Вимоги до безпеки інформаційного забезпечення при проведені аудиторських перевірок
До апаратного забезпечення у безпечній системі висувається вимога забезпечити безперервну і безпомилкову роботу програмного забезпечення (continuity of operations). Вимоги до програмного забезпечення аналогічні — забезпечити безперервне і безпомилкове виконання передбачених функцій (збір даних, обробка, автоматичне обчислення показників, надання даних користувачу тощо). Обчислювальні потужності мають використовуватися тільки правомірно — для вирішення поставлених завдань. Найбільш цінним ресурсом інформаційної системи є, безумовно, інформація. Тому до інформації, що міститься в системі, висувають такі специфічні вимоги: • конфіденційність — забезпечення надання доступу до інформації тільки уповноваженим на це користувачам; цілісність — гарантування точності та повноти інформації та методів обробки; доступність — забезпечення того, що уповноважені користувачі на свою вимогу отримають доступ до інформації і пов'язаних з нею ресурсів. іншого боку, інформаційну безпеку можна визначити як відсутність порушень в роботі інформаційної системи. Тому інколи вимоги до інформації визначаються як відсутність порушень в роботі системи: конфіденційність — властивість інформації бути захищеною від несанкціонованого ознайомлення; цілісність — властивість інформації бути захищеною від несанкціонованого спотворення, руйнування або знищення; доступність — властивість інформації бути захищеною від несанкціонованого блокування. Згідно з Законом України "Про захист інформації в автоматизованих системах", порушення роботи автоматизованої [інформаційної] системи — дії або обставини, які призводять до спотворення процесу обробки інформації. Згідно з цим законом, до порушень роботи автоматизованої інформаційної системи зараховують такі загрози: витік інформації — результат дій порушника, внаслідок яких інформація стає відомою суб'єктам, що не мають права доступу до неї; втрату інформації — дії, внаслідок яких інформація перестає існувати для фізичних або юридичних осіб, які мають право власності на неї в повному чи обмеженому обсязі; підробку інформації — навмисні дії, що призводять до перекручення інформації, яка повинна оброблятися або зберігатися в автоматизованій системі; блокування інформації — дії, наслідком яких є припинення доступу до інформації; порушення роботи автоматизованої системи — дії або обставини, які призводять до спотворення процесу обробки інформації. Як бачимо, перша загроза порушує конфіденційність інформації, друга і третя — її цілісність, четверта — доступність. Натомість п'ятий клас загроз стосується не тільки інформації, а й апаратної і програмної частин системи, її інфраструктури. В англомовній літературі, замість безпосередніх порушень роботи КІСП найчастіше розглядають можливі загрози її роботі, намагаються протидіяти саме загрозам (а не порушенням, які вже відбулись і оцінюють ризики того, що загроза матиме місце в реальності. Під загрозою (threat) розуміють певний вчинок або подію, що може призвести до збитків. Загрози прийнято поділяти на випадкові, або ненавмисні, і навмисні (табл. 2.1.).
Таблиця 2.1. Класи загроз безпеці інформації
Ненавмисні Навмисні (deliberate) (Accidental) Пасивні Активні Помилки у вхі- дній інформації Порушення ін- фраструктури (коротке зами- кання, стихійні лиха, перепади струму)
Використання ресур- сів не за призначенням Несанкціонований перегляд інформації (підслуховування, шпигунство)
Крадіжка обладнання. Саботаж. Порушення апарат- ної або програмної інфраструктури (диверсія). Навмисний злом системи безпеки (підбір паролю). Порушення роботи веб-сайту (Denial of Service — DoS). Шкідливі програми (віруси, трояни, черв'яки)
Джерелом ненавмисних загроз (accidental threats) можуть бути некваліфіковані дії або неуважність користувачів або адміністрації, вихід з ладу апаратних засобів, помилки в програмному забезпеченні, стихійні катакліз-ми, бруд, пил тощо. Навмисні загрози (deliberate threats), на відміну від випадкових, мають на меті завдання збитку користувачам інформаційної системи і, в свою чергу, поділяються на активні й пасивні. Пасивні загрози, як правило, спрямовані на несанкціоноване використання інформаційних ресурсів системи, не порушуючи при цьому її функціонування. Пасивною загрозою є, наприклад, спроба одержання інформації, що циркулює в каналах, за допомогою їх прослуховування. Джерелом пасивних загроз можуть бути як внутрішні користувачі системи, що можуть і не мати злого умислу, так і зловмисники ззовні, мета яких — не бути поміченими. Активні загрози мають на меті порушення нормального процесу функціонування шляхом цілеспрямованого впливу на апаратні, програмні та інформаційні ресурси. До активних загроз належать, наприклад, руйнація або радіоелектронне придушення ліній зв'язку, виведення із ладу апаратних або програмних засобів системи, блокування обчислювальних потужностей (наприклад, мільйонами фальшивих запитів на надання інформації), внесення несанкціонованих змін до процедур обробки інформації, спотворення інформації тощо. Джерелами активних загроз можуть бути або безпосередньо зловмисники, або несумлінні чи ображені працівники, або комп'ютерні віруси та інші шкідливі програми (трояни, Інтернет - черв'яки тощо). Для зменшення рівня загроз в комп'ютерній інформаційній системі підприємства впроваджують засоби забезпечення безпеки інформаційної системи. Всі засоби безпеки можна розділити на три групи: засоби попередження порушень безпеки, засоби виявлення порушень безпеки і засоби зменшення збитків і відновлення системи після інциденту (табл. 2.2).
Ви переглядаєте статтю (реферат): «Вимоги до безпеки інформаційного забезпечення при проведені аудиторських перевірок» з дисципліни «Комп’ютерний аудит»
