Тема 1: ИНФОРМАТИЗАЦИЯ ОБЩЕСТВА И ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ Занятие

Тема 1: ИНФОРМАТИЗАЦИЯ ОБЩЕСТВА И ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ Занятие 2: Социально-психологические аспекты защиты информации Учебные вопросы: 1. Конфликты в информационной сфере. 2. Понятие о модели нарушителя. 3. Социальная инженерия и последствия ее применения.

ЛИТЕРАТУРА 1. Буйневич М.В., Доценко С.М., Примакин А.И. Информационная безопасность и применение информационных технологий в борьбе с преступностью. Учебное пособие. - СПб., 2005. – 266 с. 2. Буйневич М.В., Доценко С.М., Пономаренко А.В., Примакин А.И., Смирнова О.Г. Информационная безопасность и применение информационных технологий в борьбе с преступностью: Учебное наглядное пособие (схемы и определения. СПб.: Санкт-Петербургский университет МВД России, 2006. 37 с.).

Политика безопасности Политика безопасности – это формальное изложение правил, которым должны подчиняться лица, получающие доступ к корпоративной технологии и обработки информации Правильная политика безопасности даже без выделенных средств защиты дает лучшие результаты, чем средства защиты без политики безопасности. Политикой безопасности можно назвать и простые правила использования сетевых ресурсов (уровень руководителей), и детальные описания всех соединений и их особенностей, а также их реализация и конфигурирование (уровень инженерно-технического состава).

Учебный вопрос №1 Конфликты в информационной сфере Нарушитель - лицо, предпринявшее попытку выполнения запрещенных операций по ошибке, незнанию или осознанно использующее для этого различные возможности, методы и средства. Наиболее опасная форма нарушителя – злоумышленник. Злоумышленником называют нарушителя, намеренно идущего на нарушение из корыстных побуждений.

Нарушитель является ключевой фигурой в области защиты информации. Поэтому целесообразно заблаговременно построить модель нарушителя Вашей системы, которая отражает его теоретические и практические возможности, априорные знания, время и место действия и т.п.

Преступления, в том числе и компьютерные, совершаются людьми. Большинство систем не может нормально функционировать без участия человека. Пользователь системы, с одной стороны, ее необходимый элемент, а с другой - он же является причиной и движущей силой нарушения или преступления. Вопросы безопасности систем (компьютерных в том числе), таким образом, большей частью есть вопросы человеческих отношений и человеческого поведения

Защита информации должна быть комплексной, основным элементом которой является человек. Однако между людьми часто возникают конфликты, которые могут привести к негативным воздействиям на уязвимость информации. Поэтому цель данного вопроса лекции доказать, что социально-психологические конфликты оказывают существенное влияние на безопасность информации и что с помощью конкретных рекомендаций можно воздействовать и даже управлять социально-психологической обстановкой в коллективе, повышая тем самым степень защиты объекта в целом

Уязвимость информации кража уничтожение искажение разглашение блокировка доступа потеря

Основные типы конфликтов в сфере защиты информации ТИПЫ КОНФЛИКТОВ 1. Обусловленные требованиями режима 2. Обусловленные ограниченностью ресурсов 3. Обусловленные несоответствием цели сотрудников систем защиты информации (СЗИ) и других работников и отделов 4. Обусловленные психологическими особенностями 5. Обусловленные несоответствием ожиданий 6. Иерархические 7. «Человек –машина» 8. В личной жизни сотрудников

1. Конфликты, обусловленные требованиями режима Нахождение в специальных помещениях для ведения секретных работ отрицательно влияет на психофизиологические и профессиональные качества сотрудников (генераторы помех, экранирование, маленькие комнаты, отсутствие окон). Ограничение свободы негативно переживается сотрудниками (запрет на выезд за границу и т.п.)

2. Конфликты, обусловленные ограниченностью ресурсов Черпание ресурсов из одного ограниченного источника приводит к конфликту и между отделами, и между сотрудниками. Нехватка информации восполняется слухами, что способствует появлению служебных интриг. Рекомендации: - формирование общей миссии организации: акцентирование на важной социальной роли организации, подчеркивание «революционных» исследований и разработок; - установление прямой зависимости заработной платы от выполнения работы; - четкая информационная политика, корректное ведение дел, соблюдение дистанции в общении с сотрудниками, грамотная мотивация.

3. Конфликты, обусловленные несоответствием целей Конфликт возникает из-за того, что функции службы защиты информации носят вспомогательный (обслуживающий) характер и определяются руководителем организации. Конфликт подмены главной цели заключается в том, что целью становится выполнение инструкций, а не прямых обязанностей, в результате чего создаются препятствия для выполнения задания.

4. Конфликты, обусловленные психологическими особенностями Особенности восприятия влияют на оценку происходящего: - по одному сотруднику (не корректно выполняющему свои обязанности) судят о всем отделе (СЗИ); - контролирующие функции СЗИ раздражают специалистов (пользователей). Синдром ответственности проявляется в прогнозировании и негативном переживании возможных неблагоприятных последствий той или иной служебной ситуации.

5. Конфликты, обусловленные несоответствием ожиданий и реальности Конфликт начинается тогда, когда человек видит, что не может удовлетворить важные для него потребности, цели: карьера, условия работы, зарплата, значимость, влияние, престиж, гордость, самоуважение, самоутверждение, успех, призвание.

6. Конфликты иерархии Конфликт «равный-равный» приводит к возникновению постепенно усиливающейся конкуренции. Конфликт «высший-низший» проявляется в стремлении усилить власть над подчиненными и противостоять их желанию сохранить и увеличить свою автономию. Конфликт «высший-средний-низший» происходит, когда низшее звено оказывает сопротивление в выполнении задания, а среднее выступает в роли своеобразного буфера. Конфликт формальной и неформальной структур выливается в борьбу за власть со всеми вытекающими отсюда последствиями.

7. Конфликты «человек – машина» Характеристики технического устройства должны соответствовать возможностям восприятия человека. Профессиональные и психофизиологические качества оператора должны позволять ему обслуживать техническое устройство.

8. Конфликты в личной жизни сотрудников Рекомендации: - создание в организации здорового психологического климата, способствующего открытому разрешению всех конфликтов; - борьба с равнодушием, как со стороны коллектива, так и со стороны начальства; - введение в штат профессионального психолога, создание различных психологических групп; - культивирование определенных моральных принципов у коллектива (включая руководителей).

Возможные негативные последствия конфликтов

Основные причины нарушений БЕЗОТВЕТСТВЕННОСТЬ САМОУТВЕРЖДЕНИЕ КОРЫСТНЫЙ ИНТЕРЕС ПОЛЬЗОВАТЕЛЕЙ (ПЕРСОНАЛА) АС

Учебный вопрос №2 Понятие о модели нарушителя При создании модели нарушителя и оценке риска потерь от действий персонала необходимо дифференцировать всех сотрудников по их возможностям доступа к системе и, следовательно, по потенциальному ущербу от каждой категории пользователей.

Наибольший риск: системный контролер; администратор безопасности. Повышенный риск: оператор системы; оператор ввода и подготовки данных; менеджер обработки; системный программист. Средний риск: инженер системы; менеджер программного обеспечения. Ограниченный риск: прикладной программист; инженер или оператор по связи; администратор баз данных; инженер по оборудованию; оператор периферийного оборудования; библиотекарь системных магнитных носителей; пользователь-программист; пользователь-операционист. Низкий риск: инженер по периферийному оборудованию; библиотекарь магнитных носителей пользователей. Примерный список персонала типичной автоматизированной системы (АС) и соответствующая степень риска от каждого из них

В отношении к возможным нарушениям следует придерживаться принципа, который давно доказал свою состоятельность во многих областях – «золотой середины». При организации защиты АС следует учитывать следующие обстоятельства: - вероятность реализации (осуществления) данного типа угрозы; - потенциальный ущерб, нанесенный пользователям и владельцам АС в том случае, если угроза осуществится (включающий также затраты на защиту от нее). Предпринимаемые меры защиты должны быть адекватны вероятности осуществления и степени угрозы, то есть обеспечивать оптимальную защиту от нее.

При разработке модели нарушителя определяются: - предположения о категориях лиц, к которым может принадлежать нарушитель; - предположения о мотивах действий нарушителя (преследуемых нарушителем целей); - предположения о квалификации нарушителя и его технической оснащённости (об используемых для совершения нарушения методах и средствах); - ограничения и предположения о характере возможных действий нарушителя. По отношению к АС нарушители могут быть внутренними (из числа персонала) или внешними (посторонними лицами).

«Модель нарушителя» Внутренним нарушителем может быть лицо из следующих категорий персонала: пользователи (операторы) системы; персонал, обслуживающий технические средства (инженеры, техники и т.п.); сотрудники отделов разработки и сопровождения ПО (прикладные и системные программисты); технический персонал обслуживающий здания и имеющий доступ в помещения, выделенные для размещения компонентов АС; руководители различных уровней должностной иерархии. Внешним нарушителем могут быть следующие лица: клиенты (представители сторонних организаций, граждане); посетители; представители организаций, взаимодействующих по вопросам обеспечения жизнедеятельности АО; лица, случайно или умышленно нарушившие пропускной режим; любые лица за пределами контролируемой зоны.

Учебный вопрос №3 Социальная инженерия и последствия ее применения Модель нарушителя чаще всего бывает успешна, если построена с учетом применения методов социальной инженерии (СИ). Большинство атак на компьютерные системы были реализованы только из-за «человеческого фактора», т.е. неправомерного разглашения информации упущений, которое можно было предвидеть и не допустить. Поэтому чрезвычайно важно при формировании плана защиты и политики безопасности предусмотреть профилактическую работу руководителя с персоналом по противодействию СИ.

Социальная инженерия - термин, использующийся взломщиками и хакерами для обозначения несанкционированного доступа к информации иначе, чем взлом программного обеспечения; цель - обхитрить людей для получения паролей к системе или иной информации, которая поможет нарушить безопасность системы. Классическое мошенничество включает звонки по телефону в организацию для выявления тех, кто имеет необходимую информацию, и затем звонок администратору, эмулируя служащего с неотложной проблемой доступа к систем.

Самое простое средство проведения социальной инженерии - телефон. Все исследование основывается на одной маленькой детали: в крупных организациях лица, ответственные за систему, не знают всех сотрудников, поэтому появляется возможность манипулировать действиями администраторов. Телефон облегчает эту задачу, так как администратор не видит абонента, который может звонить даже из другого города или страны.

В идеальных условиях у взломщика должны быть: - телефон, воспроизводящий шум офиса; - автоопределитель номера; - устройство для изменения голоса; - возможность использовать чужую телефонную линию

Классификация атак класса СИ По средствам применения: - телефон; - электронная почта; - разговор по Internet в «реальном времени»; - обыкновенная почта; - личная встреча

По уровню социального отношения к объекту: - официальный; - товарищеский; - дружеский

По степени доступа объекта к информационной системе: - администратор - высокая; - начальник - средняя; - пользователь - низкая; - знакомый администратора, начальника или пользователя - отсутствие доступа.

Один пример с элементами СИ: Шутник: Алло! Вас беспокоят с телефонной станции. Измерьте, пожалуйста, длину шнура от трубки к телефону. Жертва: Метр. Ш.: Хорошо, для того, чтобы повеситься, хватит. Следующий звонок. Ш.: Алло! Это милиция. Вам сейчас хулиганы не звонили? Ж.: Да, да! Звонили! Разберитесь с ними, пожалуйста! Ш.: Про трубку и провод спрашивали? Ж.: Да! Ш.: И он у вас метр? Ж.: Да! Ш.: А почему до сих пор не висим?

Звонок администратору системы. Взломщик: Здравствуйте, вы администратор? Администратор: Да. В.: Я понимаю, что вы ужасно заняты, извините, что отрываю вас от дел, по я не могу войти в сеть. А.: (Про себя: Поработать не дают!) А что компьютер говорит по этому поводу? В.: Как это - «говорит»??? А.: (Ха!) Ну, что там написано? В.: Написано «вронг пассворд». А.: (Ну-ну, еще бы...) А-а-а-а... А вы пароль правильно набираете? В.: Не знаю, я его не совсем помню. А.: Какое имя пользователя? В.: anatoly. А.: Ладно, ставлю вам пароль... мммм... art25. Запомнили? (Если опять не войдет - убью!) В.: Постараюсь... Спасибо. (Вот дурак-то!) Конец разговора. Все!

Рассмотрим пример с первоначальными нулевыми знаниями 1. Выберем цель по телефонной книге - организацию, где есть телефон секретаря. 2. Звоним секретарю и узнаем имя персоны, с которой можно проконсультироваться по поводу некоторых проблем с работой системы. 3. Звоним любому другому человеку, чей номер телефона имеется в книге, предполагая, что он имеет доступ к системе. 4. Представляемся (разумеется, вымышленным именем) как помощник той персоны, имя которой мы узнали из первого звонка. Говорим, что в связи с перестановкой системы администратор дал задание поменять пароли всем пользователям. 5. Узнаем имя входа, прежний пароль, говорим новый пароль. Все!

Задание на самостоятельную подготовку Дополнить конспект [1], 41-82 1. Конфликты в информационной сфере. 2. Понятие о модели нарушителя. 3. Социальная инженерия и последствия ее применения.

ВОПРОСЫ ДЛЯ САМОКОНТРОЛЯ Сформулируйте личностные характеристики хакера. Что понимается под «безопасностью информации», а что определяет термин «защита информации»? Дайте определение политики безопасности? На каких уровнях управления организацией разрабатывается политика безопасности? Укажите виды планирования мероприятий безопасности. Укажите классы мероприятий защиты по времени проведения. Для каких целей строится модель нарушителя? Перечислите основные типы конфликтов в информационной сфере. Назовите самое простое средство реализации задач социальной инженерии. Какие категории пользователей могут нанести максимальный вред информационной системе?