlarga kirishgan, ularning maqsadi ulardan hisob ma'lumotlarini olish edi. Profilda saqlangan ma'lumotlar har beshinchi jabrlanuvchida butunlay yo'q qilingan va 14% hollarda shaxsiy ma'lumotlar jinoiy maqsadlarda, masalan, ruxsatsiz operatsiyalarni amalga oshirish uchun ishlatilgan.

Kiberjinoyatchilarning harakatlaridan nafaqat hisob ma’lumotlari o‘g‘irlangan foydalanuvchilar, balki ularning do‘stlari va qarindoshlari ham jabr ko‘radi. Shunday qilib, akkauntni buzish qurbonlarining yarmidan ko'pi kimdir ularning nomidan xabarlar yuborayotganini va deyarli har to'rtdan biri - do'stlari ulardan olingan zararli havolani bosganini aniqladi.

Shunga qaramay, foydalanuvchilarning atigi 28 foizi o'z akkauntlari uchun kuchli parollar yaratadi va faqat 25 foizi ularni xavfsiz saqlashni tanlaydi.

2014-yilning iyunidan 2015-yilning iyunigacha bo‘lgan yil davomida kiberjinoyatchilar Runetdagi internet-banking tizimlari orqali 2,6 milliard rubl o‘g‘irlashgan, bu haqda Group-IBning “Yuqori texnologiyalar sohasidagi jinoyatlarning rivojlanish tendentsiyalari-2015” konferensiyasidagi hisobotidan kelib chiqadi. O'tgan yilning shu davrida bu miqdor bir necha baravar ko'p - 9,8 milliard rublni tashkil etdi. “Biz hujumlar soni ortishi bilan zararning kamayishini qayd etmoqdamiz”, dedi Bot-Trek Intelligence kiberrazvedka xizmati rahbari Dmitriy Volkov.

Eng katta zararni kiberjinoyatchilarning harakatlari natijasida 1,9 milliard rubl yo‘qotgan yuridik shaxslar ko‘rdi. Har kuni 16 kompaniya kiberhujumlar qurboniga aylanib, o‘rtacha 480 ming rubl yo‘qotmoqda. Shu bilan birga, xakerlar an'anaviy himoya vositalarini chetlab o'tishni o'rgandilar: na tokenlar, na qo'shimcha SMS autentifikatsiyasi sizni "avtomatik yuklashlar" dan qutqara olmaydi - tafsilotlarni almashtirish orqali hisoblardan pul o'tkazish imkonini beruvchi troyanlar. Toʻlovni tasdiqlashda ushbu troyan bilan zararlangan mijoz toʻgʻri qabul qiluvchining maʼlumotlarini koʻradi, garchi aslida pul tajovuzkorlarning hisobiga tushadi.

Maqsadli hujumlar natijasida Rossiya banklarining o‘zlari hisobot davrida 638 million rubl yo‘qotgan. Hatto yirik banklarning mijozlariga bitta hujum ham katta daromad keltiradi. Savdo va brokerlik tizimlariga jinoyatchilarning qiziqishi ortib bormoqda. Shunday qilib, 2015 yil fevral oyida Rossiyada birja brokeriga birinchi muvaffaqiyatli hujum amalga oshirildi, u atigi 14 daqiqa davom etdi va taxminan 300 million rubl zarar keltirdi.

Taxminan 100 million rubl. jismoniy shaxslardan o'g'irlangan va 61 million rubl - Android platformasi uchun moslashtirilgan troyanlar yordamida. Hisobotga ko'ra, Android zaifligi tobora ko'proq tajovuzkorlarni o'ziga jalb qilmoqda: Android troyanlari bilan ishlaydigan o'nta yangi jinoiy guruh paydo bo'ldi va hodisalar soni uch barobarga oshdi. Har kuni Android mobil bankining 70 nafar foydalanuvchisi kiberjinoyatchilar qurboniga aylanadi.

Group-IB maʼlumotlariga koʻra, kiberjinoyatchilikka xizmat qiluvchi ekotizimni rivojlantirish davom etmoqda. O'g'irlangan pullarni naqdlashtirish xizmatlari hujumchilarga 1,92 milliard rubl keltirdi. Bank kartalari, turli tizimlarning loginlari va parollari bo'yicha ma'lumotlarni sotadigan saytlarning aylanmasi o'sib bormoqda: ettita shunday do'konning daromadi 155 million rubldan oshdi.

Prognozga ko‘ra, kelgusi yilda zararli dasturiy ta’minotni ishlab chiquvchilar to‘liq e’tiborini mobil platformalarga qaratadi, Android qurilmalarida karta ma’lumotlari, internet-banking uchun login va parollarni ushlash hisobiga jismoniy shaxslar tomonidan sodir etilgan o‘g‘irliklar va hodisalar soni ortadi. Bundan tashqari, kompaniyalar shifrini hal qilish uchun keyinchalik pul undirish uchun ma'lumotlarni shifrlaydigan dasturlar (kripto shkaflar) bilan yanada ko'proq hodisalarga duch kelishadi. POS-terminallar orqali bank kartalari haqidagi ma'lumotlarni o'g'irlash soni ham oshadi: bu maqsadlar uchun ko'proq dasturlar paydo bo'ladi va ularning ba'zilari jamoat mulki hisoblanadi.

Invincea axborot xavfsizligi kompaniyasi tomonidan o‘tkazilgan tadqiqotga ko‘ra, so‘nggi bir necha kun ichida mutaxassislar Fransiyada Dridex banking zararli dasturlari bilan tizimlarni yuqtirishning 60 ta holatini aniqladilar. Zararli dastur mashhur mehmonxona yoki do‘kondan olingan fakturaga o‘xshab ko‘rinadigan Microsoft Office fayli biriktirilgan elektron xatlar niqobi ostida tarqatiladi. Zararli ilova frantsuz tilida bo'lib, o'n oltilik kodni o'z ichiga oladi.

The Networkworld ma'lumotlariga ko'ra, 2014 yilda 18 millionga yaqin AQSh fuqarosi shaxsiy ma'lumotlarini o'g'irlash qurboni bo'lgan, aksariyat hollarda kredit kartalari va bank hisoblari bo'lgan.

Adliya statistika byurosi maʼlumotlariga koʻra, soʻnggi bir yilda kiberfiribgarlik qurbonlari soni 2012-yilga nisbatan 1 million kishiga koʻpaygan. Ta’kidlash joizki, boshqarma hisobotida nafaqat shaxsiy ma’lumotlarning buzilishi holatlari, balki undan moliyaviy yoki boshqa manfaatlar uchun foydalanish ham hisobga olingan. Maʼlumotlarga koʻra, har beshta hodisadan ikkitasi kredit kartalari bilan noqonuniy manipulyatsiya qilish bilan bogʻliq boʻlsa, taxminan bir xilda — bank hisob raqamlari bilan firibgarlik sodir etilgan.

Ponemon instituti (AQSh) tomonidan 2015-yilda kiberjinoyatlarning moliyaviy ta’siri tadqiqoti AQSh, Buyuk Britaniya, Yaponiya, Germaniya, Avstraliya, Braziliya va Rossiya kompaniyalari uchun kiberhujumlarni yumshatishning yillik xarajatlari haqida ma’lumot beradi.

Tadqiqot shuni ko'rsatdiki, AQSh kompaniyalari kiberjinoyatlardan yiliga o'rtacha 15 million dollar zarar ko'radi, bu olti yil oldin tadqiqot boshlangan vaqtga qaraganda 82 foizga ko'p. Boshqacha qilib aytganda, har yili xarajatlar deyarli 20% ga oshdi.

Endi kiberhujumlarni yumshatish uchun o'rtacha 46 kun kerak bo'ladi, bu olti yil ichida qariyb 30 foizga o'sdi, kompaniyalar har birini yumshatish uchun o'rtacha 1,9 million dollar sarflaydi.

AQSh tadqiqoti shuni ko'rsatdiki, ko'plab korxonalar kiberhujumlarni aniqlash va bartaraf etish xarajatlaridan qochish uchun xavfsizlik tahliliga sarmoya kiritmoqda. Bu taktika o'z samarasini beradi: hujumlarga javob berish xarajatlari kamayadi va bu investitsiya daromadini sezilarli darajada oshirishi mumkin.

Amazon bulutli xizmatida 1,5 million foydalanuvchining shaxsiy ma'lumotlari e'lon qilindi

Oqish qurbonlari tibbiy sug'urta bilan shug'ullanadigan tashkilotlarning mijozlari bo'lgan.

Bir yarim million amerikalik shaxsiy ma'lumotlarning sizib chiqishi qurboni bo'ldi. To'liq ismlar, manzillar, telefon raqamlari, sog'liq va retsept ma'lumotlari Systema Software dasturidan foydalangan holda sog'liq sug'urtasi kompaniyalari tomonidan Amazon bulutida noto'g'ri tarzda aniq joylashtirilgan.

Hodisa Kanzasdagi o'zini o'zi sug'urta qilish jamg'armasi, CSAC ortiqcha sug'urta idorasi va Yuta shtatidagi Solt-Leyk okrugi ma'lumotlar bazasiga ta'sir ko'rsatdi. Oqish sabablari va qurbonlarning aniq soni hozircha noma'lum. Jami 1 million ijtimoiy sug'urta raqamlari, 5 million moliyaviy operatsiyalar yozuvlari, yuz minglab jarohatlar va firibgarlik tekshiruvlari bilan bog'liq bo'lgan 4,7 million eslatma e'lon qilindi.

Xulosa

Ushbu ishda olib borilgan tadqiqotlar natijalariga ko'ra quyidagi xulosalar chiqarish mumkin:

  • zamonaviy jamiyat hayotini zamonaviy axborot texnologiyalarisiz tasavvur qilib bo'lmaydi;
  • o'z navbatida, avtomatlashtirishning yuqori darajasi xavfsizlikni kamaytirish xavfini keltirib chiqaradi (shaxsiy, axborot, davlat va boshqalar). Axborot texnologiyalarining, kompyuterlarning mavjudligi va keng qo'llanilishi ularni buzg'unchi ta'sirlarga juda zaif qiladi va bunga ko'plab misollar mavjud;
  • axborot xavfsizligiga tahdid - axborot resurslarining, shu jumladan saqlanadigan, uzatiladigan va qayta ishlangan axborotning, shuningdek, dasturiy va texnik vositalarning yo‘q qilinishiga, buzilishiga yoki ruxsatsiz foydalanishga olib kelishi mumkin bo‘lgan harakat yoki hodisa;
  • rossiya Federatsiyasining axborot xavfsizligiga tahdid manbalari tashqi va ichki bo'linadi;
  • axborotni himoya qilishni ta'minlash uchun bir qator usullar, shuningdek ularni amalga oshirish vositalari mavjud;
  • Itsec onlayn-jurnaliga ko'ra, 2014 va 2015 yillarda turli kiberjinoyatlar juda yuqori darajada bo'lgan.

Shaxsiy va davlat axborot xavfsizligi buzilishining yuqoridagi misollari mavjud tahdidlarni internet foydalanuvchilarining o'zlari ham, tashkilot va korxonalar ham e'tibordan chetda qoldirmaslik kerakligini yana bir bor isbotlaydi.

Foydalanilgan manbalar ro'yxati

  1. Domarev VV Axborot texnologiyalari xavfsizligi. Tizimli yondashuv - K .: MChJ TID Dia Soft, 2014. - 992 p.
  2. Lapina M.A., Revin A.G., Lapin V.I. Axborot huquqi. - M.: UNITI-DANA, 2014. - 548 b.
  3. Barmen Skott. Axborot xavfsizligi qoidalarini ishlab chiqish. - M.: Uilyams, 2012. - 208 b.
  4. Galatenko V. A. Axborot xavfsizligi standartlari. - M .: Internet axborot texnologiyalari universiteti, 2006. - 264 b.
  5. Galitskiy A.V., Ryabko S.D., Shangin V.F. Tarmoqdagi axborotni himoya qilish. - M.: DMK Press, 2014. - 616 b.
  6. Gafner V.V. Axborot xavfsizligi: darslik. nafaqa. - Rostov-na-Donu: Feniks, 2010. - 324 p.
  7. Axborot xavfsizligi ("Ijtimoiy ta'minotning dolzarb muammolari" ijtimoiy-siyosiy loyihasining 2-kitobi). // "Qurol va texnologiyalar", 11-son, 2014. - B.15-21.
  8. Lepexin A.N. Axborot xavfsizligiga qarshi jinoyatlarni tergov qilish. - M.: Tesey, 2008. - 176 b.
  9. Lopatin VN Rossiyaning axborot xavfsizligi: inson, jamiyat, davlat. - M.: 2010. - 428 b.
  10. Petrenko S. A., Kurbatov V. A. Axborot xavfsizligi siyosati. - M.: Kompaniya IT, 2014. - 400 b.
  11. Petrenko S.A. Axborot risklarini boshqarish. - M.: IT kompaniyasi; DMK Press, 2004. - 384 b. — ISBN 5-98453-001-5.
  12. Shangin VF Kompyuter ma'lumotlarini himoya qilish. Samarali usullar va vositalar. M.: DMK Press, 2013. - 544 b.
  13. Shcherbakov A. Yu. Zamonaviy kompyuter xavfsizligi. Nazariy asos. Prak xabar bering bu haqda bizga.

Manbalar ichki tahdidlar quyidagilardir:

1. Tashkilot xodimlari.

2. Dasturiy ta'minot.

3. Apparat.

Ichki tahdidlar quyidagi shakllarda namoyon bo'lishi mumkin:

Foydalanuvchilar va tizim ma'murlarining xatolari;

Kompaniya xodimlari tomonidan ma'lumotlarni yig'ish, qayta ishlash, uzatish va yo'q qilish bo'yicha belgilangan qoidalarni buzish;

Dasturiy ta'minotning ishlashidagi xatolar;

Kompyuter jihozlarining ishlashidagi nosozliklar va nosozliklar.

Kimga tashqi tahdid manbalariga quyidagilar kiradi:

1. Kompyuter viruslari va zararli dasturlari.

2. Tashkilotlar va shaxslar.

3. Tabiiy ofatlar.

Tashqi tahdidlarning namoyon bo'lish shakllari:

Kompyuterlarni viruslar yoki zararli dasturlar bilan yuqtirish;

Korporativ ma'lumotlarga ruxsatsiz kirish (UAS);

Raqobat tuzilmalari, razvedka va maxsus xizmatlar tomonidan axborot monitoringi;

Davlat tuzilmalari va xizmatlarining axborotni to'plash, o'zgartirish, olib qo'yish va yo'q qilish bilan bog'liq harakatlari;

Baxtsiz hodisalar, yong'inlar, texnogen ofatlar, tabiiy ofatlar.

Yuqoridagi barcha tahdid turlarini (namoyish shakllarini) ajratish mumkin ataylab va beixtiyor. Kompyuter xavfsizligi instituti (CSI) ma'lumotlariga ko'ra, tajovuzlarning 50% dan ortig'i kompaniyaning o'z xodimlarining ishi. Bosqinlarning chastotasiga kelsak, so‘rovda qatnashganlarning 21 foizi “hujum”larning takrorlanishini boshdan kechirganliklarini ko‘rsatdi. Ruxsatsiz ma'lumotlarni o'zgartirish hujumning eng keng tarqalgan shakli bo'lib, asosan tibbiyot va moliya institutlariga qarshi qo'llanilgan. Respondentlarning 50% dan ortig'i raqobatchilarni "hujumlar"ning ehtimoliy manbasi sifatida ko'radi. Respondentlar tinglash, axborot tizimlariga kirish va "hujumlar" faktlariga katta ahamiyat berishadi, bunda "buzg'unchilar" qidiruvni aloqasi bo'lmagan shaxslarga yo'naltirish maqsadida qaytish manzilini soxtalashtiradilar. Bu jinoyatchilar ko'pincha xafa bo'lgan xodimlar va raqobatchilardir.

Ta'sir qilish orqali axborot xavfsizligi ob'ektlari bo'yicha tahdidlar quyidagi tasnifga bo'ysunadi: axborot, dasturiy ta'minot, jismoniy, radioelektron va tashkiliy-huquqiy.

Kimga axborot tahdidlarga quyidagilar kiradi:

Axborot resurslariga ruxsatsiz kirish;

Axborot tizimlarida ma'lumotlarni noqonuniy nusxalash;

Kutubxonalar, arxivlar, banklar va ma'lumotlar bazalaridan ma'lumotlarni o'g'irlash;

Axborotni qayta ishlash texnologiyasini buzish;

Axborotni noqonuniy yig'ish va ulardan foydalanish;

Axborot qurollaridan foydalanish.

Kimga dasturiy tahdidlarga quyidagilar kiradi:

Dasturiy ta'minotdagi xatolar va "teshiklar" dan foydalanish;

Kompyuter viruslari va zararli dasturlari;

"Ipoteka" qurilmalarini o'rnatish.

Kimga jismoniy tahdidlarga quyidagilar kiradi:

Axborotni qayta ishlash va aloqa vositalarini yo'q qilish yoki yo'q qilish;

Saqlash vositalarini o'g'irlash;

dasturiy ta'minot yoki apparat kalitlari va kriptografik ma'lumotlarni himoya qilish vositalarini o'g'irlash;

Xodimlarga ta'sir qilish.

Kimga elektron tahdidlarga quyidagilar kiradi:

Texnik vositalar va binolarda ma'lumotlarni ushlab turish uchun elektron qurilmalarni joriy etish;

Aloqa kanallarida axborotni ushlab turish, shifrni ochish, almashtirish va yo'q qilish.

Kimga tashkiliy va huquqiy tahdidlarga quyidagilar kiradi:

qonun talablarini buzish va axborot sohasida zarur huquqiy va normativ qarorlarni qabul qilishni kechiktirish;

Nomukammal yoki eskirgan axborot texnologiyalari va axborotlashtirish vositalarini xarid qilish.

Axborot munosabatlari sub'ektlarining manfaatlarini himoya qilish uchun birlashtirish kerak chora-tadbirlar quyidagi darajalar:

1)qonunchilik darajasi(qonunlar, qoidalar, standartlar va boshqalar). Qonunchilik darajasi axborot xavfsizligini ta'minlash uchun eng muhim hisoblanadi. Ushbu darajadagi chora-tadbirlar ma'lumotlar va jihozlar bilan harakatlarni qonun va qoidalar bilan tartibga solish va bunday xatti-harakatlarning to'g'riligini buzganlik uchun javobgarlikning boshlanishini o'z ichiga oladi. Bu masala boshqa boblarda batafsil muhokama qilinadi.

2) ma'muriy daraja(tashkilot rahbariyatining umumiy xarakterdagi harakatlari). Ma'muriy darajadagi chora-tadbirlarning asosiy maqsadi axborot xavfsizligi sohasida ish dasturini shakllantirish va zarur resurslarni ajratish va ishlarning holatini monitoring qilish orqali uning bajarilishini ta'minlashdan iborat. Dasturning asosini tashkilotning o'z axborot aktivlarini himoya qilish yondashuvini aks ettiruvchi xavfsizlik siyosati tashkil etadi. Har bir tashkilot rahbariyati xavfsizlik rejimini saqlash zarurligini tushunishi va buning uchun katta mablag'larni ajratishi kerak.

3)protsessual daraja(odamlarga qaratilgan maxsus xavfsizlik choralari).

Ushbu darajadagi chora-tadbirlar quyidagilarni o'z ichiga oladi:

Hisoblash markazlari va ma'lumotlarni qayta ishlash tizimlarining boshqa ob'ektlarini loyihalash, qurish va jihozlash bo'yicha amalga oshiriladigan faoliyat;

Foydalanuvchilarning tizim resurslariga kirish qoidalarini ishlab chiqish bo'yicha chora-tadbirlar (xavfsizlik siyosatini ishlab chiqish);

Tizimga xizmat ko'rsatuvchi kadrlarni tanlash va tayyorlash bo'yicha amalga oshirilayotgan tadbirlar;

Xavfsizlik va tizimga kirishni tashkil etish;

Hujjatlar va axborot tashuvchilarni hisobga olish, saqlash, foydalanish va yo'q qilishni tashkil etish;

Kirish nazorati tafsilotlarini taqsimlash;

Foydalanuvchilar ishi ustidan aniq va yashirin nazoratni tashkil etish;

Uskunalar va dasturiy ta'minotni loyihalash, ishlab chiqish, ta'mirlash va o'zgartirish bo'yicha amalga oshiriladigan faoliyat.

4)dasturiy ta'minot va apparat darajasi(texnik chora-tadbirlar).

Ushbu darajadagi himoya choralari (mustaqil ravishda yoki boshqa vositalar bilan birgalikda) himoya funktsiyalarini bajaradigan maxsus dasturlar va uskunalardan foydalanishga asoslangan:

Foydalanuvchilarni identifikatsiya qilish va autentifikatsiya qilish;

Resurslarga kirishni farqlash;

Tadbirlarni ro'yxatdan o'tkazish;

Kriptografik transformatsiyalar;

Tizimning yaxlitligini tekshirish;

Zararli dastur yo'qligini tekshirish;

uzatiladigan axborot va aloqa kanallarini dasturiy himoya qilish;

Tizimni keraksiz ma'lumotlarning mavjudligi va paydo bo'lishidan himoya qilish;

Qoidabuzarlarning kirib kelishiga jismoniy to'siqlar yaratish;

Tizimning to'g'ri ishlashiga rioya etilishini nazorat qilish va signalizatsiya qilish;

Qimmatli ma'lumotlarning zaxira nusxalarini yarating.

Savolingizga javob topa olmadingizmi? Mana qarang
Turli xil qurilmalarda skrinshotni qanday olish mumkinTurli xil qurilmalarda skrinshotni qanday olish mumkin
Noto'g'ri MMI kodi yoki noto'g'ri ulanish - muammoni hal qilishNoto'g'ri MMI kodi yoki noto'g'ri ulanish - muammoni hal qilish
Internet Explorer yangilashInternet Explorer yangilash