Основные понятия, объекты, цели и задачи информационной

Основные понятия, объекты, цели и задачи информационной безопасности.
Под безопасностью информационных ресурсов (информации) понимается
защищенность информации во времени и пространстве от любых объективных и
субъективных угроз(опасностей), возникающих в обычных условиях функционирования
фирмы (организации) и условиях экстремальных ситуаций: стихийных бедствий, других
неуправляемых событий, пассивных и активных попыток злоумышленника создать
потенциальную или реальную угрозу несанкционированного доступа к документам,
делам, базам данных.
Существует еще одно определение информационной безопасности.
Под информационной безопасностью понимают комплекс мероприятий,
обеспечивающий для охватываемой им информации следующие факторы:
конфиденциальность – возможность ознакомиться с информацией имеют в своем
распоряжении только те лица, кто владеет соответствующими полномочиями;
целостность – возможность внести изменение в информацию должны иметь только
те лица, кто на это уполномочен;
доступность – возможность получения авторизированного доступа к информации со
стороны уполномоченных лиц в соответствующий санкционированный для работы
период времени.
Конфиденциальная информация есть практически во всех организациях. Это может
быть технология производства, программный продукт, анкетные данные сотрудников и
т.д. Применительно к вычислительным системам в обязательном порядке
конфиденциальными данными являются пароли для доступа к системе.
Целостность информации
условно подразделяют
на статическую и
динамическую. Статическая целостность информации предполагает неизменность
информационных объектов от их исходного состояния, определяемого автором или
источником информации. Динамическая целостность информации включает в себя
вопросы корректного выполнения сложных действий с информационными потоками.
Фактор времени в определении доступности информации в ряде случаев является
очень важным, поскольку некоторые виды информации и информационных услуг имеют
смысл только в определённый промежуток времени.
Нарушение каждой из трёх категорий приводит к нарушению информационной
безопасности в целом. Так нарушение доступности приводит к отказу в доступе к
информации, нарушение целостности приводит к фальсификации информации и,
наконец, нарушение конфиденциальности приводит к раскрытию информации.
Информационные ресурсы (информация) являются объектами отношений
юридических и физических лиц между собой и с государством. В совокупности они
составляют информационные ресурсы России и защищаются наряду с другими ресурсами.
Документирование информации (создание официального документа) является
обязательным условием включения информации в информационные ресурсы. Следует
учитывать, что документ может быть не только и даже не столько управленческим
(деловым), имеющим в большинстве случаев текстовую, табличную или анкетную форму.
Значительно большие объемы наиболее ценных документов представлены в
изобразительной форме: конструкторские документы, картографические, научнотехнические, документы на фотографических, магнитных и иных носителях.
В соответствии с интересами обеспечения национальной безопасности и степенью
ценности, а также правовыми, экономическими
и
другими
интересами
предпринимательских структур информационные ресурсы могут быть:
а) открытыми, то есть общедоступными, используемыми в работе без специального
разрешения, публикуемые в средствах массовой информации, оглашаемыми на
конференциях, в выступлениях и интервью
б)ограниченного доступа и использования, то есть содержащие сведения,
составляющие тот или иной вид тайны и подлежащие защите, охране, наблюдению и
контролю.
Накопители информационных ресурсов называются источниками (обладателями)
информации. Они включают в себя:
 публикации о фирме и ее разработках;
 рекламные издания, выставочные материалы, документацию;
 персонал фирмы и окружающих фирму людей;
 физические
поля,
волны,
излучения,
сопровождающие
работу
вычислительной и другой офисной техники, различных приборов и средств
связи.
Источники содержат информацию как открытого, так и ограниченного доступа.
Причем информация того и другого рода находится в едином социальном пространстве, и
разделить ее без тщательного содержательного анализа часто не представляется
возможным.
Документация как источник информации ограниченного доступа включает:
 документацию, содержащую ценные сведения, ноу-хау;
 комплексы обычной деловой и научно-технической документации,
содержание
общеизвестные
сведения,
организационно-правовые
и
распорядительные документы;
 рабочие записи сотрудников, их служебные дневники, личные рабочие
планы, переписку по производственным вопросам;
 личные архивы сотрудников фирмы.
В каждой из указанных групп могут быть:
 документы на обыкновенных бумажных носителях (листах бумаги, ватмане,
фотобумаге и тому подобное)
 документы на технических носителях (магнитных, фотопленочных и другие)
 электронные документы, банки электронных документов, видеограммы и
тому подобное
Каналы распространения носят объективный характер, отличаются активностью и
включают в себя:
 деловые, управленческие, торговые, научные и другие коммуникативные
регламентированные связи;
 информационные сети;
 естественные технические каналы излучения, создания фона.
Канал распространения информации представляет собой путь перемещения
сведений из одного источника в другой в санкционированном режиме или в силу
объективных закономерностей.
Ценность информации может быть стоимостной категорией и характеризовать
конкретный размер прибыли при ее использовании или размер убытков при ее утрате.
Информация часто становится ценной ввиду ее правового значения для фирмы или
развития бизнеса.
Обычно выделяют два вида информации, интеллектуально ценной для
предпринимателя:
 техническая, технологическая: методы изготовления продукции, программное
обеспечение, производственные показатели, химические формулы,
рецептуры, результаты испытаний опытных образцов, данные контроля
качества и другие;
 деловая: стоимостные показатели, результаты исследования рынка, списки
клиентов, экономические прогнозы, стратегия действий на рынке и тому
подобное.
Ценная информация охраняется нормами права, товарным знаком или защищается
включением ее категорию информации, составляющей тайну фирмы. Состав этих
сведений фиксируется в специальном перечне, закрепляющем факт отнесения их к
защищаемой информации и определяющем период конфиденциальности этих сведений,
уровень (гриф) конфиденциальности, список сотрудников фирмы (организации), которым
дано право использовать эти сведения в работе. Перечень представляет собой
классифицированный список типовой и конкретной ценной информации о проводимых
работах, производимой продукции, научных и деловых идеях, технологических
новшествах и является постоянным рабочим материалом руководства фирмы и служб
безопасности.
Цена, как и ценность информации, связана с полезностью информации для
конкретных людей, организаций, государств. Информация может быть ценной для её
владельца, но бесполезной для других людей. В этом случае информация не может быть
товаром, а следовательно, она не имеет цены.
Производственная или коммерческая ценность информации, как правило,
недолговечна и определяется временем, необходимым конкуренту для выработки той же
идеи или ее хищения и воспроизводства, а также временем до патентования,
опубликования и перехода в число общеизвестных.
Под конфиденциальным (закрытым, защищаемым) документом понимается
необходимым образом оформленный носитель документированной информации,
содержащий сведения ограниченного доступа или использования, которые составляют
интеллектуальную собственность юридического или физического лица.
Конфиденциальные документы включают в себя:
в государственных структурах – служебную информацию ограниченного
распространения, то есть информацией, отнесенной к служебной тайне, а также
документы, имеющие рабочий характер и не подлежащие публикации в открытой печати
(проекты документов, сопутствующие материалы и так далее);
в предпринимательских структурах и направлениях подобной деятельности –
сведения, которые их собственник или владелец в соответствии с законодательством
имеет право отнести к коммерческой (предпринимательской) тайне, тайне фирмы, тайне
мастерства;
независимо от принадлежности – любые персональные (личные) данные о
гражданах, а также сведения, содержащие профессиональную тайну, технические и
технологические новшества (до их патентования), тайну предприятий связи, сферы
обслуживания и тому подобное.
Особенностью конфиденциального документа является то, что он представляет
собой одновременно:
 массовый носитель ценной, защищаемой информации;
 основной источник накопления и объективного распространения этой
информации, а также ее неправомерного разглашения или утечки;
 обязательный объект защиты.
Конфиденциальность документов всегда имеет значительный разброс по срокам
ограничения свободного доступа к ней персонала фирмы (от нескольких часов до
значительного числа лет). Следует учитывать, что основная масса конфиденциальных
документов после окончания их исполнения или работы с ними теряет свою ценность.
Период конфиденциальности документов определяется по перечню, указанному выше, и
специфики деятельности фирмы
Истинной или достоверной является информация, которая с достаточной
точностью для владельца
отражает объекты и процессы окружающего мира в
определённых временных и пространственных рамках.
Информация искаженно представляющая действительность, может нанести
владельцу значительный материальный и моральный ущерб. Если информация искаженна
умышленно, то её называют дезинформацией.
Угрозы информационной безопасности: классификация, источники
возникновения
Под угрозой или опасностью утраты информации понимается единичное или
комплексное, реальное или потенциальное, активное или пассивное проявление
неблагоприятных возможностей внешних или внутренних источников угрозы создавать
критические ситуации, события, оказывать дестабилизирующее воздействие на
защищаемую информацию, документы и базы данных.
Риск угрозы любым информационным ресурсам создают стихийные бедствия,
аварии технических средств и линий связи, другие объективные обстоятельства, а также
заинтересованные и незаинтересованные в возникновении угрозы лица. К угрозам,
создаваемым этими лицами, относятся:
 несанкционированное уничтожение документов,
 ускорение угасания (старения) текста или изображения,
 подмена и изъятие документов, фальсификация текста или его части и т.д.
Основной угрозой безопасности информационных ресурсов ограниченного
распространения является несанкционированный доступ злоумышленника или
постороннего лица к документированной информации и как результат – овладение
информацией и противоправное, ее использование или совершение иных действий.
Целью и результатом может быть не только овладение ценными сведениями и их
использование, но и их видоизменение, подмена, уничтожение и тому подобное.
Обязательным
условием
успешного
осуществления
попытки
несанкционированного доступа к информационным ресурсам ограниченного доступа
является интерес к ним со стороны конкурентов, определенных лиц, служб и организаций.
При отсутствии такого интереса угроза информации не возникает даже в том случае, если
создались предпосылки для ознакомления с ней постороннего лица. Основным
виновником несанкционированного доступа к информационным ресурсам является, как
правило, персонал, работающий с документами, информацией и базами данных. При этом
надо иметь в виду, что утрата информации происходит в большинстве случаев не в
результате преднамеренных действий, а из-за невнимательности и безответственности
персонала.
Следовательно, утрата информационных ресурсов ограниченного доступа может
наступить:
 при наличии интереса конкурента, учреждений, фирм или лиц к конкретной
информации;
 при возникновении риска угрозы, организованной злоумышленником или при
случайно сложившихся обстоятельствах;
 при наличии условий, позволяющих злоумышленнику осуществить
необходимые действия и овладеть информацией.
Утрата информации характеризуется двумя условиями: информация переходит
непосредственно к заинтересованному лицу – конкуренту, злоумышленнику случайному,
третьему лицу.
Переход информации к третьему лицу представляется достаточно частным явлением,
и его можно назвать непреднамеренным, стихийным, хотя при этом факт разглашения
информации, нарушения ее безопасности имеет место.
Непреднамеренный переход информации к третьему лицу возникает в результате:
 утери или неправильного уничтожения документа, пакета с документами, дела,
конфиденциальных записей;

игнорирования или умышленного невыполнения сотрудником требований по
защите документированной информации;
 излишней разговорчивости сотрудников при отсутствии злоумышленника (с
коллегами по работе, родственниками, друзьями, иными лицами в местах
общего пользования, транспорте и тому подобное);
 работы с документами ограниченного доступа при посторонних лицах,
несанкционированной передачи их другому сотруднику;
 использование сведений ограниченного доступа в открытых документации,
публикациях, интервью, личных записях, дневниках и тому подобное;
 отсутствия маркировки (грифования) информации и документов ограниченного
доступа (в том числе документов на технических носителях);
 наличия в документах излишней информации ограниченного доступа;
 самовольного копирования сотрудником документов в служебных или
коллекционных целях.
В отличие от третьего лица злоумышленник или его сообщник целенаправленно
охотится за конкретной информацией и преднамеренно, противоправно устанавливают
контакт с источником этой информации или преобразуют канал ее объективного
разглашения или утечки. Такие каналы всегда являются тайной злоумышленника.
Каналы несанкционированного доступа могут быть двух типов: организационные и
технические. Обеспечиваются они легальным и нелегальным методами.
Организационные каналы разглашения информации отличаются большим
разнообразием видов и основаны на установлении разнообразных, в том числе законных,
взаимоотношений злоумышленника с фирмой или ее сотрудником для последующего
несанкционированного доступа к интересующей информации.
Организационные каналы отбираются или формируются злоумышленником
индивидуально или в соответствии с его профессиональным умением, конкретной
ситуацией, и прогнозировать их крайне сложно.
Широкие возможности несанкционированного получения подобных сведений создает
техническое обеспечение офисных технологий. Любая управленческая деятельность
всегда связана с обсуждением ценной информации в кабинетах или по линиям связи,
проведением расчетов и анализа ситуации на ЭВМ, изготовлением, размножением
документов.
Технические каналы утечки информации возникают при использовании специальных
технических средств промышленного шпионажа, позволяющих получать информацию без
непосредственного контакта с персоналом фирмы, документами, делами и базами данных.
Технический канал представляет собой физический путь утечки информации от
источника или канала объективного распространения информации к злоумышленнику.
В целях практической реализации поставленных задач могут быть определены не
только каналы несанкционированного доступа к информации фирмы, но и совокупность
методов получения этой информации.
Легальные методы входят в содержание понятий «невинного шпионажа» и «разведки
в бизнесе», отличаются правовой безопасностью и, как правило, предопределяют
возникновение интереса к конкурирующей фирме. Они дают злоумышленнику основную
массу интересующей его информации и позволяют определить состав отсутствующих
сведений, которые предстоит добыть нелегальными методами.
Нелегальные методы получения ценной информации всегда носят незаконный
характер и используются в целях доступа к защищаемой информации, которую
невозможно получить легальным путем. Нелегальные методы предполагают: воровство,
продуманный обман, подделку идентифицирующих документов,
взяточничество,
инсценирование или организацию экстремальных ситуаций, использование различных
криминальных приемов.
В результате эффективного использования каналов несанкционированного доступа к
информации ограниченного доступа и различных методов ее добывания злоумышленник
получает:
 подлинник или официальную копию документа (бумажного, машиночитаемого,
электронного), содержащего информацию ограниченного доступа;
 несанкционированно сделанную копию этого документа (рукописную или
изготовленную с помощью копировального аппарата, фототехники,
компьютера);
 диктофонную, магнитофонную, видеокассету с записью текста документа,
переговоров, совещания;
 письменное или устное изложение за пределами фирмы содержание документа,
ознакомление с которым осуществлялось, санкционировано или тайно;
 устное изложение текста документа по телефону, переговорному устройству,
специальной радиосвязи;
 аналог документа, переданного по факсимильной связи или электронной почте;
 речевую или визуальную запись текста документа, выполненную с помощью
технических средств разведки.
Получение ценных документов или информации ограниченного доступа может быть
единичным явление или регулярным процессом, протекающим на протяжении
относительно длительного времени.
Источники возникновения и последствия реализации угроз
информационной безопасности.
Классификация источников угроз
Носителями угроз безопасности информации являются источники угроз. Источники
угроз могут использовать уязвимости для нарушения безопасности информации,
получения незаконной выгоды (нанесения ущерба собственнику, владельцу, пользователю
информации) Кроме того, возможно не злонамеренные действия источников угроз по
активизации тех или иных уязвимостей, наносящих вред. В качестве источников угроз
могут выступать как субъекты (личность) так и объективные проявления. Причем,
источники угроз могут находиться как внутри защищаемой организации - внутренние
источники, так и вне ее - внешние источники.
Деление источников на субъективные и объективные оправдано исходя из того, что
Субъективные уязвимости зависят от действий сотрудников и, в основном, устраняются
организационными и программно-аппаратными методами. А Объективные уязвимости
зависят от особенностей построения и технических характеристик оборудования,
применяемого на защищаемом объекте.
А деление на внутренние и внешние источники оправдано потому, что для одной и
той же угрозы методы парирования для внешних и внутренних источников могу быть
разными.
Все источники угроз безопасности информации можно разделить на три основные
группы:
Обусловленные действиями субъекта (антропогенные источники угроз).
Обусловленные техническими средствами (техногенные источники угрозы).
Обусловленные стихийными источниками.
Антропогенные источники угроз.
Антропогенными источниками угроз безопасности информации выступают субъекты,
действия которых могут быть квалифицированы как умышленные или случайные
преступления. Только в этом случае можно говорит о причинении ущерба. Эта группа
наиболее обширна и представляет наибольший интерес с точки зрения организации
защиты, так как действия субъекта всегда можно оценить, спрогнозировать и принять
адекватные меры. Методы противодействия в этом случае управляемы и напрямую
зависят от воли организаторов защиты информации.
В качестве антропогенного источника угроз можно рассматривать субъекта,
имеющего доступ (санкционированный или несанкционированный) к работе со штатными
средствами защищаемого объекта. Субъекты (источники), действия которых могут
привести к нарушению безопасности информации могут быть как внешние, так и
внутренние.
Внешние источники могут быть случайными или преднамеренными и иметь разный
уровень квалификации. К ним относятся:
 криминальные структуры;
 потенциальные преступники и хакеры;
Важный мотив действий хакера - материальная выгода. Особенно часто
совершаются попытки кражи номеров кредитных карт, либо конфиденциальной
информации с последующим шантажом с целью вымогательства. Сюда же
можно отнести случаи взлома финансовых систем или мошенничества.
 недобросовестные партнеры;
В списках услуг охранно-сыскных структур присутствует получение
информации и наблюдение за конкурентами и партнёрами, подобные функции
выполняют и собственные службы безопасности многих компаний. Особенно
полезными для недобросовестных партнёров могут оказаться уволенные
сотрудники.
 технический персонал поставщиков телематических услуг;
 представители надзорных организаций и аварийных служб;
представители силовых структур.
Внутренние субъекты (источники), как правило, представляют собой
высококвалифицированных специалистов в области разработки и эксплуатации
программного обеспечения и технических средств, знакомы со спецификой решаемых
задач, структурой и основными функциями и принципами работы программноаппаратных средств защиты информации, имеют возможность использования штатного
оборудования и технических средств сети. К ним относятся:
 основной персонал (пользователи, программисты, разработчики);
 представители службы защиты информации;
 вспомогательный персонал (уборщики, охрана);
 технический персонал (жизнеобеспечение, эксплуатация).
Необходимо учитывать также, что особую группу внутренних антропогенных
источников составляют лица с нарушенной психикой и специально внедренные и
завербованные агенты, которые могут быть из числа основного, вспомогательного и
технического персонала, а также представителей службы защиты информации. Данная
группа рассматривается в составе перечисленных выше источников угроз, но методы
парирования угрозам для этой группы могут иметь свои отличия. Квалификация
антропогенных источников информации играют важную роль в оценке их влияния, и
учитывается при ранжировании источников угроз.
Техногенные источники угроз.
Вторая группа содержит источники угроз, определяемые технократической
деятельностью человека и развитием цивилизации. Однако, последствия, вызванные такой
деятельностью вышли из под контроля человека и существуют сами по себе. Эти
источники угроз менее прогнозируемые, напрямую зависят от свойств техники и поэтому
требуют особого внимания. Данный класс источников угроз безопасности информации
особенно актуален в современных условиях, так как в сложившихся условиях эксперты
ожидают резкого роста числа техногенных катастроф, вызванных физическим и
моральным устареванием технического парка используемого оборудования, а также
отсутствием материальных средств на его обновление.
Технические средства, являющиеся источниками потенциальных угроз безопасности
информации так же могут быть внешними:
 средства связи;
 сети инженерных коммуникации (водоснабжения, канализации);
 некачественные технические средства обработки информации;
 некачественные
программные
средства
обработки
информации;
вспомогательные средства (охраны, сигнализации, телефонии);
 другие технические средства, применяемые в учреждении.
Стихийные источники угроз.
Третья группа источников угроз объединяет, обстоятельства, составляющие
непреодолимую силу, то есть такие обстоятельства, которые носят объективный и
абсолютный характер, распространяющийся на всех. К непреодолимой силе в
законодательстве и договорной практике относят стихийные бедствия или иные
обстоятельства, которые невозможно предусмотреть или предотвратить или возможно
предусмотреть, но невозможно предотвратить при современном уровне человеческого
знания и возможностей. Такие источники угроз совершенно не поддаются
прогнозированию и поэтому меры защиты от них должны применяться всегда.
Стихийные источники потенциальных угроз информационной безопасности, как
правило, являются внешними по отношению к защищаемому объекту и под ними
понимаются, прежде всего, природные катаклизмы:
 пожары;
 землетрясения;
наводнения;
 ураганы;
 различные непредвиденные обстоятельства;
 необъяснимые явления;
 другие форс-мажорные обстоятельства.
Классификация угроз по степени тяжести последствий и возможного
ущерба.
По степени тяжести последствий угрозы бывают: угрозы с высокой, значительной,
средней и низкой тяжестью последствий.
Высокая тяжесть означает, что эти угрозы могут привести к резкому ухудшению
всех
финансово-экономических
показателей
деятельности
субъекта
предпринимательства, что вызывает немедленное прекращение его деятельности
либо наносят такой непоправимый вред, который приведет к этим же последствиям
позднее. В этом случае происходит ликвидация фирмы.
Значительная степень тяжести последствий реализации угроз предполагает
возможность нанесения фирме таких финансовых потерь, которые окажут негативное
воздействие на основные финансово-экономические показатели фирмы, на ее
деятельность в будущем и преодолеваются в течение длительных сроков времени.
Средняя степень тяжести означает, что преодоление последствий осуществления
этих угроз требует затрат (наносит потери), сопоставимые с текущими затратами фирмы и
не требует значительного времени.
Последствия реализации угроз с низкой степенью последствий не оказывают
какого-либо существенного воздействия ни на стратегические позиции фирмы, ни даже
на ее текущую деятельность.







Проявления возможного ущерба могут быть различны:
моральный и материальный ущерб деловой репутации организации;
моральный, физический или материальный ущерб, связанный с разглашением
персональных данных отдельных лиц;
материальный
(финансовый)
ущерб
от
разглашения
защищаемой
(конфиденциальной) информации;
материальный (финансовый) ущерб от необходимости восстановления
нарушенных защищаемых информационных ресурсов;
материальный ущерб (потери) от невозможности выполнения взятых на себя
обязательств перед третьей стороной;
моральный и материальный ущерб от дезорганизации деятельности организации;
материальный и моральный ущерб от нарушения международных отношений.
Ущерб может быть причинен каким-либо субъектом и в этом случае имеется на
лицо правонарушение, а также явиться следствием независящим от субъекта проявлений
(например, стихийных случаев или иных воздействий, таких как проявления техногенных
свойств цивилизации). В первом случае налицо вина субъекта, которая определяет
причиненный вред как состав преступления, совершенное по злому умыслу (умышленно,
то есть деяние, совершенное с прямым или косвенным умыслом) или по неосторожности
(деяние, совершенное по легкомыслию, небрежности, в результате невиновного
причинения вреда) и причиненный ущерб должен квалифицироваться как состав
преступления, оговоренный уголовным правом.
Во втором случае ущерб носит вероятностный характер и должен быть сопоставлен,
как минимум с тем риском, который оговаривается гражданским, административным или
арбитражным правом, как предмет рассмотрения.
В теории права под ущербом понимается невыгодные для собственника
имущественные последствия, возникшие в результате правонарушения. Ущерб
выражается в уменьшении имущества, либо в недополучении дохода, который был бы
получен при отсутствии правонарушения (упущенная выгода).
При рассмотрении в качестве субъекта, причинившего ущерб какую-либо личность,
категория "ущерб" справедлива только в том случае, когда можно доказать, что он
причинен, то есть деяния личности необходимо квалифицировать в терминах правовых
актов, как состав преступления. Поэтому, при классификации угроз безопасности
информации в этом случае целесообразно учитывать требования действующего
уголовного права, определяющего состав преступления.
Основные непреднамеренные угрозы
Основные непреднамеренные угрозы (действия, совершаемые людьми случайно, по
незнанию, невнимательности или халатности, из любопытства, но без злого умысла):
1) неумышленные действия, приводящие к частичному или полному отказу
системы или разрушению аппаратных, программных, информационных ресурсов
системы (неумышленная порча оборудования, удаление, искажение файлов с важной
информацией или программ, в том числе системных и т.п.);
2) неправомерное отключение оборудования или изменение режимов работы
устройств и программ;
3) неумышленная порча носителей информации;
4) запуск технологических программ, способных при некомпетентном
использовании вызывать потерю работоспособности системы (зависания или
зацикливания) или осуществляющих необратимые изменения в системе;
5) нелегальное внедрение и использование неучтенных программ (игровых,
обучающих, технологических и др., не являющихся необходимыми для выполнения
нарушителем своих служебных обязанностей) с последующим необоснованным
расходованием ресурсов (загрузка процессора, захват оперативной памяти и памяти на
внешних носителях);
6) неосторожные действия, приводящие к разглашению конфиденциальной
информации, или делающие ее общедоступной;
8) проектирование архитектуры системы, технологии обработки данных, разработка
прикладных программ, с возможностями, представляющими опасность для
работоспособности системы и безопасности информации;
10) некомпетентное использование, настройка или неправомерное отключение
средств защиты персоналом службы безопасности;
13) пересылка данных по ошибочному адресу абонента (устройства);
14) ввод ошибочных данных;
Основные преднамеренные угрозы
Основные возможные пути умышленной дезорганизации работы, вывода системы
из строя, проникновения в систему и несанкционированного доступа к информации:
физическое разрушение системы (путем взрыва, поджога и т.п.) или вывод из
строя всех или отдельных наиболее важных компонентов системы
2)
отключение или вывод из строя подсистем обеспечения функционирования
вычислительных систем (электропитания, вентиляции, линий связи и т.п.);
3)
действия по дезорганизации функционирования системы (изменение
режимов работы устройств или программ, забастовка, саботаж персонала,
постановка мощных активных радиопомех на частотах работы устройств
системы и т.п.);
4)
внедрение агентов в число персонала системы (в том числе, возможно, и в
административную группу, отвечающую за безопасность);
5)
вербовка (путем подкупа, шантажа и т.п.) персонала или отдельных
пользователей, имеющих определенные полномочия;
6)
применение подслушивающих устройств, дистанционная фото- и
видеосъемка
7)
перехват побочных электромагнитных, акустических и других излучений
устройств и линий связи
8)
перехват данных, передаваемых по каналам связи, и их анализ с целью
выяснения протоколов обмена, правил вхождения в связь и авторизации
пользователя и последующих попыток их имитации для проникновения в
систему;
9) хищение носителей информации (магнитных дисков, лент, микросхем памяти,
запоминающих устройств и целых ПЭВМ);
11) хищение производственных отходов (распечаток, записей, списанных носителей
информации и т.п.);
1)
12) чтение остаточной информации из оперативной памяти и с внешних
запоминающих устройств;
Следует заметить, что чаще всего для достижения поставленной цели злоумышленник
использует не один, а некоторую совокупность из перечисленных выше путей.
Определение требований к уровню обеспечения информационной безопасности.
Необходимый уровень безопасности информационных ресурсов определяется в
процессе различных аналитических исследований, которые предопределяют структуру и
требуемую эффективность системы защиты этих ресурсов с учетом финансовых
возможностей фирмы (организации).
Исторически сложившийся подход к классификации государственной информации
(данных) по уровням требований к ее защищенности основан на рассмотрении и
обеспечении
только одного свойства информации - ее конфиденциальности
(секретности). Требования же к обеспечению целостности и доступности информации,
как правило, лишь косвенно фигурируют среди общих требований
к системам
обработки этих данных. Считается, что раз к информации имеет доступ только узкий
круг доверенных лиц, то вероятность ее искажения (несанкционированного уничтожения)
незначительна. Низкий
уровень
доверия
к
АС и предпочтение бумажной
информационной технологии еще больше усугубляют ограниченность данного подхода.
Если такой подход в какой-то степени оправдан для безопасности
важной
государственной информации, то это вовсе не означает, что его применение в другой
предметной области (с другими субъектами и их интересами) будет иметь успех.
Во многих областях деятельности (предметных областях) доля конфиденциальной
информации сравнительно мала. Для коммерческой и персональной информации, равно
как и для государственной информации, не подлежащей засекречиванию, приоритетность
свойств безопасности информации может быть иной. Для открытой информации, ущерб
от разглашения которой несущественен, важнейшими могут быть такие качества, как
доступность, целостность или защищенность от неправомерного тиражирования.
К примеру, для платежных (финансовых) документов самым важным является
свойство их целостности (достоверности, не искаженности). Затем, по степени важности,
следует свойство доступности (потеря платежного документа или задержка платежей
может обходиться очень дорого). Требований к обеспечению конфиденциальности
отдельных платежных документов может, не предъявляется вообще.
Развитие системы классификации информации по уровням
требований
к ее
защищенности предполагает введение ряда степеней (градаций)
требований
по
обеспечению каждого из свойств безопасности информации: доступности, целостности,
конфиденциальности и защищенности от тиражирования. Пример градаций требований
к защищенности:
·
·
·
·
·
нет требований;
низкие;
средние;
высокие;
очень высокие.