Įvadas į informacinę saugą

2005 02 22 Kompiuterinės technologijos, Kompiuterinis saugumas, Technologijos Komentuokite
Įvadas į informacinę saugą
Kompiuteriai: nusikaltimai, pažeidžiamumo požymiai ir apsaugos priemonės

Įvadas

Informacinė Era atnešė dramatiškus pokyčius tam, kaip savo pareigas atlieka daugybės profesijų atstovai. Dabar techninio išsilavinimo neturintis vidutinio lygio specialistas gali padaryti darbą, kurį anksčiau galėjo atlikti tik aukšto lygio programuotojas. Tarnautojas savo arsenale turi tiek tikslios ir operatyvios informacijos, kiek niekada anksčiau neturėjo.

Bėda ta, kad kompiuterių ir automatizacijos technologijų naudojimas organizacijų vadovybei sukelia visą eilę problemų. Dažnai į tinklus sujungti kompiuteriai gali suteikti priėjimą prie milžiniško pačių įvairiausių duomenų kiekio, todėl žmones jaudina informacinio saugumo klausimai ir su automatizacija bei žymiai didesne prieiga prie konfidencialių, asmeninių ar kitaip kritiškų duomenų susiję pavojai. Kompiuterinių nusikaltimų skaičius vis didėja, ir tai galų gale gali sugriauti ekonomikos pamatus, todėl privalo būti aišku, kad informacija – tai resursas, kurį būtina saugoti.

Atsakomybė už informacinę saugą tenka žemiausiai administracinei grandžiai, bet kažkas turi vadovauti šiai veiklai, todėl aukštesniajame organizacijos vadovybės lygmenyje turi būti asmuo, atsakantis už informacinių sistemų veikimo palaikymą.

Kadangi būtent automatizacija padarė taip, kad dabar operacijas su skaičiavimo technika atlieka paprasti organizacijos tarnautojai, o ne specialiai paruoštas techninis personalas, būtina, kad galutiniai vartotojai žinotų apie savo atsakomybę už informacijos apsaugą.

Šio dokumento tikslas – suteikti kompiuterinio saugumo pagrindus žemiausiai administracinei grandžiai, tai yra, skyrių viršininkams, grupių vadovams ir t.t.

Apiplėšus banką, nuostoliai vidutiniškai siekia 19 tūkstančių dolerių, kompiuterinio nusikaltimo atveju – 560 tūkstančių dolerių.

Kompiuterinių nusikaltimų skaičius auga – taip pat didėja su kompiuteriais susijusių sukčiavimų skaičius. JAV specialistų vertinimu, dėl kompiuterinių nusikaltimų patiriama žala per metus padidėja 35 procentais ir dabar sudaro apie 3.5 milijardo dolerių. Viena iš to priežasčių yra nusikaltimo metu gaunamos sumos: tuo metu, kai vidutinė kompiuterinio nusikaltimo padaroma žala siekia 560 tūkstančių dolerių, apiplėšus banką patiriamas tik 19 tūkstančių dolerių nuostolis.

Galimybė pagauti kompiuterinį piktadarį žymiai mažesnė, negu banko plėšiką – netgi jį sugavus, jam daugiau šansų išvengti kalėjimo. Aptinkamas tik maždaug 1 procentas kompiuterinių nusikaltimų, o tikimybė, kad už kompiuterinį sukčiavimą nusikaltėlis paklius į kalėjimą, mažesnė, kaip 10 procentų.
Organizuoti kompiuteriniai nusikaltimai sudaro žymią nusikaltimų dalį, tačiau piktnaudžiavimų kompiuterine įranga – dar daugiau. Kaip pastebėjo vienas ekspertas, „dėl klaidų mes prarandame daugiau pinigų, negu kas galėtų pavogti“. Šie nuostoliai pabrėžia su kompiuteriais susijusių nuostolių problemos svarbą ir rimtumą.

Pagrindinė su kompiuteriais susijusių nuostolių priežastis – nepakankamas švietimas informacinės saugos srityje. Tik bent minimalių informacinės saugos žinių pritaikymas gali padėti išvengti klaidų ir incidentų, užtikrinti efektyvų apsaugos priemonių naudojimą, užbėgti už akių nusikaltimui ir pačiu laiku aptikti įtariamuosius. Galutinio vartotojo švietimas informacinės saugos klausimais užtikrina keturis kompiuterinių ir informacinių resursų apsaugos lygius:
APSAUGOS PRIEMONĖS: KETURI APSAUGOS LYGIAI

Išvengimas – prie informacijos ir technologijos prieigą turi tik autorizuotas personalas

Aptikimas – užtikrinamas ankstyvas nusikaltimų ir sukčiavimų aptikimas, net jei buvo apeiti apsaugos mechanizmai

Apribojimas – jei nusikaltimas, taikant jo išvengimo ir aptikimo preomonių, vis dėl to įvyko, sumažinamas žalos dydis

Atkūrimas – esant dokumentuotiems ir patikrintiems atkūrimo planams, užtikrinamas efektyvus informacijos atkūrimas

Dar vakar darbo technologijos kontrolė tebuvo techninis administratorių rūpestis. Šiandien informacijos kontrolė tapo kiekvieno techninio išsilavinimo neturinčio galutinio vartotojo pareiga. Techninio išsilavinimo neturinčioms grupėms informacijos kontrolė reikalauja naujų žinių ir įgūdžių. Kad būtų galima imtis kokių nors priemonių prieš kompiuterinius nusikaltimus ir sukčiavimus, gerai informacijos kontrolei būtinas jų supratimas.

Pasirodžius kompiuteriams, jie buvo prieinami tik nedideliam juos naudoti mokančių žmonių skaičiui. Kompiuteriai dažniausiai buvo laikomi specialiose patalpose, teritoriškai esančiose toli nuo patalpų, kuriose dirbo tarnautojai. Šiandien viskas kitaip. Kompiuteriniai terminalai ir asmeniniai kompiuteriai naudojami visur. Jie jau nebėra prabangos dalyku. Kompiuterinė įranga vartotojui tapo suprantamesnė, todėl išmokti to, kaip ją naudoti, gali daugybė žmonių.

Prie kompiuterinės technikos ir informacinių technologijų prieigą turinčių darbuotojų skaičius pastoviai auga. Prieigą prie informacijos dabar turi ne tik siauras organizacijos aukštesnio lygio vadovybės ratas. Šis procesas tapo „nusikaltimo demokratizavimo“ priežastimi. Kuo daugiau žmonių gaudavo priėjimą prie informacinių technologijų ir kompiuterinės įrangos, tuo daugiau atsirasdavo galimybių įvykdyti kompiuterinį nusikaltimą.
 
Sunku apibendrinti, bet dabar kompiuteriniu nusikaltėliu gali būti…
  • galutinis vartotojas, ne techninis darbuotojas ir ne krakeris
  • tas, kas neužima vadovaujančių pareigų
  • tas, kas nebuvo teistas
  • protingas, talentingas darbuotojas
  • tas, kas daug dirba
  • tas, kas nesusigaudo kompiuteriuose
  • tas, ką jūs įtartumėte patį paskutinį
  • būtent tas, kurį jūs priėmėte į darbą
KOMPIUTERINIU NUSIKALTĖLIU GALI BŪTI BET KAS
 
Тipiškas kompiuterinis nusikaltėlis – tai ne jaunas krakeris, priėjimui prie didelių kompiuterių naudojantis telefoną ir asmeninį kompiuterį. Tipiškas kompiuterinis nusikaltėlis – tai tarnautojas, kuriam suteikta prieiga prie sistemos, kurioje jis yra netechninis vartotojas. JAV tarnautojų padaryti kompiuteriniai nusikaltimai sudaro 70-80 procentų kasmet su kompiuteriais susijusios žalos. Likusius 20 procentų sudaro nesąžiningų bei nepatenkintų darbuotojų veiksmai, ir jie daromi dėl visos eilės priežasčių.

KODĖL ŽMONĖS DARO KOMPIUTERINIUS NUSIKALTIMUS

  • dėl asmeninės ar finansinės naudos
  • pramogos dėlei
  • iš keršto
  • bandydami pakeisti aplinkinių požiūrį į save
  • dėl saviraiškos
  • dėl atsitiktinumo
  • dėl vandalizmo
Vis tik žymiai daugiau – iki 60 procentų visos žalos – sukelia žmonių klaidos ir incidentai. Su kompiuteriais susijusių nuostolių prevencijai – tiek organizuotų nusikaltimų, tiek atsitiktinių klaidų, reikalingos informacinės saugos žinios. JAV periodiškai atliekamos apklausos rodo, kad būtent kompiuterinės saugos srityje žinių turintys darbuotojai buvo pagrindinė priežastis to, kad buvo išaiškinti kompiuteriniai nusikaltimai.

KOMPIUTERINIŲ NUSIKALTIMŲ POŽYMIAI

Atkreipkite dėmesį į:

  • neautorizuotą kompiuterių darbo laiko panaudojimą
  • neautorizuotus bandymus prieiti prie failų
  • kompiuterių dalių vagystes
  • programų vagystes
  • fizinio įrangos sunaikinimo atvejus
  • duomenų arba programų sunaikinimą
  • neautorizuotą naudojimąsi disketėmis, kompaktais ir spausdintine informacija

Ir tai – tik patys akivaizdžiausi požymiai, į kuriuos vertėtų atkreipti dėmesį, aiškinantis kompiuterinius nusikaltimus. Kai kada šie požymiai rodo tai, kad nusikaltimas jau padarytas arba, kad nesilaikoma saugos priemonių. Jie taip pat gali padėti išaiškinti pažeidžiamas vietas, nurodyti saugumo skyles ir padėti sudaryti pažeidžiamos vietos ištaisymo planą. Tuo pačiu, šie požymiai gali padėti išaiškinti nusikaltimą arba piktnaudžiavimo atvejus – apsaugos priemonės gali padėti to išvengti.

Apsaugos priemonės – tai priemonės, kurų vadovybė imasi informacinės saugos užtikrinimui – pavyzdžiu gali būti administraciniai vadovybei skirti dokumentai (įsakymai, nuostatos, instrukcijos), aparatinė įranga arba papildomos programos, kurių pagrindinė paskirtis – išvengti nusikaltimų ir piktnaudžiavimų, neleidžiant jiems įvykti. Apsaugos priemonės taip pat gali atlikti ribojimo funkciją, sumažindamos dėl nusikaltimo patirtos žalos dydį.

Informacinė sauga

Tai, kas 80-aisiais buvo laikoma kompiuteriniu saugumu, o 70-aisiais – duomenų saugumu, dabar (ir žymiai teisingiau) vadinama informacine sauga. Informacinė sauga pabrėžia informacijos svarbą šiuolaikinėje visuomenėje – suvokimą to, kad informacija – tai vertingas resursas, kažkas daugiau, negu atskiri duomenų elementai.

Informacine sauga vadinamos informacijos nuo nautorizuotos prieigos, sunaikinimo, modifikavimo, atskleidimo ir naudojimosi ja užlaikymo apsaugančios priemonės.
Informacinė sauga apima duomenų sukūrimo, jų įvesties, apdorojimo ir išvesties procesų apsaugą. Informacinės saugos tikslas – apsaugoti sistemos vertybes, apsaugoti ir užtikrinti informacijos tikslumą ir vientisumą bei sumažinti nuostolius, kurie gali būti patirti, jei informacija būtų modifikuota arba sunaikinta. Informaciniam saugumui pasiekti būtina fiksuoti visus įvykius, kurių metu sukuriama ir modifikuojama informacija, prie jos suteikiama prieiga ar atliekami jos platinimo veiksmai.
Informacinė sauga suteikia garantijas, kad bus pasiekti šie tikslai:
  • kritiškai svarbios informacijos konfidencialumas
  • informacijos ir su ja susijusių procesų (kūrimo, įvesties, apdorojimo ir išvesties) vientisumas
  • prieiga prie informacijos, kai jos reikia
  • visų su informacija susijusių procesų apskaita
Kai kurios sistemų apsaugos ir visus įvykius fiksuojančios sistemos gali būti integruotos į patį kompiuterį, kitos gali būti įdiegtos į programas. Kai kurias saugos priemones atlieka žmonės ir jos esti vadovybės nurodymų, aprašytų atitinkamuose vadovybės dokumentuose, realizacija. Sprendimas, kokio sudėtingumo technologiją pasirinkti sistemos apsaugai, reikalauja apspręsti, kas sudaro kritiškai svarbią informaciją ir tolesnį atitinkamo saugumo lygio nustatymą.
Kas gi sudaro kritinius duomenis? Kritiniais duomenimis vadiname duomenis, kuriems reikalinga apsaugą dėl galimybės (rizikos) jiems sukelti žalą ir dėl didelio jos dydžio tuo atveju, jei įvyktų atsitiktinis ar apgalvotas duomenų atskleidimas, pakeitimas arba sunaikinimas. Šis terminas apima tokius duomenis, kurių neteisingas panaudojimas arba atskleidimas gali neigiamai atsiliepti organizacijos sugebėjimui spręsti jai iškylančius uždavinius, jiems priklauso asmeniniai ir kiti duomenys, kurių apsaugos reikalauja LR ir kiti įstatyminę galią turintys dokumentai.

NUSIKALTIMAI IR PIKTNAUDŽIAVIMAI

Ataskaitos apie užsienyje ir mūsų šalyje išaiškintus kompiuterinius nusikaltimus leidžia apibūdinti pagrindines jų atlikimo technologijas. Tik nedaugelis jų apima kompiuterių ar duomenų sunaikinimą – atvejai, kai sunaikinama speciali įranga, programos arba duomenys, procentiškai pagal 100 balų skalę sudaro tik 3 sukčiavimo ir 8 piktnaudžiavimo atvejus. Dauguma sukčiavimo ir piktnaudžiavimo kompiuteriais atvejų būdavo naudojamasi informacija – ji būdavo kuriama, modifikuojama ir panaudojama.

PENKIOS PAGRINDINĖS TECHNOLOGIJOS, NAUDOJAMOS ATLIKTI KOMPIUTERINIAMS NUSIKALTIMAMS

Sukčiavimai
1. Neautorizuotos informacijos įvedimas
2. Manipuliacija įvesčiai leista informacija
3. Manipuliacijos failais su informacija arba neteisingas jų panaudojimas
4. Neautorizuotų failų su informacija kūrimas
5. Vidinių apsaugos priemonių apėjimas

Piktnaudžiavimai
1. Kompiuterių laiko, programų, informacijos ir įrangos vagystės
2. Neautorizuotos informacijos įvedimas
3. Neautorizuotų failų su informacija kūrimas
4. Kompiuterinių programų, neskirtų tarnybiniam naudojimui, kūrimas
5. Manipuliavimas arba neteisingas panaudojimas galimybių, kurių dėka kompiuteriais galima atlikti kokį nors darbą
 
Kita vertus, vertėtų peržiūrėti pagrindinius jų atlikimui naudojamus metodus. Jie apima:
 
1. Sukčiavimą su duomenimis. Tikriausiai, labiausiai paplitęs metodas, kuriuo atliekami kompiuteriniai nusikaltimai, nes jam nereikalingos techninės žinios ir jis gana saugus. Informacija keičiama jos įvesties į kompiuterį arba išvesties iš jo metu, pavyzdžiui, įvedant dokumentai gali būti pakeičiami sufalsifikuotais, vietoj darbui naudojamų diskečių pakištos svetimos, ir duomenys gali būti sufalsifikuoti.
2. Skanavimą. Kitas paplitęs nusikaltimu galintis baigtis informacijos gavimo metodas. Kitų darbuotojų failus skaitantys bendradarbiai juose gali aptikti informaciją apie savo kolegas. Informacija, leidžianti gauti priėjimą prie failų arba juos pakeisti, gali būti aptikta po tokio paprasto veiksmo, kaip apžiūrėjus šiukšlių kibirus (vad. garbaging metodas). Ant stalo paliktos disketės gali būti nuskaitytos, nukopijuotos ir pavogtos. Labai gudrus skanuotojas kompiuteryje ar informacijos kaupiklyje likusią informaciją gali peržiūrėti netgi po to, kai darbuotojas atliko užduotį ir ištrynė savo failus.
3. Trojos arklius. Šis metodas pavojingas tuo, kad vartotojas net nepastebi, kad kompiuterinė programa buvo pakeista taip, kad turi papildomų funkcijų. Naudingas funkcijas atliekanti programa gali būti rašoma tokiu būdu, kad savyje turėtų papildomas užslėptas funkcijas, naudosiančias sistemos apsaugos mechanizmų ypatybes (pvz., programą paleidusio vartotojo priėjimo prie failų teises).
4. Liuką. Šis metodas pagrįstas paslėptu programiniu arba aparatiniu mechanizmu, leidžiančiu apeiti sistemos apsaugos metodus ir dažniausiai aktyvuojamas įtarimo nekeliančiu būdu. Kai kada programa rašoma taip, kad neautorizuotą mechanizmą paleistų specifinis įvykis, pavyzdžiui, per tam tikrą dieną apdorotų tranzakcijų skaičius.
5. „Saliami“ technologiją. Taip pavadinta todėl, kad nusikaltimas atliekamas atsargiai, nedidelėmis dalimis, tokiomis mažomis, kad jos iškart nepastebimos. Dažniausia šią technologiją „lydi“ kompiuterinės programos pakeitimas. Pavyzdžiui, banke mokesčiai gali būti apvalinami iki kelių skaičių po kablelio, ir skirtumas tarp realios ir suapvalintos sumos periodiškai pervedamas į specialiai atidarytą piktavalio sąskaitą.
6. Superatjungimą. Taip pavadintas pagal ne viename kompiuterių centre naudotą programą, skirtą avarinėmis situacijomis apeiti sisteminės apsaugos priemonėms, metodas. Šio „pagrindinio rakto“ žinojimas suteikia galimybę bet kuriuo metu gauti priėjimą prie kompiuterio ir jame esančios informacijos.
 
Kompiuterinių nusikaltimų pavyzdžiai:
  • mokesčius priimantis operatorius, sužinojęs apie indėlininko mirtį, atidarė sąskaitą, naudodamas mirusio kliento vardą ir kitus duomenis. Indėlininkas nebuvo pašalintas iš klientų sąrašo, į kurių sąskaitas buvo pervedami procentai, o kompiuterine sistema buvo pakeistas jo adresas ir paprašyta pinigus pervesti į operatoriaus atidarytą sąskaitą
  • didelė žala buvo padaryta, pristatant federalinei vyriausybei skirtos įrangos užsakymą. Buvo paruošti fiktyvūs rekvizitai sąskaitai, nukreiptai į didelį kompiuterių centrą. Pagal šiuos rekvizitus realiai privačiai firmai, atliekančiai vyriausybinius užsakymus, buvo išsiųsta įranga. Prieš patį jos pristatymą vienas iš piktadarių paskambino į šią firmą ir perspėjo ją apie „klaidą“, o po to gautą įrangą pristatė patiems piktadariams.
  • Trys nutolusį terminalą naudojantys operatoriai į kompiuterį įvedė fiktyvią užklausą ir kaip procentus gavo 150 tūkstančių dolerių, o po to ištrynė įrašus apie šias tranzakcijas.
Ypač reikėtų paminėti Lietuvoje dar neįprastą kompiuterinių nusikaltimų rūšį – informacijos vagystes. Dažniausiai asmeninė informacija, informacija apie kontrakto sąlygas ir konfidenciali kompanijos informacija (pavyzdžiui, produktui sukurti reikalinga technologija) parduodama pašaliniams asmenims arba asmeninei naudai gauti kopijuojama ir panaudojama programinė įranga.

Požymiai
Pažeidžiamų vietų buvimą informaciniame saugume gali rodyti šie požymiai:
 
1. Nesukurtos informacinės saugos nuostatos arba jų nesilaikoma. Nepaskirtas už informacinę saugą atsakingas asmuo.
 
2. Slaptažodžiai užrašomi ant kompiuterinių terminalų, paliekami viešai prieinamose vietose arba jais keičiamasi su kitais darbuotojais; atvejai, kai jie prieš įvedimą rodomi kompiuterio ekrane.
 
3. Per nuotolį valdomi terminalai ir mikrokompiuteriai paliekami be priežiūros darbo ir nedarbo valandomis, tuo tarpu be priežiūros paliktuose kompiuterių ekranuose rodomi duomenys.
 
4. Neegzistuoja apribojimų prieigai prie informacijos arba to, kaip ji gali būti naudojama. Visi vartotojai turi priėjimą prie visos informacijos ir gali atlikti visas sistemos funkcijas.
 
5. Nėra naudojami sisteminiai žurnalai ir nesaugoma informacija apie tai, kas ir kam naudoja kompiuterį.
 
6. Pakeitimai ir programos diegiamos be išankstinio vadovybės leidimo.
 
7. Nėra dokumentacijos arba ji neleidžia atlikti tokių veiksmų, kaip: suprasti gaunamas ataskaitas ir formules, pagal kurias gaunami rezultatai, modifikuoti programas, ruošti duomenis įvesčiai, taisyti klaidas, atlikti apsaugos priemonių įvertinimą ir suprasti pačius duomenis – jų šaltinius, saugojimo formatus, jų tarpusavio sąryšius.
 
8. Daromi daugybiniai bandymai įeiti į sistemą, naudojant neteisingus slaptažodžius.
 
9. Netikrinamas įvedamų duomenų korektiškumas ir tikslumas arba jų įvedimo metu daug duomenų atmetama dėl juose esančių klaidų, todėl prireikia daug kartų taisyti duomenis, žurnaluose nedaromi įrašai apie atmestas tranzakcijas.
 
10. Yra sistemų išėjimo iš rikiuotės atvejų, sukeliančių didelių nuostolių.
 
11. Neatliekama kompiuteriu apdorojamos informacijos analizė, kurios tikslas – jam tinkamo apsaugos lygio nustatymas.
 
12. Skiriama per mažai dėmesio informaciniam saugumui. Nors saugumo politika ir egzistuoja, dauguma žmonių mano, kad ji iš tikrųjų nereikalinga.

Informacinio saugumo apsaugos priemonės

1.Kontroliuokite prieigą tiek prie informacijos kompiuteryje, tiek ir prie taikomųjų programų. Jūs turite turėti garantijas, kad prie informacijos ir programų priėjimą turi tik autorizuoti vartotojai.

Vartotojų identifikacija

Straipsniai 1 reklama

Reikalaukite, kad vartotojai atliktų įėjimo į kompiuterį procedūrą, ir naudokite tai kaip identifikacijos darbo pradžioje priemonę. Tam, kad būtų efektyviai kontroliuojamas mikrokompiuteris, gali būti žymiai naudingiau naudoti jį kaip vieną vartotoją turinčią sistemą. Dažniausiai mikrokompiuteris neturi įėjimo į sistemą procedūros, todėl teisė naudoti kompiuterį suteikiama tiesiog jo įjungimu.

Vartotojų autentifikacija

Vartotojo asmenybės autentifikavimui kiekvienas vartotojas turi naudoti unikalius slaptažodžius, kurie nėra sudaryti iš asmeninių vartotojo duomenų kombinacijų. Įdiekite slaptažodžių administravimo priemones, ir supažindinkite vartotojus su dažniausiai pasitaikančiomis klaidomis, leidžiančiomis įvykti kompiuteriniam nusikaltimui…

Kitos apsaugos priemonės:
Slaptažodžiai – tik vienas iš autentifikavimo metodų, tai – kažkas, ką žino tik vartotojas. Kitais taip pat efektyviais autentifikavimo metodais laikoma tai, ką turi vartotojas (pavyzdžiui, magnetinė kortelė), unikalios vartotojo charakteristikos (jo balsas ar kiti biometriniai duomenys).
Jei kompiuteryje turimas įdiegtas standartinis slaptažodis (slaptažodis, kuris įdiegtas į programas ir leidžia apeiti priėjimo prie jo kontrolės priemones), būtinai jį pakeiskite.
Padarykite taip, kad vartotojui įėjus į sistemą, kompiuteryje esančios programos praneštų jam paskutinio seanso laiką ir po to sekusių nesėkmingų bandymų atidaryti seansą skaičių. Tai vartotoją leis padaryti sudėtine žurnalų patikros sistemos dalimi.

Saugokite savo slaptažodį

  • su niekuo nesidalykite savo slaptažodžiu
  • pasirinkite sunkiai įspėjamą slaptažodį
  • naudokite mažąsias ir didžiąsias raides, skaičius arba pasirinkite įmantrų posakį ir iš jo slaptažodžiui paimkite kas ketvirtą raidę. Dar geresnis sprendimas – slaptažodį leisti sugeneruoti pačiam kompiuteriui.
  • nenaudokite slaptažodžio, kurį sudaro jūsų adresas, slapyvardis, žmonos, vaikų vardai, telefonų numeriai ar kiti lengvai nuspėjami duomenys.
  • naudokitės ilgais slaptažodžiais, nes jie saugesni už tuos, kurie sudaryti iš nuo 6 iki 8 simbolių
  • užtikrinkite, kad įvedant slaptažodį, jis nebūtų matomas ekrane („žvaigždutės“)
  • užtikrinkite slaptažodžių nebuvimą spausdintinėje informacijoje
  • neužrašinėkite slaptažodžių ant stalo, sienos, terminalo arba telefono aparato. Laikykite jį atmintyje.
Rimtai žiūrėkite į slaptažodžių administravimą

  • periodiškai keiskite slaptažodžius ir tai darykite pagal grafiką
  • šifruokite arba dar ką nors darykite su kompiuiteryje saugomais slaptažodžių failais, kad jie būtų apsaugoti nuo neautorizuoto priėjimo.
  • į slaptažodžių administratoriaus pareigas skirkite tik patį patikimiausią žmogų
  • nenaudokite vieno ir to pačio slaptažodžio visiems grupės vartotojams
  • keiskite slaptažodžius, kai darbuotojas išeina (atleidžiamas) iš darbo
  • priverskite žmones pasirašyti už gautus slaptažodžius
  • nustatykite ir įdiekite darbo su slaptažodžiais taisykles ir užtikrinkite, kad visi jas žinotų
Autorizacijos procedūros

sukurkite autorizacijos procedūras, kurios nustato, kurie vartotojai turi turėti priėjimą prie vienos ar kitos informacijos ir programų ir naudokite atitinkamas priemones, kad šios procedūros būtų įdiegtos organizacijoje.

įveskite tvarką organizacijoje, kuriai esant, kompiuterinių resursų naudojimui, prieigos prie informacijos bei programų ir slaptažodžio gavimui reikalingas vienų ar kitų viršininkų leidimas.

Failų apsauga

Be vartotojų identifikacijos ir autorizacijos procedūrų, sukurkite procedūras, apribojančias priėjimą prie failų su duomenimis:
  • informacijos tipui nurodyti naudokite jų turimas išorines ir vidines failų žymas, ir atitinkamą apsaugos lygį
  • apribokite prieigą į patalpas, kuriose saugomi duomenų failai, tokias, kaip archyvai ir duomenų bibliotekos
  • naudokite organizacines ir programines-aparatines priemones, priėjimą prie failų leidžiančias tik autorizuotiems vartotojams

Saugos darbe taisyklės

  • išjunkite nenaudojamus terminalus
  • uždarykite kambarių, kuriuose yra terminalai, duris
  • pasukite kompiuterių ekranus taip, kad jų turinys nebūtų matomas iš įėjimo pusės nuo durų, langų ir patalpose esančių nekontroliuojamų vietų
  • įdiekite specialią įrangą – tokią, kaip įrenginiai, ribojantys neteisingų bandymų gauti prieigą skaičių arba vartotojų, prieigai prie kompiuterių naudojančių telefonus, asmenybės patikrinimui inicijuojančius atgalinį skambutį (callback)
  • užprogramuokite terminalus taip, kad jie kurį laiką nenaudojami išsijungtų patys
  • jei tai įmanoma, išjunkite sistemą nedarbo valandomis
2. Saugokite informacijos vientisumą. Įvedama informacija turi būti autorizuojama, pilna, tiksli ir turi būti tikrinama, ar joje nėra klaidų.
Informacijos vientisumas

Informacijos tikslumą tikrinkite procedūromis, leidžiančiomis sulyginti jos apdorojimo rezultatus su numanomais rezultatais. Pavyzdžiui, galima sulyginti sumas arba sutikrinti numerių sekas.
Tikrinkite įvedamų duomenų tikslumą, reikalaudami iš darbuotojų atlikti jų korektiškumo patikrinimus, tokius kaip:
  • patikros leistiname (skaitiniame arba raidiniame) diapazone esančių simbolių radimui
  • patikros leistiname diapazone esančių raktinių duomenų radimui
  • patikros, skirtos nustatyti ryšių su kitais duomenimis korektiškumai, palyginant pradinius įvesčiai skirtus duomenis su kituose failuose esančiais duomenimis
  • racionalumo analizė, palyginanti pradinius įvesčiai skirtus duomenis su tikėtinomis standartinėmis reikšmėmis
  • tranzakcijų, palyginančių pradinius duomenis su administraciškai nustatytais apribojimais konkrečioms tranzakcijoms, apribojimas
Trasuokite sistemos tranzakcijas
Atlikite kryžminius failų turinio patikrinimus, palygindami įrašų skaičių arba kontroliuodami įrašų laukelio sumų skaičių.

3. Saugokite sistemines programas. Jei PĮ naudojama kelių vartotojų, apsaugokite ją nuo slaptos modifikacijos, naudodami saugos politiką, o jos kūrimo metu – apsaugos priemones ir PĮ kontrolę jos gyvybinio ciklo metu, taip pat apmokant darbuotojus su kompiuterines sauga susijusių žinių.

Programų kūrimo metu taikomos apsaugos priemonės ir atitinkamos politikos turi turėti pakeitimams programose atlikti, priimti ir testuoti prieš atidavimą eksploatacijai leidžiančias procedūras. Politikos turi reikalauti atitinkamo vadovybei priklausančio asmens leidimo, kad programose būtų atlikti pakeitimai, apriboti asmenų, kuriems leista atlikti tokius pakeitimus, sąrašai ir aiškiai aprašytos taisyklės, nustatančios darbuotojų pareigas dokumentacijos tvarkymo atžvilgiu.
Turi būti sukurtas ir palaikomas taikomųjų programų katalogas.
Turi būti įdiegtos apsaugos priemonės, leidžiančios išvengti neautorizuotų žmonių mėginimų naudojantis per nuotolį valdomais terminalais gauti, pakeisti arba pridėti programas.

4. Padarykite apsaugos priemones labiau adekvačiomis, pasitelkdami organizacijas, užsiimančias informacinio saugumo testavimu, apsaugos priemonių ir taikomųjų programų apsaugos kūrimu ir konsultuokitės su jomis tam, kad būtų nustatyta testų ir patikrinimų būtinybė kritinių duomenų apdorojimui. Į kompiuterines programas integruoti kontroliniai žurnalai gali padėti išvengti arba išaiškinti kompiuterinio sukčiavimo ir piktnaudžiavimo kompiuteriais atvejus.
Turi būti vedami kontroliniai žurnalai, kurių paskirtis – stebėti, kuris vartotojas atnaujino kritiškai svarbius informacinius failus

Jei kompiuteriuose saugomos informacijos kritiškumas reikalauja kontrolinių žurnalų vedimo, tai svarbios tiek fizinės apsaugos, tiek prieigos kontrolės priemonės.
Kompiuterių tinkle žurnalai turi būti saugomi hoste, o ne darbinėje stotyje.
Kontroliniai žurnalai neturi būti atjungiame didesnės greitaveikos naudai.
Spausdintinės kontrolinių žurnalų kopijos privalo būti pakankamai dažnai ir reguliariai peržiūrimos.

5. Peržiūrėkite jūsų organizacijai kylančius informacinės saugos klausimus. Neapsaugotomis linijomis perduodami duomenys gali būti perimti.
 
FIZINIS SAUGUMAS

Tradicinis saugumas: spynos, užtvaros ir apsauga

Fizinis saugumas reiškia tik kompiuterio ir jame esančios informacijos saugumą nuo fizinių pavojų ant į patalpas vedančių durų uždėtų spynų dėka. Prie tokių pačių pastangų galima priskirti ir aplink statinius renčiamas užtvaras ir pastato viduje budinčią apsaugą, tačiau fizinio saugumo suvokimas dabar pasikeitė dėl šiuolaikinės kompiuterinės terpės – aplinkos, kuri dažnai suprantama kaip didelis biuras, kuriame yra didelis skaičius asmeninių kompiuterių arba terminalų.

Fizinis saugumas susijęs su apsaugos priemonių, kurios saugo nuo stichinių nelaimių (gaisrų, potvynių ir žemės drebėjimų), o taip pat įvairių atsitiktinių incidentų, diegimu. Fizinės saugos priemonės nustato tai, kokia bus kompiuterio aplinka, įvedami duomenys ir informacijos apdorojimo rezultatai. Be patalpų, kuriose yra kompiuterinė įranga, aplinka apima ir programų bibliotekas, žurnalus, maginetinius kaupiklius, archyvams ir technikos remontui skirtas patalpas.

Fizinės saugos priemonės privalo atitikti dabartinę tikrovę ir siekti gero efektyvumo/neaukštos kainos santykio, pavyzdžiui, brangiai kainuojančios priešgaisrinės sistemos pirkimas gali būti pagrįstas didelio kompiuterio, apdorojančio kritinius duomenis, apsaugos būtinybe, tačiau būtina atsisakyti nepagrįstai brangios priešgaisrinės sistemos, skirtos vieno asmeninio kompiuterio apsaugai.

Nusikaltimai ir piktnaudžiavimai

Kompiuteriai gali būti pažeisti, pavogti arba specialiai išvesti iš rikiuotės, naudojant trumpąjį jungimą. Diskai ir juostelės gali būti sunaikinti įvairiais gėrimais, o kompiuteriai – užlieti vandeniu. Taip pat kompiuterius rimtai gali pažeisti gaisras, įtampos šuoliai, stichinės nelaimės ir kiti incidentai. Informacija gali būti perimta, pavogta, parduota ir savanaudiškais tikslais panaudota atskiro žmogaus ar visos konkurentų kompanijos.

Asmeniniai kompiuteriai ypatingai traukia vagis. Gaisro metu specialiuose seifuose nesaugomus diskus arba terminaluose paliktus diskelius gali sunaikinti priešgaisrinė sistema, ir juose buvusios informacijos atkūrimui gali prireikti tūkstančių dolerių.

Tačiau, iš visko sprendžiant, pagrindinė kompiuterių sunaikinimo priežastis – tai tiesiog žmonių neatsargumas ir neigiama juos supančios aplinkos įtaka.

Požymiai

Pažeidžiamų vietų buvimą fizinėje apsaugoje gali rodyti šie požymiai:
  • leista rūkyti, valgyti ir gerti prie kompiuterių
  • kompiuterinė įranga paliekama neuždarytuose kambariuose arba dėl kokių nors kitų priežasčių lieka neapsaugota
  • nėra priešgaisrinės signalizacijos
  • diskai paliekami stalų stalčiuose, nedaromos archyvinės (archive) ir atsarginės (backup) diskų kopijos
  • lankytojai neklausiami, kodėl jie yra patalpose, kuriose yra kompiuterių
  • nėra kompiuterinės įrangos ir programų rejestro arba jis nepilnas, neatnaujinamas ar jį užpildžius, jis reguliariai netikrinamas.
  • kritinius duomenys sudaranti spausdintinė informacija, mikrofišos, diskai nenaikinant išmetami į paprastas šiukšlių dėžes
  • spynos ant į patalpas, kuriose yra kompiuterių, durų niekada nebuvo keičiamos
  • nebuvo atliekamos automatizuotos organizacijos sistemos atestacijos, tai yra, analizė, kiek ji pažeidžiama neautorizuotų žmonių prieigos aspektu, gaisro ar potvynio atvejais.

Fizinės saugos priemonės

1.Išvengti piktybiško sunaikinimo, neautorizuotos prieigos ar vagystės

Asmeniniai kompiuteriai gali būti užrakinti kanbariuose ir prieiga prie jų gali būti apribota klaviatūros blokavimo įrenginiais, ir t.t. Įsitikinkite, kad žmonės vykdo savo pareigas, naudodamiesi kompiuteriais ir, kad juos galima sukontroliuoti.

Jei informacija apdorojama dideliame skaičiavimo centre, patikrinkite, kaip kontroliuojama fizinė prieiga prie skaičiavimo technikos. Tinkamais gali būti pripažinti tokie metodai, kaip žurnalai, spynos ir leidimų, o taip pat apsaugos naudojimas.

Kritiškai svarbios informacijos įvedimas reikalauja tinkamo pradinių dokumentų tvarkymo. Teisingas jų tvarkymas reiškia vienodų darbo su dokumentais principų laikymąsi, nepriklausomai nuo to, ar jie naudojami automatizuotoje ar neautomatizuotoje sistemoje. Į darbo taisykles gali būti įtrauktas darbas saugioje patalpoje, dokumentų apskaita žurnaluose, garantijos to, kad su šiais dokumentais galėtų susipažinti tik atitinkamą leidimą  turintys žmonės ir dokumentų naikinimui skirtų įrenginių (dokumentų naikiklių ir kt.) naudojimas.

Įdėmiai išanalizuokite kompiuterių išdėstymą. Ar jie ne per daug prieinami neautorizuotiems asmenims arba pernelyg pažeidžiami stichinių nelaimių atveju?

Jūs privalote suprasti tai, kokios yra pagrindinės pašalinių asmenų lydėjimo schemos. Pavyzdžiui, autorizuotas darbuotojas kompiuterinėje zonoje turi lydėti spausdintinės kompiuterinės informaciją turintį lankytoją, tvirtinantį, jog jis yra kompiuterių remonto technikas.

Jūs turite žinoti, kas turi prieigos prie kompiuterinės įrangos teises ir vyti nuo jos pašalinius asmenis.
Daugelis žmonių mano, kad spynas turinčios ir saugomos durys užtikrina fizinį saugumą, bet kompiuterių skleidžiamas elektromagnetinis spinduliavimas gali būti perimtas, ir taip nuskaityta jų ekranuose esanti informacija. Šito išvengti padedančios apsaugos priemonės turi atitikti reikiamą saugumo lygį; reikia atsižvelgti ir į tokį faktą, kad tokio perėmimo galimybė labai reta, bet gali ir įvykti.
Gali būti imtasi ir kitų nebrangių saugumo priemonių, kurios garantuotų, kad telefoniniai ir kompiuteriniai ryšio kanalai galėtų atlikti savo funkcijas ir tuo pačiu būtų saugūs. Tinklui gali prireikti išskirtinio, jokių kitų funkcijų neatliekančio kanalo. Iš kitos pusės, asmeninio kompiuterio išskyrimas, leidžiant jame veikti vienai programai, gali būti pačia efektyviausia apsaugos priemone.

Bet kuriai iš pagrindinių automatizuotos informacijos perdavimo technologijų egzistuoja duomenų perėmimo technologija: kabelis (prisijungimas prie kabelio), palydovas (signalą iš palydovo priimanti antena), radijo bangos (bevielio radijo ryšio perėmimas).

Galimos panaudoti apsaugos technologijos apima informacijos šifravimą, išskirtinių linijų naudojimą, saugumo funkcijų turinčių modemų ir balsu atliekamų pokalbių garso iškraipymo (scrambling) naudojimą.

2.Stichinės melaimės gali pridaryti žalos tiek mažoms, tiek didelėms kompanijoms.
Imkitės priemonių, kad būtų išvengta, aptikta ir sumažinta dėl gaisro, jus supančios aplinkos užterštumo, aukštos temperatūros, potvynio ir įtampos šuolių galima patirti žala.

Apsisaugokite nuo gaisro, reguliariai tikrindami priešgaisrinę signalizaciją ir gaisro gesinimo sistemas. Asmeninius kompiuterius nuo gaisro gesinimo sistemos galima apsaugoti, juos uždengus neperšlampama medžiaga; patalpose, kuriose yra kompiuterių, negalima laikyti degių medžiagų.
Statiniai („stovintys“) elektros krūviai gali ištrinti asmeninio kompiuterio atmintį –  to išvengti padeda antistatiniai kompiuteriams skirti kilimėliai. Vartotojams reikėtų priminti apie būtinybę nuimti nuo savęs statinį krūvį, liečiant įžemintą objektą.

Įtampos šuoliai gali išvalyti atmintį, pakeisti programas ir sunaikinti mikroschemas. Nepertraukiamo maitinimo šaltinis (UPS) suteikia pakankamai laiko, kad kompiuterį būtų galima išjungti, nepraradus duomenų. Kompiuterius nuo trumpalaikių įtampos svyravimų apsaugoti gali įtampos filtrai. Perkūnijos metu nepasaugoti asmeniniai kompiuteriai gali būti išjungiami ir atjungiami nuo tinklo.

Patalpoje esančią temperatūrą turi kontroliuoti kondicionieriai ir ventiliatoriai, o taip pat gera patalpose vykstanti ventiliacija. Ten, kur vienoje vietoje yra daugiau kompiuterių, terminalų ar periferinės įrangos, uždarius ventiliacijai skirtas kiaurymes, gali kilti problemų dėl per daug aukštos temperatūros.
Oro filtrai gali išvalyti orą nuo jame esančių kenksmingų medžiagų, kurios gali padaryti žalą kompiuteriams ir diskams. Vertėtų uždrausti rūkyti šalia asmeninių kompiuterių.

Išdėstykite kompiuterius taip, kad jie būtų toliau nuo didelių vandens kiekių šaltinių, pavyzdžiui, patalpas užtvindyti galinčių vamzdžių arba nenaudokite gaisro gesinimo sistemos, jei yra kitų apsaugos nuo gaisro būdų.

Valgį ir gėrimus laikykite toliau nuo kompiuterio.

Prižiūrėkite, kad įranga būtų tvarkinga. Sekite ir žurnaluose žymėkite technikos remonto atvejus. Tai leis kontroliuoti, kas turėjo prieigą prie sistemos. Atsiminkite, kad remontininkų brigados privalo teisingai save identifikuoti.

3. Saugokite visas informacijos laikmenas (pradinius dokumentus, juosteles, kasetes, diskus, spausdintinę informaciją)
  • veskite, kontroliuokite ir tikrinkite informacijos laikmenų rejestrą
  • apmokykite vartotojus teisingų informacijos laikmenų išvalymo ir sunaikinimo procedūrų
  • darykite žymas ant informacijos laikmenų, atspindinčias juose esančios informacijos kritiškumą.
  • naikinkite informacijos laikmenas pagal atitinkamus organizacijos planus
  • įsitikinkite, kad prieiga prie informacijos laikmenų, jų saugojimas, perdavimas, žymėjimas suteiktas tik autorizuotiems žmonėms
  • padarykite taip, kad darbuotojai žinotų apie visus dokumentus, kuriais reikia vadovautis

Pagalvokite apie tokių rekomendacijų pateikimo viešai prieinamoje vietoje galimybę:

Diskai pažeidžiami

  • laikykite juos vokuose ir dėžutėse
  • nerašykite ant vokelių
  • nelankstykite jų
  • nelieskite pačių diskų
  • atsargiai įdėkite juos į kompiuterį
  • neišliekite ant jų gėrimų
  • laikykite juos toliau nuo magnetinio lauko šaltinių
  • saugokite juos metaliniuose seifuose
  • dirbkite su diskais, atsižvelgdami į jų kritiškumą nurodančias žymas

Teisingas vartojimas užtikrina apsaugą

  • ištraukite diskus ir juosteles, kai su jomis nedirbate
  • laikykite juos lentynose išdėstytus tam tikra tvarka
  • neduokite laikmenų su kritine informacija neautorizuotiems žmonėms
  • pažeistus kritinės informacijos turinčius diskus atiduokite tik po jų išmagnetinimo ar analogiškos procedūros
  • diskuose esančią kritinę informaciją naikinkite, juos išmagnetindami ar fiziškai pažeisdami pagal atitinkamą jūsų organizacijoje esančią tvarką
  • kritinę spausdintinę informaciją ir jos spausdinimui adatiniuose spausdintuvuose naudotas dažų juosteles naikinkite pagal atitinkamą jūsų organizacijoje esančią tvarką.
  • užtikrinkite išspausdintų slaptažodžių ir kitos prieigą prie kompiuterių suteikiančios informacijos saugumą
4.Įsitikinkite, kad egzistuoja adekvatūs veiksmų, esant YP (Ypatingajai Padėčiai) planai, užtikrinantys nenutraukiamą darbą. Atsiminkite, kad šių planų tikslas – garantijos to, kad vartotojai galės tęsti pačių pagrindinių savo pareigų vykdymą tais atvejais, jei bus neįmanoma atlikti su informacine technologija susijusių darbų. Galutiniai informacinės technologijos vartotojai, o taip pat aptarnaujantis personalas, privalo žinoti, kaip veikti pagal šiuos planus.

Nenutraukiamo darbo ir atkūrimo planai (NDAP) turi būti parašyti, patikrinti ir darbuotojais turi būti su jais reguliariai supažindinami.

NDAP privalo apimti archyvavimo operacijas, jei negalima naudoti kompiuterių, kuriais būdavo apdorojama informacija, bei prarastos ir sunaikintos informacijos atkūrimo būtinybę.

Ypatingai asmeninių kompiuterių aspektu NDAP privalo numatyti priemones, kurių imamasi, iš rikiuotės išėjus vienai ar kitai technikai, pavyzdžiui, per tinklą naudojamam spausdintuvui.
Procedūros ir technika turi būti planuojamos, atsižvelgiant į gaisro, užtvindymo, ir t.t. tikimybę.
Archyvines informacijos, įskaitant NDAP, kopijas saugokite saugioje, nuo pagrindinių kompiuteriais užimamų patalpų nutolusioje vietoje.

Plano procedūros privalo atitikti informacijos saugumo ir kritiškumo lygį.
Žinokite, ką daryti YP atveju, ir būkite susipažinę su NDAP planu

Atminkite, kad NDAP planas gali būti naudojamas tvarkos nebuvimo ir panikos atvejais. Jūsų darbuotojų treniruotės – gyvybiškai būtinos.
Tags:,

Pridėti komentarą

El. pašto adresas nebus skelbiamas. Būtini laukeliai pažymėti *