http://www.microfinance.uz Бухгалтерский и налоговый учёт Thu, 26 Jan 2012 14:59:26 +0000 en hourly 1 http://wordpress.org/?v=3.1.2 http://www.microfinance.uz/zakladki-v-apparatnom-obespechenii/ http://www.microfinance.uz/zakladki-v-apparatnom-obespechenii/#comments Mon, 06 Oct 2008 06:29:31 +0000 admin http://www.microfinance.uz/zakladki-v-apparatnom-obespechenii/ Большинство информационных систем (возможно, за исключением учреждений с повышенным уровнем секретности) функционируют исходя из того, что аппаратное обеспечение не представляет собой угрозу. При этом не производится даже начальной, не говоря уже о регулярной, проверки на наличие аппаратных закладок. Напомним, что закладкой называется логическое, в данном случае аппаратное, устройство, которое выполняет некоторые недокументированные или недекларированные функции обычно в ущерб пользователю данной информационной системы. В рассматриваемой ситуации такая закладка может накапливать и передавать соответствующему субъекту информацию о системе, в которой функционирует: от статистических данных о работе системы до паролей пользователей или собственно данных системы.
Очевидно, что не все организации обладают необходимым штатом специалистов по электронике, способных выявить аппаратные закладки. Для обеспечения первоначальной уверенности в отсутствии таких закладок на новом приобретенном оборудовании придется полагаться на наличие сертификатов уполномоченных организаций по данному производителю или поставщику, по классу оборудования и по другим параметрам. Для обеспечения более высокого уровня доверия можно пригласить специалистов из соответствующих организаций для выборочной или полной проверки поставляемого оборудования.
Обеспечение регулярной проверки также возможно различными способами, в зависимости от требований к конкретному классу информации или средств работы с ней и от материальных и других ресурсов предприятия. Например, методы проверки могут быть следующими.
□ Периодическая проверка оборудования приглашенными специалистами уполномоченных организаций.
□ Фиксация серийных номеров комплектующих частей оборудования с регулярной проверкой соответствия реально установленных и зафиксированных номеров. Дополнительная работа заключается в перерегистрации данных при проведении ремонта, замены и т. п.
□ Автоматизированная инвентаризация элементов аппаратного обеспечения в информационном пространстве предприятия. Эту функцию обычно выполняет специальное программное обеспечение, поддерживающее базу данных по аппаратному обеспечению, используемому на предприятии.
□ Опечатывание разборных частей корпусов оборудования с регулярной проверкой целостности печатей. В этом случае основной акцент переносится на пользователя данной единицы оборудования, который должен регулярно (обычно ежедневно перед началом работы) проверять целостность печатей.
В более серьезных случаях возможны затраты на оборудование, выполняющее постоянный мониторинг, либо даже фильтрацию/подавление возможных сред передачи информации вовне организации. Традиционно к данным средам относят (по убыванию частоты использования): радиоэфир, сети проводной передачи данных, сети питания вычислительных машин, видимый/инфракрасный диапазон, звуковой фон. Вопрос эффективного обнаружения и активного/пассивного противодействия аппаратным закладкам на самом деле занимает не одну книгу. В решении данной проблемы авторы отсылают заинтересовавшихся читателей к многочисленным русскоязычным изданиям.
Вообще в данном вопросе, как впрочем и в других, важным элементом обеспечения безопасности является обучение пользователей, которые должны сигнализировать в службу информационной безопасности о любом предопределенном или подозрительном событии, в том числе и произошедшем с аппаратным обеспечением. В качестве примера можно привести известную атаку на банкоматы для получения информации о ПИН (персональном идентификационном номере) для доступа к пластиковой карте. Если заранее не быть информированным о такой атаке, злоумышленник может достичь успеха. Атака заключалась в нанесении злоумышленником тонкого слоя пыли на ПИН-клавиатуру. Когда пользователь набирал свой ПИН, на клавиатуре оставались следы, которые^арем анализировались злоумышленником и могли привести к разгадыванию ПИНа пользователя.
Мы рассмотрели только атаки, направленные на получение доступа к информации (на конфиденциальность и целостность), однако говоря об атаках на аппаратное обеспечение нельзя забывать и об атаках на доступность, когда само оборудование может быть похищено или разрушено, прекратив, таким образом, функционирование всей системы или ее части.

]]> http://www.microfinance.uz/zakladki-v-apparatnom-obespechenii/feed/ 0