Рассмотрим еще несколько программных средств мониторинга.

Intruder Alert

Это программный продукт, предназначенный для выявления несанкционированных действий и противодействия им. Продукт в постоянном режиме ведет наблюдение за всей сетью и выявляет подозрительные действия в условиях многоплатформенных сетей. Intruder Alert позволяет обеспечить безопасность предприятия, запуская специальные процедуры на тех системах, где установлены агенты. В случае обнаружения атаки Intruder Alert может запустить до 14 различных способов противодействия. В состав Intruder Alert входят следующие архитектурные компоненты: ITA Admin, ITA View, менеджер и агенты.

SunShield BSM (Basic security module)

Это базовый модуль сервисов безопасности, встроенный в серверные системы на ОС Solaris. Модуль, встроенный в ядро операционной системы, собирает информацию по десяткам тысяч событий, происходящих в системе. Для удобства обработки события структурированы по 20 различным классам. Собранная информация может анализироваться локально, может передаваться на выделенный сервер безопасности либо обрабатываться средствами автоматического реагирования на попытки НСД (Intruder Alert, CyberCop Server).

NFR - Network Flight Recorder

Network Flight Recorder (NFR) представляет собой программное средство автоматического выявления несанкционированных действий и реагирования на них.

Позволяет создавать собственные фильтры для распознавания атак, строить свои сценарии реакций на попытки НСД и писать программы для различной статистической обработки событий.

NFR анализирует состояние сетевого трафика и статистическую информацию, позволяя администратору сети оценить степень загруженности сети, оперативно просматривать данные об использовании системных ресурсов и возникновении неисправностей в работе сети, нештатной (подозрительной) активности и о попытках несанкционированного доступа в систему. NFR характеризуется обширной базой данных известных сетевых атак; настраиваемыми сценариями реакций на события; возможностью выбора способов уведомления администратора о событиях; мощными средствами создания отчетов.

NFR работает под управлением различных UNIX-ориентированных ОС. Поставляется с исходными текстами.

2. 4. Разработка методологии и методического аппарата оценки ущерба от воздействия угроз информационной безопасности

Виды возможного ущерба от нарушения безопасности информации определяются следующими факторами /5/:

1. основными функциями и задачами объектов информатики (ОИ);

2. организацией информационного обмена на ОИ;

3. видом и содержанием информации, подвергшейся воздействию угроз;

4. видом источника угроз безопасности информации (БИ) и видом нарушения БИ.

На основе анализа указанных выше факторов проведена классификация возможных видов ущерба от нарушения безопасности информации на типовых ОИ. По виду нарушения безопасности информации можно выделить следующие виды ущерба на типовых ОИ:

1. ущерб от нарушения конфиденциальности информации;

2. ущерб от нарушения ценности информации;

3. ущерб от нарушения доступности информации.

По характеру проявления ущерб можно разделить на прямой и косвенный. Прямой ущерб связан с воздействием угроз БИ непосредственно на информацию и ее носители и проявляется как необходимость затрат людских и материальных ресурсов на восстановление информации и/или ее носителей.

Косвенный ущерб связан с последствиями нарушения безопасности информации на типовых ОИ для субъектов информационных отношений (потребителей информации), в качестве которых могут выступать:

1. государство;

2. организации, предприятия (в т.ч. негосударственные);

3. граждане страны.

В этом случае ущерб проявляется как людские, моральные или материальные потери в различных сферах деятельности субъектов информационных отношений (в политической, экономической, военной, научно-технической, социальной сферах). По величине потерь (масштаба ущерба) ущерб может быть классифицирован как очень значительный, значительный, средний, незначительный и очень незначительный.

Для более детального определения вида и величины ущерба необходимо разработать (или использовать существующие) модели ситуаций, приводящие к возникновению ущерба в результате нарушения безопасности информации в различных подсистемах и звеньях типовых ОИ.

Для определения показателей ущерба от нарушения безопасности информации необходимо проанализировать механизм возникновения ущерба от различных угроз БИ на типовых ОИ. Ущерб от нарушения БИ на типовом ОИ является следствием следующих событий:

1. воздействия угроз БИ на технические средства обработки информации;

2. воздействия угроз БИ посредством физических полей, создаваемых основными и вспомогательными техническими средствами обработки информации и людьми - носителями информации; воздействия угроз БИ на людей - носителей информации или имеющих доступ к информации в процессе ее обработки.

Для установления причинно-следственных связей описывающих процесс возникновения ущерба субъектам информационных отношений (ИО) в результате нарушения безопасности информации рассмотрим более подробно последствия воздействия угроз БИ на элементы объекта информатики.

Воздействие угроз на аппаратные средства ОИ приводит к ухудшению качества их функционирования, которое может проявляться как ухудшение их тактико-технических характеристик (временных, точностных, энергетических, частотных, и др. в зависимости от типа средства).

Учитывая, что аппаратные средства являются материальной основой процесса обработки информации на ОИ, ухудшение их ТТХ автоматически ведет к снижению эффективности процесса обработки информации, и далее, через снижение эффективности решаемых объектом информатики частных функциональных задач, к снижению эффективности функционирования объекта информатики в целом. В свою очередь, это приводит к потерям, издержкам, которые несут субъекты ИО, вид и масштаб которых определяется следующими факторами:

1. содержанием информации, обрабатываемой на ОИ;

2. областью применения (использования) результатов обработки информации (выходной информации);

3. степенью и видом нарушения БИ;

4. видом источника угроз БИ и целью его деятельности.

Аналогичные последствия возникают при воздействии угроз БИ на программные средства, используемые в процессе обработки информации на ОИ, а также при воздействии угроз БИ на физические поля - носители информации и на людей - носителей информации и/или участвующих в процессе обработки информации (персонал ОИ, пользователи ОИ, источники информации).

Такой подход позволяет сформировать иерархию видов ущерба от угроз БИ и соответствующих им показателей ущерба. В качестве интегрального показателя для оценки ущерба выбран показатель "стоимость потерь в результате нарушения БИ", который в свою очередь распадается на несколько показателей более низкого уровня, зависящих от вида нарушения БИ (нарушение целостности, доступности и/или конфиденциальности информации), а также от вида потерь, среди которых можно выделить: