Нарушения конфиденциальности

Причиной возникновения проблем данной группы является нарушение движения информационных потоков или ошибки в системе доступа. Из-за того, что данные виды нарушений никак не влияют на состояние системы, выявить их очень сложно. Только небольшое число подобных нарушений можно вычислить в результате анализа файлов протокола доступа к отдельным объектам системы. Для иллюстрации рассмотрим наиболее часто встречающиеся примеры нарушения доступа к информации: * ошибки администрирования: - неправильное формирование групп пользователей и определение прав их доступа; - отсутствие политики формирования паролей пользователей. При этом до 50% пользователей используют простые, легко подбираемые пароли, такие, как "123456", "qwerty" или собственное имя; - ошибки в формировании итоговых и агрегированных отчетов и доступа к ним. Примером может являться отчет по выпискам из счетов банка или сводный бухгалтерский журнал, которые хранят всю информацию по операциям кредитной организации и формируются в бухгалтерии, где за доступом к данным отчетам часто не ведется контроль; - наличие открытого доступа для представителей сторонней организации, выполняющей какие-либо подрядные работы; * ошибки проектирования информационной системы: - использование недостаточно защищенной среды для разработки информационной системы. Очень часто, особенно для систем, располагаемых на локальных компьютерах, доступ к информации можно получить не через интерфейс программы, который требует пароля, а напрямую читая из таблиц базы данных; - ошибки алгоритмов доступа к данным. Особенно это касается разработки систем криптозащиты, где часто вместо дорогостоящих систем в целях экономии используются собственные разработки, только эмитирующие систему защиты; - небрежность в разработке системы защиты. Один из примеров данной небрежности - забытая разработчиками точка доступа в систему, такая, как универсальный пароль; * небрежность пользователей в вопросах информационной безопасности: - нарушение хранения паролей для доступа в информационную систему. Иногда пользователи просто пишут пароль на бумаге и оставляют ее около компьютера. Особенно это распространено в организациях, где администратор системы требует сложных паролей, которые легко забыть. Также часто встречается абсолютно недопустимая практика передачи паролей сотрудниками друг другу; - сохранение закрытого соединения после окончания работы. Уходя на обед или домой, пользователь не выключает компьютер и не выходит из банковской системы. Если система не имеет механизма временного отключения неактивных пользователей, данное нарушение делает бессмысленным большинство других требований системы безопасности; - нерегламентированное обсуждение зарытой информации. При рассмотрении данного нарушения особенно следует обращать внимание на сотрудников информационных служб; * умышленный взлом системы: - через внешние точки доступа в информационную систему, например через Интернет. Самый опасный вид взлома, так как нарушитель недоступен или почти недоступен для службы безопасности и, чувствуя свою безнаказанность, может нанести максимальный вред организации; - нерегламентированное подключение к собственной сети (информационным коммуникациям) банка. С развитием сетевых технологий данный вид нарушений встречается достаточно редко. Однако остается возможным, особенно если банк имеет развитую систему коммуникаций, выходящих за пределы одного здания; - анализ неуничтоженных черновых документов системы. Данный вариант утечки информации практически не рассматривается службами безопасности, появляется самым легким методом получения информации для злоумышленников. В первую очередь это относится к черновым распечаткам из отдела информационных технологий.

Регион:
Вид работы:
Сроки:
Объем:
С практической частью

Информация

Дипломы на заказ:

Отчеты по практике на заказ:

Переводы на заказ:

Магазин готовых дипломных работ

Нарушения конфиденциальности

Похожие работы: