нарушается при несанкционированном уничтожении, добавлении лишних элементов и модификации записей о состоянии счетов, изменении порядка расположения данных, формировании фальсифицированных платежных документов в ответ на законные запросы, при активной ретрансляции сообщений с их задержкой.

Несанкционированная модификация информации о безопасности системы может привести к несанкционированным действиям (неверной маршрутизации или утрате передаваемых данных) или искажению смысла передаваемых сообщений. Целостность аппаратуры нарушается при ее повреждении, похищении или незаконном изменении алгоритмов работы.

Угрозы доступности данных. Возникают в том случае, когда объект (пользователь или процесс) не получает доступа к законно выделенным ему службам или ресурсам. Эта угроза реализуется захватом всех ресурсов, блокированием линий связи несанкционированным объектом в результате передачи по ним своей информации или исключением необходимой системной информации.

Эта угроза может привести к ненадежности или плохому качеству обслуживания в системе и, следовательно, потенциально будет влиять на достоверность и своевременность доставки платежных документов.

-Угрозы отказа от выполнения трансакций. Возникают в том случае, когда легальный пользователь передает или принимает платежные документы, а потом отрицает это, чтобы снять с себя ответственность.

Оценка уязвимости автоматизированной информационной системы и построение модели воздействий предполагают изучение всех вариантов реализации перечисленных выше угроз и выявление последствий, к которым они приводят.

Угрозы могут быть обусловлены:

-естественными факторами (стихийные бедствия - пожар, наводнение, ураган, молния и другие причины);

-человеческими факторами, которые в свою очередь подразделяются на: пассивные угрозы (угрозы, вызванные деятельностью, носящей случайный,

неумышленный характер). Это угрозы, связанные с ошибками процесса подготовки, обработки и передачи информации (научно-техническая, коммерческая, валютно-финансовая документация); с нецеленаправленной «утечкой умов», знаний, информации (например, в связи с миграцией населения, выездом в другие страны для воссоединения с семьей и т. п.);

активные угрозы (угрозы, обусловленные умышленными, преднамеренными действиями людей). Это угрозы, связанные с передачей, искажением и уничтожением научных открытий, изобретений, секретов производства, новых технологий по корыстным и другим антиобщественным мотивам (документация, чертежи, описания открытий и изобретений и другие материалы); просмотром и передачей различной документации, просмотром «мусора»; подслушиванием и передачей служебных и других научно-технических и коммерческих разговоров; с целенаправленной «утечкой умов», знаний, информации (например, в связи с получением другого гражданства по корыстным мотивам);

-человеко-машинными и машинными факторами, подразделяющимися на: пассивные угрозы. Это угрозы, связанные с ошибками процесса проектирования,

разработки и изготовления систем и их компонентов (здания, сооружения, помещения, компьютеры, средства связи, операционные системы, прикладные программы и др.); с ошибками в работе аппаратуры из-за некачественного ее изготовления; с ошибками процесса подготовки и обработки информации (ошибки программистов и пользователей из-за недостаточной квалификации и некачественного обслуживания, ошибки операторов при подготовке, вводе и выводе данных, корректировке и обработке информации);

активные угрозы. Это угрозы, связанные с несанкционированным доступом к ресурсам автоматизированной информационной системы (внесение технических изменений в средства вычислительной техники и средства связи, подключение к средствам вычислительной

техники и каналам связи, хищение различных видов носителей информации: дискет, описаний, распечаток и других материалов, просмотр вводимых данных, распечаток, просмотр «мусора»); угрозы, реализуемые бесконтактным способом (сбор электромагнитных излучений, перехват сигналов, наводимых в цепях (токопроводящие коммуникации), визуально-оптические способы добычи информации, подслушивание служебных и научно-технических разговоров и т. п.).

Основными типовыми путями утечки информации и несанкционированного доступа к автоматизированным информационным системам, в том числе через каналы телекоммуникации, являются следующие:

перехват электронных излучений;

принудительное электромагнитное облучение (подсветка) линий связи с целью получения паразитной модуляции несущей;

применение подслушивающих устройств (закладок); дистанционное фотографирование;

перехват акустических излучений и восстановление текста принтера; хищение носителей информации и производственных отходов; считывание данных в массивах других пользователей;

чтение остаточной информации в памяти системы после выполнения санкционированных запросов;

копирование носителей информации с преодолением мер зашиты; маскировка под зарегистрированного пользователя; мистификация (маскировка под запросы системы); незаконное подключение к аппаратуре и линиям связи; злоумышленный вывод из строя механизмов защиты; использование «программных ловушек».

Возможными каналами преднамеренного несанкционированного доступа к информации при отсутствии защиты в автоматизированной информационной системе могут быть:

штатные каналы доступа к информации (терминалы пользователей, средства отображения и документирования информации, носители информации, средства загрузки программного обеспечения, внешние каналы связи) при их незаконном использовании;

технологические пульты и органы управления;

внутренний монтаж аппаратуры;

линии связи между аппаратными средствами;

побочное электромагнитное излучение, несущее информацию;

побочные наводки на цепях электропитания, заземления аппаратуры, вспомогательных и посторонних коммуникациях, размещенных вблизи компьютерной системы.

Способы воздействия угроз на объекты информационной безопасности подразделяются на информационные, программно-математические, физические, радиоэлектронные и организационно-правовые.

К информационным способам относятся:

нарушение адресности и своевременности информационного обмена, противозаконный сбор и использование информации;

несанкционированный доступ к информационным ресурсам;

манипулирование информацией (дезинформация, сокрытие или искажение информации);

незаконное копирование данных в информационных системах; нарушение технологии обработки информации. Программно-математические способы включают:

внедрение компьютерных вирусов;

установку программных и аппаратных закладных устройств;

уничтожение или модификацию данных в автоматизированных информационных

системах.

Физические способы включают:

уничтожение или разрушение средств обработки информации и связи;

уничтожение, разрушение или хищение машинных или других оригинальных носителей информации;

хищение программных или аппаратных ключей и средств криптографической защиты информации;

воздействие на персонал;

поставку «зараженных» компонентов автоматизированных информационных систем. Радиоэлектронными способами являются:

перехват информации в технических каналах ее возможной утечки;

внедрение электронных устройств перехвата информации в технические средства и помещения;

перехват, дешифровка и навязывание ложной информации в сетях передачи данных и линиях связи;

воздействие на парольно-ключевые системы; радиоэлектронное подавление линий связи и систем управления. Организационно-правовые способы включают:

невыполнение требований законодательства и задержки в принятии необходимых нормативно-правовых положений в информационной сфере;

неправомерное ограничение доступа к документам, содержащим важную для граждан и организаций информацию.

Угрозы безопасности программного обеспечения. Обеспечение безопасности автоматизированных информационных систем зависит от безопасности используемого в них программного обеспечения и, в частности, следующих видов программ:

обычных программ пользователей;

специальных программ, рассчитанных на нарушение безопасности системы;

разнообразных системных утилит и коммерческих прикладных программ, которые отличаются высоким профессиональным уровнем разработки и тем не менее могут содержать отдельные недоработки, позволяющие захватчикам атаковать системы.

Программы могут порождать проблемы двух типов: во-первых, могут перехватывать и модифицировать данные в результате действий пользователя, который к этим данным не имеет доступа, и, во-вторых, используя упущения в защите компьютерных систем, могут или обеспечивать доступ к системе пользователям, не имеющим на это права, или блокировать доступ к системе законных пользователей.

Чем выше уровень подготовки программиста, тем более неявными (даже для него) становятся допускаемые им ошибки и тем более тщательно и надежно он способен скрыть умышленные механизмы, разработанные для нарушения безопасности системы.

Целью атаки могут быть и сами программы по следующим причинам:

В современном мире программы могут быть товаром, приносящим немалую прибыль, особенно тому, кто первым начнет тиражировать программу в коммерческих целях и оформит авторские права на нее.

Программы могут становиться также объектом атаки, имеющей целью модифицировать эти программы некоторым образом, что позволило бы в будущем провести атаку на другие объекты системы. Особенно часто объектом атак такого рода становятся программы, реализующие функции защиты системы.

Рассмотрим несколько типов программ и приемы, которые наиболее часто используются для атак программ и данных. Эти приемы обозначаются единым термином -«программные ловушки». К ним относятся «программные люки», «троянские кони», «логические бомбы», атаки «салями», скрытые каналы, отказы в обслуживании и компьютерные вирусы.

Люки в программах. Использование люков для проникновения в программу - один из