IB. Причини за нарушаване на целостта на информацията (PNCI).
Информационна сигурност (ИС). Основни понятия и определения.
Информационната сигурност е защитата на информацията и поддръжката на инфраструктурата от случайни или умишлени въздействия от естествен или изкуствен характер, които могат да причинят щети на субектите на информационните отношения, включително собствениците на информация и поддръжката на инфраструктурата.
Информационната сигурност е набор от мерки, насочени към осигуряване на информационна сигурност.
Валидирана база са защитните механизми на компютърна система, които се използват за прилагане на политиката за сигурност. Границата образува периметър за сигурност.
Най-чести заплахи:
Заплахата е потенциална възможност за нарушаване на потенциалната сигурност по определен начин. Опит за реализиране на заплахата -атака.
Периодът от време от момента, в който е станало възможно да се използва слабото място, и до момента на елиминирането -опасен прозорец.
Ключови заплахи за достъпността:
–„отказ“ на потребителя- нежелание за работа с ИС, невъзможност за работа със системата поради липса на подходящо обучение, невъзможност за работа със системата поради липса на техническа поддръжка;
–вътрешен срив на системата– отклонение, излизане на системата от нормална работа поради случайни или умишлени действия на потребителя, грешки при преконфигуриране и настройка на системата, софтуерни и хардуерни повреди, унищожаване на данни, развитие или повреда на оборудването;
–отказ за поддръжка на инфраструктурата– нарушаване на системата за електроснабдяване, водоснабдяване, топлоснабдяване; унищожаване/повреждане на помещения; невъзможност или нежелание да обслужва персоналаизпълняват задълженията си.
Основни заплахи за неприкосновеността на личния живот: кражба на оборудване; методи за морално и психологическо въздействие; злоупотреба с власт.
IB. Заплахи за информационната сигурност.
Заплахите за информационната сигурност от третата група също са свързани с умишлени действия на хора, насочени към причиняване на щети на АС, получаване на лични привилегии и доходи. Тази група заплахи е най-многобройна. Възможен:
■ маскиране като легитимен потребител;
■ отпечатване или показване на голям брой файлове на екрана, за да се осигури изтичане на информация;
■ проникване в системата за управление на сигурността с цел промяна на нейните характеристики;
■ организиране на отказ на потребителите да използват ресурси;
■ прехвърляне на информация към грешен абонат;
■ злонамерено унищожаване на AS ресурси;
■ въвеждане на неверни данни;
■ клевета, измамни заплахи, изнудване;
■ повреда на програми, въвеждане на вируси троянски кон и др. (този тип заплаха може да се отнася за други групи, поради факта, че този тип програми могат да бъдат разработени за различни цели, включително специално проектирани "бойни вируси" за извеждане от строя на военни съоръжения, но тези програми не могат да бъдат въведени от потребителя или персонала на АЕЦ нарочно);
■ инсталиране на разузнавателно оборудване.
IB. Причини за нарушаване на целостта на информацията (PNCI).
Нарушаването на целостта на информационната база може да възникне по причини, които също могат да доведат до нарушаване на достъпността на информацията. Например грешка на оператора може да доведе до това, че данните вече не отразяват отношенията от реалния живот в тематичната област. Подобно на нарушение на целосттаможе да доведе както до вътрешни повреди на ИС, така и до всякакви външни случайни или умишлени влияния. На свой ред нарушението на целостта може в крайна сметка да доведе до нарушаване на достъпа до данни. Ако информационният склад съдържа информация за плащанията, извършени от предприятието, и номерът на месеца, в който е извършено това плащане, се окаже по-голям от 12, тогава последствието може да бъде всичко - от издаване на неправилни данни до повреда в цялата система. Всичко зависи от това какви алгоритми за обработка на данни се използват в информационната система.
Основните средства за защита на целостта на информацията в ИС са:
– транзакционни механизми, които позволяват възстановяване на целостта на данните в случай на незначителни повреди;
– контрол на въвеждане на данни. Много грешки биха могли да бъдат избегнати, ако програмата не беше пропуснала съзнателно непоследователни данни;
– използване на инструменти за защита на целостта на СУБД;
– периодично тестване на системата за нарушения на целостта.