БЕЗОПАСНОСТЬ В АВТОМАТИЗИРОВАННЫХ ИНФОРМАЦИОННЫХ СИСТЕМАХ. ЧЕЛОВЕЧЕСКИЙ ФАКТОР | Климашевич С.Н.

Поиск:

Cекция "Kомпьютерные и информационные технологии в технических системах, экономике, науке и образовании"

БЕЗОПАСНОСТЬ В АВТОМАТИЗИРОВАННЫХ
ИНФОРМАЦИОННЫХ СИСТЕМАХ. ЧЕЛОВЕЧЕСКИЙ ФАКТОР

Климашевич С.Н. (Центр информационных технологий, МГТУ)

Повсеместное внедрение и использование информационных технологий (ИТ) и автоматизированных информационных систем (ИС) помимо упрощения и ускорения процедур обработки и предоставления информации порождает новые или значительно модифицирует существующие проблемы и трудности при работе с информацией. Одна из наиболее актуальных проблем – это проблема безопасной работы с информацией. По своей сути проблема безопасности в ИС не нова. Использование автоматизированных средств лишь переводит некоторые аспекты этой проблемы на новый уровень. Безопасная работа с ИТ – это использование ИТ и автоматизированных средств, при котором происходит корректная обработка информации (без ее искажения и появления ошибок), а также обеспечивается необходимый уровень конфиденциальности и сохранности информации. В связи с этим можно выделить следующие механизмы обеспечения безопасности:

Минимизация влияния пользователя на процесс обработки информации. Людям свойственно ошибаться, поэтому на этапе разработки автоматизированной ИС необходимо максимально формализовать автоматизируемые процессы с целью минимизации вводимой пользователем информации и принятия решений на этапе ее обработки.

Шифрование информации. Для обеспечения конфиденциальности и подлинности информации необходимо использовать те или иные средства шифрования или подписи информации (алгоритмы шифрования и электронные подписи).

Разграничение доступа. С целью обеспечения целостности информации и корректности выполнения различных операций необходимо осуществлять процедуры по разграничению доступа к автоматизированной ИС и другим техническим средствам различным группам пользователей или конкретным лицам.
Защита средств передачи информации. Искажение и перехват информации возможны на этапе ее транспортировки, то есть передачи от одного пользователя к другому. В связи с этим встает необходимость в проведении мероприятий по защите средств передачи информации. В абсолютном большинстве случаев физическая защита среды передачи данных не представляется возможной, поэтому используются программно-аппаратные средства защиты каналов связи.

Правильное и грамотное администрирование автоматизированной ИС. Для корректного функционирования и работы автоматизированной ИС с информацией необходимо правильно и грамотно проводить процедуры по настройке ее параметров и других элементов, обеспечивающих ее целостность и безопасность, отслеживать происходящие в ней изменения и принимать адекватные меры.

Говоря о механизмах обеспечения безопасности, как правило, подразумевают технические средства, но это достаточно узкое и однобокое представление об этой проблеме. Безопасность ИС – это комплекс организационно-технических мероприятий. Например, под разграничением доступа чаще всего понимают распределение прав доступа к информации и выполнения различных операций средствами используемой автоматизированной ИС. Однако это и мероприятия по обеспечению ограниченного доступа к техническим средствам: рабочим станциям, серверам, хранилищам информации, а также коммутационным узлам.

Все программные средства обеспечения безопасности и защиты от несанкционированного доступа так или иначе связаны с использованием паролей или других, связанных с ними, технологий. Пароль это основной, а во многих случаях, единственный способ обеспечения безопасного использования ИТ. Пароль играет ключевую роль в системе безопасности, а он, в свою очередь, всецело зависит от пользователя. Таким образом человек непосредственно влияет на уровень безопасности автоматизированной ИС, и поэтому ошибка пользователя может стать решающей. Можно выделить следующие ошибки:

Неграмотное составление пароля.

Умышленная или неумышленная передача паролей третьим лицам.

Умышленная или неумышленная передача прав доступа третьим лицам.

Использование небезопасных средств передачи информации.

Использование непроверенного (ненадежного) программного обеспечения.

Заражение системы вирусами или другими неавторизованными программами-вкладками.

Таким образом, можно сделать вывод, что в настоящее время все большую значимость приобретают нетехнические аспекты системы безопасности. Влияние пользователя и человеческой ошибки во многом становится решающим. Это подтверждает и анализ происходящих “взломов” и несанкционированных проникновений в ИС, который показывает, что практически во всех случаях пользователи умышленно или неумышленно помогали взломщикам. Поэтому следует больше придавать внимания нетехническим средствам обеспечения безопасности.