Ошибки пользователей и системных администраторов какой источник

В наше время в деятельности любого коммерческого предприятия очень большую важность имеет защита информации. Информация сегодня — ценные ресурс, от которого зависит как функционирование предприятия в целом, так и его конкурентоспособность. Угроз безопасности информационных ресурсов предприятия много: это и компьютерные вирусы, которые могут уничтожить важные данные, и промышленный шпионаж со стороны конкурентов преследующих своей целью получение незаконного доступа к информации представляющей коммерческую тайну, и много другое. Поэтому особое место приобретает деятельность по защите информации, по обеспечению информационной безопасности.

Понятие информационной безопасности

На сегодняшний день существует множество определений информационной безопасности. Приведем лишь пару из них.

Информационная безопасность (англ. «Information security») — защищенность информации и соответствующей инфраструктуры от случайных или преднамеренных воздействий, сопровождающихся нанесением ущерба владельцам или пользователям информации.

Информационная безопасность — обеспечение конфиденциальности, целостности и доступности информации.

Цель защиты информации — минимизация потерь, вызванных нарушением целостности или конфиденциальности данных, а также их недоступности для потребителей.

Угрозы информационной безопасности

Основные типы угроз информационной безопасности:

1. Угрозы конфиденциальности — несанкционированный доступ к данным (например, получение посторонними лицами сведений о состоянии счетов клиентов банка).
2. Угрозы целостности — несанкционированная модификация, дополнение или уничтожение данных (например, внесение изменений в бухгалтерские проводки с целью хищения денежных средств).
3. Угрозы доступности — ограничение или блокирование доступа к данным (например, невозможность подключится к серверу с базой данных в результате DDoS-атаки).

Источники угроз информационной безопасности:

1. Внутренние:
   • ошибки пользователей и сисадминов;
   • ошибки в работе ПО;
   • сбои в работе компьютерного оборудования;
   • нарушение сотрудниками компании регламентов по работе с информацией.
2. Внешние угрозы:
   • несанкционированный доступ к информации со стороны заинтересованных организаций и отдельных лица (промышленный шпионаж конкурентов, сбор информации спецслужбами, атаки хакеров и т. п.);
   • компьютерные вирусы и иные вредоносные программы;
   • стихийные бедствия и техногенные катастрофы (например, ураган может нарушить работу телекоммуникационной сети, а пожар уничтожить сервера с важной и ценной информацией).

Методы и средства защиты информации

Методы обеспечения безопасности информации в информационной системе:

• Препятствие — физическое преграждение пути злоумышленнику к защищаемой информации (например, коммерчески важная информация хранится на сервере внутри здания компании, доступ в которое имеют только ее сотрудники).
• Управление доступом — регулирование использования информации и доступа к ней за счет системы идентификации пользователей, их опознавания, проверки полномочий и т. д. (например, когда доступ в отдел или на этаж с компьютерами, на которых хранится секретная информация, возможен только по специальной карточке-пропуску. Или когда каждому сотруднику выдается персональный логин и пароль для доступа к базе данных предприятия с разными уровнями привилегий).
• Криптография — шифрование и защита информации с помощью специальных алгоритмов (например, шифрование данных при их пересылке по Интернету; или использование электронной цифровой подписи; или хранение информации в блокчейне).
• Противодействие атакам вредоносных программ (англ. «malware») — предполагает использование внешних накопителей информации только от проверенных источников, антивирусных программ, брандмауэров, регулярное выполнение резервного копирования важных данных и т. д. (вредоносных программ очень много и они делятся на ряд классов: вирусы, эксплойты, логические бомбы, трояны, сетевые черви и т. п.).
• Регламентация — создание условий по обработке, передаче и хранению информации, в наибольшей степени обеспечивающих ее защиту (специальные нормы и стандарты для персонала по работе с информацией, например, предписывающие в определенные числа делать резервную копию электронной документации, запрещающие использование собственных флеш-накопителей и т. д.).
• Принуждение — установление правил по работе с информацией, нарушение которых карается материальной, административной или даже уголовной ответственностью (штрафы, закон «О коммерческой тайне» и т. п.).
• Побуждение — призыв к персоналу не нарушать установленные порядки по работе с информацией, т. к. это противоречит сложившимся моральным и этическим нормам (например, Кодекс профессионального поведения членов «Ассоциации пользователей ЭВМ США»).

Средства защиты информации:

• Технические (аппаратные) средства — сигнализация, решетки на окнах, генераторы помех воспрепятствования передаче данных по радиоканалам, вход в здание или помещение по ключ-карте, электронные ключи и т. д.
• Программные средства — программы-шифровальщики данных, антивирусы, брандмауэры, бэкап-системы, системы аутентификации пользователей и т. п.
• Смешанные средства — комбинация аппаратных и программных средств.
• Организационные средства — правила работы, регламенты, законодательные акты в сфере защиты информации, подготовка помещений с компьютерной техникой и прокладка сетевых кабелей с учетом требований по ограничению доступа к информации и пр.

Полезные ссылки

• ГОСТ Р 50922-96 «Защита информации. Основные термины и определения»
• Федеральный закон от 29.07.2004 N 98-ФЗ (ред. от 11.07.2011) «О коммерческой тайне»

© Копирование любых материалов статьи допустимо только при указании прямой индексируемой ссылки на источник: Галяутдинов Р.Р.

Нашли опечатку? Помогите сделать статью лучше! Выделите орфографическую ошибку мышью и нажмите Ctrl + Enter.

Библиографическая запись для цитирования статьи по ГОСТ Р 7.0.5-2008:
Галяутдинов Р.Р. Информационная безопасность. Виды угроз и защита информации // Сайт преподавателя экономики. [2014]. URL: https://galyautdinov.ru/post/informacionnaya-bezopasnost (дата обращения: 22.09.2023).

From Wikipedia, the free encyclopedia

A user error is an error made by the human user of a complex system, usually a computer system, in interacting with it. Although the term is sometimes used by human–computer interaction practitioners, the more formal human error term is used in the context of human reliability.

Related terms such as PEBMAC («problem exists between monitor and chair»), identity error or ID-10T/1D-10T error («idiot error»), PICNIC («problem in chair, not in computer»), IBM error («idiot behind machine error») and skill issue («lack of skill») and other similar phrases are also used as slang in technical circles with derogatory meaning.^[1] This usage implies a lack of computer savviness, asserting that problems arising when using a device are the fault of the user. Critics of the term argue that the problems are caused instead by poor product designs that fail to anticipate the capabilities and needs of the user.

The term can also be used for non-computer-related mistakes.

Causes[edit]

Joel Spolsky points out that users usually do not pay full attention to the computer system while using it. He suggests compensating for this when building usable systems, thus allowing a higher percentage of users to complete tasks without errors:

For example, suppose the goal of your program is to allow people to convert digital camera photos into a web photo album. If you sit down a group of average users with your program and ask them all to complete this task, then the more usable your program is, the higher the percentage of users that will be able to successfully create a web photo album. To be scientific about it, imagine 100 real world users. They are not necessarily familiar with computers. They have many diverse talents, but some of them distinctly do not have talents in the computer area. Some of them are being distracted while they try to use your program. The phone is ringing. The baby is crying. And the cat keeps jumping on the desk and batting around the mouse.

Now, even without going through with this experiment, I can state with some confidence that some of the users will simply fail to complete the task, or will take an extraordinary amount of time doing it.^[2]

Experts in interaction design such as Alan Cooper^[3] believe this concept puts blame in the wrong place, the user, instead of blaming the error-inducing design and its failure to take into account human limitations. Bruce «Tog» Tognazzini describes an anecdote of Dilbert creator Scott Adams losing a significant amount of work of comment moderation at his blog due to a poorly constructed application that conveyed a wrong mental model, even though the user took explicit care to preserve the data.^[4]

Jef Raskin advocated designing devices in ways that prevent erroneous actions.^[5]

Don Norman suggests changing the common technical attitude towards user error:

Don’t think of the user as making errors; think of the actions as approximations of what is desired.^[6]

Acronyms and other names[edit]

Terms like PEBMAC/PEBCAK or an ID10T error are often used by tech support operators and computer experts to describe a user error as a problem that is attributed to the user’s ignorance instead of a software or hardware malfunction. These phrases are used as a humorous^[7] way to describe user errors. A highly popularized example of this is a user mistaking their CD-ROM tray for a cup holder, or a user looking for the «any key». However, any variety of stupidity or ignorance-induced problems can be described as user errors.

PEBKAC/PEBCAK/PICNIC[edit]

Phrases used by the tech savvy to mean that a problem is caused entirely by the fault of the user include PEBKAC^[8] (an acronym for «problem exists between keyboard and chair»), PEBCAK^[9] (an alternative, but similar, acronym for «problem exists between chair and keyboard»), POBCAK (a US government/military acronym for «problem occurs between chair and keyboard»), PICNIC^[10] («problem in chair not in computer») and EBKAC («Error between keyboard and chair»). Another variant is PEBUAK (Problem Exists Between User and Keyboard).

In 2006, Intel began running a number of PEBCAK web-based advertisements^[11] to promote its vPro platform.

ID-10-T error[edit]

ID-Ten-T error^[12] (also seen as ID10T and ID107) is a masked jab at the user: when ID-Ten-T is spelled out it becomes ID10T («IDIOT»). It is also known as a «Ten-T error» or «ID:10T error». The User Friendly comic strip presented this usage in a cartoon on 11 February 1999.^[13]

In United States Navy and Army slang, the term has a similar meaning, though it is pronounced differently:

• The Navy pronounces ID10T as «eye dee ten tango».^[14]
• The Army instead uses the word 1D10T which it pronounces as «one delta ten tango».

In other languages[edit]

In Danish it is called a Fejl 40, or «Error 40», indicating that the error was 40 centimetres (16 in) from the device.

In Swedish the phrase skit bakom spakarna («shit behind the levers») or skit bakom styret («shit behind steering wheel») or the abbreviation «SBS-problem» is used. A variant used in the ICT domain is skit bakom tangenterna («shit behind the keyboard») abbreviated «SBT».

In French it is described as an «ICC» problem (interface chaise-clavier), a problem with the keyboard-chair interface, very similarly to the PEBKAC.

In Québec it is called a Cas-18, indicating that the error was 18 inches (46 cm) from the device. Better known as «Code-18».

In Portuguese it is called a «BIOS problem» (Burro Idiota Operando o Sistema), translated as «Dumb Idiot Operating the System», or USB (Utilizador Super Burro), translated as «Super Dumb User».^{[citation needed]}

In German it is called a «DAU» (Dümmster anzunehmender User), literally translated as «dumbest assumed user», referring to the common engineering acronym «GAU» (Größter anzunehmender Unfall), for a maximum credible accident, or worst-case scenario.

In subcultures[edit]

The computing jargon refers to «wetware bugs» as the user is considered part of the system, in a hardware/software/wetware layering.

The automotive repair persons’ version is referring to the cause of a problem as a «faulty steering actuator», «broken linkage between the seat and the steering wheel», «loose nut between the steering wheel and the seat,» or more simply, «loose nut behind the wheel.» Similarly, typewriter repair people used to refer to «a loose nut behind the keyboard» or a «defective keyboard controller.»

The broadcast engineering or amateur radio version is referred to as a «short between the headphones». Another term used in public safety 2-way radio (i.e. police, fire, ambulance, etc.) is a «defective PTT button actuator».

Another similar term used in the United States military is «operator headspace and timing issue» or «OHT,» borrowing terminology related to the operation of the M2 Browning machine gun.^[15]

«(It’s a) carbon based error», indicates a user problem (as humans are a carbon-based life-form), as opposed to a silicon one.^[16]

Some support technicians refer to it as «biological interface error».

The networking administrators’ version is referring to the cause of a problem as a «layer 8 issue», referring to the «user» or «political» layer on top of the 7-layer OSI model of computer networking.

In video game culture, user error is sometimes referred to as a «skill issue», often as a retort to the player complaining about the game’s perceived unfairness.^[17]

See also[edit]

• Error message
• Latent human error
• Luser – Local user, or loser
• Mode error
• RTFM
• Social engineering
• Pilot error
• Undo

References[edit]

Раздел
1

Концепция
информационной безопасности

Лекция 4

1.3

 Угрозы безопасности информации

План лекции

1.       Основные определения

2.       Критерии классификации угроз

3.       Источники угроз

1. Основные определения

Угроза – это
потенциальная возможность определенным образом нарушить информационную
безопасность.

Попытка
реализации угрозы называется атакой, а тот, кто предпринимает такую попытку, – злоумышленником.
Потенциальные злоумышленники называются источниками угрозы.

Показатель,
характеризующий безопасность информации при воздействии различных факторов
опасности, – это критерий безопасности.

Чаще всего угроза является
следствием наличия уязвимых мест в защите информационных систем (таких,
например, как возможность доступа посторонних лиц к критически важному
оборудованию или ошибки в программном обеспечении).

Промежуток
времени от момента, когда появляется возможность использовать слабое место, и
до момента, когда пробел ликвидируется, называется окном опасности, ассоциированным
с данным уязвимым местом. Пока существует окно опасности, возможны успешные
атаки на ИС.

Если
речь идет об ошибках в программном обеспечении, то окно опасности
«открывается» с появлением средств использования ошибки и
ликвидируется при наложении заплат, ее исправляющих.

Для
большинства уязвимых мест окно опасности существует сравнительно долго
(несколько дней, иногда – недель), поскольку за это время должны произойти следующие
события:

·                     
должно стать известно о средствах использования
пробела в защите;

·                     
должны быть выпущены соответствующие заплаты;

·                     
заплаты должны быть установлены в защищаемой ИС.

Новые
уязвимые места и средства их использования появляются постоянно; это значит,
во-первых, что почти всегда существуют окна опасности и, во-вторых, что отслеживание
таких окон должно производиться постоянно, а выпуск и наложение заплат – как
можно более оперативно.

Некоторые
угрозы нельзя считать следствием каких-то ошибок или просчетов; они существуют
в силу самой природы современных ИС. Например, угроза отключения электричества
или выхода его параметров за допустимые границы существует в силу зависимости
аппаратного обеспечения ИС от качественного электропитания.

Рассмотрим
наиболее распространенные угрозы, которым подвержены современные информационные
системы. Иметь представление о возможных угрозах, а также об уязвимых местах,
которые эти угрозы обычно эксплуатируют, необходимо для того, чтобы выбирать
наиболее экономичные средства обеспечения безопасности. Слишком много мифов
существует в сфере информационных технологий (вспомним все ту же «Проблему
2000»), поэтому незнание в данном случае ведет к перерасходу средств и,
что еще хуже, к концентрации ресурсов там, где они не особенно нужны, за счет
ослабления действительно уязвимых направлений.

Само
понятие «угроза» в разных ситуациях зачастую трактуется по-разному.
Например, для подчеркнуто открытой организации угроз конфиденциальности может
просто не существовать — вся информация считается общедоступной; однако в
большинстве случаев нелегальный доступ представляется серьезной опасностью.
Иными словами, угрозы, как и все в ИБ, зависят от интересов субъектов
информационных отношений (и от того, какой ущерб является для них неприемлемым).

2. Критерии классификации угроз

Угрозы можно классифицировать по нескольким критериям:

·               
по аспекту информационной
безопасности (доступность, целостность, конфиденциальность), против которого угрозы направлены
в первую очередь;

·               
по компонентам информационных
систем, на которые угрозы нацелены
(данные, программы, аппаратура, поддерживающая инфраструктура);

·               
по способу осуществления (случайные/преднамеренные,
действия природного/техногенного характера);

·               
по расположению источника угроз (внутри/вне
рассматриваемой ИС).

Рисунок 1.
Критерии классификации угроз

В качестве основного критерия чаще используется
первый (по аспекту ИБ), привлекая при необходимости
остальные.

Рассмотрим подробнее каждый вид угроз.

· Угрозы
нарушения конфиденциальности направлены на получение (хищение) конфиденциальной
информации. При реализации этих угроз информация становится
известной лицам, которые не должны иметь к ней доступ. Несанкционированный доступ к информации, хранящейся в информационной
системе или передаваемой по каналам (сетям) передачи данных, копирование этой информации является нарушением
конфиденциальности информации.

Информация в зависимости от категории доступа к ней
подразделяется на общедоступную информацию, а также на информацию,
доступ к которой ограничен федеральными законами (информация
ограниченного доступа).

В соответствии с требованиями федеральных законов
обязательность соблюдения конфиденциальности касается только информации
ограниченного доступа, к которой относится информация, представляющая государственную
тайну, а также конфиденциальная информация (сведения, составляющие
коммерческую, банковскую, служебную, профессиональную тайну, содержащие персональные
данные и т.д.).

Обладателем информации является лицо,
самостоятельно создавшее информацию либо получившее на основании закона или
договора право разрешать или ограничивать доступ к информации, определяемой по
каким-либо признакам. Обладателем информации может быть гражданин (физическое
лицо), юридическое лицо, Российская Федерация, субъект Российской Федерации,
муниципальное образование. Именно обладатель информации вправе разрешать или
ограничивать доступ к информации, определять порядок и условия такого доступа,
передавать информацию другим лицам по договору или на ином установленном
законом основании, а также он обязан ограничивать доступ, если такая
обязанность установлена федеральными законами.

Информация ограниченного доступа должна храниться только
как документированная информация, то есть информация должна быть зафиксирована
на материальном носителе путём документирования и иметь реквизиты, позволяющие
определить такую информацию или, в установленных законодательством Российской
Федерации случаях, её материальный носитель.

Сведения, отнесенные к государственной тайне,
по степени секретности подразделяются на

—       
сведения особой важности,

—       
совершенно секретные и

—       
секретные.

К сведениям
особой важности следует
относить сведения в области военной, внешнеполитической, экономической,
научно-технической, разведывательной, контрразведывательной и
оперативно-розыскной деятельности, распространение которых может нанести ущерб
интересам Российской Федерации в одной или нескольких из перечисленных
областей.

К совершенно
секретным сведениям следует
относить сведения в области военной, внешнеполитической, экономической,
научно-технической, разведывательной, контрразведывательной и
оперативно-розыскной деятельности, распространение которых может нанести ущерб
интересам министерства (ведомства) или отрасли экономики Российской Федерации в
одной или нескольких из перечисленных областей.

К секретным
сведениям следует относить
все иные сведения из числа сведений, составляющих государственную тайну.
Ущербом безопасности Российской Федерации в этом случае считается ущерб,
нанесённый интересам предприятия, учреждения или организации в военной,
внешнеполитической, экономической, научно-технической, разведывательной,
контрразведывательной или оперативно-розыскной области деятельности.

К сведениям конфиденциального характера относятся:

1. Сведения о фактах, событиях и обстоятельствах
частной жизни гражданина, позволяющие идентифицировать его личность
(персональные данные), за исключением сведений, подлежащих распространению в средствах
массовой информации в установленных федеральными законами случаях.

2. Сведения, составляющие тайну следствия и
судопроизводства.

3. Служебные сведения, доступ к которым ограничен
органами государственной власти в соответствии с Гражданским кодексом
Российской Федерации и федеральными законами (служебная тайна).

4. Сведения, связанные с профессиональной
деятельностью, доступ к которым ограничен в соответствии с Конституцией
Российской Федерации и федеральными законами (врачебная, нотариальная, адвокатская
тайна, тайна переписки, телефонных переговоров, почтовых отправлений,
телеграфных или иных сообщений и так далее).

5. Сведения, связанные с коммерческой
деятельностью, доступ к которым ограничен в соответствии с Гражданским кодексом
Российской Федерации и федеральными законами (коммерческая тайна).

6. Сведения о сущности изобретения, полезной модели
или промышленного образца до официальной публикации информации о них.

Под коммерческой тайной понимается
конфиденциальность информации, позволяющая её обладателю при существующих или
возможных обстоятельствах увеличить доходы, избежать неоправданных расходов,
сохранить положение на рынке товаров, работ, услуг или получить иную
коммерческую выгоду.

К информации, составляющей коммерческую тайну, относится научно-техническая, технологическая, производственная,
финансово-экономическая или иная информация, в том числе составляющая секреты
производства (ноу-хау), которая имеет действительную или потенциальную
коммерческую ценность в силу неизвестности её третьим лицам, к которой нет
свободного доступа на законном основании и в отношении которой обладателем
такой информации введен режим коммерческой тайны (правовые, организационные,
технические и иные принимаемые обладателем информации, составляющей
коммерческую тайну, меры по охране ее конфиденциальности).

К персональным данным относится любая информация,
относящаяся к определённому или определяемому на основании такой информации
физическому лицу (субъекту персональных данных), в том числе его фамилия, имя,
отчество, год, месяц, дата и место рождения, адрес, семейное, социальное,
имущественное положение, образование, профессия, доходы, другая информация.

К угрозам, создающим опасность конфиденциальности
информации, относится утечка информации, под которой понимается
неконтролируемое распространение защищаемой информации в результате её
разглашения, несанкционированного доступа к ней или получения защищаемой
информации иностранными разведками и другими заинтересованными субъектами
(заинтересованными субъектами могут быть: государство, юридическое лицо, группа
физических лиц, отдельное физическое лицо).

Очевидно, данное определение не в полной мере
отражает основные формы утечки информации. Классификация угроз
конфиденциальности информации (утечки информации) представлена на рисунке.

Рисунок 2.  Классификация угроз конфиденциальности информации (утечки
информации)

Разглашение сведений ограниченного доступа может
произойти или в форме несанкционированного предоставления информации, или в
форме несанкционированного распространения информации.

Под несанкционированным предоставлением
информации будем понимать противоправное предание огласке сведений
ограниченного доступа, при котором они стали достоянием определённого круга
посторонних лиц, а под несанкционированным распространением информации —
противоправное предание огласке сведений ограниченного доступа, при котором они
стали достоянием неопределённого круга посторонних лиц.

Разглашение сведений ограниченного доступа может
произойти как преднамеренно (при прямом умысле), так и непреднамеренно (по неосторожности).

В случае преднамеренного разглашения сведений
ограниченного доступа лицо, которому информация ограниченного доступа была
доверена или стала известна по службе или работе, сознавая неправомерность
своих действий, связанных с разглашением этой информации, предоставляет или
распространяет её посторонним лицам. В этом случае субъективная сторона
разглашения сведений характеризуется виной в форме прямого умысла.

К основным действиям, в результате которых
осуществляется преднамеренное разглашение сведений ограниченного доступа, можно
отнести:

·            
разговор с посторонними лицами
по закрытой тематике;

·            
ознакомление посторонних лиц с
информацией ограниченного доступа, содержащейся на различного вида носителях, в
том числе и электронных (без передачи носителя информации постороннему лицу);

·            
передача носителя информации,
содержащего сведения ограниченного доступа, постороннему лицу (в том числе
через посредника, с использованием тайников, почтовой связи, технических
средств, электронной почты и т.д.);

·            
публичное выступление;

·            
опубликование информации в
открытой печати и других в средствах массовой информации;

·            
распространение сведений через
Интернет и т.п.

При непреднамеренном разглашении сведений лицо,
которому информация ограниченного доступа была доверена или стала известна по
службе или работе, нарушая правила и меры, установленные для защиты этой
информации инструкциями, положениями, наставлениями и другими документами, не
предвидит возможности разглашения информации ограниченного доступа, хотя по
обстоятельствам должно было и могло предвидеть такие последствия. Юристы
классифицируют такие действия как разглашение сведений по неосторожности.

· Угрозы
нарушения целостности информации, хранящейся в информационной системе или передаваемой
посредством сети передачи данных, направлены на изменение или
искажение данных, приводящее к нарушению качества или полному уничтожению
информации. Целостность информации может быть нарушена
намеренно злоумышленником, а также в результате объективных воздействий со
стороны среды, окружающей систему (помехи). Эта угроза особенно актуальна для систем передачи
информации – компьютерных сетей и систем телекоммуникаций. Умышленные нарушения
целостности информации не следует путать с ее санкционированным изменением,
которое выполняется авторизованными пользователями с обоснованной целью.

· Угрозы
нарушения доступности системы (отказ в обслуживании) направлены на создание таких
ситуаций, когда определённые действия либо снижают работоспособность
информационной системы, либо блокируют доступ к некоторым её ресурсам.

· Причины случайных воздействий:

·               
аварийные ситуации из-за
стихийных бедствий и отключения электроэнергии;

·               
ошибки в программном
обеспечении;

·               
ошибки в работе обслуживающего
персонала и пользователей;

·               
помехи в линии связи из-за
воздействия внешней среды, а также вследствие плотного трафика в системе
(характерно для беспроводных решений).

· Преднамеренные
воздействия связаны с
целенаправленными действиями злоумышленника, в качестве которого может
выступить любое заинтересованное лицо (конкурент, посетитель, персонал и т.д.).
Действия злоумышленника могут быть обусловлены разными мотивами: недовольством
сотрудника своей карьерой, материальным интересом, любопытством, конкуренцией,
стремлением самоутвердиться любой ценой и т.п.

· Внутренние
угрозы инициируются
персоналом объекта, на котором установлена система, содержащая конфиденциальную
информацию. Причинами возникновения таких угроз может послужить нездоровый
климат в коллективе или неудовлетворенность от выполняемой работы некоторых
сотрудников, которые могут предпринять действия по выдаче информации лицам,
заинтересованным в её получении.

Также имеет место так называемый «человеческий фактор«,
когда человек не умышленно, по ошибке, совершает действия, приводящие к
разглашению конфиденциальной информации или к нарушению доступности
информационной системы. Большую долю конфиденциальной информации злоумышленник (конкурент)
может получить при несоблюдении работниками-пользователями компьютерных сетей
элементарных правил защиты информации. Это может проявиться, например, в
примитивности паролей или в том, что сложный пароль пользователь хранит
на бумажном носителе на видном месте или же записывает в текстовый файл на
жестком диске и пр. Утечка конфиденциальной информации может происходить при использовании
незащищенных каналов связи, например, по телефонному соединению.

· Под внешними угрозами безопасности
понимаются угрозы, созданные сторонними лицами и исходящие из внешней среды,
такие как:

·               
атаки из внешней сети
(например, Интернет), направленные на искажение, уничтожение, хищение
информации или приводящие к отказу в обслуживании информационных систем
предприятия;

·               
распространение вредоносного
программного обеспечения;

·               
нежелательные рассылки (спам);

·               
воздействие на информацию,
осуществляемое путем применения источника электромагнитного поля для наведения
в информационных системах электромагнитной энергии с уровнем, вызывающим
нарушение нормального функционирования (сбой в работе) технических и
программных средств этих систем;

·               
перехват информации с
использованием радиоприемных устройств;

·               
воздействие на информацию,
осуществляемое путем несанкционированного использования сетей инженерных
коммуникаций;

·               
воздействие на персонал
предприятия с целью получения конфиденциальной информации.

В современном мире, когда стало возможным применять
сервисы и службы с использованием информационной коммуникационной среды
(электронные платежи, Интернет-магазины,
электронные очереди и т.п.), многократно увеличивается риск именно внешних
угроз.

3. Источники угроз

Источники
угроз:

1.
Внутренние:

а) ошибки
пользователей и сисадминов;

б) ошибки в
работе ПО;

в) сбои в работе
компьютерного оборудования;

г) нарушение
сотрудниками компании регламентов по работе с информацией.

2. Внешние
угрозы:

а)
несанкционированный доступ к информации со стороны заинтересованных организаций
и отдельных лица (промышленный шпионаж конкурентов, сбор информации спецслужбами,
атаки хакеров и т.п.);

б)
компьютерные вирусы и иные вредоносные программы;

в) стихийные
бедствия и техногенные катастрофы (например, ураган может нарушить работу
телекоммуникационной сети, а пожар уничтожить сервера с важной информацией).

Самыми частыми
и самыми опасными (с точки зрения размера ущерба)
являются непреднамеренные ошибки штатных
пользователей, операторов, системных администраторов и других лиц,
обслуживающих информационные системы.

Иногда такие
ошибки и являются собственно угрозами (неправильно
введенные данные или ошибка в программе, вызвавшая крах системы), иногда они
создают уязвимые места, которыми могут воспользоваться злоумышленники (таковы обычно ошибки
администрирования). По некоторым данным, до 65% потерь —
следствие непреднамеренных ошибок. Пожары и наводнения не
приносят столько бед, сколько безграмотность и небрежность в работе. Очевидно,
самый радикальный способ борьбы с непреднамеренными
ошибками — максимальная автоматизация и строгий контроль.

Контрольные
вопросы

1. Что
такое угроза с точки зрения ИБ?

2. Что
такое атака?

3. Как
можно классифицировать угрозы?

4. Какие
формы утечки информации вам известны?

5. В чем выражаются угрозы информации?

Вам знакомо выражение: «Не чини, коли не поломано»?
Если да, то вы знаете, что иногда лучше
не вмешиваться в сложившуюся ситуацию.
Но ни один настоящий сисадмин не в состоянии
спокойно смотреть на новые «примочки» и удержаться
от того, чтобы не «потыкать» их и попробовать
применить на практике. Именно так мы вышли на тот
уровень, где сейчас находимся, и теперь планируем перебраться
на еще более высокий уровень. Однако тыкать острой палкой
в незнакомый предмет — не всегда безопасное
занятие.

Мы составили список из 21 распространенной
ошибки, которая не раз даст о себе знать. Наш совет:
пробуя что-то новое, не забывайте думать о последствиях!
Они могут быть самыми разными.

1. Анонимный доступ и FTP

Каждый, кто хоть раз создавал веб-сайт с использованием
FTP, разрешал анонимный доступ и выкладывал свой сайт
в Интернет, получил несколько уроков. Если вы разрешаете
анонимный доступ, будьте готовы к тому, что очень скоро ваш
сайт превратится в хостинг для пиратских программ
и фильмов. Никогда не разрешайте анонимный доступ, даже
во внутренней сети. В противном случае, у вас быстро
закончится пространство на диске и трафик.

2. «Всем — полный контроль»

Вплоть до последних версий Windows, каждый раз как
вы создавали общую папку, по умолчанию
в ее настройках была активирована опция «Всем —
полный контроль». Многие из этих устаревших систем
используются и по сей день. Хуже того, многие сисадмины
до сих пор оставляют эту опцию включенной по умолчанию
в современных операционных системах, полагая, что дать всем
возможность полностью контролировать каталог — это правильно!
Рекомендуем вам перестать раздавать подобные привилегии направо
и налево!

3. «Ответить всем»

Да, иногда действительно бывает необходимо отправить письмо
сразу всем пользователям из корпоративной группы.
Но оставить эту кнопку, чтобы любой пользователь мог
воспользоваться ею,- самый простой способ загрузить
по максимуму вашу электронную почту и испытать
ее на прочность. Кто-нибудь непременно случайно
нажмет ее, и через минуту 30 человек будут
одновременно отписываться от коллективного диалога, или
просить всех перестать отвечать всем, или же, наоборот,
вставлять свои пять копеек в беседу. Мне приходилось видеть,
как серверы специально отключали, чтобы только прекратить это
безумие. Ограничьте возможности использования функции «Ответить
всем» и сделайте так, чтобы только авторизованные пользователи
могли отправлять письма самым большим группам пользователей
в вашей электронной почте.

4. Опция «Завершение работы» в удаленном доступе

Однажды мне пришлось совершить внеплановую поездку в другой
город из-за того, что во время удаленного управления сервером
я случайно нажал кнопку «Завершение работы» вместо кнопки
«Выход из системы». Сейчас опция «Завершение работы» убирается
из меню по умолчанию, но в миллионах серверов
2003 и 2008 годов выпуска она все еще есть. Уберите кнопку
«Завершение работы» из меню удаленного доступа. Если
вы действительно захотите выключить сервер, лучше
воспользоваться командной строкой. Ну а если внеплановые
визиты в центр обработки данных вам по душе, так
уж и быть, можете ее оставить.

5. Хранение незашифрованных паролей на веб-страницах

Веб-мастера слишком часто хранят параметры соединения для базы
данных в коде сценариев веб-сайтов в незашифрованном
виде. При этом кто угодно может пробраться в систему, чтобы
«ознакомиться с источником данных». Никогда не сохраняйте
пароли в файлах, доступ к которым есть у конечных
пользователей. Если же вам все-таки нужно где-то хранить эту
информацию, пользуйтесь шифрованием.

6. Игнорирование проверок входных данных

Переполнение буфера, инъекция SQL, изменение цен в корзине
онлайн-магазина — все это возможно, если не предусмотреть
проверку входных данных в вашем программном обеспечении
и на вашем веб-сайте. Всегда повторно проверяйте то,
какие данные вам приходят от пользователей и отклоняйте
все, что не проходит проверку, до того, как изменения
(и их последствия) станут необратимыми.

7. Использование незашифрованных протоколов

Помимо запросов на DNS-серверы, скачивания общедоступных
файлов и создания веб-страниц для широкого круга посетителей,
нет никакого практического смысла в использовании
незашифрованных протоколов. Но если вы выполняете
какую-либо аутентификацию или предоставляете доступ
к конфиденциальным данным, использовать криптографическую
защиту просто обязательно. При этом дополнительно изучите, какие
из протоколов на данный момент считаются наиболее
защищенными и почему.

8. Отсутствие переадресации с незашифрованного протокола
на зашифрованный

Справедливости ради, уточним: мы не предлагаем вам
отключить незашифрованные протоколы как таковые. Слишком многие
пользователи будут печатать адрес без протокола, и без
переадресации с HTTP на HTTPS они не смогут попасть
на ваш веб-сайт. Используйте HTTP и настройте
переадресацию с него. При этом данные пользователей будут
защищены, и у них не возникнет проблем
с посещением вашего веб-сайта.

9. Проверка SSL-сертификатов

Каждый раз, как вы учите пользователя просто «прощелкивать»
предупреждения, не читая их, вы делаете его
потенциальной жертвой киберпреступников в будущем. Чаще всего
подобное происходит на внутренних веб-сайтах, которые
используют протокол HTTPS с SSL-сертификатом. Пользователи,
не задумываясь, кликают там, где не следует. Конечные
пользователи не могут отличить внутренний сайт
от внешнего. Они просто увидят знакомый формат предупреждения
и кликнут «ОК» — как вы им и говорили,
когда учили пользоваться внутренним приложением. Создайте
корпоративный CA или приобретите сертификат wildcard,
но не учите пользователей бездумно кликать «ОК»
на предупреждениях.

10. Оставленные на боевой системе промежуточные сборки
приложений и кода

Промежуточные сборки приложений созданы для демонстрации того,
как они работают на данный момент. Они часто
не соответствуют должному уровню безопасности
и надежности и, как правило, не обновляются при
установке патчей на приложение. При создании или запуске
сервера удалите все предыдущие образцы кода и приложений,
чтобы в будущем их не могли использовать против
вас.

11. Установка обновлений и патчей без тестирования

Если вы используете исключительно «ванильный код»
от разработчика, установка обновлений и патчей без
тестирования может обернуться проблемой. Разработчик не имеет
возможности тестировать каждую отдельно взятую конфигурацию. Это
означает, что и вашу конфигурацию он не тестировал.
Это ваша задача, а не его. Вы хотите установить
обновление? Устанавливайте, но только сначала убедитесь, что
это не создаст других проблем в вашей системе.

Обычно, при обновлении большого парка компьютеров, перед
распределением обновления по всем системам выбирается
контрольная группа из нескольких машин, на которых
проверяется работоспособность устанавливаемых патчей.
В случае, если на них обновление пройдет без
проблем — можно распространять его на всю сеть.

12. Автоматические IP (169.254.y.z) в DNS

Если у сервера есть два IP-адреса в DNS, он будет
отвечать на запросы с обоих из них. Если один
из этих адресов — фальшивка, то с вероятностью
50 на 50 клиент попадет на него,
а не на настоящий адрес. Это сделает работу
медленной, и, соответственно, клиент будет звонить в вашу
техническую поддержку. Как минимум, снимите галочку с опции
«регистрация соединения в DNS», чтобы фальшивые адреса
не присваивались настоящим именам хоста.

13. Ссылки на DNS в ActiveDirectory

В AD контроллерам домена никогда не следует
давать на себя ссылку в DNS; необходимо указывать ссылку
на другой контроллер домена. Если контроллер домена делает
ссылку на себя, он может потерять синхронизацию
с другими, и вы даже не заметите этого.
Он быстро устареет и не сможет проводить
идентификацию пользователей.
Если он слишком долго будет не синхронизирован
(60 дней по умолчанию), вам придется снести его
и установить заново для устранения проблемы. Всегда
проверяйте, что контроллер домена привязан к другому
контроллеру домена в DNS, а не к самому себе.
В противном случае вам придется использовать NTDSUTIL для
очистки AD от вредоносных данных.

14. Недостаточный аудит

Регистрация системных событий — очень важный процесс,
но его редко выполняют правильно. Стандартных настроек аудита,
как правило, недостаточно для полноценного восстановления хода
событий и выяснения причины возникновения проблемы. Кроме
того, журналы событий занимают много пространства на диске,
и могут пройти дни или даже недели, прежде чем кто-либо вообще
поймет, что что-то случилось и надо проверить журналы
регистрации. Убедитесь, что вы регистрируете достаточно
информации для восстановления хода событий, и что
регистрационные записи хранятся достаточно долго, чтобы
вы могли с их помощью провести полноценное
расследование любого сбоя.

15. Отсутствие централизованного журнала регистрации

По умолчанию, система использует для ведения журналов
регистрации локальные диски. Это нормально — до тех пор,
пока система не рухнет или не будет взломана хакером,
который сотрет журналы регистрации. Ведение централизованного
журнала регистрации требует больше времени, денег
и пространства. Но при этом у вас точно будет журнал
событий в случае краха системы, а злоумышленнику будет
сложнее замаскировать следы своей деятельности.

GFI рекомендует использовать GFI
EventsManager — решение для централизованного сбора
и анализа журналов событий в сети. Продукт можно
загрузить и использовать до 30 дней бесплатно
с полным функционалом — этого достаточно, чтобы
проанализировать гигабайты журналов данных и выявить проблемы
в сети.

16. Разрешение на чтение

Многие дистрибутивы Linux позволяют пользователям получать
доступ к домашним каталогам откуда угодно. Как правило, это
не подразумевает «весь Интернет», но означает, что любой
пользователь в сети может читать файлы из домашнего
каталога, а в нем могут быть и файлы
с паролями, и конфигурационные файлы, и масса другой
ценной информации. Убедитесь в том, что для уровня доступа для
каждого домашнего каталога пользователя установлено значение 600,
так что пользователи могут читать и писать файлы только
в домашних каталогах, но не могут выполнять
программы из них. Если нужно разрешить выполнение программ,
установите значение 700.

17. Использование изначальной установки строк сообщества
на значения «public» и «private» в протоколе
SNMP

В протоколе SNMP v1 и v2 безопасность
обеспечивается только строкой сообщества, а по умолчанию
в строке сообщества для записи указано значение «private». При
этом злоумышленнику, получившему доступ к сети, ничего
не стоит обрушить роутер или поменять местами порты. Передача
данных в протоколе SNMP v1 и v2 осуществляется
в незашифрованном виде, но если изменить значение
по умолчанию в строке сообщества, то это хоть
немного усложнит для хакера задачу создания проблем в вашей
сети. Если возможно, используйте протокол SNMP v3 или же
не используйте SNMP для записи вообще.

18. Игнорирование протокола ICMP

Документы RFC предусматривают, что хосты ОБЯЗАНЫ отвечать
на запросы ICMP Echo, так что сисадмины, игнорирующие протокол
ICMP, нарушают их требования, что не есть хорошо. Кроме
того, поскольку сетевые атаки типа Ping of death
не актуальны уже 15 лет, игнорирование протокола ICMP
приведет только к тому, что пользователям будет сложнее
исправить ситуацию при неудачной попытке доступа на ваш сайт,
и они будут перегружать вашу службу поддержки звонками
и сообщениями о невозможности воспользоваться VPN.
По меньшей мере, разрешите пинговать ваш сайт и конечные
точки VPN (в большинстве случаев проверка сводится именно
к этому).

19. Удаление (вместо блокирования) чего-либо во внутренней
сети

Если вы блокируете нежелательный трафик во внутренней
сети, то хорошие сисадмины увидят RST ACK или ICMP Unreachable
и будут знать, что брандмауэр блокирует нечто целенаправленно.
Если же вы просто молча удалите что-то во внутренней
сети, ваши коллеги могут потратить дни на попытки понять,
почему что-то не работает, как раньше, начнут обвинять
брандмауэр во всех возможных бедах и, в лучшем
случае, будут звонить вам при любой поломке. (В худшем случае,
они будут по умолчанию считать, что виноваты вы).

20. Включение опции автоматического обновления системы

Как и в случае с установкой обновлений без
тестирования, разрешить автоматическое обновление системы —
значит, позволить ей устанавливать на себя патчи без
предварительной проверки и возможности проконтролировать
процесс. Нет, серьезно, если вы позволяете серверам
обновляться автоматически, то зачем вы им вообще
нужны? Вы должны контролировать процесс управления
обновлениями. Во-первых, вы сможете осуществлять тестирование,
а во-вторых, вы сможете перезагружать серверы только
в плановом порядке, когда вам это нужно.

Для управления обновлениями, а также проверки сети
на наличие уязвимостей, GFI советует воспользоваться продуктом
GFI LanGuard. Продукт можно использовать
30 дней бесплатно без ограничений
по функциональности — проверьте свою сеть на «дыры»
в безопасности и получите централизованный контроль над
обновлениями и патчами.

21. Использование локальных аппаратных часов для синхронизации
времени

Синхронизация времени очень важна. Журналы регистрации зависят
от нее. Аутентификация зависит от нее. Ваши пользователи
зависят от нее — а как иначе они узнают, что пора
идти домой? Все сети должны использовать протокол NTP для
синхронизации часов, а также использовать надежный внешний
источник наподобие pool.ntp.org, чтобы убедиться, что часы
не просто синхронизированы, но и показывают точное
время.

Позаботьтесь об этих важных моментах, и ваша
сеть будет в прекрасном состоянии и выдержит любые
нагрузки.

Типичные проблемы и их решения при работе с системным администратором

Опубликовано 30.06.2023

При работе с системным администратором могут возникать различные проблемы, связанные с безопасностью данных и информационной системы, производительностью серверов и сети, а также поддержкой пользователей и решением технических проблем. В этой статье мы рассмотрим эти проблемы более подробно и предложим решения для их устранения.

Проблемы с безопасностью данных и информационной системы:

Одной из основных задач системного администратора является обеспечение безопасности данных и информационной системы организации. Возможные проблемы, с которыми можно столкнуться, включают в себя:

• Недостаточная защита от внешних угроз, таких как вирусы, хакерские атаки или вредоносное ПО. Решение: установка и настройка антивирусного программного обеспечения, межсетевых экранов и других средств защиты.
• Утечка конфиденциальной информации или несанкционированный доступ к данным. Решение: регулярное обновление паролей, установка системы контроля доступа, шифрование данных и резервное копирование.
• Отказ в обслуживании или сбои в работе информационной системы. Решение: регулярное обновление программного обеспечения, мониторинг состояния системы и резервное копирование данных.

Проблемы с производительностью серверов и сети:

Эффективная работа серверов и сети является ключевым фактором для успешной работы организации. Возможные проблемы, связанные с производительностью, включают:

• Замедление работы серверов или сети. Решение: оптимизация настроек серверов и сетевого оборудования, устранение узких мест и увеличение пропускной способности.
• Недостаточное количество ресурсов для обработки запросов пользователей. Решение: масштабирование серверов и сети, добавление дополнительных ресурсов, оптимизация программного обеспечения.
• Неправильная конфигурация или настройка серверов и сети. Решение: проведение аудита и диагностики системы, исправление ошибок конфигурации, установка и настройка необходимых обновлений.

Проблемы с поддержкой пользователей и решением технических проблем:

Системный администратор также отвечает за поддержку пользователей и решение технических проблем, с которыми они могут столкнуться. Возможные проблемы включают:

• Недостаточное знание пользователей о работе с информационной системой. Решение: проведение обучения и тренингов для пользователей, предоставление документации и инструкций.
• Технические проблемы, такие как сбои программного обеспечения или проблемы с подключением к сети. Решение: быстрое реагирование на запросы пользователей, диагностика и устранение проблем, обновление и настройка программного обеспечения.

Решение проблем с системным администратором с помощью ИТ аутсорсинга

ИТ аутсорсинг – это стратегия, при которой организация передает часть или всю свою ИТ инфраструктуру и задачи по управлению информационными технологиями внешнему поставщику услуг. Это может быть особенно полезно для компаний, у которых нет достаточных ресурсов или опыта для эффективного управления своей ИТ инфраструктурой. 

ИТ аутсорсинг является эффективным способом решения проблем, связанных с работой системного администратора. Он позволяет компаниям получить доступ к опытным специалистам, улучшить безопасность данных и информационной системы, повысить производительность серверов и сети, а также обеспечить поддержку пользователей и решение технических проблем. ИТ аутсорсинг может стать надежным партнером для вашей организации и обеспечить эффективную работу вашего бизнеса. Про преимущества и недостатки ИТ аутсорсинга вы можете посмотреть в нашей предыдущей статье.

Заключение

При работе с системным администратором могут возникать различные проблемы, связанные с безопасностью данных и информационной системы, производительностью серверов и сети, а также поддержкой пользователей и решением технических проблем. Однако, правильный выбор системного администратора или компании на аутсорсинге, а также регулярное обслуживание системы помогут предотвратить многие из этих проблем и обеспечить эффективную работу организации. Компания “АйТи Спектр” оказывает услуги по комплексному ИТ аутсорсингу более 14 лет. В штате 15 квалифицированных специалистов, с сертификатами в различных ИТ направления. Предлагаем комплексные услуги по обслуживанию ИТ-инфраструктуры для малого и среднего бизнеса. Работаем по принципу “одного окна”, все ИТ вопросы берем на себя (компьютеры, серверы и серверное оборудование, сети, оргтехника, телефония, видеонаблюдение, 1С  и многое другое)